0x01 Windows事件日志简介
Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。
Windows 日志类别包括以下在早期版本的 Windows 中可用的日志:应用程序、安全和系统日志。此外还包括两个新的日志:安装程序日志和 ForwardedEvents 日志。Windows 日志用于存储来自旧版应用程序的事件以及适用于整个系统的事件。
系统日志
系统日志包含 Windows 系统组件记录的事件。例如,在启动过程中加载驱动程序或其他系统组件失败将记录在系统日志中。系统组件所记录的事件类型由 Windows 预先确定。
默认位置:%SystemRoot%System32WinevtLogsSystem.evtx
应用程序日志
应用程序日志包含由应用程序或程序记录的事件。例如,数据库程序可在应用程序日志中记录文件错误。程序开发人员决定记录哪些事件。
默认位置:%SystemRoot%System32WinevtLogsApplication.evtx
安全日志
安全日志包含诸如有效和无效的登录尝试等事件,以及与资源使用相关的事件,如创建、打开或删除文件或其他对象。管理员可以指定在安全日志中记录什么事件。例如,如果已启用登录审核,则对系统的登录尝试将记录在安全日志中。
默认位置:%SystemRoot%System32WinevtLogsSecurity.evtx
系统和应用程序日志存储着故障排除信息,对于系统管理员更为有用。安全日志记录着事件审计信息,包括用户验证(登录、远程访问等)和特定用户在认证后对系统做了什么,对于调查人员而言,更有帮助。
0X02 审核策略与事件查看器
Windows Server 2008 R2 系统的审核功能在默认状态下并没有启用 ,建议开启审核策略,若日后系统出现故障、安全事故则可以查看系统的日志文件,排除故障,追查入侵者的信息等。
PS:默认状态下,也会记录一些简单的日志,日志默认大小20M
设置1:”Win+R” → “secpol.msc” → “本地安全策略” → “本地策略” → “审核策略”,参考配置操作:
设置2:设置合理的日志属性,即日志最大大小、事件覆盖阀值等:
查看系统日志方法:
按 “Window+R”,输入 ”eventvwr.msc“
0x03 事件日志基础知识
对于Windows事件日志而言,首先是学习事件日志的属性。Windows事件日志属性如下:
属性名描述
事件ID
标识特定事件类型的编号。描述的第一行通常包含事件类型的名称。例如,6005 是在启动事件日志服务时所发生事件的 ID。此类事件的描述的第一行是“事件日志服务已启动”。产品支持代表可以使用事件 ID 和来源来解决系统问题。
来源
记录事件的软件,可以是程序名(如“SQL Server”),也可以是系统或大型程序的组件(如驱动程序名)。例如,“Elnkii”表示 EtherLink II 驱动程序。
级别
事件严重性的分类,以下事件严重性级别可能出现在系统和应用程序日志中:
信息:指明应用程序或组件发生了更改,如操作成功完成、已创建了资源,或已启动了服务。
警告:指明出现的问题可能会影响服务器或导致更严重的问题(如果未采取措施)。
错误:指明出现了问题,这可能会影响触发事件的应用程序或组件外部的功能。
关键:指明出现了故障,导致触发事件的应用程序或组件可能无法自动恢复。以下事件严重性级别可能出现在安全日志中:
审核成功 :指明用户权限练习成功。
审核失败:指明用户权限练习失败。在事件查看器的正常列表视图中,这些分类都由符号表示。
用户
事件发生所代表的用户的名称。如果事件实际上是由服务器进程所引起的,则此名称为客户端 ID;如果没有发生模仿的情况,则为主 ID。如果适用,安全日志项同时包含主 ID 和模仿 ID。当服务器允许一个进程采用另一个进程的安全属性时就会发生模拟的情况
操作代码
包含标识活动或应用程序引起事件时正在执行的活动中的点的数字值。例如,初始化或关闭
日志
已记录事件的日志的名称
任务类别
用于表示事件发行者的子组件或活动。
关键字
可用于筛选或搜索事件的一组类别或标记。示例包括“网络”、“安全”或“未找到资源”
计算机
发生事件的计算机的名称。该计算机名称通常为本地计算机的名称,但是它可能是已转发事件的计算机的名称,或者可能是名称更改之前的本地计算机的名称
日期和时间
记录事件的日期和时间
以下重点讲述事件ID值,Windows 的日志以事件 id 来标识具体发生的动作行为,可通过下列网站查询具体 id 对应的操作:
事件ID说明
1102
清理审计日志
4624
账号登录成功
4625
账号登录失败
4634
账号注销成功
4647
用户启动的注销
4672
使用超级用户(如管理员)进行登录
4720
创建用户
4726
删除用户
4732
将成员添加到启用安全的本地组中
4733
将成员从启用安全的本地组中移除
4688
创建新进程
4689
结束进程
……
……
每个成功登录的事件都会标记一个登录类型,不同登录类型代表不同的方式:
登录类型描述说明
交互式登录(Interactive)
用户在本地进行登录。
网络(Network)
最常见的情况就是连接到共享文件夹或共享打印机时。
批处理(Batch)
通常表明某计划任务启动。
服务(Service)
每种服务都被配置在某个特定的用户账号下运行。
解锁(Unlock)
屏保解锁。
网络明文(NetworkCleartext)
登录的密码在网络上是通过明文传输的,如FTP。
新凭证(NewCredentials)
使用带/Netonly参数的RUNAS命令运行一个程序。
10
远程交互,(RemoteInteractive)
通过终端服务、远程桌面或远程协助访问计算机。
11
缓存交互(CachedInteractive)
以一个域用户登录而又没有域控制器可用
关于更多EVENT ID,详见以下说明链接:
参考链接 :
0x04 日志分析案例1、RDP登陆爆破定位1.1、自带筛选器分析
首先确认账号登陆失败事件ID值为4625,选择”Windows 日志” → “安全” → “筛选器” ,在筛选器中输入ID值 。
筛选出有96个登陆失败事件,仔细查看这96个事件发现有ip在2021/2/3上午11:24对服务器大量登陆且登陆失败,推测处在进行rdp爆破
双击任一审核失败事件进行查看
查看多个审核失败事件发现客户端地址为10.0.0.1对服务器进行爆破,接下来搜索4624审核成功的事件
再查找关键词”10.0.0.1″
发现2021/2/3上午11:26客户段IP成功登陆服务器。由此推断IP地址为10.0.0.1的hacker在2021/2/3上午11:24对服务器RDP远程桌面进行爆破在11:32爆破成功!!!
1.2、使用Log Parser分析
Log Parser 是一款功能强大的多功能工具,可提供对基于文本的数据(例如日志文件,XML文件和CSV文件)以及Windows操作系统上的关键数据源(例如事件日志,注册表, 文件系统和ActiveDirectory)的查询以及输出。
基本查询结构
Logparser.exe –i:EVT –o:DATAGRID "SELECT * FROM c:xx.evtx"
使用Log Parser分析日志
1、查询登录失败的事件
登录失败的所有事件:
LogParser.exe -i:EVT –o:DATAGRID "SELECT * FROM c:Security.evtx where EventID=4625"
提取登录失败用户名进行聚合统计:
LogParser.exe -i:EVT "SELECT EXTRACT_TOKEN(Message,13,' ') as EventType,EXTRACT_TOKEN(Message,19,' ') as user,count(EXTRACT_TOKEN(Message,19,' ')) as Times,EXTRACT_TOKEN(Message,39,' ') as Loginip FROM c:Security.evtx where EventID=4625 GROUP BY Message"
登陆失败事件查看
发现有大量10.0.0.1IP地址登陆失败,可推出10.0.0.1的IP地址一直在对服务器进行rdp爆破登陆
2、查询登录成功的事件
登录成功的所有事件
LogParser.exe -i:EVT –o:DATAGRID "SELECT * FROM c:Security.evtx where EventID=4624"
指定登录时间范围的事件:
LogParser.exe -i:EVT –o:DATAGRID "SELECT * FROM c:Security.evtx where TimeGenerated>'2018-06-19 23:32:11' and TimeGenerated<'2018-06-20 23:34:00' and EventID=4624"
提取登录成功的用户名和IP:
LogParser.exe -i:EVT –o:DATAGRID "SELECT EXTRACT_TOKEN(Message,13,' ') as EventType,TimeGenerated as LoginTime,EXTRACT_TOKEN(Strings,5,'|') as Username,EXTRACT_TOKEN(Message,38,' ') as Loginip FROM c:Security.evtx where EventID=4624"
发现2021/2/3上午11:26客户段IP成功登陆服务器。
2、本地权限提升
前提预知:系统管理员以普通用户admin权限运行apahce中间件
1、hacker在获取到webshell后,通常思维为查看当前权限再对此服务器进行信息收集
whoami
systeminfo
net user
net1 user
Windows日志中可以开启审核进程跟踪对执行的命令进行追踪,其中创建新进程事件ID为4688
C:Program FilesLog Parser 2.2>LogParser.exe -i:EVT "SELECT TimeGenerated,EventID,EXTRACT_TOKEN(Strings,1,'|') as UserName,EXTRACT_TOKEN(Strings,5,'|') as ProcessName FROM c:security.evtx where EventID=4688" > 11.txt
查询结果
TimeGenerated EventID UserName ProcessName
------------------- ------- ---------------- ----------------------------------------
2021-02-03 11:26:03 4688 WIN-4HO1USO2OUA$ C:WindowsSystem32winlogon.exe
2021-02-03 11:26:03 4688 WIN-4HO1USO2OUA$ C:WindowsSystem32LogonUI.exe
2021-02-03 11:26:03 4688 WIN-4HO1USO2OUA$ C:WindowsSystem32TSTheme.exe
2021-02-03 11:26:04 4688 WIN-4HO1USO2OUA$ C:WindowsSystem32wbemWMIADAP.exe
2021-02-03 11:26:38 4688 Administrator C:WindowsSystem32verclsid.exe
2021-02-03 11:26:39 4688 Administrator C:Program FilesNotepad++notepad++.exe
2021-02-03 11:26:44 4688 WIN-4HO1USO2OUA$ C:WindowsSystem32wuauclt.exe
2021-02-03 11:27:16 4688 admin C:WindowsSystem32cmd.exe
2021-02-03 11:27:16 4688 admin C:WindowsSystem32whoami.exe
2021-02-03 11:27:19 4688 admin C:WindowsSystem32cmd.exe
2021-02-03 11:27:19 4688 admin C:WindowsSystem32whoami.exe
2021-02-03 11:27:31 4688 WIN-4HO1USO2OUA$ C:WindowsSystem32svchost.exe
2021-02-03 11:27:38 4688 admin C:WindowsSystem32cmd.exe
2021-02-03 11:27:38 4688 admin C:WindowsSystem32cmd.exe
2021-02-03 11:27:38 4688 admin C:WindowsSystem32whoami.exe
2021-02-03 11:27:45 4688 admin C:WindowsSystem32cmd.exe
2021-02-03 11:27:45 4688 admin C:WindowsSystem32cmd.exe
2021-02-03 11:27:45 4688 admin C:WindowsSystem32net.exe
2021-02-03 11:27:45 4688 admin C:WindowsSystem32net1.exe
2021-02-03 11:27:50 4688 admin C:WindowsSystem32cmd.exe
2021-02-03 11:27:50 4688 admin C:WindowsSystem32cmd.exe
2021-02-03 11:27:50 4688 admin C:WindowsSystem32net.exe
2021-02-03 11:27:50 4688 admin C:WindowsSystem32net1.exe
2021-02-03 11:27:58 4688 admin C:WindowsSystem32cmd.exe
2021-02-03 11:27:58 4688 admin C:WindowsSystem32cmd.exe
2021-02-03 11:27:58 4688 admin C:WindowsSystem32systeminfo.exe
2021-02-03 11:27:58 4688 WIN-4HO1USO2OUA$ C:WindowsSystem32wbemWmiPrvSE.exe
2021-02-03 11:27:58 4688 WIN-4HO1USO2OUA$ C:WindowsservicingTrustedInstaller.exe
2021-02-03 11:29:57 4688 admin C:WindowsSystem32cmd.exe
2021-02-03 11:29:57 4688 admin C:WindowsSystem32cmd.exe
2021-02-03 11:29:59 4688 admin C:WindowsSystem32cmd.exe
2021-02-03 11:29:59 4688 admin C:WindowsSystem32cmd.exe
2021-02-03 11:30:09 4688 admin C:WindowsSystem32cmd.exe
2021-02-03 11:30:09 4688 admin C:WindowsSystem32cmd.exe
2021-02-03 11:30:09 4688 admin C:phpStudyms16-032.exe
2021-02-03 11:30:15 4688 admin C:WindowsSystem32cmd.exe
2021-02-03 11:30:15 4688 admin C:WindowsSystem32cmd.exe
2021-02-03 11:30:15 4688 admin C:phpStudyms16-032.exe
2021-02-03 11:30:15 4688 WIN-4HO1USO2OUA$ C:phpStudyms16-032.exe
2021-02-03 11:30:15 4688 WIN-4HO1USO2OUA$ C:WindowsSystem32whoami.exe
2021-02-03 11:30:35 4688 admin C:WindowsSystem32cmd.exe
2021-02-03 11:30:35 4688 admin C:WindowsSystem32cmd.exe
2021-02-03 11:30:35 4688 admin C:phpStudyms16-032.exe
2021-02-03 11:30:35 4688 WIN-4HO1USO2OUA$ C:phpStudyms16-032.exe
2021-02-03 11:30:35 4688 WIN-4HO1USO2OUA$ C:WindowsSystem32net.exe
2021-02-03 11:30:35 4688 WIN-4HO1USO2OUA$ C:WindowsSystem32net1.exe
2021-02-03 11:30:50 4688 admin C:WindowsSystem32cmd.exe
2021-02-03 11:30:50 4688 admin C:WindowsSystem32cmd.exe
2021-02-03 11:30:50 4688 admin C:phpStudyms16-032.exe
2021-02-03 11:30:50 4688 WIN-4HO1USO2OUA$ C:phpStudyms16-032.exe
2021-02-03 11:30:50 4688 WIN-4HO1USO2OUA$ C:WindowsSystem32net.exe
2021-02-03 11:30:50 4688 WIN-4HO1USO2OUA$ C:WindowsSystem32net1.exe
2021-02-03 11:30:56 4688 admin C:WindowsSystem32cmd.exe
2021-02-03 11:30:57 4688 admin C:WindowsSystem32cmd.exe
2021-02-03 11:30:57 4688 admin C:WindowsSystem32net.exe
2021-02-03 11:30:57 4688 admin C:WindowsSystem32net1.exe
2021-02-03 11:31:08 4688 admin C:WindowsSystem32cmd.exe
2021-02-03 11:31:08 4688 admin C:WindowsSystem32cmd.exe
2021-02-03 11:31:08 4688 admin C:phpStudyms16-032.exe
2021-02-03 11:31:08 4688 WIN-4HO1USO2OUA$ C:phpStudyms16-032.exe
2021-02-03 11:31:08 4688 WIN-4HO1USO2OUA$ C:WindowsSystem32net.exe
2021-02-03 11:31:08 4688 WIN-4HO1USO2OUA$ C:WindowsSystem32net1.exe
2021-02-03 11:31:16 4688 admin C:WindowsSystem32cmd.exe
2021-02-03 11:31:16 4688 admin C:WindowsSystem32cmd.exe
2021-02-03 11:31:16 4688 admin C:WindowsSystem32net.exe
2021-02-03 11:31:16 4688 admin C:WindowsSystem32net1.exe
2021-02-03 11:31:21 4688 admin C:WindowsSystem32cmd.exe
2021-02-03 11:31:21 4688 admin C:WindowsSystem32cmd.exe
2021-02-03 11:31:21 4688 admin C:WindowsSystem32net.exe
2021-02-03 11:31:21 4688 admin C:WindowsSystem32net1.exe
2021-02-03 11:31:46 4688 WIN-4HO1USO2OUA$ C:WindowsSystem32smss.exe
2021-02-03 11:31:46 4688 WIN-4HO1USO2OUA$ C:WindowsSystem32csrss.exe
2021-02-03 11:31:46 4688 WIN-4HO1USO2OUA$ C:WindowsSystem32winlogon.exe
2021-02-03 11:31:46 4688 WIN-4HO1USO2OUA$ C:WindowsSystem32LogonUI.exe
2021-02-03 11:31:47 4688 WIN-4HO1USO2OUA$ C:WindowsSystem32wsqmcons.exe
2021-02-03 11:31:47 4688 WIN-4HO1USO2OUA$ C:WindowsSystem32schtasks.exe
2021-02-03 11:32:11 4688 WIN-4HO1USO2OUA$ C:WindowsSystem32dllhost.exe
2021-02-03 11:32:11 4688 WIN-4HO1USO2OUA$ C:WindowsSystem32TSTheme.exe
2021-02-03 11:32:11 4688 WIN-4HO1USO2OUA$ C:WindowsSystem32taskeng.exe
2021-02-03 11:32:11 4688 WIN-4HO1USO2OUA$ C:WindowsSystem32rdpclip.exe
2021-02-03 11:32:11 4688 WIN-4HO1USO2OUA$ C:WindowsSystem32userinit.exe
2021-02-03 11:32:11 4688 WIN-4HO1USO2OUA$ C:WindowsSystem32dwm.exe
2021-02-03 11:32:11 4688 WIN-4HO1USO2OUA$ C:WindowsSystem32taskeng.exe
2021-02-03 11:32:11 4688 admin$ C:WindowsSystem32ServerManagerLauncher.exe
2021-02-03 11:32:11 4688 admin$ C:Windowsexplorer.exe
2021-02-03 11:32:11 4688 admin$ C:WindowsSystem32verclsid.exe
2021-02-03 11:32:11 4688 admin$ C:WindowsSystem32verclsid.exe
2021-02-03 11:32:11 4688 admin$ C:WindowsSystem32ie4uinit.exe
2021-02-03 11:32:12 4688 admin$ C:WindowsSystem32regsvr32.exe
2021-02-03 11:32:12 4688 admin$ C:WindowsSystem32regsvr32.exe
2021-02-03 11:32:12 4688 admin$ C:WindowsSystem32verclsid.exe
2021-02-03 11:32:12 4688 admin$ C:WindowsSystem32rundll32.exe
2021-02-03 11:32:12 4688 admin$ C:WindowsSystem32ie4uinit.exe
2021-02-03 11:32:12 4688 admin$ C:WindowsSystem32verclsid.exe
2021-02-03 11:32:12 4688 admin$ C:WindowsSystem32rundll32.exe
2021-02-03 11:32:12 4688 admin$ C:WindowsSystem32verclsid.exe
2021-02-03 11:32:12 4688 admin$ C:WindowsSystem32verclsid.exe
2021-02-03 11:32:12 4688 admin$ C:WindowsSystem32verclsid.exe
2021-02-03 11:32:13 4688 admin$ C:WindowsSystem32verclsid.exe
2021-02-03 11:32:13 4688 admin$ C:WindowsSystem32vm3dservice.exe
2021-02-03 11:32:13 4688 admin$ C:Program FilesVMwareVMware Toolsvmtoolsd.exe
2021-02-03 11:32:13 4688 admin$ C:Program FilesCommon FilesJavaJava Updatejusched.exe
2021-02-03 11:32:13 4688 WIN-4HO1USO2OUA$ C:WindowsSystem32dllhost.exe
2021-02-03 11:32:13 4688 admin$ C:WindowsSystem32verclsid.exe
2021-02-03 11:32:18 4688 admin$ C:WindowsSystem32mmc.exe
2021-02-03 11:32:19 4688 WIN-4HO1USO2OUA$ C:WindowsSystem32TSTheme.exe
2021-02-03 11:32:34 4688 WIN-4HO1USO2OUA$ C:WindowsSystem32LogonUI.exe
2021-02-03 11:32:35 4688 WIN-4HO1USO2OUA$ C:WindowsSystem32LogonUI.exe
2021-02-03 11:32:35 4688 WIN-4HO1USO2OUA$ C:Program FilesVMwareVMware ToolsVMwareResolutionSet.exe
2021-02-07 23:43:45 4688 WIN-4HO1USO2OUA$ C:WindowsSystem32svchost.exe
限时特惠:本站每日持续更新海量各大内部网赚创业教程,会员可以下载全站资源点击查看详情
站长微信:11082411