- 综合排序
- 最热优先
- 最新优先
- 来自专栏全栈工程师修炼之路
Windows日志取证
常见安全事件日志ID汇总 适用于:Windows Server 2016 ID 安全事件信息 12 Windows系统启动时间(Kernel) - * 13 Windows系统关闭时间( ,因为Windows防火墙无法识别其次要版本号 4953 Windows防火墙已忽略规则,因为它无法解析规则 4954 Windows防火墙组策略设置已更改。 5032 Windows防火墙无法通知用户它阻止应用程序接受网络上的传入连接 5033 Windows防火墙驱动程序已成功启动 5034 Windows防火墙驱动程序已停止 5035 Windows 5152 Windows筛选平台阻止了数据包 5153 限制性更强的Windows筛选平台筛选器阻止了数据包 5154 Windows过滤平台允许应用程序或服务在端口上侦听传入连接 5155 Windows Windows筛选平台基本筛选引擎启动时,存在以下提供程序上下文 5444 Windows筛选平台基本筛选引擎启动时,存在以下子层 5446 Windows筛选平台标注已更改 5447 Windows
5.3K40发布于 2020-10-23 - 来自专栏全栈工程师修炼之路
Windows日志取证
常见安全事件日志ID汇总 适用于:Windows Server 2016 ID 安全事件信息 12 Windows系统启动时间(Kernel) - * 13 Windows系统关闭时间( ,因为Windows防火墙无法识别其次要版本号 4953 Windows防火墙已忽略规则,因为它无法解析规则 4954 Windows防火墙组策略设置已更改。 5032 Windows防火墙无法通知用户它阻止应用程序接受网络上的传入连接 5033 Windows防火墙驱动程序已成功启动 5034 Windows防火墙驱动程序已停止 5035 Windows 5152 Windows筛选平台阻止了数据包 5153 限制性更强的Windows筛选平台筛选器阻止了数据包 5154 Windows过滤平台允许应用程序或服务在端口上侦听传入连接 5155 Windows Windows筛选平台基本筛选引擎启动时,存在以下提供程序上下文 5444 Windows筛选平台基本筛选引擎启动时,存在以下子层 5446 Windows筛选平台标注已更改 5447 Windows
4.4K11编辑于 2022-09-28 Windows取证实战指南
微软Windows是目前市场份额最高(约80%)的桌面操作系统,被个人和企业广泛使用。因此,对于任何数字取证从业者而言,精通Windows系统的取证分析至关重要。 Windows取证基础(WindowsForensicsFundamentals)#####1.取证证据(ForensicArtifacts)在取证分析中,“证据”(Artifacts)是指能够证明人类活动的 在计算机取证中,证据是用户活动在系统中留下的微小痕迹。Windows系统会为特定活动创建并记录大量证据,使得调查人员能够通过取证技术相当精确地追溯个人行为。这些证据通常存储在普通用户不易接触的位置。 #####2.Windows注册表与取证(WindowsRegistryandForensics)Windows注册表是一个包含系统配置数据的核心数据库集合。 -**工具**:`PECmd.exe`(EricZimmerman)Windows10时间线(Timeline):-**位置**:`C:\Users\<username>\AppData\Local\ConnectedDevicesPlatform
31220编辑于 2025-12-15- 来自专栏FreeBuf
数字取证技术 | Windows内存信息提取
0×00概述 后面会花一部分时间,写一些数字取证相关的文章。攻击技术贴多如牛毛,眼下不管是网安,还是安全厂商, 欠缺的是对取证技术的研究。 大致想了一下,主要会从以下几个方面逐一介绍吧: - 内存 - 硬盘镜像 - 网络 - Timeline利用 - 威胁情报在取证中的作用等 0×01 windows内存取证 取证的时候为什么要做内存分析 0×04获取历史CMD命令 在windows XP下, 一般cmd.exe的历史记录存在于csrss.exe进程内。 而windows 7上,则存在于Conhost.exe进程内。
3.1K60发布于 2018-02-23 - 来自专栏FreeBuf
Windows取证分析 | 如何最大程度提升分析效率
介绍 内存取证是任何计算机取证分析人员的必备技能之一,这种技术允许我们找到很多无法在磁盘上找到的数字证据,例如: 1、建立的网络链接; 2、仅在内存中的恶意软件; 3、加密密钥; 4、用户凭证。 \vol.py -f D:\MemoryDump.mem windows.info 上图中显示的内容可以告诉我们目标系统的Windows版本和执行内存数据捕捉时的系统时间。 第一个插件就是windows.pslist插件,该插件可以枚举出所有正在运行的进程,如下图所示: windows.psscan插件与windows.pslist插件类似,但它能够获取已终止进程的信息,同时它也使用了不同的方法来收集正在运行进程的信息 本文介绍的工具和方法是内存取证活动中常用的,几乎每一项取证活动都会涉及到这些方法步骤,例如寻找可疑的父子进程关系、网络连接、命令执行和异常等等。 希望本文能够给信息安全取证人员提供一些新的思路,最大程度地实现取证分析效率的提升。
60410编辑于 2024-06-11 - 来自专栏FreeBuf
针对Windows的事件应急响应数字取证工具
目前,该工具仅支持Windows平台。 重构了输出目录的结构; 3、移除了TZworks工具; 4、增加了新的命令行参数; 内存采集: 1、默认采集内存数据; 2、内存数据采集时需提供参数; 3、获取内存之前进行可用空间检查; 4、更新采集流程以避免Windows 崩溃; 新工具: 1、Windowsupdate.log文件 2、Windows Defender扫描日志 3、PowerShell命令行历史记录 4、HOST文件 5、Netstat输出(含相关网络连接的 PID) 6、记录所有目标主机中已登录用户的信息(Triage_info.txt) 7、新增Windows Event日志事件条目 DFIRtriage搜索工具: 1、可针对DFIRtriage输出数据和日志文件进行关键词搜索
1.7K20发布于 2019-12-03 - 来自专栏FreeBuf
Windows系统安全事件日志取证工具:LogonTracer
LogonTracer这款工具是基于Python编写的,并使用Neo4j作为其数据库(Neo4j多用于图形数据库),是一款用于分析Windows安全事件登录日志的可视化工具。 它会将登录相关事件中的主机名(或IP地址)和帐户名称关联起来,并将其以图形化的方式展现出来,使得在日志取证时直观清晰。 7、再次访问LogonTracer界面 http://[本地IP地址]:8080 点击左侧的“UploadEvent Log”上传保存在本机的evtx格式或者XML格式的Windows安全日志文件,点击 All Users:查看所有用户的登录信息 SYSTEM Privileges:查看管理员账号的登录信息(一般登录类型3或10) NTLM Remote Logon:查看NTLM远程登录信息(登录类型3 ) RDP Logon:查看RDP远程桌面登录信息(登录类型10) Network Logon:查看网络登录信息(登录类型3) Batch Logon:查看批处理登录信息(登录类型4) Service
3.9K20发布于 2019-12-04 - 来自专栏FreeBuf
如何从Windows注册表中提取证书
Windows 注册表中包含有二进制块(Blob),有些二进制块用于存储证书,如下所示: 以下的注册表位置都存储证书: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates 属性标识符的可能值可以在 Windows 开发中心和 wincrypt.h 头文件中找到。 如下所示,证书本身位于记录 11 内(类型为 0x20): 要提取证书请使用 -d执行二进制 dump 并写入本地文件: 结论 二进制数据块中经常出现 TLV 记录,如果想要识别二进制块中的数据, 参考来源: https://blog.nviso.eu/2019/08/28/extracting-certificates-from-the-windows-registry/
2.2K20发布于 2021-10-11 - 来自专栏云扬四海
Windows 10 安装 Docker for Windows
Docker for Windows是Docker社区版(CE)应用程序。 Docker for Windows安装包包括在Windows系统上运行Docker所需的一切。 目前版本的Docker for Windows在64位Windows 10 Pro,企业和教育(1607周年纪念版,Build 14393或更高版本)上运行。 将来我们将支持更多版本的Windows 10。 使用Docker for Windows创建的容器和图像在安装的机器上的所有用户帐户之间共享。 这是因为所有Windows帐户都将使用相同的虚拟机来构建和运行容器。 将来,Docker for Windows将更好地隔离用户内容。 安装Docker for Windows 1.双击Docker for Windows Installer.exe以运行安装程序。
6.4K10发布于 2019-06-05 - 来自专栏晓晨的专栏
Windows 10 安装 Docker for Windows
Docker for Windows是Docker社区版(CE)应用程序。 Docker for Windows安装包包括在Windows系统上运行Docker所需的一切。 目前版本的Docker for Windows在64位Windows 10 Pro,企业和教育(1607周年纪念版,Build 14393或更高版本)上运行。 将来我们将支持更多版本的Windows 10。 使用Docker for Windows创建的容器和图像在安装的机器上的所有用户帐户之间共享。 这是因为所有Windows帐户都将使用相同的虚拟机来构建和运行容器。 将来,Docker for Windows将更好地隔离用户内容。 安装Docker for Windows 1.双击Docker for Windows Installer.exe以运行安装程序。
9.5K20发布于 2018-06-22 - 来自专栏HACK学习
干货 | Windows取证分析基础知识大全,赶快收藏!
想要做好取证分析工作,工具和技术只是辅助,思路才是核心和重点。 本文将详细分享Microsoft Windows操作系统的基础数字取证知识,了解数据的存放位置和对应部件,便于快速确定关键证据,内容包括windows时间规则、文件下载、程序执行、文件删除/文件信息、浏览器资源 Windows\Recent\ AutomaticDestinations 6 Amcache.hve(ProgramDataUpdater) Win7/8/10: C:\Windows\AppCompat \Explorer\ComDlg32\ LastVisitedPidlMRU 10 prefetch WinXP/7/8/10: C:\Windows\Prefetch 04 文件删除/文件信息 ? \setupapi.log Win7/8/10: C:\Windows\inf\setupapi.dev.log 2)(第一次,最后一次,拔出)(在Win7/8/10) System Hive:
5.5K50发布于 2020-03-27 - 来自专栏网络
安装 Windows 10
1.镜像安装 镜像安装:安装Windows 10 2.安装过程(直接以图的形式呈现) 选择专业版的 等待安装即可
33310编辑于 2024-10-17 - 来自专栏全栈程序员必看
激活windows 10
至此,Win10正式企业版系统激活成功。 备注:命令的意思,供参考!
2.8K30编辑于 2022-09-02 - 来自专栏全栈程序员必看
windows10开启telnet命令_windows10 telnet
Windows 10操作系统上使用telnet命令大概分为以下两部分: 第一部分:配置telnet 第二部分:进入黑窗口 最后,来一个调试,尝试连接服务器。 (正文开始) 第一部分: 首先,通过控制面板进行配置telnet 打开:控制面板——程序——启动或关闭windows功能——勾上telnet client 如图所示: 第二部分: 键盘按键操作
23.7K20编辑于 2022-11-09 - 来自专栏机器学习算法与Python学习
Windows 10将预装Windows Terminal
出品 | OSCHINA,文 | 局长 微软昨天发布了 Windows 10 最新的内部预览版更新 (Insider Preview Build 21337)。 除了上述新特性,相信下面这项新变化更受开发者欢迎——Windows Terminal 将会成为内置应用被预装至 Windows 10,变成了像「记事本」一样非常方便使用的应用程序。 毕竟现在如果需要使用 Windows Terminal,需要从 Microsoft Store 安装或从 GitHub 发布页下载安装。相比之下,对于使用者来说,内置无疑更为方便。 成为内置应用后,Windows Terminal 的更新依旧继续通过 Microsoft Store 进行。该项变化目前只是在内部预览版提供,若要正式使用还需等待。 Windows Terminal 是一个全新的、流行的、功能强大的命令行终端工具。
3.2K20发布于 2021-04-16 - 来自专栏Cloud-DIY
【Windows】Windows 10系统启用Windows沙盒
Windows 10系统启用Windows沙盒 1、打开“控制面板”,点击“卸载程序”。 2、选择“启用或关闭Windows功能”选项。 3、勾选“Windows沙盒”选项,点击“确定”。 4、重启电脑。 5、重启后,在开始菜单中找到“Windows Sandbox”,点击运行即可。 注意: 当关闭Windows沙盒时,里面的内容全部清空,恢复初始化状态。
4.6K30编辑于 2022-12-13 - 来自专栏施炯的IoT开发专栏
Windows 10 IoT Serials 2 - Windows 10 IoT RTM 升级教程
7月29日,微软推出了Windows 10 for PC的正式版,其版本号是Build 10240。近两天官方说已经有4700万的下载安装量,同时这个数字还在不断攀升。 另外,除了Windows 10 for PC版本以外,还有针对手机的Windows 10 for Mobile版本,据说RTM也会很快到来,而网上也曝光了小米4刷Win10的一些机友的帖子。 几乎与PC RTM同时,Windows 10 IoT Core也RTM了,并且微软已经开放了下载。下载地址为: 1. 针对树莓派的Windows 10 IoT Core RTM: External link 2. 关于如何升级固件,可以参考我的上一篇文章《Windows 10 IoT Serials 1 - 针对Minnow Board MAX的Windows 10 IoT开发环境搭建》中的第三部分:更新Minnow
3.7K70发布于 2018-01-10 【Windows】windows10 时间显示秒数
windows10 时间显示秒数 1.win+R打开运行对话框,输入 regedit回车,打开注册表编辑器 2.在注册表编辑器中找到 HKEY_CURRENT_USER > SOFTWARE > Microsoft > Windows > CurrentVersion > Explorer > Advanced 3.在右侧窗口右键点击新建 DWORD(32位)值,并命名为ShowSecondsInSystemClock
1.2K20编辑于 2025-12-15- 来自专栏全栈工程师修炼之路
Linux日志取证
Fri Aug 2 14:51 - 16:01 (01:10) root pts/1 192.168.1.88 Fri Aug 2 14:43 - down (00
2.4K20发布于 2020-10-23 - 来自专栏禅境花园
Windows 10 包管理
很长时间没摸 windows 了, 发现自己居然 out 了,windows 也有类似 mac 的 brew 包管理器, Winget win10 自带的包管理器,在这之前大神凯文 写了一款叫做 AppGet 和凯文一起吃午餐,并讨论了更多有关 AppGet、Windows Phone 和其他方面的信息。 凯文等了几个月,鸟无音讯,当然是放他鸽子了,然后Winget 就发布了。哈哈哈哈。。 、--help 获取有关 winget 的更多帮助信息 Scoop scoop 环境: 用户名不含中文字符 Windows 7 SP1+ / Windows Server 2008+ PowerShell Chocolatey Chocolatey 是一款专为 Windows 系统开发的、基于 NuGet 的包管理器工具,类似于 Node.js 的 npm , MacOS 的 brew , Ubuntu Chocolatey 的官网: https://chocolatey.org/ 所需环境 Windows 7+ / Windows Server 2003+ PowerShell v2+ .
2.1K20编辑于 2022-10-25
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号