Windows取证

基础

取证通常作为一个公司的事件响应调查人员或者司法调查的取证人员，通过调查被入侵的机器，将被入侵者的行为轨迹梳理出来，还原整个入侵的过程。对于入侵者而言，了解电子取证，可以更全面的了解到自己能够在系统中留下的痕迹，从而具有针对性的消除痕迹，而对于取证人员来说，电子取证无疑是了解整个入侵过程的关键。电子取证近年来也发展为了一个独立的学科，其中在安全竞赛中，电子取证也作为一部分考察内容，被纳入到杂项的大类中，也有只考察取证的竞赛。下面从技术层面介绍Windows取证的相关知识。

审查日志

windows操作系统事件日志

C:\Windows\System32\winevt\Logs\ *( XP C:\Windows\System32)

• 应用程序日志 App Event.Evtx(Application.evtx)
• 安全日志 SecEvent.Evtx
• 系统日志 SysEvent.Evtx

事件查看器

日志分析工具

微软官方的日志分析：https://wwwblogs/haoliansheng/p/4040208.html

Logparser.exe –i:EVT –o:DATAGRID "SELECT * FROM c:\11.evtx"
LogParser.exe  -i:EVT "SELECT TimeGenerated,EventID,EXTRACT_TOKEN(Strings,1,'|')  as UserName,EXTRACT_TOKEN(Strings,5,'|')  as ProcessName FROM c:\11.evtx where EventID=4688"

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-F89oqjP6-1648259564999)(]

3、管理账号登录
在创建管理账户后，尝试远程登录到目标主机，获取敏感信息。

mstsc /v 10.1.1.188

Windows日志分析：
在本地安全策略中，需开启审核登录事件，关键登录事件和说明，如：

Windows取证

基础

取证通常作为一个公司的事件响应调查人员或者司法调查的取证人员，通过调查被入侵的机器，将被入侵者的行为轨迹梳理出来，还原整个入侵的过程。对于入侵者而言，了解电子取证，可以更全面的了解到自己能够在系统中留下的痕迹，从而具有针对性的消除痕迹，而对于取证人员来说，电子取证无疑是了解整个入侵过程的关键。电子取证近年来也发展为了一个独立的学科，其中在安全竞赛中，电子取证也作为一部分考察内容，被纳入到杂项的大类中，也有只考察取证的竞赛。下面从技术层面介绍Windows取证的相关知识。

审查日志

windows操作系统事件日志

C:\Windows\System32\winevt\Logs\ *( XP C:\Windows\System32)

• 应用程序日志 App Event.Evtx(Application.evtx)
• 安全日志 SecEvent.Evtx
• 系统日志 SysEvent.Evtx

事件查看器

日志分析工具

微软官方的日志分析：https://wwwblogs/haoliansheng/p/4040208.html

Logparser.exe –i:EVT –o:DATAGRID "SELECT * FROM c:\11.evtx"
LogParser.exe  -i:EVT "SELECT TimeGenerated,EventID,EXTRACT_TOKEN(Strings,1,'|')  as UserName,EXTRACT_TOKEN(Strings,5,'|')  as ProcessName FROM c:\11.evtx where EventID=4688"

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-F89oqjP6-1648259564999)(]

3、管理账号登录
在创建管理账户后，尝试远程登录到目标主机，获取敏感信息。

mstsc /v 10.1.1.188

Windows日志分析：
在本地安全策略中，需开启审核登录事件，关键登录事件和说明，如：