.pf 文件：windows 预读取文件

.evtx 文件：日志文件

$Extend：USN 日志

MFTECmd 下载：https://ericzimmerman.github.io/#!index.md

Event Log Explorer 下载：https://eventlogxp.com/download.php?s=1&u=b

Task 1

问题：SOC 团队怀疑对手潜伏在他们的环境中，并正在使用 PsExec 进行横向移动。一位初级 SOC 分析师专门报告了 PsExec 在 WorkStation 上的使用情况。攻击者在系统上执行了多少次 PsExec？

1、查看系统日志（system.evtx）、根据题目设置过滤条件

显示一共 9 次

答案：9

Task 2

问题：PsExec 工具释放的允许攻击者执行远程命令的服务二进制文件的名称是什么？

点击日志查看详细信息

答案：PSEXESVC.exe

Task 3

问题：现在我们已经确认 PsExec 运行了多次，我们对 PsExec 的第五个 Last 实例特别感兴趣。 PsExec 服务二进制文件运行时的时间戳是多少？

找到第五个日志时间

注意：这是东八区的时间（北京时间），不是世界时间

答案：07/09/2023 12:06:54

Task 4

问题：您能否确认攻击者横向移动的工作站的主机名？

1、查看 security.evtx 日志，设置过滤条件

找到一个 adminstrator 用户登录 Forela-Wkstn001 失败的信息

答案：Forela-Wkstn001

Task 5

问题：Psexec 的最后 5 个实例删除的密钥文件的全名是什么？

1、提取 $J 文件信息保存为 csv 文件

MFTECmd.exe -f "I:\靶场\htb\sherlocks\Tracer\tracer\Tracer\C\$Extend\$J" --csv "./" --csvf "$J.csv"

2、查看 $J.csv 文件

如图所示，文件名会重复三次，倒数第五个以 .key 结尾的文件就是

答案：PSEXEC-FORELA-WKSTN001-95F03CFE.key

Task 6

问题：您能否确认在磁盘上创建此密钥文件的时间戳？

答案：07/09/2023 12:06:55

Task 7

问题：以“stderr”结尾的命名管道的全名是什么？ PsExec 的最后 5 个实例的关键字？

1、查看 sysmon.evtx 日志，设置过滤条件

一共就 5 个以 stderr 为结尾的管道

答案：\PSEXESVC-FORELA-WKSTN001-3056-stderr