应急响应类题练习——玄机第五章 Windows 实战-evtx 文件分析
玄机——应急响应简单类题练习
第五章 Windows 实战-evtx 文件分析
步骤 #1
将黑客成功登录系统所使用的IP地址作为Flag值提交;
1.分析题目
在Windows安全日志分析中,事件ID 4624(登录成功)和事件ID 4625(登录失败)是识别登录行为的关键事件,那么就可以搜寻ID4624
2.解题
那么在安全中筛选当前日志中查找ID 4624
点击顶部的日期和时间,按时间顺序排序
然后发现了嫌疑IP
得到flag为 flag{192.168.36.133}
步骤 #2
2.黑客成功登录系统后修改了登录用户的用户名,将修改后的用户名作为Flag值提交;
1.分析题目
事件ID 4738:用户账户变更,那么就搜索这个ID入手
2.解题
那么在安全中筛选当前日志,筛选ID为4738的信息
然后只有几条信息,那就逐个查看,发现这个时间的详细信息与其他的都不一样,那就确定了修改后的用户名为Adnimistartro
那么flag为 flag{Adnimistartro}
步骤 #3
黑客成功登录系统后成功访问了一个关键位置的文件,将该文件名称(文件名称不包含后缀)作为Flag值提交;
1.分析题目
经过查找发现事件ID 4663是文件访问日志,那就筛查ID是4663的日志文件
2.解题
晒学出的信息中查看,发现了一个特别的文件.DAT文件,它一般会是恶意软件或黑客工具的数据文件,某些恶意软件(如勒索软件、间谍软件)会使用 .DAT 文件存储来窃取的密码、键盘记录数据。
那么尝试输入 flag{SCHEMA},对了!
步骤 #4
黑客成功登录系统后重启过几次数据库服务,将最后一次重启数据库服务后数据库服务的进程ID号作为Flag值提交;
1.分析题目
Windows 系统将 **非核心系统组件 **的日志(包括大多数第三方服务,如数据库、Web 服务器等)默认记录在 应用程序日志 中,而非 “安全”日志。
那么就可以从题目给的应用程序日志入手
2.解题
点进去就可以很快的注意到MySQL
来源于MySQL服务,是数据库服务,那去筛查日志里所有的来源于MySQL的文件
然后筛选出了三个有着不同进程号的ID,然后我就分别复制了它们的XML信息,粘贴在了一个文本文件中进行比较分析,把相同的部分删去,留下有差异的部分,发现ID8820没有TimeCreated SystemTime和EventRecordID。
然后为此我就去搜查了一下这两个的作用
| 字段名称 | 作用 |
|---|---|
| TimeCreated SystemTime | 还原攻击时间线,检测异常时间活动 |
| EventRecordID | 检查日志完整性,快速定位特定事件 |
我天,一个定位时间,一个定为地点,这不是正好就把它藏起来了吗,这么藏头不露尾的,一定有问题!
那么尝试输一下 flag{8820},解出来了!
步骤 #5
黑客成功登录系统后修改了登录用户的用户名并对系统执行了多次重启操作,将黑客使用修改后的用户重启系统的次数作为Flag值提交。
1.分析题目
修改了用户名说明现在的用户名变成了Adnimistartro
对系统进行多次重启,那么去找执行这样操作所给我们的能购进行查找的点,去问AI,得到:
-
系统事件日志
(1)事件ID 6005:事件日志服务启动(即系统启动完成),每次重启后必现,直接记录重启时间。
(2)事件ID 6006:事件日志服务停止(即系统正常关机),正常重启前会生成此事件,若缺失可能为异常断电或强制重启。
(3)事件ID 6008:上一次系统意外关闭(如蓝屏、强制断电),若多次出现,可能表明系统遭受攻击(如内核级恶意软件导致崩溃)。
-
安全事件日志
(1)事件ID 4608:Windows启动事件(仅记录系统开机)。(2)事件ID 4624:系统重新启动后的服务登录(如SYSTEM账户登录)。
(3)事件ID 4672:特权账户登录(如重启后管理员首次登录)。
-
应用程序日志
(1)事件ID 1074:记录关机/重启的发起者和原因。
那么由此可以得出筛选ID 1074是个不错的选择,那么go
2.解题
筛选ID 1074得到了9的日志信息,统计不是系统计划内的信息条数
4?NO!!!,吃教训了,忘记注意用户名了,Adnimistartro!!!
有一条用户名不符合,所以是3
则flag为 flag{3}
参考
deepseek立大功!!!