Windows取证一

最新推荐文章于 2024-08-21 09:34:07 发布
最新推荐文章于 2024-08-21 09:34:07 发布
阅读量6.5k 收藏 64
点赞数 10
分类专栏: 溯源反制 文章标签: github 安全 Web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hyj123480/article/details/123750853
版权

Windows取证

基础

取证通常作为一个公司的事件响应调查人员或者司法调查的取证人员,通过调查被入侵的机器,将被入侵者的行为轨迹梳理出来,还原整个入侵的过程。对于入侵者而言,了解电子取证,可以更全面的了解到自己能够在系统中留下的痕迹,从而具有针对性的消除痕迹,而对于取证人员来说,电子取证无疑是了解整个入侵过程的关键。电子取证近年来也发展为了一个独立的学科,其中在安全竞赛中,电子取证也作为一部分考察内容,被纳入到杂项的大类中,也有只考察取证的竞赛。下面从技术层面介绍Windows取证的相关知识。

审查日志

windows操作系统事件日志

C:\Windows\System32\winevt\Logs\ *( XP C:\Windows\System32)

  • 应用程序日志 App Event.Evtx(Application.evtx)
  • 安全日志 SecEvent.Evtx
  • 系统日志 SysEvent.Evtx

事件查看器

日志分析工具

微软官方的日志分析:https://www.cnblogs.com/haoliansheng/p/4040208.html

Logparser.exe –i:EVT –o:DATAGRID "SELECT * FROM c:\11.evtx"
LogParser.exe  -i:EVT "SELECT TimeGenerated,EventID,EXTRACT_TOKEN(Strings,1,'|')  as UserName,EXTRACT_TOKEN(Strings,5,'|')  as ProcessName FROM c:\11.evtx where EventID=4688"

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-F89oqjP6-1648259564999)(img]

3、管理账号登录
在创建管理账户后,尝试远程登录到目标主机,获取敏感信息。


mstsc /v 10.1.1.188

Windows日志分析:
在本地安全策略中,需开启审核登录事件,关键登录事件和说明,如:


                

                
                
        

        

    

  


        

            

                    
                      最低0.47元/天 解锁文章
                        
                    
            

        

    

      

        

            

              
                
                  风炫安全
                
              
            

            

                关注
              
            

        

        

          
      

      

            

                专栏目录
          









                



	

		

			

				
					
Windows取证——学习笔记(一)

				
			

			

				

					 记录并分享学习安全的知识点..
				

				

					10-03
					
					1363
					
				

			

		

		

			
				
一、Windows回收站文件夹所在的位置

二、Windows 3389连接存在记录文件

三、Windows用户名溯源方法

四、Windows浏览器记录文件

			
		

	



                

              
                



	

		

			

				
					
Windows取证

				
			

			

				

					 记录并分享学习安全的知识点..
				

				

					12-20
					
					1371
					
				

			

		

		

			
				
Windows取证——数据恢复(Fat32文件系统和NTFS文件系统)

			
		

	



                


  
              

                


	

		

			

				
					
Fastir_Collector 开源项目教程

					
最新发布

				
			

			

				

					gitblog_00655的博客
				

				

					08-21
					
					423
					
				

			

		

		

			
				
Fastir_Collector 开源项目教程
 Fastir_Collector项目地址:https://gitcode.com/gh_mirrors/fa/Fastir_Collector 1. 项目的目录结构及介绍
Fastir_Collector 项目的目录结构如下:
Fastir_Collector/
├── Fastir_Collector.py
├── README.md
├── c...

			
		

	





	

		

			

				
					
Windows环境取证

				
			

			

				

					stillaway的博客
				

				

					03-13
					
					1741
					
				

			

		

		

			
				
电子取证里的Windows环境取证

			
		

	



		

			
		



	

		

			

				
					
Windows取证分析(Windows Forensic Analysis)随书工具盘

				
			

			

				

					05-06
				

			

		

		

			
				
Windows 取证分析——dvd工具包,提供大量利用Perl脚本编写的程序。

			
		

	





	

		

			

				
					
Windows取证实验

				
			

			

				

					qq_63855830的博客
				

				

					03-26
					
					2232
					
				

			

		

		

			
				
Windows取证实验

			
		

	





	

		

			

				
					
最强大的windows取证工具

				
			

			

				

					01-09
				

			

		

		

			
				
该工具包中所包含的python代码支持对windows不同版本、linux以及android系统的取证分析,功能强大,包罗万象

			
		

	





	

		

			

				
					
Windows与Linux取证分析

				
			

			

				

					PICACHU+++的博客
				

				

					07-18
					
					4315
					
				

			

		

		

			
				
格式化HFS+文件系统时,生成文件系统卷头(2号扇区),类似FAT和NTFS的DBR,卷头偏移量0X10-0X1F处记录了创建、修改、备份、最后检查时间四个时间信息,创建时间以本地时间保存,其他时间以GMT/UTC时间保存。文件的属性时间是确定文件的创建 、修改和访问的重要标记。注册表被称为Windows操作系统的核心,它的工作原理实质是一个庞大的数据库,存放了关于计算机硬件的配置信息、系统和应用软件的初始化信息、应用软件和文档文件的关联关系、硬件设备的说明以及各种状态信息和数据。

			
		

	





	

		

			

				
					
windows取证

				
			

			

				

					weixin_33933118的博客
				

				

					11-06
					
					277
					
				

			

		

		

			
				
 
工具网站 : http://www.ntsecurity.nu/toolbox/
 
命令行历史 :命令行模式 CMD 中使 doskey /history 命令可以显示前面输入的命令情况(例如使用 cls 命令清屏之后可以用此察看之前的命令),但是如果是关闭 CMD 之后运行则无法查到关闭之前输入的命令。
 
共享 :在系统注册表的 HKEY_LOCAL_MACHINE/SYSTE...

			
		

	





	

		

			

				
					
smudge:简单的 Windows 取证工具

				
			

			

				

					06-17
				

			

		

		

			
				
弄脏
Smudge 是一个 Windows 取证工具,前提简单,攻击者在安装持久性机制时很懒惰。 持久性通常涉及在受感染的机器上安装某种机制,以允许攻击者在重新启动、更新和更改密码后继续访问机器。 然而,虽然这些持久性机制实际上可能被很好地隐藏并且 C2 代理耐心等待,但许多专业的渗透测试软件是如此粗心,以至于将未混淆的字符串或未经过处理的字符串留在内存中。 Smudge 通过在磁盘和进程内存中搜索类似于 http 资源、域名和 IP 地址的字符串来利用这一点。 Smudge 的目的是指出异常并揭示可疑文件和进程。 Smudge 将恶意软件的判断留给操作员。
发布二进制文件:

			
		

	





	

		

			

				
					
Windows取证分析.pdf

				
			

			

				

					01-07
				

			

		

		

			
				
Windows取证分析》的写作源于实战的需要,主要关注Windows取证分析这一技术领域,主要讨论了Windows统开机和关机的不同时刻对证据数据收集和分析的技术问题,重点阐述了Windows内存分析、注册表分析、文件分析、可执行文件分析,以及Rootkits等内容。《Windows取证分析》不仅为取证分析人员、调查人员和应急响应人员提供参考,也可为政府和公司的调查人员、司法官员及对Windows取证分析感兴趣的读者提供参考和帮助。

			
		

	





	

		

			

				
					
闲记Windows 取证艺术

				
			

			

				

					weixin_30731305的博客
				

				

					06-08
					
					272
					
				

			

		

		

			
				
是不是很好奇,别人能够在你电脑上查看你运行程序历史,文档使用痕迹,浏览器浏览历史种种历史痕迹,没错,通过简单的系统了解以及配合相对应的工具,这一切就是这么的简单,看起来很高大上的操作,其实是可以通过多次操作到心中有数,下面简单举几个列子,仅是一个学习的思路,认识上存在这么个东西,如果有了好奇心,那么可以通过各大网站论坛去扩展学习。
拓展——取证基本流程
【1】确定电脑罪...

			
		

	





	

		

			

				
					
Windows取证】CHNTPW工具使用

				
			

			

				

					南京信息工程大学数字取证中心的博客
				

				

					12-06
					
					1282
					
				

			

		

		

			
				
chntpw是一个Kali Linux工具,可用于编辑Windows注册表,重置用户密码,将用户提升为管理员,以及其他几个有用的选项。使当您不知道Windows密码是什么时,可以利用chntpw对其修改。用户数据库文件中的某些信息和更改用户密码,通常位于 Windows 文件系统上的 \WINDOWS\system32\config\SAM。

			
		

	





	

		

			

				
					
Windows取证篇】Window日志分析基础知识(一)

				
			

			

				

					蘇小沐的电子数据取证博客
				

				

					01-17
					
					4609
					
				

			

		

		

			
				
Windows系统审计是对系统中有关安全的活动进行记录、检查以及审核,一般是一个独立的过程。Window自带的事件查看器并没有提供删除特定日志的功能,我们在系统审计取证分析时,可以根据案情、特定的时间点、事件ID进行取证溯源分析—【蘇小沐】

			
		

	





	

		

			

				
					
Windows取证分析》

				
			

			

				

					kanone0seele的专栏
				

				

					06-23
					
					5375
					
				

			

		

		

			
				
RT

			
		

	





	

		

			

				
					
windows***取证

				
			

			

				

					weixin_34185320的博客
				

				

					11-11
					
					183
					
				

			

		

		

			
				
转载 by nkever1.记录当前时间dos命令:dat /t & time /t2.记录登录的用户sessiondos 命令:net sessions工具:Psloggedon.exe  Logonsessions.exe3.记录打开的文件dos 命令:net file工具:psfile.exe open?les.exe其它:查看文件打开历史记录4.网络信息...

			
		

	





	

		

			

				
					
计算机取证Windows)FTK+X-Way取证复制

				
			

			

				

					zsrzy的博客
				

				

					04-05
					
					6348
					
				

			

		

		

			
				
计算机取证Windows)FTK+X-Way取证复制

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值