当前位置: 首页 > news >正文

域取证的日志分析

目录

    • 介绍
    • 步骤
      • 横向移动行为分析

介绍

1、evtx文件是微软从 Windows NT 6.0(Windows Vista 和 Server 2008) 开始采用的一种全新的日志文件格式。在此之前的格式是 evtevtxWindows事件查看器创建,包含Windows记录的事件列表,以专有的二进制XML格式保存。
Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。

2、Security.evtx

记录系统的安全审计日志事件,比如登录事件、对象访问、进程追踪、特权调用、帐号管理、策略变更等。Security.evtx也是取证中最常用到的。

3、创建登录会话时,将在被访问的计算机上生成此事件。

“使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。

“登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。

“新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。

“网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。

“模拟级别”字段指示登录会话中的进程可以模拟到的程度。

“身份验证信息”字段提供有关此特定登录请求的详细信息。

“登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。
“传递的服务”指示哪些中间服务参与了此登录请求。
“数据包名”指示在 NTLM 协议中使用了哪些子协议。
“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。

步骤

横向移动行为分析

打开C:\Users\Administrator\Desktop\案例\kiwi目录
在这里插入图片描述

打开两个文件夹内的日志文件Security.evtx
在这里插入图片描述

点击筛选当前日志
在这里插入图片描述

根据异常事件发生时间设置筛选
在这里插入图片描述
在这里插入图片描述

对每个登陆信息进行筛选,可知用户Daenerys使用KingSlayer账号登陆域控
在这里插入图片描述

发现PsExec.exe被攻击者用来访问WIN-IL7M7CC6UYU
在这里插入图片描述

发现PsExec.exe(一个横向移动工具,可以用于权限提升)。溯源的基础时间线:先在Jaime的机器上使用了mimikatz工具,Daenerys的帐户被泄露了。然后,它被攻击者用来横向移动到DC。


http://www.mrgr.cn/news/21519.html

相关文章:

  • QString如何格式化字符串
  • python学习
  • Mysql梳理1——数据库概述(下)
  • 优化算法与正则化
  • WPF入门到跪下 第十三章 3D绘图 - 3D绘图基础
  • Vue 中实现视频播放的艺术
  • 新手炒股,用Python股票接口程序化交易股票需要注意什么
  • Chapter 10 Stability and Frequency Compensation
  • DHCP服务
  • 【Linux】环境变量
  • 828华为云征文|华为云Flexus X实例docker部署最新gitlab社区版,搭建自己的私人代码仓库
  • 【Hot100】LeetCode—394. 字符串解码
  • vsCode 自动发布文件到服务器文件
  • 【 html+css 绚丽Loading 】000042 乾坤四象盘
  • 诺瓦星云校招嵌入式面试题及参考答案(100+面试题、10万字长文)
  • 【MATLAB】模拟退火算法
  • 手撕Python之面向对象
  • 一个C++程序运行,从点击运行到控制台打印文本,电脑硬件的资源是如何调动的
  • 2024软件测试需要具备的技能(软技能硬技能)
  • QT教程:repaint()和updata()的区别