Windows 实战-evtx 文件分析--做题笔记
Windows 取证--evtx日志文件_c++ evtsubscribe 订阅 windows安全日志-CSDN博客
一.evtx日志文件是什么
从 Windows NT 6.0(也就是 Windows Vista 和 Windows Server 2008)开始,微软引入了一种全新的日志文件格式,称为 evtx。这种格式取代了之前 Windows 系统中使用的 evt 格式。
1、将黑客成功登录系统所使用的IP地址作为Flag值提交;
(1).过滤成功的账户登录的事件,登录成功的事件ID为4624
(2).点击一下时间进行排序
2.黑客成功登录系统后修改了登录用户的用户名,将修改后的用户名作为 Flag 值提交;
(1).过滤帐户名更改事件,账户名更改事件ID为4738(重第一题知道登录时的用户名是Adnimistartro)
3.黑客成功登录系统后成功访问了一个关键位置的文件,将该文件名称(文件名称不包含后缀)作为Flag值提交;
(1)过滤记录对象访问尝试的安全审计事件4663
4.黑客成功登录系统后重启过几次数据库服务,将最后一次重启数据库服务后数据库服务的进程ID号作为Flag值提交;
(1)过滤来自 Mysql 服务的事件记录, Mysql 服务的事件 id 为 100
(2)CTRL+F 搜索start,定位到最后一次启动数据库,找到进程号
- 根据上几题描述确定黑客攻击的时间段,为2020年10月8日
- 找到2020年10月8日的最后一次启动
5.黑客成功登录系统后修改了登录用户的用户名并对系统执行了多次重启操作,将黑客使用修改后的用户重启系统的次数作为Flag值提交。
根据前两题知道修改后的用户名是Administratro
事件id1074:当用户、进程或系统管理员 主动触发关机、重启、注销或计划任务关机 时,系统会记录此事件。
-
事件 ID 1074 属于 系统日志(路径:
Windows 日志 > 系统),而非 安全日志。 -
安全日志中的关机事件 由 事件 ID 4647(用户发起注销)或 事件 ID 4670(权限更改触发注销)记录。
(1)过滤筛选1074的事件
(2)关键机制解释
SYSTEM 账户的权限与行为
-
身份属性:
-
SYSTEM是 Windows 中权限最高的内置账户,代表操作系统本身。 -
系统服务、内核驱动、计划任务等后台进程通常以
SYSTEM身份运行。
-
-
触发重启的场景:
-
当账户属性修改涉及 安全策略或核心配置(如修改管理员账户名、调整用户组权限)时,系统可能自动触发重启以应用变更。
-
此类操作由系统服务(如
SAM服务)自动发起,因此事件日志中操作者显示为SYSTEM。
-
所以SYSTEM 这次重启算在(黑客使用修改后的用户重启系统的次数)里,一共是三次
