在Windows日志里发现入侵痕迹

已于 2023-03-13 15:36:48 修改
阅读量4.5w 收藏 3
点赞数
分类专栏: 【红队攻防秘籍】 【应急响应实战笔记】 文章标签: python java 数据库 安全 linux
于 2020-12-14 08:00:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_23936389/article/details/111189019
版权
【红队攻防秘籍】 同时被 2 个专栏收录
65 篇文章 126 订阅 ¥19.90 ¥99.00
订阅专栏
【应急响应实战笔记】
38 篇文章 68 订阅 ¥19.90 ¥99.00
订阅专栏

有小伙伴问:Windows系统日志分析大多都只是对恶意登录事件进行分析的案例,可以通过系统日志找到其他入侵痕迹吗?

答案肯定是可以的,当攻击者获取webshell后,会通过各种方式来执行系统命令。所有的web攻击行为会存留在web访问日志里,而执行操作系统命令的行为也会存在在系统日志。

不同的攻击场景会留下不一样的系统日志痕迹,不同的Event ID代表了不同的意义,需要重点关注一些事件ID,来分析攻击者在系统中留下的攻击痕迹。

我们通过一个攻击案例来进行windows日志分析,从日志里识别出攻击场景,发现恶意程序执行痕迹,甚至还原攻击者的行为轨迹。

1、信息收集

攻击者在获取webshell权限后,会尝试查询当前用户权限,收集系统版本和补丁信息,用来辅助权限提升。

whoamisysteminfo

Windows日志分析:

在本地安全策略中,需开启审核进程跟踪,可以跟踪进程创建/终止。关键进程跟踪事件和说明,如:

4688 创建新进程4689 进程终止

我们通过LogParser做一个简单的筛选,得到Event ID 4688,也就是创建新进程的列表,可以发现用户Bypass,先后调用cmd执行whami和systeminfo。Conhost.exe进程主要是为命令行程序(cmd.exe)提供图

了解本专栏 订阅专栏 解锁全文
Bypass--
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
Windows入侵日志清除
难办就别办的博客
03-15 902
应用程序日志安全日志、系统日志、DNS日志默认位置:%sys temroot%\system32\config,默认文件大小512KB,管理员都会改变这个默认大小。Windows 7的日志文件通常有应用程序日志安全日志、系统日志、DNS服务器日志、FTP日志、WWW日志等等。日志文件通常有某项效劳在后台维护,除了体系日志安全日志应用程序日志等等,它们的效劳是Windows 7的要害进程,并且与注册表文件在一块,当Windows 7启动后,发动效劳来维护这些文。清除Windows 7使用痕迹日志
Linux入侵日志排查】
最新发布
weixin_46356409的博客
11-21 738
不同的服务和应用程序可能会产生不同格式的日志记录。在分析日志时,请参考相关文档以了解日志格式和字段的具体含义。日志格式因应用程序而异,因此请参考相关文档以了解日志格式和字段的具体含义。在分析日志时,请参考相关文档以了解日志格式和字段的具体含义。Apache错误日志记录了Apache服务器的错误和诊断信息。MySQL错误日志记录了MySQL数据库服务器的错误和诊断信息。Nginx错误日志记录了Nginx服务器的错误和诊断信息。这些日志文件记录了系统和服务的一般信息和错误消息。等命令来过滤和分析日志文件。
【转载】linux入侵日志分析
weixin_30347335的博客
06-18 797
日志也是用户应该注意的地方之一。不要低估日志文件对网络安全的重要作用,因为日志文件能够详细记录系统每天发生的各种各样的事件。用户可以通过日志文件 检查错误产生的原因,或者在受到攻击和黑客入侵时追踪攻击者的踪迹。日志的两个比较重要的作用是:审核和监测。配置好的Linux日志非常强大。对于 Linux系统而言,所有的日志文件都在/var/log下。默认情况下,Linux日志文件已经足够...
[安全]在Windows日志发现入侵痕迹(转载)
V1040375575的博客
12-14 3802
转载文章来源:Bypass 有小伙伴问:Windows系统日志分析大多都只是对恶意登录事件进行分析的案例,可以通过系统日志找到其他入侵痕迹吗? 答案肯定是可以的,当攻击者获取webshell后,会通过各种方式来执行系统命令。所有的web攻击行为会存留在web访问日志,而执行操作系统命令的行为也会存在在系统日志。 不同的攻击场景会留下不一样的系统日志痕迹,不同的Event ID代表了不同的意义,需要重点关注一些事件ID,来分析攻击者在系统中留下的攻击痕迹。 我们通过一个攻击案例来进行windows日志分析,
电脑不稳定? 可能系统已被病毒渗透:怎样判断是否遭受入侵
weixin_43263566的博客
01-12 6404
如何检查自己电脑是否被攻击了?
服务器入侵日志分析(一)——mysql日志位置确定
redwand的博客
12-23 1991
安全应急响应工作中,一项重要任务就是要对mysql数据库日志进行分析。工作中,我们通过对mysql日志记录的审计,发现攻击行为,进而追溯攻击源。
服务器攻击方式与查看服务器攻击日志的方法
Qq1014136047的博客
12-30 2738
网络攻击仍然是大家很头疼的问题,目前还是有很多网站在网络攻击的威胁中,网络攻击带来的后果,相信大家都明白,那么攻击服务器的方式有哪些?怎么查看服务器攻击日志?如何预防服务器被攻击? 一、常见的攻击服务器的方式有哪些? SQL注入:攻击者通过URL将SQL语句注入程序,进而破坏数据库。还有黑客将非法数据送达后台,导致程序报错; 网络嗅探:攻击者抓取口令和内容,从而探取用户的账户密码; 拒绝服务:攻击者向目标服务器重复发送大量请求,导致服务器无法承载而出现“拒绝服务”; 种植木马:通过服务器植入木..
网络安全--Windows入侵排查
songbai220
12-12 826
Windows入侵排查 Windows入侵排查思路 1、检查系统账号安全 1、查看服务器是否有弱口令,远程管理端口是否对公网开放 检查方法:根据实际情况咨询相关服务器管理员,或者授权爆破 2、查看服务器是狗存在可疑、新增账号 检查方法:cmd输入lusrmgr.msc,查看是否有新增、可以账号,如有管理员群组的(administrators)的新增账户,立即禁用或者删除 3、查看服务器是否存在隐藏账号、克隆账号 检查方法:1、打开注册表,查看管理员对应键值 2、使用D盾Web查杀攻击
Windows日志识别入侵痕迹.pdf
09-09
Windows日志识别入侵痕迹
这个是关于Windows入侵后的痕迹清理 的相关操作,具体请看资源描述
10-12
Windows入侵痕迹的清理技巧有哪些,针对这个问题,这篇文章详细介绍了相对应的分析和解答,希望可以帮助更多想解决这个问题的小伙伴找到更简单易行的方法。 为避免入侵行为被发现,攻击者总是会通过各种方式来隐藏...
基于Python入侵检测,取证window日志系统框架 html + css + jquery + python 3.9
10-23
基于Python入侵检测,取证window日志系统 框架 html + css + jquery + python 3.9 + flask + mysql set global sql_safe_updates=0; VMware win10_en 测试机。 实时监控计算机日志,如果发生以下行为取证规则,...
基于Python入侵检测,取证window日志系统,框架 html + css + jquery + python 3.9
10-23
基于Python入侵检测,取证window日志系统 框架 html + css + jquery + python 3.9 + flask + mysql set global sql_safe_updates=0; VMware win10_en 测试机。 实时监控计算机日志,如果发生以下行为取证规则,...
网络安全技术简答题.doc
06-09
另外,系统对发生的事情加以审计,并写入日志中,如 什么时候开机,哪个用户在什么时候从什么地方登录,等等,这样通过查看日志,就可 以发现入侵痕迹,如多次登录失败,也可以大致推测出可能有人想入侵系统。...
常见未授权访问漏洞总结
热门推荐
07-23 6万+
本文详细地介绍了常见未授权访问漏洞及其利用,具体漏洞列表如下: Jboss 未授权访问 Jenkins 未授权访问 ldap未授权访问 Redis未授权访问 elasticsearch未授权访问 MenCache未授权访问 Mongodb未授权访问 Rsync未授权访问 Zookeeper未授权访问 Docker未授权访问 1、Jboss未授权访问 漏洞原因: 在低版本中,默认可...
如何快速构建内部钓鱼平台
12-21 6万+
钓鱼邮件是一种比较常见的网络攻击手法,很多企业都深受其扰,稍有不慎将会导致数据被窃取。各种安全意识培训,其实都不如真刀真枪的演练一次来得深刻。今天,来分享一下如何快速构建内部钓鱼平台,实...
Linux 入侵痕迹清理技巧
09-10 4万+
在攻击结束后,如何不留痕迹的清除日志和操作记录,以掩盖入侵踪迹,这其实是一个细致的技术活。你所做的每一个操作,都要被抹掉;你所上传的工具,都应该被安全地删掉。 01、清除history历史命令记录 查看历史操作命令: 查看历史操作命令:history history记录文件:more ~/.bash_history 第一种方式: (1)编辑history记录文件,删除部分不想被保...
Windows提权的几种常用姿势
01-11 4万+
当获取主机权限时,我们总是希望可以将普通用户提升为管理员用户,以便获得高权限完全控制目标主机。Windows常用的提权方式有:内核提权、数据库提权、系统配置错误提权、组策略首选项提权、B...
Linux提权的几种常用方式
01-04 4万+
在渗透测试过程中,提升权限是非常关键的一步,攻击者往往可以通过利用内核漏洞/权限配置不当/root权限运行的服务等方式寻找突破点,来达到提升权限的目的。1、内核漏洞提权提起内核漏洞提权就...
发现一款容器逃逸漏洞利用神器!
12-28 4万+
有在关注容器逃逸漏洞,最近在github上发现了一款零依赖Docker/K8s渗透工具包,集成了多个漏洞PoC/EXP,可轻松逃脱容器并接管K8s集群。CDK- 零依赖Docker/K8...
清理入侵痕迹linux
10-21
清理入侵痕迹是指在Linux系统中检测和删除入侵者在系统中留下的痕迹和恶意代码,以恢复系统的安全性。以下是清理入侵痕迹的一些步骤和方法。 首先,我们需要检测系统中是否存在入侵痕迹。可以通过查看系统日志、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Bypass--

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值