使用DeepBlueCLI对Windows日志进行取证(小记)
什么是Windows日志取证
Windows日志取证是指通过分析和收集Windows操作系统生成的日志信息,以获取关于系统活动、用户行为、安全事件等方面的数据
工具使用
工具介绍
DeepBlueCLI 是一个用于检测 Windows 系统中的安全事件和威胁的 PowerShell 脚本工具
工具下载
https://github.com/sans-blue-team/DeepBlueCLI/tree/master
日志分析
解压文件后,进入工具的文件夹,右击以管理员权限在当前文件夹打开PowerShell
输入Set-ExecutionPolicy unrestricted,保证文件能正常运行 ,此命令的 Unrestricted 参数会允许在系统上执行任意脚本,而不受签名限制,注意运行此命令需要管理员权限
分析本机日志
分析本机安全日志
.\DeepBlue.ps1 -log security
可以看到,程序输出了当前登录的用户
分析本机系统日志
.\DeepBlue.ps1 -log system
程序会输出一些可疑操作
分析第三方日志
如果要分析从网上下载的第三方日志,可以直接在程序后面加上日志文件的目录
.\DeepBlue.ps1 .\evtx\new-user-security.evtx
可以看到,在这个日志文件中,IEUser用户被加入了administrators组
总结
如果遇到了日志取证的题目,这个工具可以输出windows日志中可疑的操作