首页 > 其他分享 >玄机蓝队靶场_应急响应_71:实战evtx-文件分析

玄机蓝队靶场_应急响应_71:实战evtx-文件分析

时间:2024-10-22 16:31:26浏览次数:6  
标签:evtx 文件 蓝队 ID 事件 71 日志 Event SCHEMA

windows日志排查工具:
https://www.cnblogs.com/starrys/p/17129993.html

windows日志事件ID,参考文章:https://peterpan.blog.csdn.net/article/details/139887217


下载日志分析工具FullEventLogView.exe
https://www.nirsoft.net/utils/fulleventlogview-x64.zip
分别打开三个日志文件分析

image

EventID 为4624表示登录成功,LogonType 为 10 表示远程登录
EventID 为4624表示登录成功,LogonType 为 10 本地登录
EventID 为4625表示登录失败


多翻几个4624日志,发现了远程登录的ip为192.168.36.188
或者筛选4625日志

image

筛选条件:包含字符串旧
然后发现修改的账户名:Adnimistartro

image

试了SamSs、lsass、svchost都不对,看WP
4663是访问文件成功的日志ID,筛选4663即可:SCHEMA
文件用途

    系统管理接口 (SMI):
        SMI 是 Windows 用于管理系统的一个框架,它提供了一种与系统管理数据交互的方式。SMI 主要用于处理与硬件和软件的管理信息。

    SCHEMA.DAT 文件:
        SCHEMA.DAT 文件包含了系统管理接口的数据模式和结构定义。这些模式用于定义如何存储和检索系统管理信息。
        它保存了有关计算机配置、策略、设备和其他系统设置的信息,通常在系统启动或设备连接时进行访问。

安全性和完整性

    重要性:
        SCHEMA.DAT 文件对于系统管理和配置的正常运行至关重要。如果这个文件损坏或丢失,可能会导致系统管理功能受限或无法正常工作。

    备份和恢复:
        由于 SCHEMA.DAT 是一个关键文件,建议定期备份此文件,尤其是在进行系统配置更改或更新之前。

位置

    该文件位于 C:\Windows\System32\SMI\Store\Machine\ 目录下。这个位置通常是系统文件夹的一部分,通常不建议用户直接修改或删除该文件。

结论

SCHEMA.DAT 是 Windows 系统中一个重要的管理文件,负责定义和存储系统管理相关的数据结构。保持该文件的完整性对于确保系统正常运行和管理非常重要。

image

Windows默认自带的查看器里,过滤事件ID100,按时间排序,发现:8820
看不出12/26的和10/8的有什么区别,只是试到8820可以。
用FullEventLogView可以找到对应的重启事件,但是进程ID看不到
服务重启相关日志ID是7035和7036
7035是请求启动服务
7036是服务已启动/停止

image

事件ID 6xxx 的含义

    Event ID 6000:事件日志服务初始化失败。
    Event ID 6001:事件日志服务成功初始化。
    Event ID 6002:事件日志服务关闭。
    Event ID 6003:事件日志服务开始。
    Event ID 6004:事件日志服务正在执行。
    Event ID 6005:事件日志服务已启动(系统启动时记录)。
    Event ID 6006:事件日志服务已关闭(系统关闭时记录)。
    Event ID 6007:事件日志服务在关闭过程中遇到问题。

计算机重启相关的事件ID

与计算机重启更直接相关的事件ID包括:

    Event ID 6008:表示上次关机发生错误,通常与非正常关机有关。
    Event ID 41:表示系统重新启动,通常与意外重启或电源故障有关。

因为计算机开关机时默认日志服务跟随开关机,所以看到6开头的日志事件是3次,直接就是flag{3}

另外,系统.evtx中,1074/1075代表系统开关机,直接过滤查找重新启动即可。

image

标签:evtx,文件,蓝队,ID,事件,71,日志,Event,SCHEMA
From: https://www.cnblogs.com/blue-red/p/18493246

相关文章

  • P3571 [POI2014] SUP-Supercomputer 题解
    P3571「POI2014」SUP-Supercomputer题解一道“较”水的黑题(可一开始苦思冥想还是不会)。本蒟蒻的第一篇黑题题解,求赞。题意简化给定一棵$n$个节点、根节点为$1$的有根树。$q$次询问中每次给定一个$k$,输出需要最少用几次操作次数删除完整棵树。每次操作可以选择删......
  • AtCoder Beginner Contest 371 - VP记录
    总体发挥还算正常A-Jiro呵呵呵,有人像我这么做的吗?点击查看代码#include<cstdio>usingnamespacestd;intmain(){ charab,ac,bc; scanf("%c%c%c",&ab,&ac,&bc); if(ab=='<'&&ac=='<'&&bc=='<')......
  • CF571B-题解
    CF571B题意给定数组\(A\)和值\(k\),你可以重排\(A\)中的元素,使得\(\displaystyle\sum_{i=1}^{n-k}|A_i-A_{i+k}|\)最小。输出最小值。思路\(A_i,A_{i+k}\)就等同于在将\(i\)模\(k\)的意义上把\(A\)分为若干组贪心的想要使\(\displaystyle\sum_{i=1}^{n-k}|A_i-A......
  • 代码随想录算法训练营 | 300.最长递增子序列,674. 最长连续递增序列,718. 最长重复子数
    300.最长递增子序列题目链接:300.最长递增子序列文档讲解︰代码随想录(programmercarl.com)视频讲解︰最长递增子序列日期:2024-10-16想法:dp[i]表示以nums[i]结尾的最长子数列长度,需要知道i之前的j的dp[j],找到最大的dp[j],再加1,初始化都为1。Java代码如下:classSolution{pub......
  • 《纪元1800》遭遇dll丢失问题无法启动:msvcr71.dll丢失详解与定制化解决方案
    《纪元1800》是一款非常受欢迎的城市建设和经济策略游戏,但有时玩家可能会遇到msvcr71.dll丢失的问题,导致游戏无法启动。msvcr71.dll是MicrosoftVisualC++运行库的一部分,负责支持许多应用程序的运行。以下是对msvcr71.dll丢失问题的详细解释及定制化解决方案。问题原......
  • KPM71RUG3T84:高性能SAS硬盘的性能优势与应用场景
    在企业存储需求不断增长的背景下,高效、稳定的存储解决方案至关重要。KIOXIA推出的KPM71RUG3T84作为SAS接口的企业级存储硬盘,凭借其优越的性能和卓越的可靠性,成为数据中心、企业IT系统和高负载应用的理想选择。本文将详细介绍KPM71RUG3T84的核心性能优势及其在不同应用领域中的......
  • ### Cause: java.sql.SQLDataException: ORA-01841: (完整) 年份值必须介于 -4713 和
    执行sql,报错如下###Cause:java.sql.SQLDataException:ORA-01841:(完整)年份值必须介于-4713和+9999之间,且不为0 原因:数据库中存在的日期数据存在异常。导致拼接的日期部分存在问题,如下:SELECTLEAVE_END_D,LEAVE_END_T,TO_DATE(LEAVE_E......
  • 代码随想录算法训练营 | 188.买卖股票的最佳时机IV,309.最佳买卖股票时机含冷冻期,714.
    188.买卖股票的最佳时机IV题目链接:188.买卖股票的最佳时机IV文档讲解︰代码随想录(programmercarl.com)视频讲解︰买卖股票的最佳时机IV日期:2024-10-15想法:跟最佳时机III的区别在于dp[i][0]表示的是第i天没有操作,省去了会很麻烦。Java代码如下:classSolution{publicint......
  • 洛谷 P2071 座位安排题解
    因为一个人坐一个座位很像二分图,题意转化为二分图最大匹配。把人放在左部,把座位放在右部,一排座位占右部的两个点。假设人想要坐在\(x\)排,那么建图的时候就可以将这个人连向\(2x\)和\(2x+1\)。这样一排就对应着两个人了。由于\(n\le4000\),直接由朴素的\(O(nm)\)的匈牙利......
  • 【蓝队】Sysmon识别检测宏病毒
    原创玄影实验室权说安全前言在不断变化的网络安全环境中,提前防范威胁是非常重要的。本文将以MicrosoftOffice宏病毒钓鱼为例,介绍如何使用Sysmon来获取和分析Windows系统日志,揭示隐藏的恶意或异常活动,了解入侵者和恶意软件如何在网络上运行。SysmonSysmon(系统监视......