Windows 实战-evtx 文件分析--笔记
Windows 取证之EVTX日志 - 蚁景网安实验室 - 博客园
一.evtx日志文件是什么
从 Windows NT 6.0(也就是 Windows Vista 和 Windows Server 2008)开始,微软引入了一种全新的日志文件格式,称为 evtx。这种格式取代了之前 Windows 系统中使用的 evt 格式。
1、将黑客成功登录系统所使用的IP地址作为Flag值提交;
(1).过滤成功的账户登录的事件,登录成功的事件ID为4624
(2).点击一下时间进行排序
flag{192.168.36.133}2.黑客成功登录系统后修改了登录用户的用户名,将修改后的用户名作为 Flag 值提交;
##从第一题知道登录时的用户名是Adnimistartro正常应该是Adnimistartor才对
(1).过滤帐户名更改事件,账户名更改事件ID为4738
这个事件可以确定有一个用户账户的用户名被改成了Adnimistartro,操作者是SYSTEM(用户账户名的更改要重启才能成功应用哦🤣🤣🤣🤣🤣🤣🤣🤣🤣🤣🤣🤣🤣🤣🤣)
-
事件 ID 4781 的用途:
-
专门记录 计算机账户(Computer Account) 的创建、修改或删除操作,例如:
-
域中新增一台计算机(如
WIN-PC01$)。 -
修改计算机账户的描述或 DNS 名称。
-
-
与用户账户无关,无法捕获用户账户名的修改行为。
-
-
修改用户名的正确事件 ID:
-
事件 ID 4738:记录 用户账户属性修改,包括用户名(
SAM 帐户名)、显示名称、组权限等。 -
事件 ID 4720-4726:用户账户的创建、删除、启用/禁用等操作(但非属性修改)。
-
但是为什么4781有记录,以下是deepseek的解释🤣🤣🤣
首先,我需要确认事件ID 4781的定义。根据微软文档,4781确实是用于计算机账户的创建、修改或删除。那为什么用户的日志显示的是用户账户名的更改呢?是不是用户混淆了账户类型?仔细看用户提供的日志内容:目标账户的安全ID是S-1-5-21...-500,这是内置的本地管理员账户的SID,属于用户账户,而不是计算机账户。计算机账户的SID通常以计算机名结尾,并且账户名以$结尾。而用户提供的旧账户名和新账户名都是用户账户,没有$符号,明显是用户账户的修改。这说明用户的系统中可能出现了异常情况,或者是日志记录的bug?或者是攻击者通过某种手段绕过了系统机制,将用户账户的修改记录到了4781事件中?另外,用户的操作者显示为SYSTEM账户,计算机账户名为WIN-B1B1T3K57G9$,这符合计算机账户的命名规则。但目标账户是用户账户,所以这里可能存在混淆。可能的情况是,用户的环境中有特殊的配置,或者攻击者利用某些工具或漏洞,使得修改用户账户的操作被错误地记录为计算机账户事件。或者是用户误读了日志中的某些字段,将计算机账户的操作与用户账户的修改混淆了。需要进一步验证事件ID 4781的具体字段。通常,4781事件的目标账户名应该是计算机账户名,以$结尾,而用户提供的日志中目标账户名是Adnimistartro,没有$,说明是用户账户。这可能意味着系统在记录时发生了错误,或者攻击者通过某种方式篡改了日志记录机制。另一个可能性是用户使用的系统版本或配置不同,某些情况下用户账户的修改可能被错误归类到4781。需要查阅更多资料,确认不同系统版本中事件ID的定义是否有变化。此外,用户提到的“旧帐户名”和“新帐户名”字段是否在4781事件中存在?根据微软文档,4781事件主要记录计算机账户的变动,如创建、修改属性或删除,而用户账户的修改应由4738处理。用户提供的日志中出现了用户账户名的修改,这不符合4781的标准定义,可能涉及日志伪造或系统异常。需要建议用户检查其他相关事件日志,确认是否有4738事件同时记录,或者是否有其他异常事件。同时,检查系统完整性,是否存在被入侵的迹象,如恶意进程或服务以SYSTEM权限运行,篡改日志记录。总结来说,用户的情况可能是由于日志记录异常、系统配置问题,或攻击者故意混淆日志类型以掩盖行踪。需要进一步分析系统环境和其他日志,才能确定具体原因。flag{Adnimistartro}3.黑客成功登录系统后成功访问了一个关键位置的文件,将该文件名称(文件名称不包含后缀)作为Flag值提交;
(1)过滤记录对象访问尝试的安全审计事件4663
flag{SCHEMA}4.黑客成功登录系统后重启过几次数据库服务,将最后一次重启数据库服务后数据库服务的进程ID号作为Flag值提交;
(1)过滤来自 Mysql 服务的事件记录, Mysql 服务的事件 id 为 100
(2)CTRL+F 搜索start,定位到最后一次启动数据库,找到进程号
- 根据上几题描述确定黑客攻击的时间段,为2020年10月8日
- 找到2020年10月8日的最后一次启动
flag{8820}5.黑客成功登录系统后修改了登录用户的用户名并对系统执行了多次重启操作,将黑客使用修改后的用户重启系统的次数作为Flag值提交。
根据前两题知道修改后的用户名是Administratro
事件id1074:当用户、进程或系统管理员 主动触发关机、重启、注销或计划任务关机 时,系统会记录此事件。
-
事件 ID 1074 属于 系统日志(路径:
Windows 日志 > 系统),而非 安全日志。 -
安全日志中的关机事件 由 事件 ID 4647(用户发起注销)或 事件 ID 4670(权限更改触发注销)记录。
(1)过滤筛选1074的事件
-
身份属性:
-
SYSTEM是 Windows 中权限最高的内置账户,代表操作系统本身。 -
系统服务、内核驱动、计划任务等后台进程通常以
SYSTEM身份运行。
-
-
触发重启的场景:
-
当账户属性修改涉及 安全策略或核心配置(如修改管理员账户名、调整用户组权限)时,系统可能自动触发重启以应用变更。
-
此类操作由系统服务(如
SAM服务)自动发起,因此事件日志中操作者显示为SYSTEM。
-
所以攻击者修改了用户账号名后要应用就一定要重启,因此SYSTEM 这次重启算在(黑客使用修改后的用户重启系统的次数)里,一共是三次,还有两次是以修改后的用户账户名Adnimistartro重启的
flag{3}相关文章:
Windows 实战-evtx 文件分析--笔记
Windows 取证之EVTX日志 - 蚁景网安实验室 - 博客园 一.evtx日志文件是什么 从 Windows NT 6.0(也就是 Windows Vista 和 Windows Server 2008)开始,微软引入了一种全新的日志文件格式,称为 evtx。这种格式取代了之前 Windows 系…...
Vue3的组件通信
父子通信 父传子 1.父组件给子组件添加属性传值 const myCount ref(10) ... <son :count"myCount"/>2.子组件通过defineProps编译器宏接收 const props defineProps({count: Number })3.子组件使用 {{count}}子传父 1. 父组件实现处理函数 const getM…...
【postgresql】锁概览
常规锁 场景测试案例...
)}.txt‘)
python中的 f 是什么意思,f‘{username}_log_archive_{int(time.time())}.txt‘
python中的 f 是什么意思,f’{username}log_archive{int(time.time())}.txt’ 在 Python 中,f 是一种字符串前缀,用于创建格式化字符串(也称为 f-string),它是 Python 3.6 及更高版本引入的一种方便的字符串格式化方式。 基本语法和功能 当你在字符串前加上 f 前缀时,…...
子组件使用:visible.sync=“visible“进行双向的绑定导致该弹窗与其他弹窗同时显示的问题
问题描述:最近写代码时遇到了一个问题:点击A弹窗后关闭,继续点击B弹窗,这时会同时弹窗A、B两个弹窗。经过排查后发现在子组件定义时使用了:visible.sync"visible"属性进行双向的数据绑定 <template> <el-dial…...
【AI产品分享】面向图片的原始位置翻译功能
1. 背景 在撰写文字材料时,往往需要配套图像以增强表达效果。然而,有时自己绘制的图可能达不到理想的质量,而在其他文献材料中却能发现更清晰、直观的示例。希望在“站在巨人的肩膀上”优化自己的图像时,通常希望在保留原始图像的…...
存储型XSS漏洞解析
一、存储型XSS漏洞的核心原理 定义与攻击流程 存储型XSS(Stored XSS)是一种将恶意脚本永久存储在服务器端(如数据库、文件系统)的跨站脚本攻击方式。其攻击流程分为四步: 注入阶段:攻击者通过输入点&…...
【无标题】跨网段耦合器解决欧姆龙CJ系列PLC通讯问题案例
欧姆龙CJ系列PLC不同网段的通讯问题 一、项目背景 某大型制造企业的生产车间内,采用了多台欧姆龙CJ系列PLC对生产设备进行控制。随着企业智能化改造的推进,需要将这些PLC接入工厂的工业以太网,以便实现生产数据的实时采集、远程监控以及与企业…...
K8S学习之基础七十二:Ingress基于Https代理pod
Ingress基于Https代理pod 1、构建TLS站点 (1)准备证书,在xianchaomaster1节点操作 cd /root/ openssl genrsa -out tls.key 2048 openssl req -new -x509 -key tls.key -out tls.crt -subj /CCN/STBeijing/LBeijing/ODevOps/CNak.lucky.com…...
node.js版本管理
概述 遇到了版本升级后,以前项目不兼容的问题。 下载一个node.js的版本管理工具,官网下载地址,可以选择版本下载,我选择的1.11.1版本的。下载完成后点击安装,分别选择nvm安装目录和nodejs的安装目录,点击安…...
Gartner预计2025年AI支出达6440亿美元:数据中心与服务器市场的关键驱动与挑战
根据Gartner最新预测,2025年全球生成式人工智能(GenAI)支出将达到6440亿美元,较2024年增长76.4%,其中80%的支出将集中于硬件领域,尤其是集成AI能力的服务器、智能手机和PC等设备。这一增长的核心驱动力来自…...
clickhouse集群版本部署文档
集群版本介绍 clickhouse是表级别的集群,一个clickhouse实例可以有分布式表,也可以有本地表。本文介绍4个节点的clickhouse情况下部署配置。 分布式表数据分成2个分片,2个副本,总共4份数据: 节点1数据:分…...
AI提示词:好评生成器
提示说明 生成一段幽默的好评 提示词 # Role: 好评生成器# Profile: - author: xxx - version: 1.0 - language: 中文 - description: 生成一段幽默的好评## Goals: - 根据用户提供的体验优点生成一段幽默的好评 - 视角采用第一人称来描述(站在用户的视角) - 用词口语化、语…...
重新安装VMware tools为灰色无法点击问题解决|读取电脑文件的共享文件夹方法
1.问题VMware tools为灰色 sudo systemctl status vmware-tools 显示:Unit vmware-tools.service could not be found. 改 检测方式 弹出(之前没有) 在重启的瞬间点安装 弹出: 双击打开 右键打开终端,解压 cd ~ ta…...
构造超小程序
文章目录 构造超小程序1 编译器-大小优化2 编译器-移除 C 异常3 链接器-移除所有依赖库4 移除所有函数依赖_RTC_InitBase() _RTC_Shutdown()__security_cookie __security_check_cookie()__chkstk() 5 链接器-移除清单文件6 链接器-移除调试信息7 链接器-关闭随机基址8 移除异常…...
mycat --分片规则--
文章目录 MyCat分片规则详解1. rule1 (基于id的func1算法)2. sharding-by-date (按日期分片)3. rule2 (基于user_id的func1算法)4. sharding-by-intfile (基于枚举值分片)5. auto-sharding-long (长整型范围分片)6. mod-long (取模分片)7. sharding-by-murmur (MurmurHash分片)…...
wireshark抓包分析数据怎么看 wireshark使用教程_wireshark怎么看
Wireshark与Sniff Master:网络抓包工具使用指南 网络抓包分析是开发测试和网络故障排查中不可或缺的技能。在众多抓包工具中,Wireshark无疑是最流行且功能强大的选择,而Sniff Master作为后起之秀,也因其简洁高效的特点受到许多专…...
Outlook客户端无法连接到服务器,添加账户显示“无网络连接,请检查你的网络设置,然后重试。[2603]”
1、先切换一下到手机热点或者其他网络,判断是不是现在所连接的网络的问题。如果有VPN代理软件,网银软件,加密软件在后台运行,麻烦退出一下。 2、打开电脑上的 控制面板——网络和Internet——Internet选项——高级——先点击还原…...
LlamaIndex实现RAG增强:融合检索(Fusion Retrieval)与混合检索(Hybrid Search)
🧠 向所有学习者致敬! “学习不是装满一桶水,而是点燃一把火。” —— 叶芝 我的博客主页: https://lizheng.blog.csdn.net 🌐 欢迎点击加入AI人工智能社区! 🚀 让我们一起努力,共创…...
)
递归(实践版)
这篇博客我不会写太多细节,我只做一件事,那就是教你如何写好一个递归. 二叉树的后序遍历 public void dfs(TreeNode root){if(rootnull)return;dfs(root.left);dfs(root.right);System.out.println(root.val); } 归并排序 public void merge(int[] nums,int left,int right)…...
JavaScript instanceof 运算符全解析
JavaScript instanceof 运算符全解析 核心语义: 判断一个对象(object)是否属于某个构造函数(constructor)或类的实例,基于原型链(prototype chain)实现类型检测。 一、JavaScript 中的基础用法 1. 语法结构 object instanceof constructor 返回值:布尔值(true/fal…...
蓝桥杯冲刺:一维前缀和
系列文章目录 蓝桥杯系列:一维前缀和 文章目录 系列文章目录前言一、暴力的写法:二、一维前缀和的模板: 具体实现: 三、具体例题:求和 1.题目参考:2.以下是具体代码实现: 总结 前言 上次我介绍…...
Ubuntu24.04-中文输入法的切换
Ubuntu24.04在安装后自带中文全拼输入法。。 根据官方的说明,需使用 shift super 空格 切换输入法,但在之前使用windows或者ubuntu的早些版本,多使用 Ctrl 空格 的方式切换输入法,本文就介绍如何进行输入法快捷键切换的配置&a…...
技术回顾day3
1.获取文件信息、获取视频信息 走的都是同一个方法:baseController里面的getFile。 在getFile方法里面进行判断文件的类型,判断是不是m3u8类型或者ts类型做一些额外的处理。 获取信息底层就是读取文件,然后写入response的OutputStream ou…...
埃文科技企业AI大模型一体机——昇腾体系+DeepSeek+RAG一站式解决方案
面对企业级市场海量数据资产与复杂业务场景深度耦合的刚需,埃文科技重磅推出基于华为昇腾算力DeepSeek大模型的企业一体机产品,提供DeepSeek多版本大模型一体机选择,为企业提供本地昇腾算力DeepSeek大模型RAG知识库的一体化解决方案ÿ…...
SAP-ABAP:ABAP `LEAVE LIST-PROCESSING` 深度解析
ABAP LEAVE LIST-PROCESSING 深度解析 核心机制 模式切换(Dialog → List) 中断屏幕流 强制终止当前Dialog程序的PBO/PAI处理,脱离屏幕序列控制(如事务码SE38执行的程序)。触发报表事件 激活类报表程序的事件链:INITIALIZATION → AT SELECTION-SCREEN → START-OF-SEL…...
JavaWeb开发基础知识-Servlet终极入门指南(曼波萌新版)
(✪▽✪)曼波~~~~!欢迎来到Servlet新手村!准备好开启Web开发的奇妙冒险了吗?让曼波用最有趣的方式带你飞~ 🚀 🌈 第①章 什么是Servlet? // 本质就是一个Java类! public class HelloServlet e…...
游戏引擎学习第198天
回顾并为今天的内容设定 今天我们有一些代码需要处理。昨天我们进行了一些调试界面的整合工作,之前我们做了一些临时的、粗糙的操作,将一些东西读进来并放到调试界面中。今天,我们并不打算进行大规模的工作,更多的是对之前的代码…...
Walrus 基金会启动 RFP 计划,推动生态发展
Walrus 基金会正式推出 Walrus RFP 提案申请计划,为推动和支持 Walrus 生态的项目提供资金支持。该计划旨在助力构建符合协议使命的解决方案,解锁去中心化和可编程存储的潜力。 无论项目是开发新工具、探索集成,还是提出创新用例,…...
智能配电箱:重塑未来电力管理的核心枢纽
哇塞!智能配电箱可是未来电力管理的超级核心枢纽呀,正以超燃的态势引领着电力行业迈向智能化变革的新征程呢!它在众多方面所展现出的独特优势和那广阔无垠的应用前景,简直太令人激动啦!下面就来瞧瞧智能配电箱在重塑未…...