第五章 Windows 实战-evtx 文件分析

最新推荐文章于 2025-03-25 20:42:04 发布
最新推荐文章于 2025-03-25 20:42:04 发布
阅读量777 收藏 1
点赞数 4
文章标签: 安全 windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33511483/article/details/139585311
版权

玄机

第五章、window实战 evtx
登陆成功 4624
第一题:
筛选

黑客登录成功ip
192.168.36.133

日志名称:          Security
来源:            Microsoft-Windows-Security-Auditing
日期:            2020/10/8 14:02:12
事件 ID:         4624

2、通过时间缩小范围,注意到登录成功后又登录了一次,用的是新用户名Adnimistartro

3.成功访问

事件id为4663,筛选
前面很多都不是关键路径

4.重启数据库,筛选的时候勾选mysql,mysqld,按时间排序
从下往上找process,第一个是错的,因为没有normal shutdown,不是人为重启的

5.重启了几次
在系统.evtx里面找1074//1074,通过这个事件ID查看计算机的开机、关机、重启的时间以及原因和
查找重新启动,有3个


 

xu1as
关注
玄机——第五章 Windows 实战-evtx 文件分析 wp
焦虑的焦虑
06-23 5250
第五章 Windows 实战-evtx 文件分析
python-evtx, 用于最近 Windows 事件日志文件的纯 python 解析器( evtx ).zip
09-18
python-evtx, 用于最近 Windows 事件日志文件的纯 python 解析器( evtx ) python-evtx简介python-evtx是最近 Windows 事件日志文件( 具有文件扩展名的那些"。evtx")的纯 python 解析器。 模块提供对文件和块头。记录模板和事件条目的编程访问。 例如可以使用python从
玄机-第五章 Windows 实战-evtx 文件分析的测试报告
最新发布
ccc_9wy的博客
03-25 607
玄机靶场;第五章 Windows 实战-evtx 文件分析;事件查看器;Windows日志分析;应急排查;正则表达式。
Windows实战-evtx文件分析——玄机靶场
weixin_47472573的博客
11-22 1632
windows下的日志分析
Python 获取WindowsEvtx日志文件并解析
Black794的博客
04-21 4379
Python 获取WindowsEvtx日志文件并解析 demo如下(随便写的): import html from xml.dom import minidom import Evtx.Evtx as evtx path = r"C:\Windows\Sysnative\winevt\Logs\Security.evtx" with evtx.Evtx(path) as log: for record in log.records(): timestamp = record.t
python-evtx: Python库,用于解析Windows事件日志文件
gitblog_00083的博客
03-18 1460
python-evtx: Python库,用于解析Windows事件日志文件 项目地址:https://gitcode.com/gh_mirrors/py/python-evtx python-evtx是一个Python库,用于解析Windows事件日志(Event Log)文件(后缀名为 .evtx)。该库具有灵活性、高效性和易用性等特点,可用于安全分析、取证调查、系统监控等领域。 项目简介 w...
第1篇:Window日志分析.pdf
04-22
- 日志文件的默认位置为 `%SystemRoot%\System32\Winevt\Logs`,其中包含 `System.evtx`、`Application.evtx` 和 `Security.evtx` 文件。 3. **查看系统日志**: - 通过“开始”菜单中的“所有程序”>“管理工具...
实时监控与分析:江森自控软件事件日志分析实战手册
!... # 摘要 江森自控软件是现代建筑...通过实战演练,本文展示了江森自控软件事件日志分析的具体应用,并探讨了如何集成和优化日志分析工具。最后,本文通过典型案例分析,展望了事件日志分析的未来趋势,特别是技术创新
【xpr文件关联错误】:系统兼容性问题的深入分析与解决
本文对xpr文件关联错误进行了全面分析,涵盖了其概述、与系统兼容性的关系、诊断与分析方法、解决策略及进阶处理。文章首先介绍了xpr文件关联错误的基本概念和系统兼容性问题的根源,然后提供了详细的诊断工具和方法...
【X-ways Forensics日志解读】:系统与应用程序日志分析的深度解析
[【X-ways Forensics日志解读】:系统与应用程序日志分析的深度解析](https://habrastorage.org/storage/habraeffect/20/58/2058cfd81cf7c65ac42a5f083fe8e8d4.png) 参考资源链接:[X-ways Forensics取证分析工具...
python-evtx:适用于最新Windows事件日志文件(.evtx)的纯Python解析器
05-04
python-evtx 介绍 python-evtx是用于最近的Windows事件日志文件文件扩展名为“ .evtx”的文件)的纯Python解析器。 该模块提供对File和Chunk标头,记录模板和事件条目的编程访问。 例如,您可以使用python-evtx从Mac或Linux工作站查看Windows 7系统的事件日志。 结构定义和解析策略在很大程度上受到了Andreas Schuster和他的Perl实现“ Parse-Evtx”的启发。 背景 随着Windows Vista的发布,Microsoft引入了更新的事件日志文件格式。 Windows XP中使用的格式是记录结构的循环缓冲区,每个记录结构都包含一个字符串列表。 查看器解析了系统库文件中托管的模板,并将字符串插入了适当的位置。 较新的事件日志格式是专有的二进制XML。 从Windows 7的事件日志文件中解压缩块会得到具有可
故障排查必杀技:使用tail命令在Windows下诊断应用问题的5步骤
[故障排查必杀技:使用tail命令在Windows下诊断应用问题的5步骤](https://kfwimg.kafan.cn/upload/37/91/3791bc4b2d39a345c4c372b4efb86ef5.jpg) # 摘要 本文详细探讨了在Windows环境下使用tail命令进行故障排查的...
EVTX解析工具教程:深入Windows事件日志
gitblog_00370的博客
08-21 858
EVTX解析工具教程:深入Windows事件日志 项目地址:https://gitcode.com/gh_mirrors/evt/evtx 项目介绍 EVTX 是一个强大的Python库,专门用于读取、解析和操作Windows事件日志文件(.evtx)。由Eric Zimmerman开发,这个开源项目提供了低级别访问到事件日志中的数据,对于安全分析、系统管理以及进行日志相关研究极为有用。它支持对事...
win7产生大量evtx文件_Windows7/Vista下玩转老格式事件日志分析
weixin_42323034的博客
01-17 499
Win7之家(www.win7china.com):Windows7/Vista下玩转老格式事件日志分析【注意,本文不适合初级电脑用户】如果有一个,一个朋友对你说他的电脑出现了问题,可能,你需要去分析它的系统的事件日志。毕竟,在Windows系统里面,系统事件日志里面记录了太多的信息,应用程序的使用、崩溃等记录,Windows系统的各种事件记录等等。然而,当你的朋友把他的Windows目录下的日志...
Windows 取证之EVTX日志
kupePoem的专栏
08-30 2789
日志文件包含一个4KB的文件头加后面一定数量的64KB大小的块,一个块中记录一定数量(大约100条)的事件记录。每条事件记录包含其创建时间与事件 ID(可以用于确定事件的种类),因此可以反映某个特定的时间发生的特定的操作,取证人员可以根据日志文件来发现犯罪的过程。记录应用程序或系统程序运行方面的日志事件,比如数据库程序可以在应用程序日志中记录文件错误,应用的崩溃记录等。文件的记录满了,日志服务会覆盖最开始的记录,从头开始写入新的记录。事件查看器可以查看当前主机的事件日志,也可以打开保存的。
[ 应急响应基础篇 ] evtx提取安全日志 & 事件查看器提取安全日志
qq_51577576的博客
04-13 3567
[ 应急响应基础篇 ] evtx提取安全日志 & 事件查看器提取安全日志 在应急响应过程中,提取日志进行日志分析是必须的。 这里简单介绍一下windows日志,以及采用evtx提取安全日志和事件查看器提取安全日志。
WIN7/10下如何查看EVT格式操作系统日志
weixin_42925682的博客
08-25 1219
Python解析EVT系统日志
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值