Windows取证 evtx 文件分析

最新推荐文章于 2024-08-21 09:30:44 发布

Sch0rd1n9er

最新推荐文章于 2024-08-21 09:30:44 发布

阅读量1.4k

点赞数 42

文章标签：网络安全策略模式网络

本文链接：https://blog.csdn.net/xxfsa/article/details/140738768

版权

在成功渗透到柠檬思想者团伙后，我们已经获得了他们目前的位置-英国。我们已经从一个帮派成员的电脑上获得了一些安全日志，但需要一些帮助来回答与这些相关的信息。
附件下载:https://pan.baidu.com/s/1dUMkpUQFN6mdaQyC11zWqQ?pwd=liqk 
提取码：liqk

Windows日志事件ID速查表：https://www.cnblogs.com/Yang34/p/13453210.html

1、目标电脑的主用户名

Hello agent. Thanks for your hard work in the field researching. We'll now ask you 6 questions on the information you've gathered.
I'd like to take this opportunity to remind you that our targets are located in the United Kingdom, so their timezone is BST (UTC +1).
We'd like to confirm what the username of the main user on the target's computer is. Can you provide this information?

你好探员。感谢您在实地调查中的辛勤工作。我们现在要问你6个关于你收集的信息的问题。
我想借此机会提醒你，我们的目标位于英国，所以他们的时区是英国夏令时（UTC +1）。
我们想确认一下目标电脑的主用户名。你能提供这些信息吗？

直接筛选创建用户的事件ID4720

可以看到仅有三次用户创建

第一个为Windows Defender 默认账户WDAGUtilityAccount
第二个为主账户slice1
第三个为slice1创建的账户notabackdoor，根据账户名称不难猜测是一个后门账户

答案为slice1

2、设备名称

Now, we'd like the name of the computer, after it was renamed. Ensure that it is entered in exactly how it is in the logs.

现在，我们想知道这台电脑的名字，在它被重新命名之后。确保它与日志中的输入完全相同。

直接看日志下的信息，第一条日志显示为WIN-MB9TIUK70HK

而最后一条为lemon-squeezer

3、密码策略的最大时限

I wonder if they'll make any lemonade with that lemon-squeezer...
Great work! In order to prevent their lemons from moulding, the lemonthinkers changed the maximum password age. What is this value? Please enter it as an integer number in days.

我想知道他们会不会用那个柠檬榨汁机做柠檬水
干得漂亮！为了防止他们的柠檬发霉，柠檬思想家改变了最大密码年龄。这个值是什么？请输入一个以天为单位的整数。

直接查看密码策略也就是域策略修改相关事件4739

可以看到密码最大留存时间从最开始的42天改为了83天

4、关闭杀毒软件的时间

It seems that our targets are incredibly smart, and turned off the antivirus. At what time did this happen? Give your answer as a UNIX timestamp.
看来我们的目标非常聪明，关闭了杀毒软件。这是什么时候发生的？以UNIX时间戳的形式给出答案。

查看进程终止相关事件4689

筛选完之后再查找含有windows defender字段的事件

该事件时间为2024/7/26 6:22:38，转化为unix时间戳

5、恶意软件留下的后门用户名

The main lemonthinker, slice1, hasn't learnt from the-conspiracy and has (again) downloaded some malware on the system. What is the name of the user created by this malware?

主要的lemonthinker，slice1，还没有从阴谋中吸取教训，并（再次）在系统上下载了一些恶意软件。这个恶意软件创建的用户名是什么？

同第一题

6.用户权限级别

Finally, we'd like to know the name of the privilege level of the user created by the malware. What is this?

最后，我们想知道恶意软件创建的用户权限级别的名称。这是什么？

筛选特权分配事件4672，可见后门账户被分配了特殊权限，Administrator

Thank you for your hard work in the field. We'll be in touch with your next mission soon.
In the meantime, enjoy a flag!
corctf{alw4y5_l3m0n_7h1nk_b3f0r3_y0u_c0mm1t_cr1m3}