让你了解Windows 日志攻防

最新推荐文章于 2024-08-08 19:30:02 发布
最新推荐文章于 2024-08-08 19:30:02 发布
阅读量763 收藏 11
点赞数 11
文章标签: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_67101003/article/details/140433210
版权

引言

从防御者视角来说,回溯攻击过程中日志分析是不可或缺的一个环节,国内对此日志方面的攻防探讨甚少,笔者结合自己渗透过程中的一些经验,浅显的谈一谈在攻击者的角度如何来利用日志,希望此文能抛砖引玉,改变国内安全从业者跪舔国外安全研究人员的这种“拿来主义”。

思路

就日志来说,见过不少较为暴力的方式是将整个日志进行删除,此种攻击行为笔者通常称之为不优雅,真正高阶的渗透应该是悄然而入再隐秘而出。因此,可以总结出如下能够在渗透过程中对日志发起的攻击:

1.有选择性的删除(修改)日志

2.阻止本地日志的产生

3.对抗实时日志采集系统

选择性日志删除实现

我们知道Windows日志是以实体文件保存在磁盘上的,因此可以很容易的想到一个实现选择性修改或者删除日志的方式,既是通过修改文件内容来达到此目的。

Windows日志文件的格式在NT5及NT6上有较大的差异,主要异同如下:

NT5中的日志文件结构为二进制文件,涉及的结构体可以通过翻阅MSDN查到( EVENTLOGHEADER、EVENTLOGRECORD、EVENTLOGEOF 其一地址为 EVENTLOGRECORD (winnt.h) - Win32 apps | Microsoft Learn ),NT5下日志文件的保存路径为 %Syste

最低0.47元/天 解锁文章
网工岁月
关注
  • 11
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
实验三:Windows7操作系统安全
weixin_46544151的博客
04-18 2529
一、实验目的及要求 了解Windows账户与密码的安全策略设置,掌握用户和用户组的权限管理、审核,以及日志的启用,并学会使用安全模版来分析配置计算机。 二、实验原理 Windows系列是目前世界上使用用户最多的桌面操作系统。由于历史原因,Windows的很多用户都直接以管理员权限运行系统,对计算机安全构成很大隐患。从Windows Vista开始,Windows加强了用户账户控制的管理,使用“用户账户控制”(User Account Control,UAC)模块来管理和限制用户权限。UAC体现了最小特
Windows 日志攻防之攻击篇
weixin_33947521的博客
09-14 1401
本文讲的是Windows 日志攻防之攻击篇, 引言 从防御者视角来说,回溯攻击过程中日志分析是不可或缺的一个环节,国内对此日志方面的攻防探讨甚少,笔者结合自己渗透过程中的一些经验,浅显的谈一谈在攻击者的角度如何来利用日志,希望此文能抛砖引玉,改变国内安全从业者跪舔国外安全研究人员的这种“拿来主义”。 思路 就日志来说,见过不少较为暴力的方式是将整个日志...
windows日志总结
ordar123的博客
06-09 8232
运行 secpol.msc 可以打开本地安全策略,依次点开本地策略-审核策略。可以看到windows默认情况是没有开启审核策略的,不开启策略的话,windows就不会记录某些事件,比如登录事件,进程创建事件等等。我们可以挨个手动修改审核策略的属性,将审核操作选上成功和失败。当然有简单方法:将下面脚本另存为bat,然后管理员运行就可以打开全部策略了。 Windows操作系统在其运行的生命周期中会记录其大量的日志信息,这些日志信息包括:Windows事件日志(Event Log),Windows服务器系统的
网络安全应急响应----11、日志分析
热门推荐
七天
03-24 1万+
文章目录一、Windows日志二、Linux日志三、Web日志3.1、IIS中间件日志3.2、Apache中间件日志3.3、Tomcat中间件日志3.4、Weblogic3.5、Nginx中间件日志 一、Windows日志 Windows日志记录着Windows系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件,掌握计算机在特定时间的状态,以及了解用户的各种操作行为,并且包括有关系统、安全、应用程序的记录。 Windows系统之后,日志文件通常分为系统日志(SysEvent) 、应用程序日
运维:Windows 系统安全日志中登录类型介绍
IT技术分享社区
11-02 1713
IT运维者必备技能包括能看懂操作系统的日志,才能快速定位问题处理问题,Windows系统的安全日志中可以获得更多有价值的信息,比如它细分了很多种登录类型,可以方便让你区分登录者到底是从本地...
攻防实战-手把手带你打穿内网
自强不息
01-12 1128
六朝何事,只成门户私计!
Windows应急响应篇
weixin_50464560的博客
05-04 2128
转载至奇安信攻防社区-Windows应急响应篇 Windows应急响应篇 本篇主要以windows下应急响应的基础技术手段进行介绍。 一、概述: 近年来,随着互联网的发展网络安全攻击事件也是大幅度增多,如何在第一时间发现攻击事件,并实施应急处置,能够有效的将损失降到最低。在实施应急响应的过程中,需要从多方面进行联动工作,具体的流程和依据可以参考《GB∕T 38645-2020 信息安全技术 网络安全事件应急演练指南》,本篇主要以windows下应急响应的基础技术手段进行介绍。 二、技术分析 1、
2024年最新windows安全事件id汇总_电脑事件id大全
2401_84297560的博客
05-03 2790
4691 ----- 请求间接访问对象4692 ----- 尝试备份数据保护主密钥4693 ----- 尝试恢复数据保护主密钥4694 ----- 试图保护可审计的受保护数据4695 ----- 尝试不受保护的可审计受保护数据4696 ----- 主要令牌已分配给进程4697 ----- 系统中安装了一项服务4698 ----- 已创建计划任务4699 ----- 计划任务已删除4700 ----- 已启用计划任务4701 ----- 计划任务已禁用。
Windows安全基础——Windows WMI详解
05-20 270
WMI(Windows Management Instrumentation, Windows管理规范)是Windows2000/XP管理系统的核心,属于管理数据和操作的基础模块。设计WMI的初衷是达到一种通用性,通过WMI操作系统、应用程序等来管理本地或者远程资源。它支持分布式组件对象模型(DCOM,DistributionModel)和Windows远程管理(WinRM),用户可通过WMI服务访问、配置、管理和监视Windows所有资源的功能。
hfish-3.3.1-windows-amd64.tgz
06-02
【标签】"windows"意味着这个软件是与微软的Windows操作系统兼容的,"网络安全"强调了该软件的主要用途,即保护网络不受攻击,"网络攻防"表明hfish不仅用于防御,还可以帮助研究和理解攻击者的策略和技术。...
各种windows事件场景日志,超过130个windows EVTX示例.txt
04-22
此时,了解并能够解读Windows事件日志中的各种条目变得尤为重要。例如,在模拟社会工程学攻击时,可以通过检查登录失败的日志条目来验证攻击是否被有效检测;而在执行特权升级操作后,则需要关注系统日志中是否有...
网络攻防实战训练
05-14
3. **操作系统安全**:深入理解Windows、Linux等操作系统的安全机制,包括权限管理、防火墙配置、补丁更新等,以减少被攻击的可能性。 4. **密码学原理**:掌握加密算法如AES、RSA等,理解公钥基础设施(PKI)和...
黑客攻防-请看介绍
09-14
3. **Windows系统漏洞攻防**:Windows作为最广泛使用的操作系统之一,其安全漏洞往往成为黑客的主要目标。学习识别和修复Windows系统漏洞,包括了解如何打补丁、更新系统,以及利用防火墙和反病毒软件来防范攻击,是...
AHZY-内网安全攻防2020-01-12 内网安全攻防知识分享
08-21
首先,组策略首选项是Windows操作系统中一种用于集中管理和配置系统设置的功能。它允许管理员通过组策略对象(GPO)来控制用户的桌面环境和系统设置,如用户账户、密码策略等。sysvol文件夹是存放这些策略的关键位置...
美股文本信息抽取
cts618
08-07 322
美股文本信息抽取
python
最新发布
m0_70848838的博客
08-08 393
Dict([(k0,v0),(k1,v0),(k2,v2)]) []中的每个()中都有2个值,⼀个是key,⼀个是value⾃动 解析为⼀个字典了。元组 (),(1,2,3,4) 创建空元组,创建有初始值的元组。字典.values() 字典中的value组成的列表。
Python3的安装及基础指令
m0_74614835的博客
08-08 457
>> dic={'name': 'huajuan', 'age': '21', 'gender': ' 女' 'phone': '1888'}{'name': 'huajuan', 'age': '21', 'gender': '女', 'phone': '1888'}>>> d={'id': 1001, 'name': '花卷', 'age': 21, 'gender': '女'}>>> lista=['李四', '张三', '王五']字典中的每个k-v组成元组,这些元组组成一个新的列表。
Linux学习笔记:Linux基础知识汇总(个人复习版)
欢迎相互探讨交流知识呀~
08-05 1951
使用fdisk -l查看分区挂载情况,或者查看/etc/mtab文件,然后找到最接近的挂载点信息。4、创建站点主页 【eg.在/var/www/html内新建index.html】write_enable=YES//ftp可写,即上传权限;下载权限是默认赋予的。将数据同步写入硬盘中的指令,在关机之前输入,可以多输几次。使用df命令,如df -h,查看磁盘分区的挂载点。使用lsblk命令,查看系统的磁盘设备使用情况。-a:显示所有文件(包括隐藏文件),简洁版。-R:显示所有文件以及子目录下文件,简洁版。
深入解析:Windows内核Rootkits安全攻防
"Rootkits--Windows内核的安全防护(电子版)" 本书《Rootkits: Subverting the Windows Kernel》是计算机安全领域的一本开创性著作,由著名软件安全专家Greg Hoglund和James Butler合著,专注于讲解Windows操作...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

网工岁月

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值