Windows实战-evtx文件分析——玄机靶场

最新推荐文章于 2025-04-02 23:35:12 发布
最新推荐文章于 2025-04-02 23:35:12 发布
阅读量1.6k 收藏 19
点赞数 21
分类专栏: 应急响应 Windows 文章标签: web安全 网络安全 windows 运维 安全威胁分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47472573/article/details/143982911
版权

日志文件.zip

.evtx文件是Windows事件日志文件,它们存储由Windows操作系统和应用程序生成的事件日志。这些日志文件以二进制格式保存,包含关于系统、应用程序和安全事件的信息。

常见的 .evtx 文件

  • Application.evtx:记录应用程序相关的事件日志。
  • System.evtx:记录系统级别的事件日志。
  • Security.evtx:记录安全事件和审计日志。
  • Setup.evtx:记录与系统安装和升级相关的事件日志。
  • ForwardedEvents.evtx:用于记录从其他系统转发的事件日志。

使用 .evtx 文件的工具

  • Event Viewer (事件查看器):Windows 内置的事件查看器工具允许用户查看、分析和导出 .evtx 文件中的事件日志。可以通过运行 eventvwr.msc 命令打开事件查看器。
  • 第三方工具:有许多第三方工具可以用来分析 .evtx 文件,例如FullEventLogView。

将黑客成功登录系统所使用的IP地址作为Flag值提交;

自带软件分析

双击打开安全日志,筛选事件ID4624。

点击时间排序,然后逐个查看找到可疑ip。

flag{192.168.36.133}

FullEventLogView分析

打开文件后需要设置显示所有时间,并设置事件id。

显示的信息要更加友好一点。

黑客成功登录系统后修改了登录用户的用户名,将修改后的用户名作为Flag值提交;

自带软件分析

筛选事件ID4738,它是用于创建、删除、修改等,是专门用于记录用户账户被修改的事件,包括但不限于用户名的修改。

在此事件中:

TargetUserName和SamAccountName字段均为Adnimistartro,这表明被修改的用户名是Adnimistartro。

SubjectUserName是执行此操作的用户,表示为WIN-B1B1T3K57G9$,这通常表示系统级账户或计算机账户。

因此,可以确定:被修改的用户名是 Adnimistartro。

在此情况下,事件日志中显示的TargetUserName和SamAccountName字段都指向同一个用户名Adnimistartro,这表明这是被修改的账户的用户名。

flag{Adnimistartro}

FullEventLogView分析

可以通过搜索描述中的关键字进行筛选。

黑客成功登录系统后成功访问了一个关键位置的文件,将该文件名称(文件名称不包含后缀)作为Flag值提交;

自带软件分析

筛选事件ID4663,它是Windows事件日志中用来记录对象访问尝试的安全审计事件,特别是文件和目录的访问尝试。

C:\Windows\System32\SMI\Store\Machine\SCHEMA.DAT是Windows系统中一个重要的配置文件路径,通常普通用户或正常应用程序不会频繁访问该文件。

flag{SCHEMA}

FullEventLogView分析

可以通过搜索描述中的关键字(试图访问)进行筛选。

从访问的进程名可以看到是使用文本进行访问的,更加可疑。

黑客成功登录系统后重启过几次数据库服务,将最后一次重启数据库服务后数据库服务的进程ID号作为Flag值提交;

这里应该找到应用程序日志进行分析。

自带软件分析

查看记录有mysql服务,直接筛选来源为mysql,或者筛选事件id100,通常用于记录应用程序的启动信息。

经过时间排序后逐一查看分析,找到最后一次重启的进程id为1052,但是提交不对,最后是8820。

flag{8820}

FullEventLogView分析

通过关键字搜索,可以统计一共重启了9次

黑客成功登录系统后修改了登录用户的用户名并对系统执行了多次重启操作,将黑客使用修改后的用户重启系统的次数作为Flag值提交。

系统日志记录操作系统组件、驱动程序和重要服务的事件,帮助监控系统状态和排除故障。这些日志包括系统启动、关闭与重启的信息以及服务的启动和停止。用户信息修改也会生成安全相关事件,记录在安全日志中(如事件ID 4738)。在Windows系统中,特定事件ID指示系统状态,例如事件ID 6005表示系统启动,事件ID 6006表示系统关闭。

自带软件分析

筛选事件id1074,它是用于记录由用户、进程或系统管理员启动的系统重启、关闭或注销事件。这个事件ID提供了详细的信息,包括触发重启的进程和触发者的用户信息。

通过查找,记录重启次数,要找到更改后的用户名的操作。

flag{3}

FullEventLogView分析

通过关键字搜索。

tips

如果数据太多,可以先初步筛选后导出筛选的文件再进一步分析。

拓展

账户登录与注销

  • 事件 ID 4624 - 成功的账户登录
  • 事件 ID 4625 - 登录失败
  • 事件 ID 4634 - 用户注销
  • 事件 ID 4647 - 用户主动注销

账户管理

  • 事件 ID 4720 - 用户账户已创建
  • 事件 ID 4722 - 用户账户已启用
  • 事件 ID 4725 - 用户账户已禁用
  • 事件 ID 4726 - 用户账户已删除

安全策略变更

  • 事件 ID 4670 - 权限服务状态变更
  • 事件 ID 4719 - 系统审计策略已更改

系统事件

  • 事件 ID 6005 - 事件日志服务启动
  • 事件 ID 6006 - 事件日志服务停止
  • 事件 ID 6008 - 系统意外关机

特权使用

  • 事件 ID 4672 - 特权服务已分配
  • 事件 ID 4673 - 特权服务已请求

防火墙事件

  • 事件 ID 4946 - Windows 防火墙规则添加
  • 事件 ID 4947 - Windows 防火墙规则修改

文件访问

  • 事件 ID 4663 - 访问对象

服务状态

  • 事件 ID 7036 - 服务已更改状态
玄机——第五章 Windows 实战-evtx 文件分析 wp
焦虑的焦虑
06-23 5286
第五章 Windows 实战-evtx 文件分析
python windows系统日志文件evtx解析,过滤指定事件,根据IP地址解析出实际物理地址
01-18
python windows系统日志文件evtx解析,过滤指定事件,根据IP地址解析出实际物理地址
python-evtx:适用于最新Windows事件日志文件(.evtx)的纯Python解析器
05-04
python-evtx 介绍 python-evtx是用于最近的Windows事件日志文件文件扩展名为“ .evtx”的文件)的纯Python解析器。 该模块提供对File和Chunk标头,记录模板和事件条目的编程访问。 例如,您可以使用python-evtx从Mac或Linux工作站查看Windows 7系统的事件日志。 结构定义和解析策略在很大程度上受到了Andreas Schuster和他的Perl实现“ Parse-Evtx”的启发。 背景 随着Windows Vista的发布,Microsoft引入了更新的事件日志文件格式。 Windows XP中使用的格式是记录结构的循环缓冲区,每个记录结构都包含一个字符串列表。 查看器解析了系统库文件中托管的模板,并将字符串插入了适当的位置。 较新的事件日志格式是专有的二进制XML。 从Windows 7的事件日志文件中解压缩块会得到具有可
python-evtx, 用于最近 Windows 事件日志文件的纯 python 解析器( evtx ).zip
09-18
python-evtx, 用于最近 Windows 事件日志文件的纯 python 解析器( evtx ) python-evtx简介python-evtx是最近 Windows 事件日志文件( 具有文件扩展名的那些"。evtx")的纯 python 解析器。 模块提供对文件和块头。记录模板和事件条目的编程访问。 例如可以使用python从
Windows 取证--evtx日志文件
2301_80216972的博客
03-12 326
这种格式取代了之前 Windows 系统中使用的 evt。)开始,微软引入了一种全新的日志文件格式,称为 evtx。:安全日志,记录用户登录、权限更改等安全相关事件。:应用程序日志,记录应用程序的运行状态和错误。:系统日志,记录操作系统的事件和错误。
[ 应急响应基础篇 ] evtx提取安全日志 & 事件查看器提取安全日志
qq_51577576的博客
04-13 3582
[ 应急响应基础篇 ] evtx提取安全日志 & 事件查看器提取安全日志 在应急响应过程中,提取日志进行日志分析是必须的。 这里简单介绍一下windows日志,以及采用evtx提取安全日志和事件查看器提取安全日志。
Windows 实战-evtx 文件分析--笔记
最新发布
2301_80216972的博客
04-02 1003
(1)过滤来自 Mysql 服务的事件记录, Mysql 服务的事件 id 为 100(2)CTRL+F 搜索start,定位到。
玄机-第五章 Windows 实战-evtx 文件分析的测试报告
ccc_9wy的博客
03-25 608
玄机靶场;第五章 Windows 实战-evtx 文件分析;事件查看器;Windows日志分析;应急排查;正则表达式。
第五章 Windows 实战-evtx 文件分析
qq_33511483的博客
06-11 787
在系统.evtx里面找1074//1074,通过这个事件ID查看计算机的开机、关机、重启的时间以及原因和。从下往上找process,第一个是错的,因为没有normal shutdown,不是人为重启的。2、通过时间缩小范围,注意到登录成功后又登录了一次,用的是新用户名Adnimistartro。日期: 2020/10/8 14:02:12。4.重启数据库,筛选的时候勾选mysql,mysqld,按时间排序。事件 ID: 4624。事件id为4663,筛选。
Windows 取证之EVTX日志
kupePoem的专栏
08-30 2793
日志文件包含一个4KB的文件头加后面一定数量的64KB大小的块,一个块中记录一定数量(大约100条)的事件记录。每条事件记录包含其创建时间与事件 ID(可以用于确定事件的种类),因此可以反映某个特定的时间发生的特定的操作,取证人员可以根据日志文件来发现犯罪的过程。记录应用程序或系统程序运行方面的日志事件,比如数据库程序可以在应用程序日志中记录文件错误,应用的崩溃记录等。文件的记录满了,日志服务会覆盖最开始的记录,从头开始写入新的记录。事件查看器可以查看当前主机的事件日志,也可以打开保存的。
Python 获取WindowsEvtx日志文件并解析
Black794的博客
04-21 4393
Python 获取WindowsEvtx日志文件并解析 demo如下(随便写的): import html from xml.dom import minidom import Evtx.Evtx as evtx path = r"C:\Windows\Sysnative\winevt\Logs\Security.evtx" with evtx.Evtx(path) as log: for record in log.records(): timestamp = record.t
evtx:Windows XML事件日志(EVTX)格式的快速(安全)解析器
04-29
EVTX Windows XML EventLog格式的跨平台解析器 特征 :locked: 使用100%安全防锈实现-并在防锈支持的所有平台(具有stdlib)上运行。 :high_voltage: 快速-请参阅下面的基准。 它比其他任何实现都要快几个数量级! :rocket: 多线程的。 :sparkles: 支持XML和JSON输出,两者均直接从令牌树构造并且彼此独立(不执行xml2json转换!) :pick: 支持丢失记录/块的一些基本恢复! :snake: Python绑定也可以在 (以及PyPi )上获得。 安装(关联的二进制实用程序): 从下载最新的可执行文件版本 自动为Windows,macOS和Linux构建发行版本。 (仅64位可执行文件) 使用cargo install evtx从源进行构建 evtx_dump (二进制实用程序): 此包装箱evtx_dump的主要二进制实用程序是evtx_dump ,它提供了一种将.evtx文件转换
evtViewer:Ms 事件 (*.evt) 日志文件查看器-开源
07-03
evtViewer 是用 PERL 编写的 Ms 事件 (*.evt) 日志文件的查看器。
Eventlogedit-evtx--Evolution-master_C++_evtx_
10-04
标题 "Eventlogedit-evtx--Evolution-master_C++_evtx_" 暗示这是一个关于使用C++语言处理evtx事件日志文件的项目。EvtxWindows操作系统中用于存储事件日志的新格式,取代了之前的evt格式。这个项目可能是一个工具...
Python库 | python-evtx-0.2.3.zip
05-26
资源分类:Python库 所属语言:Python 资源全名:python-evtx-0.2.3.zip 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
python-evtx:Python解析最新Windows EVTX日志文件工具
资源摘要信息:"python-evtx是一个专门为处理最新Windows事件日志文件(.evtx)格式设计的纯Python解析器。这一工具对于Windows系统管理员、安全分析师以及任何需要从Python代码中分析Windows事件日志数据的开发者来...
EVTX解析工具教程:深入Windows事件日志
gitblog_00370的博客
08-21 865
EVTX解析工具教程:深入Windows事件日志 项目地址:https://gitcode.com/gh_mirrors/evt/evtx 项目介绍 EVTX 是一个强大的Python库,专门用于读取、解析和操作Windows事件日志文件(.evtx)。由Eric Zimmerman开发,这个开源项目提供了低级别访问到事件日志中的数据,对于安全分析、系统管理以及进行日志相关研究极为有用。它支持对事...
python-evtx: Python库,用于解析Windows事件日志文件
gitblog_00083的博客
03-18 1469
python-evtx: Python库,用于解析Windows事件日志文件 项目地址:https://gitcode.com/gh_mirrors/py/python-evtx python-evtx是一个Python库,用于解析Windows事件日志(Event Log)文件(后缀名为 .evtx)。该库具有灵活性、高效性和易用性等特点,可用于安全分析、取证调查、系统监控等领域。 项目简介 w...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值