电子物证

关注刑事证据科学前沿发展,传递电子物证技术最新趋势

【谁登了我的电脑?教你如何查看Windows事件日志】

640.gif?wxfrom=5&wx_lazy=1

来源:数据安全与取证(ID:Cflab_net)

原创:Wendy


出于工作需要,除了自己的Mac笔记本,Wendy还配了一个Windows台式机。笔记本随身携带倒没什么,但最近总觉得每次上班打开Windows台式机后跟前一天离开的时候不一样!但到处问也不是太好,只有自己动手查?。

好在不难,如果你刚好也有这种怀疑的话,赶快来和我一起实践一下!看看究竟有没有人偷偷登录过我们的电脑。


正文


我们都知道,电脑的任何活动都会留下痕迹的,这也是为什么我们能进行计算机取证。今天就给大家分享一个简单的方法,告诉你如何查看电脑的登录情况。

1. 右键“我的电脑”,选择管理,打开「事件查看器」;或者同时按下 Windows键 + R键,输入“eventvwr.msc”直接打开「事件查看器」。

png?wxfrom=5&wx_lazy=1



2. 在「事件查看器」窗口,展开Windows日志,选择“安全”,登录日志就显示出来了。

gif?


3. 接下来你会在窗口中看到一个列表,包括 “关键字”、 “日期和时间”、“来源”、“事件ID”、“任务类别”。

png?


每当用户执行了某些操作,审核日志就会记录一个审核项,我们可以审核操作中的成功尝试和失败尝试。

安全审核对于任何企业系统来说都极其重要,因为审核日志能记录是否发生了违反安全的事件如果检测到入侵,正确的审核设置所生成的审核日志则能包含有关入侵的重要信息

我们看到,任务栏里面能展示许多时间有关信息:登录时间、退出时间以及其他等等细节。

4. 筛选「事件ID」。在窗口的右栏里有筛选器,我们可以根据自己的情况有目的地筛选日志记录。

png?


在我的情况中,需要筛选的事件ID是“4624”,这个ID表示成功登陆

gif?


在日志中,不同的登录情况有不同的事件ID编号,如“4672”表示有特殊权限的登录,这些编号是有规定的,大家自己可以去查查看哦。

5. 查看某一条登陆记录的详细信息。点击「详细信息」查看「友好视图」,如下图:

gif?


或者也可以查看「XML」视图:

gif?



这两个视图里包含了许多的信息!每一条信息都有其特定含义,而我在今天这篇文章里要分享的是「Logon Type」,即登录类型通过登录类型我们知道此次登录是在什么状态下登录的。

如上图中显示的 “LogonType 5” 是什么意思呢?我们来看一张表。

png?


在这张表中不同数字对应不同类型的登录,而LogonType 5代表的就是电脑的后台服务以我的账户登录过。

此外,我在自己的电脑中还发现了许多2、3的登录类型,“2”表示我用键盘和鼠标登录,而“3”意味着有人曾经用远程登录过我的电脑——没错,我找到了下班时间悄悄远程登录的“嫌疑人”,就是必哥。?

是不是很赞?

学会查看Windows日志是一项很实用的技巧,经常应用在取证中,我们曾经在企业内部调查中通过Windows日志找到员工盗取文件的证据。

Windows日志包含的信息很多,今天分享的只是冰山一角,但它的实用性不言而喻,赶快实践一下吧!


jpeg?

640?wx_fmt=jpeg

640?wx_fmt=png




阅读更多
想对作者说点什么? 我来说一句

windows事件ID

2014年06月25日 23KB 下载

没有更多推荐了,返回首页

加入CSDN,享受更精准的内容推荐,与500万程序员共同成长!
关闭
关闭