RDP日志溯源教程

最新推荐文章于 2024-08-15 17:02:46 发布
最新推荐文章于 2024-08-15 17:02:46 发布
阅读量9.5k 收藏 29
点赞数 4
分类专栏: 应急响应 文章标签: RDP 溯源
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37552052/article/details/82894963
版权

1.查看登陆过本机的IP

1.1打开事件事件日志

我的电脑 -> 右键 -> 管理 -> 事件查看器。
1

1.2找到RDP连接日志

应用程序和服务日志 -> Microsoft -> Windows -> TerminalServices-RemoteConnectionManager
2

选中Operational,右边就出现了RDP的日志信息,点击操作窗口筛选当前日志,填入事件ID号1149,就能看到所有RDP登陆过当前主机的IP,这样就能溯源出黑客的跳板机了。
3

2.查看本机登陆过的IP

打开注册表,打开此路径:HKCU\Software\Microsoft\Terminal Server Client。

选中Default可以看到连接过的IP。
4

选中Servers -> [IP]可以查看登陆名。
5

G4rb3n
关注
专栏目录
溯源系列:溯源案例一
weixin_54626591的博客
01-06 1347
溯源案例一
Windows SMB/RDP日志溯源总结
热门推荐
travelnight的博客
02-10 1万+
Windows SMB/RDP日志溯源总结 在以往涉及到Windows安全事件处理的时候,经常需要分析windows日志。对日志进行分析溯源的时候SMB/RDP日志是非常重要的一部分。比如:RDP入侵植入勒索病毒,drivelife等利用SMB暴力破解传播的病毒。 注:本文举例均为win7系统。 日志提取 使用“eventvwr.exe”直接打开事件管理器,可以直接查看和筛选日志。 直接访问日志文件路径也可提取 C:\Windows\System32\winevt\Logs 一般重点关注securi
RDP日志溯源帮助文档.doc|RDP日志溯源帮助文档.doc
10-20
网络安全RDP日志溯源帮助文档.doc,Windwos版本,分享给大家,请需要的人学习下载,后续会继续更新
CVE-2024-38077 微软 RDP 漏洞修复 报错 不适用于你的计算机 解决方法
最新发布
it知识分享 free for nothing..
08-15 2324
CVE-2024-38077 微软 RDP 漏洞修复 报错 不适用于你的计算机解决方法
Windows日志分析--rdp远程登录、暴破
weixin_51876282的博客
01-22 1601
rdp 服务器通常不喜欢很多连接,使用 -t 1 或 -t 4 来减少并行连接的数量,使用 -W 1 或 -W 3 在连接之间等待以允许服务器恢复。Win+R,输入eventvwr.msc,查看日志,可以使用4624,4625分别筛选出登录成功和登录失败的日志。username.txt 和 password.txt ,这里为了能快速的暴破出来,可以使用小一点的密码本。可视化界面,用着很舒服,就是导入的时候比较慢,右上角Filter可以进行关键词筛选。这样查看会比较乱,最好使用工具来进行查看。
内网工具|读取正反向连接RDP记录
公众号:乌云安全
10-24 1757
C# 读取本机对外RDP连接记录和其他主机对该主机的连接记录,从而在内网渗透中获取更多可通内网网段信息以及定位运维管理人员主机。
powershell 登录 rdp_RDP登录日志取证和清除
weixin_39998903的博客
11-27 1246
点击上方“蓝字”关注公众号获取最新信息!本文作者:whoam1@奇安信首发地址:https://paper.seebug.org/1043这篇文章由Cream朋友whoam1@奇安信授权发布,在此表示感谢,关于其他方面的文章或者技术可以浏览whoam1的博客!后期我们也会持续更新WEB安全系列课程(从小白到“入狱”),0.0,希望多多关注支持。公众号可以搜索:贝塔安全实验室,谢谢,Cre...
windows下ssh、telnet、rdp、smb、ftp暴破事件日志分析
xiaozhao2017的博客
12-26 3901
windows暴破事件日志
HW多人运动溯源反制指北1
08-03
对于Windows跳板服务器,可以通过安全日志RDP日志、进程信息、浏览器记录和密码管理工具中的凭据来追踪红队成员。例如,分析Firefox、Chrome等浏览器的密码和访问记录,可以提供社工调查的线索。对于Linux跳板,...
计算机病毒溯源:揭秘网络威胁的根源
04-18
2. **网络日志分析**:通过分析网络流量日志,研究人员能够追踪勒索病毒的传播路径,发现它主要通过电子邮件附件、恶意网站链接和远程桌面协议(RDP)等方式进行传播。 3. **用户行为调查**:通过对受害者的访谈和...
红队系列-溯源与应急反制专题
aming小老弟
11-09 481
日志分析、流量特征分析、内存马。
远程桌面的连接登录日志记录
10-19
使用2003的远程桌面功能,可以创建登陆日志记录文件。
windows事件ID及解释大全(非常完整).doc
05-31
windows事件ID及解释大全 不同版本windows操作系统的事件ID
rdp连接工具_如何在Windows10中清除RDP连接历史记录?
weixin_39915605的博客
11-30 1834
如何在Windows中清除RDP连接历史记录?内置的Windows远程桌面连接(RDP)客户端(mstsc.exe)保存每次成功连接到远程计算机后的远程计算机名(或IP地址)和用于登录的用户名。在下一次启动时,RDP客户端向用户提供选择以前使用的连接之一的功能。用户可以从列表中选择RDS / RDP主机的名称,客户端将自动填写先前用于登录的用户名。从最终用户的角度来看,这很方便,但是从安全角度来看...
记录远程桌面登录日志
Jarodsong的专栏
10-17 887
@echo off@echo — 登陆时间 –  >>rdplog.txt@date /t >>rdplog.txt@time /t >>rdplog.txt@echo 登陆客户端名: %CLIENTNAME%  登陆用户名: %USERNAME% 会话名: %SESSIONNAME% >>rdplog.txt@echo — 网络连接信息 — >>rdplog.txt@netstat -n -p
Logpaser分析-Windows系统日志
dayouzi的博客
08-07 1969
本文重点在于用logparser收集windows日志中指定字段及语法.
windows远程连接记录查看和配置(包括本地连接记录和server被连接记录)
xh_w20的专栏
11-29 1万+
wins 远程连接记录,包括从本地连接的记录和server被连接的记录
一次勒索病毒应急响应复盘
Karka_的博客
09-13 151
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
Windows Server查看和记录远程登录信息的方法
一个懒鬼的博客
03-28 4605
前两天我的一台Windows Server 2012R2的服务器中了传说中的cryptowall病毒,所有数据文件都被加密,需要我支付1个比特币才能解码。幸好服务器上没什么重要的文件,还好我没钱,我选择回滚。 接着我开始考虑服务器安全方面的问题,第一步就是远程登录的登录记录问题。 一、利用系统日志查看登录信息 打开控制面板——系统和安全——查看事件日志,就进入了事件查看器 打开左侧事件查看器(本地)——Windows日志——安全,就能查看所有安全日志 点击右侧筛选,筛选事件ID为4776的所.
RDP Wrapper
09-14
RDP Wrapper是一种用来扩展远程桌面协议(RDP)的工具,它通过加载termsrv.dll并使用不同的参数来实现功能。RDP Wrapper并不对termsrv.dll进行修补,而是在Service Control Manager和Terminal Services之间添加了一个层。因此,原始的termsrv.dll文件保持不变。这种方法对Windows Update非常强大,因为它可以保护配置文件免受更新的影响。不过需要注意的是,RDP Wrapper可能不支持最新的Windows10 1909版本。如果需要在不支持的版本上使用RDP Wrapper,您可以查找RDPWrapper的GitHub上的Issue,找到其他用户提供的类似的配置代码或配置文件,并将其添加到您的计算机上的rdpwrap.ini文件中,或者直接替换该文件,然后重新执行install.bat命令。这样就可以解决在不支持的版本上使用RDP Wrapper的问题。请注意,这些操作可能需要管理员权限。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值