来源:数据安全与取证(ID:Cflab_net)安全
原创:Wendyspa
出于工做须要,除了本身的Mac笔记本,Wendy还配了一个Windows台式机。笔记本随身携带倒没什么,但最近总以为每次上班打开Windows台式机后跟前一天离开的时候不同!但处处问也不是太好,只有本身动手查?。日志
好在不难,若是你恰好也有这种怀疑的话,赶快来和我一块儿实践一下!看看究竟有没有人偷偷登陆过咱们的电脑。事件
正文ci
咱们都知道,电脑的任何活动都会留下痕迹的,这也是为何咱们能进行计算机取证。今天就给你们分享一个简单的方法,告诉你如何查看电脑的登陆状况。it
1. 右键“个人电脑”,选择管理,打开「事件查看器」;或者同时按下 Windows键 + R键,输入“eventvwr.msc”直接打开「事件查看器」。event
2. 在「事件查看器」窗口,展开Windows日志,选择“安全”,登陆日志就显示出来了。class
3. 接下来你会在窗口中看到一个列表,包括 “关键字”、 “日期和时间”、“来源”、“事件ID”、“任务类别”。import
每当用户执行了某些操做,审核日志就会记录一个审核项,咱们能够审核操做中的成功尝试和失败尝试。
登录
安全审核对于任何企业系统来讲都极其重要,由于审核日志能记录是否发生了违反安全的事件。若是检测到入侵,正确的审核设置所生成的审核日志则能包含有关入侵的重要信息。
咱们看到,任务栏里面能展现许多时间有关信息:登陆时间、退出时间以及其余等等细节。
4. 筛选「事件ID」。在窗口的右栏里有筛选器,咱们能够根据本身的状况有目的地筛选日志记录。
在个人状况中,须要筛选的事件ID是“4624”,这个ID表示成功登录。
在日志中,不一样的登陆状况有不一样的事件ID编号,如“4672”表示有特殊权限的登陆,这些编号是有规定的,你们本身能够去查查看哦。
5. 查看某一条登录记录的详细信息。点击「详细信息」查看「友好视图」,以下图:
或者也能够查看「XML」视图:
这两个视图里包含了许多的信息!每一条信息都有其特定含义,而我在今天这篇文章里要分享的是「Logon Type」,即登陆类型,经过登陆类型咱们知道这次登陆是在什么状态下登陆的。
如上图中显示的 “LogonType 5” 是什么意思呢?咱们来看一张表。
在这张表中不一样数字对应不一样类型的登陆,而LogonType 5表明的就是电脑的后台服务以个人帐户登陆过。
此外,我在本身的电脑中还发现了许多二、3的登陆类型,“2”表示我用键盘和鼠标登陆,而“3”意味着有人曾经用远程登陆过个人电脑——没错,我找到了下班时间悄悄远程登陆的“嫌疑人”,就是必哥。?
是否是很赞?
学会查看Windows日志是一项很实用的技巧,常常应用在取证中,咱们曾经在企业内部调查中经过Windows日志找到员工盗取文件的证据。
Windows日志包含的信息不少,今天分享的只是冰山一角,但它的实用性不言而喻,赶快实践一下吧!
4060
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
