使用DeepBlueCLI对Windows日志进行取证(小记)

最新推荐文章于 2025-02-26 10:43:36 发布
最新推荐文章于 2025-02-26 10:43:36 发布
阅读量609 收藏 4
点赞数 3
分类专栏: 杂项 文章标签: windows 取证 日志取证 ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45894840/article/details/134644341
版权

请添加图片描述

什么是Windows日志取证

Windows日志取证是指通过分析和收集Windows操作系统生成的日志信息,以获取关于系统活动、用户行为、安全事件等方面的数据

工具使用

工具介绍

DeepBlueCLI 是一个用于检测 Windows 系统中的安全事件和威胁的 PowerShell 脚本工具

工具下载

https://github.com/sans-blue-team/DeepBlueCLI/tree/master

日志分析

解压文件后,进入工具的文件夹,右击以管理员权限在当前文件夹打开PowerShell

在这里插入图片描述

输入Set-ExecutionPolicy unrestricted,保证文件能正常运行 ,此命令的 Unrestricted 参数会允许在系统上执行任意脚本,而不受签名限制,注意运行此命令需要管理员权限

分析本机日志

分析本机安全日志

.\DeepBlue.ps1 -log security

在这里插入图片描述

可以看到,程序输出了当前登录的用户

分析本机系统日志

.\DeepBlue.ps1 -log system

在这里插入图片描述

程序会输出一些可疑操作

分析第三方日志

如果要分析从网上下载的第三方日志,可以直接在程序后面加上日志文件的目录

.\DeepBlue.ps1 .\evtx\new-user-security.evtx

在这里插入图片描述

可以看到,在这个日志文件中,IEUser用户被加入了administrators组

总结

如果遇到了日志取证的题目,这个工具可以输出windows日志中可疑的操作

Windows取证——记录系统事件的日志
记录并分享学习安全的知识点..
12-14 1103
Windows取证——记录系统事件的日志
Windows与Linux取证分析
PICACHU+++的博客
07-18 4590
格式化HFS+文件系统时,生成文件系统卷头(2号扇区),类似FAT和NTFS的DBR,卷头偏移量0X10-0X1F处记录了创建、修改、备份、最后检查时间四个时间信息,创建时间以本地时间保存,其他时间以GMT/UTC时间保存。文件的属性时间是确定文件的创建 、修改和访问的重要标记。注册表被称为Windows操作系统的核心,它的工作原理实质是一个庞大的数据库,存放了关于计算机硬件的配置信息、系统和应用软件的初始化信息、应用软件和文档文件的关联关系、硬件设备的说明以及各种状态信息和数据。
Windows取证篇】Window日志分析基础知识(一)
蘇小沐的电子数据取证博客
01-17 5786
Windows系统审计是对系统中有关安全的活动进行记录、检查以及审核,一般是一个独立的过程。Window自带的事件查看器并没有提供删除特定日志的功能,我们在系统审计取证分析时,可以根据案情、特定的时间点、事件ID进行取证溯源分析—【蘇小沐】
windows日志检索和分析!从零基础到精通,收藏这篇就够了!
最新发布
Javachichi的博客
02-26 1362
本文介绍了windows日志类型,事件日志的类型、级别、存放位置和ID,日志的检索方案以及检索工具sysmon和logparser的使用。对于蓝队来说,应急和取证溯源离不开日志,因此定时的日志备份非常重要。作者:江苏智慧安全可信技术研究院黑客/网络安全学习路线对于从来没有接触过黑客/网络安全的同学,目前网络安全、信息安全也是计算机大学生毕业薪资相对较高的学科。大白也帮大家准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
windows取证
hellodaoyan的博客
03-18 701
数据取证 xway 和 时间查看器的大概用法
Windows 取证
潜心习安全
03-17 4739
0x00 易失性数据 易失性数据:主要存在于被入侵机器的寄存器、缓存、内存中。主要包括网络连接状态、正在运行的进程等信息。 一、Windows 中的一些易失性数据及获取 [系统环境变量] set [系统日期和时间] Date /t time /t [当前运行的进程] tasklist 所有正在运行的进程列表信息: [当前登录的用户列表] query user ...
Windows DFIR数字取证与事件响应
04-15
Windows DFIR(数字取证与事件响应)是一种系统化的方法,用于识别、调查和应对网络安全... - 对受影响的系统进行详细的取证分析,包括系统日志、内存转储、网络流量等。 - 确定攻击者的入侵途径、在系统中的活动以
Hayabusa:一款针对Windows事件日志的威胁搜索与取证分析工具
FreeBuf_的博客
02-20 749
1、威胁搜寻和企业范围的 DFIR:Hayabusa 目前拥有超过 4000 条 Sigma 规则和超过 170 条 Hayabusa 内置检测规则,并且会定期添加更多规则。;2、快速取证时间线生成:与传统的 Windows 事件日志分析相比,Hayabusa 希望让分析师在 20% 的时间内完成 80% 的工作;本项目的开发与发布遵循AGPL-3.0开源许可协议。
Windows 系统安全事件日志取证工具:Logon Tracer
y@n1n的博客
04-09 4940
一.前言 LogonTracer是通过可视化和分析Windows Active Directory事件日志来调查恶意登录的工具。此工具将在登录相关事件中找到的主机名(或IP地址)和帐户名相关联,并将其显示为图形。这样,可以查看在哪个帐户中尝试登录以及使用哪个主机。(用于可视化分析恶意登录Windows系统的安全日志取证工具,以加强Windows系统服务器的安全。) 相关事件ID: 4624:成功登...
探索威胁:深蓝命令行接口(DeepBlueCLI
gitblog_00029的博客
05-12 328
探索威胁:深蓝命令行接口(DeepBlueCLI) 去发现同类优质开源项目:https://gitcode.com/ 项目介绍 深蓝命令行接口(DeepBlueCLI) 是一个基于PowerShell的模组,专为通过Windows事件日志进行威胁猎杀而设计。由经验丰富的安全专家 Eric Conrad 创建,它能够帮助系统管理员和安全分析师深入挖掘Windows安全事件,识别潜在的安全威胁。 项目...
最好的日志分析工具(永久免费)
07-05
一款非常好用的日志分析工具(永久免费),这三个数据:“访问次数”、“总停留时间”和“总抓取量”,都是数字越高对网站越有利,所以需要想很多办法提高他们。大多数时候看他们绝对值没什么用处,而要看现在的和过去的比较值。如果你能每天去一直追踪这些数据的变化情况,就能发现很多因素是如何影响这些数据的。
windows下可用的tail工具,看日志首选,win7/win10可用。
02-07
复制到 c:\windows\system32\ 然后命令行执行 tail -f xxx.log即可。
N-Reporter-NXlog采集Windows日志
09-14
本文件描述 N-Reporter使用者如何Open Source工具 NXLOG管理配置 Windows Server2003/2008/2012的日志 (Eventlog),将事件 (Event)转成 syslog
Windows系统日志分析
难办就别办的博客
04-13 778
了解Windows系统日志,了解LogParser工具的基本用法
应急响应之Window日志分析
明哥哥知识分享
12-10 1187
1 、Window事件日志简介 Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。 Windows主要有以下三类日志记录系统事件:应用程序日志、系统日志和安全日志。 系统日志 记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。系统日志中记录的时间类型由Windows NT/2000操作系统预先定义。 默认位置: %SystemRoot%\System3
Windows事件日志分析工具介绍,零基础入门到精通,收藏这一篇就够了
Python_0011的博客
12-17 1625
6、连接其他计算机事件查看器不仅可以显示本地计算机的日志,还可以配置为收集来自网络中其他计算机的日志。7、日志事件导出右键点击你想要导出的日志或在右侧菜单栏,选择“将所有事件另存为”,然后选择保存路径和文件格式,即可完成导出。03命令行工具 (wevtutil)1、打开命令行窗口按下Win + R键,打开“运行”对话框。输入cmd,点击确定或回车。2、基本命令获取wevtutil的帮助信息wevtutil /?3、使用案例参考041、打开PowerShell按下Win + R键,打开“运行”对话框。
windos日志事件的查看工具
wddxwdwl的博客
01-03 363
功能特点:一款查看 Windows 事件日志的专用工具,包含事件叙述,不仅可以查看本地计算机的事件,还能查看远程计算机的事件。适用场景:对于普通用户和系统管理员来说,如果需要更便捷地查看和管理 Windows 事件日志,以及对日志进行简单的备份和分析,MyEventViewer 是一个不错的选择。适用场景:适用于普通用户对自己的电脑系统进行全面的检查和诊断,在查看 Windows 事件日志的同时,还能获取其他系统相关信息,帮助用户快速了解电脑的整体状况。FullEventLogView 1.66 免费版。
Windows和Linux远程日志收集
ITmoster的博客
03-14 1889
每个企业都需要从其整个网络中的设备收集和监视日志数据,以确保安全性,对操作问题进行故障排除以及对安全事件进行取证分析。为此,他们可能依赖于日志管理工具或SIEM解决方案。无论使用哪种工具,将日志收集到集中位置都比看起来困难得多。从配置设备以将日志数据发送到中央服务器以确保传输中的日志的安全性,日志收集与任何其他日志管理过程一样重要且困难。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Ba1_Ma0

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值