Windows 取证--evtx日志文件

最新推荐文章于 2025-04-29 14:51:52 发布
最新推荐文章于 2025-04-29 14:51:52 发布
阅读量383 收藏 5
点赞数 3
分类专栏: 电子数据j取证 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_80216972/article/details/146214243
版权

1.evtx日志文件是什么

        从 Windows NT 6.0(也就是 Windows Vista 和 Windows Server 2008)开始,微软引入了一种全新的日志文件格式,称为 evtx。这种格式取代了之前 Windows 系统中使用的 evt 格式。

2.Windows 系统的事件日志文件存储在以下目录中:

C:\Windows\System32\winevt\Logs\

 3.常见的 .evtx 文件包括:

Security.evtx:安全日志,记录用户登录、权限更改等安全相关事件。

Application.evtx:应用程序日志,记录应用程序的运行状态和错误。

System.evtx:系统日志,记录操作系统的事件和错误。

4. 如何查看 .evtx 文件

        直接双击etvx日志文件,默认由事件查看器打开

5.取证常见的Security.evtx日志Event ID 如下

evtx日志文件详细信息推荐:蚁景科技Windows 取证之EVTX日志

组策略查看login记录_Windows系统日志查看管理
weixin_39663258的博客
01-17 1898
Windows系统日志简介Windows操作系统在其运行的生命周期中会记录其大量的日志信息,这些日志信息包括:Windows事件日志(Event Log),Windows服务器系统的IIS日志,FTP日志,Exchange Server邮件服务,MS SQL Server数据库日志等。解决应急事件时,用户提出需要为其提供溯源,这些日志信息在取证和溯源中扮演着重要的角色。Windows事件日志文件...
win7产生大量evtx文件_闲聊Windows系统日志
weixin_39872872的博客
01-17 2200
原标题:闲聊Windows系统日志* 本文作者:TomKing,本文属FreeBuf原创奖励计划,未经许可禁止转载前言最近遇到不少应急都提出一个需求,能不能溯源啊?这个事还真不好干,你把证据,犯案时间都确定的时候,要求翻看监控(日志)对应犯罪嫌疑人时,突然说监控(日志)没有记录。不过现在都要求保留至少6个月的日志,因此这种原因会少了很多,然而我对于Windows中系统日志不了解,在解读时经常摸不着...
[ 应急响应基础篇 ] evtx提取安全日志 & 事件查看器提取安全日志
qq_51577576的博客
04-13 3608
[ 应急响应基础篇 ] evtx提取安全日志 & 事件查看器提取安全日志 在应急响应过程中,提取日志进行日志分析是必须的。 这里简单介绍一下windows日志,以及采用evtx提取安全日志和事件查看器提取安全日志。
Windows 实战-evtx 文件分析--笔记
2301_80216972的博客
04-02 1037
(1)过滤来自 Mysql 服务的事件记录, Mysql 服务的事件 id 为 100(2)CTRL+F 搜索start,定位到。
python-evtx, 用于最近 Windows 事件日志文件的纯 python 解析器( evtx ).zip
09-18
python-evtx, 用于最近 Windows 事件日志文件的纯 python 解析器( evtx ) python-evtx简介python-evtx是最近 Windows 事件日志文件( 具有文件扩展名的那些"。evtx")的纯 python 解析器。 模块提供对文件和块头。记录模板和事件条目的编程访问。 例如可以使用python从
Windows 取证EVTX日志
kupePoem的专栏
08-30 2822
日志文件包含一个4KB的文件头加后面一定数量的64KB大小的块,一个块中记录一定数量(大约100条)的事件记录。每条事件记录包含其创建时间与事件 ID(可以用于确定事件的种类),因此可以反映某个特定的时间发生的特定的操作,取证人员可以根据日志文件来发现犯罪的过程。记录应用程序或系统程序运行方面的日志事件,比如数据库程序可以在应用程序日志中记录文件错误,应用的崩溃记录等。文件的记录满了,日志服务会覆盖最开始的记录,从头开始写入新的记录。事件查看器可以查看当前主机的事件日志,也可以打开保存的。
取证的日志分析
山兔的博客
09-07 600
1、evtx文件是微软从(Windows Vista 和 Server 2008) 开始采用的一种全新的日志文件格式。在此之前的格式是evt。evtxWindows事件查看器创建,包含Windows记录的事件列表,以专有的二进制XML格式保存。Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。记录系统的安全审计日志事件,比如登录事件、对象访问、进程追踪、特权调用、帐号管理、策略变更等。
Windows日志】记录系统事件的日志
热门推荐
第一天
10-14 4万+
应用程序日志包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件,例如数据库程序可以在应用程序日志中记录文件错误,程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况,那么我们可以从程序事件日志中找到相应的记录,也许会有助于你解决问题。默认位置:C:\Windows\System32\Winevt\Logs\Application.evtx
libevtx:用于访问Windows XML事件日志(EVTX)格式的库和工具
03-26
2. **取证分析**:在数字取证领域,libevtx可以用于提取和解析EVTX日志,以寻找与犯罪活动相关的线索。 3. **自动化报告**:通过libevtx,开发者可以构建自动化脚本,定期生成系统事件报告。 4. **安全研究**:对于...
python读取windows日志_Python解析windows系统日志文件
weixin_39931362的博客
12-17 1560
DOM是Document Object Model的简称,XML 文档的高级树型表示。该模型并非只针对 Python,而是一种普通XML 模型。Python 的 DOM 包是基于 SAX 构建的,并且包括在 Python 2.0 的标准 XML 支持里。参考博客:python网络编程学习笔记:XML生成与解析Python取证技术: Windows 事件日志分析1.安装python_Evtx直接使用...
Windows日志分析-应急响应实战笔记
jihaichen的博客
10-23 809
Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来 检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。 Windows主要有以下三类日志记录系统事件:应用程序日志、系统日志和安全日志。
Windows .evtx 文件完整分析流程指南
最新发布
BEICHENst的博客
04-29 860
evtxWindows 系统中用来保存事件日志(Event Log)的文件格式。它们记录了系统、应用程序、安全、网络等方面的详细活动信息,是进行故障排查、溯源调查、取证分析时的重要证据来源。掌握.evtx文件的分析流程,对于运维工程师、安全工程师、应急响应人员来说非常关键。本篇博客将带你了解如何从头到尾完整分析.evtx文件,配合常用工具和实际操作示例,让你能够独立完成日志调查任务。
入侵痕迹清理
st3pby的博客
06-18 3052
技术交流 关注微信公众号 Z20安全团队 , 回复 加群 ,拉你入群 一起讨论技术。直接公众号文章复制过来的,排版可能有点乱, 可以去公众号看。在授权攻防演练中,攻击结束后,如何不留痕迹的清除日志和操作记录,以掩盖入侵踪迹,这其实是一个细致的技术活。在蓝队的溯源中,攻击者的攻击路径都将记录在日志中,所遗留的工具也会被蓝队进行分析,在工具中可以查找特征,红队自研工具更容易留下蛛丝马迹。你所做的每一个操作,都要被抹掉;你所上传的工具,都应该被安全地删掉,以防被溯源在演练中失分。Windows日志路径: 常见
win7产生大量evtx文件_Windows XML Event Log (EVTX)单条日志清除(四)——通过注入获取日志文件句柄删除当前系统单条日志记录...
weixin_42520573的博客
01-17 1166
0x00 前言Windows XML Event Log (EVTX)单条日志清除系列文章的第四篇,介绍第二种删除当前系统单条日志记录的方法:获得日志服务Eventlog对应进程中指定日志文件的句柄,通过Dll注入获得该句柄的操作权限,利用该句柄实现日志文件的修改0x01 简介本文将要介绍以下内容:利用思路程序实现枚举日志服务Eventlog对应进程的所有句柄,获得指定日志文件的句柄通过Dll注入...
系统日志分析
来日可期的博客
12-12 2967
日志分析是指对系统、应用程序或网络设备生成的日志进行收集、解析和分析的过程。通过对日志数据进行分析,可以获得有关系统运行状态、故障排查、性能优化、安全审计等方面的有用信息。
Windows痕迹清除技术
Captain_RB的博客
12-24 8253
系统入侵后要对操作痕迹进行清除,如果上传工具和木马文件要做隐藏和伪装,以免引起警觉甚至丢失目标,“清道夫”的工作虽有些烦杂,但这些工作直接影响到目标控守的持久性,文章介绍Windows系统下痕迹清除的常见操作。......
Python 获取WindowsEvtx日志文件并解析
Black794的博客
04-21 4415
Python 获取WindowsEvtx日志文件并解析 demo如下(随便写的): import html from xml.dom import minidom import Evtx.Evtx as evtx path = r"C:\Windows\Sysnative\winevt\Logs\Security.evtx" with evtx.Evtx(path) as log: for record in log.records(): timestamp = record.t
Windows
m0_71326960的博客
01-15 795
Windows渗透测试,Windows信息收集
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值