- 综合排序
- 最热优先
- 最新优先
- 来自专栏全栈工程师修炼之路
Windows日志取证
常见安全事件日志ID汇总 适用于:Windows Server 2016 ID 安全事件信息 12 Windows系统启动时间(Kernel) - * 13 Windows系统关闭时间( ,因为Windows防火墙无法识别其次要版本号 4953 Windows防火墙已忽略规则,因为它无法解析规则 4954 Windows防火墙组策略设置已更改。 5032 Windows防火墙无法通知用户它阻止应用程序接受网络上的传入连接 5033 Windows防火墙驱动程序已成功启动 5034 Windows防火墙驱动程序已停止 5035 Windows 5152 Windows筛选平台阻止了数据包 5153 限制性更强的Windows筛选平台筛选器阻止了数据包 5154 Windows过滤平台允许应用程序或服务在端口上侦听传入连接 5155 Windows Windows筛选平台基本筛选引擎启动时,存在以下提供程序上下文 5444 Windows筛选平台基本筛选引擎启动时,存在以下子层 5446 Windows筛选平台标注已更改 5447 Windows
5.3K40发布于 2020-10-23 - 来自专栏全栈工程师修炼之路
Windows日志取证
常见安全事件日志ID汇总 适用于:Windows Server 2016 ID 安全事件信息 12 Windows系统启动时间(Kernel) - * 13 Windows系统关闭时间( ,因为Windows防火墙无法识别其次要版本号 4953 Windows防火墙已忽略规则,因为它无法解析规则 4954 Windows防火墙组策略设置已更改。 5032 Windows防火墙无法通知用户它阻止应用程序接受网络上的传入连接 5033 Windows防火墙驱动程序已成功启动 5034 Windows防火墙驱动程序已停止 5035 Windows 5152 Windows筛选平台阻止了数据包 5153 限制性更强的Windows筛选平台筛选器阻止了数据包 5154 Windows过滤平台允许应用程序或服务在端口上侦听传入连接 5155 Windows Windows筛选平台基本筛选引擎启动时,存在以下提供程序上下文 5444 Windows筛选平台基本筛选引擎启动时,存在以下子层 5446 Windows筛选平台标注已更改 5447 Windows
4.4K11编辑于 2022-09-28 Windows取证实战指南
概述(Overview)计算机取证是网络安全领域的核心分支,专注于收集和分析计算机活动证据。作为广义数字取证的一部分,它涵盖了对各类数字设备(包括计算机)中数据的恢复、检查与分析。 微软Windows是目前市场份额最高(约80%)的桌面操作系统,被个人和企业广泛使用。因此,对于任何数字取证从业者而言,精通Windows系统的取证分析至关重要。 Windows取证基础(WindowsForensicsFundamentals)#####1.取证证据(ForensicArtifacts)在取证分析中,“证据”(Artifacts)是指能够证明人类活动的 在计算机取证中,证据是用户活动在系统中留下的微小痕迹。Windows系统会为特定活动创建并记录大量证据,使得调查人员能够通过取证技术相当精确地追溯个人行为。这些证据通常存储在普通用户不易接触的位置。 #####2.Windows注册表与取证(WindowsRegistryandForensics)Windows注册表是一个包含系统配置数据的核心数据库集合。
31220编辑于 2025-12-15- 来自专栏FreeBuf
数字取证技术 | Windows内存信息提取
0×00概述 后面会花一部分时间,写一些数字取证相关的文章。攻击技术贴多如牛毛,眼下不管是网安,还是安全厂商, 欠缺的是对取证技术的研究。 大致想了一下,主要会从以下几个方面逐一介绍吧: - 内存 - 硬盘镜像 - 网络 - Timeline利用 - 威胁情报在取证中的作用等 0×01 windows内存取证 取证的时候为什么要做内存分析 0×04获取历史CMD命令 在windows XP下, 一般cmd.exe的历史记录存在于csrss.exe进程内。 而windows 7上,则存在于Conhost.exe进程内。
3.1K60发布于 2018-02-23 - 来自专栏FreeBuf
Windows取证分析 | 如何最大程度提升分析效率
介绍 内存取证是任何计算机取证分析人员的必备技能之一,这种技术允许我们找到很多无法在磁盘上找到的数字证据,例如: 1、建立的网络链接; 2、仅在内存中的恶意软件; 3、加密密钥; 4、用户凭证。 \vol.py -f D:\MemoryDump.mem windows.info 上图中显示的内容可以告诉我们目标系统的Windows版本和执行内存数据捕捉时的系统时间。 第一个插件就是windows.pslist插件,该插件可以枚举出所有正在运行的进程,如下图所示: windows.psscan插件与windows.pslist插件类似,但它能够获取已终止进程的信息,同时它也使用了不同的方法来收集正在运行进程的信息 本文介绍的工具和方法是内存取证活动中常用的,几乎每一项取证活动都会涉及到这些方法步骤,例如寻找可疑的父子进程关系、网络连接、命令执行和异常等等。 希望本文能够给信息安全取证人员提供一些新的思路,最大程度地实现取证分析效率的提升。
60410编辑于 2024-06-11 - 来自专栏FreeBuf
针对Windows的事件应急响应数字取证工具
目前,该工具仅支持Windows平台。 重构了输出目录的结构; 3、移除了TZworks工具; 4、增加了新的命令行参数; 内存采集: 1、默认采集内存数据; 2、内存数据采集时需提供参数; 3、获取内存之前进行可用空间检查; 4、更新采集流程以避免Windows 崩溃; 新工具: 1、Windowsupdate.log文件 2、Windows Defender扫描日志 3、PowerShell命令行历史记录 4、HOST文件 5、Netstat输出(含相关网络连接的 PID) 6、记录所有目标主机中已登录用户的信息(Triage_info.txt) 7、新增Windows Event日志事件条目 DFIRtriage搜索工具: 1、可针对DFIRtriage输出数据和日志文件进行关键词搜索
1.7K20发布于 2019-12-03 - 来自专栏FreeBuf
Windows系统安全事件日志取证工具:LogonTracer
LogonTracer这款工具是基于Python编写的,并使用Neo4j作为其数据库(Neo4j多用于图形数据库),是一款用于分析Windows安全事件登录日志的可视化工具。 它会将登录相关事件中的主机名(或IP地址)和帐户名称关联起来,并将其以图形化的方式展现出来,使得在日志取证时直观清晰。 7、再次访问LogonTracer界面 http://[本地IP地址]:8080 点击左侧的“UploadEvent Log”上传保存在本机的evtx格式或者XML格式的Windows安全日志文件,点击
3.9K20发布于 2019-12-04 - 来自专栏FreeBuf
如何从Windows注册表中提取证书
Windows 注册表中包含有二进制块(Blob),有些二进制块用于存储证书,如下所示: 以下的注册表位置都存储证书: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates 可以看出,该二进制块包含 11 个 TLV 记录,最后一个长度为 1239,并且包含证书类型 0x100000020L。 属性标识符的可能值可以在 Windows 开发中心和 wincrypt.h 头文件中找到。 如下所示,证书本身位于记录 11 内(类型为 0x20): 要提取证书请使用 -d执行二进制 dump 并写入本地文件: 结论 二进制数据块中经常出现 TLV 记录,如果想要识别二进制块中的数据, 参考来源: https://blog.nviso.eu/2019/08/28/extracting-certificates-from-the-windows-registry/
2.2K20发布于 2021-10-11 - 来自专栏用户6838888的专栏
windows11怎么安装_windows11安装教程
微软前不久发布将Windows系统更新至11版本,由于该系统的设计者微软公司并不是国内的公司,所以该公司更新的系统并没有第一时间在国内推出,而大多数使用Windows系统电脑的用户早已按赖不住想更新到win11 所以小编今天带来了这款Windows11中文版,该版本在原来Win11系统基础上添加了中文设置,因为该系统在推出的时候只有英文等其他国家的文字,并没有汉化,所以小编带来的这个版本可以帮助用户完美解决看不懂的问题 windows 11中文版获取地址:【获取文件需点击此处】 windows11使用教程 1、下载后即可获得windows11简体中文版系统镜像文件和中文语言包 2、可对其进行解压或是直接利用驱动器来打开 11中文补丁直接解压到系统根目录,或是解压后将Windows文件复制到C盘中,有提示重复的点跳过。 9、至此就可以获得windows11简体中文版系统啦,希望可以帮助到大家。
1.8K00发布于 2021-07-02 - 来自专栏为了不折腾而去折腾的那些事
把 Windows 11 装进移动硬盘:Windows 11 To Go
本篇文章聊聊如何制作一个可以“说带走就带走”的 Windows 操作系统,将 Windows11 做成能够放在 U 盘或者移动硬盘里的 WinToGo “绿色软件”。 新老两块 Windows To Go 会师 其实在今年年中的时候,我做过一枚包含了 Windows 11 的 WinToGo 移动硬盘,陆陆续续体验了半年多,感觉还是不错的。 半年前安装的 Windows 11 To Go 操作系统 所以,预期倒腾数据,真不如再折腾一块来的简单。 以及这个功能真的不能够在 Windows 11 时代继续发光发热了吗? 在我使用了几个月 Windows 11 To Go 之后,我个人认为这两个问题的答案都是否定的。 下载 Windows 系统和 WinToGo 制作工具 Windows 11 安装光盘,可以从微软官网[3]下载;WinToGo 制作工具,可以从傲梅网站[4]下载。
2K10编辑于 2023-12-06 - 来自专栏为了不折腾而去折腾的那些事
把 Windows 11 装进移动硬盘:Windows 11 To Go
本篇文章聊聊如何制作一个可以“说带走就带走”的 Windows 操作系统,将 Windows11 做成能够放在 U 盘或者移动硬盘里的 WinToGo “绿色软件”。 其实在今年年中的时候,我做过一枚包含了 Windows 11 的 WinToGo 移动硬盘,陆陆续续体验了半年多,感觉还是不错的。 以及这个功能真的不能够在 Windows 11 时代继续发光发热了吗? 在我使用了几个月 Windows 11 To Go 之后,我个人认为这两个问题的答案都是否定的。 但其实,在我的使用和测试中,这个问题是不存在的,Windows 11 可以很好的支持半年度的系统大更新和安装各种安全补丁。 -11-on-a-portable-hard-drive-windows-11-to-go.html
3.8K10编辑于 2023-12-06 - 来自专栏HACK学习
干货 | Windows取证分析基础知识大全,赶快收藏!
想要做好取证分析工作,工具和技术只是辅助,思路才是核心和重点。 本文将详细分享Microsoft Windows操作系统的基础数字取证知识,了解数据的存放位置和对应部件,便于快速确定关键证据,内容包括windows时间规则、文件下载、程序执行、文件删除/文件信息、浏览器资源 \IEDownloadHistory\index.dat IE10-11: %USERPROFILE%\AppData\Local\Microsoft\Windows\WebCache\WebCacheV \ IEDownloadHistory\ IE10-11: %USERPROFILE%\AppData\Local\Microsoft\Windows\WebCache\ WebCacheV*.dat \Cookies IE10: %USERPROFILE%\AppData\Roaming\Microsoft\Windows\Cookies IE11: %USERPROFILE%\AppData\
5.5K50发布于 2020-03-27 - 来自专栏练习bug时长两年半
Windows11优化
Windows11优化 1.还原到windows10右键 以管理员身份运行CMD,复制下列命令,按回车后即可恢复Win10的右键菜单 reg add "HKCU\Software\Classes\CLSID \{86ca1aa0-34aa-4e8b-a509-50c905bae2a2}\InprocServer32" /f /ve 需重启Windows资源管理器方能生效。 如果想恢复Win11菜单,就把添加的注册表项删掉。 reg delete "HKCU\Software\Classes\CLSID\{86ca1aa0-34aa-4e8b-a509-50c905bae2a2}" /f 2.任务栏对齐方式调整 Win11默认将任务栏图标放在了中间
1.3K10编辑于 2022-08-24 - 来自专栏开源优测
Windows Terminal 正式成为 Windows 11默认终端
出品 | OSC开源社区 今年 7 月 ,微软在 Windows 11 的 Beta 版本测试了将系统默认终端设置为 Windows Terminal 。 如今该设置已登录稳定版本,从 Windows 11 22H2 版本开始,Windows Terminal 将正式成为 Windows 11 的默认设置。 此次更新则意味着,以后 Windows 11 的所有命令行应用程序都将在 Windows Terminal 中自动打开。 关于 Windows 11 默认终端的更多详情可查看微软博客:https://devblogs.microsoft.com/commandline/windows-terminal-is-now-the-default-in-windows -11/
1.5K20编辑于 2023-01-04 - 来自专栏IF奇思社
Windows10Windows11 开启SSE模式
路径 Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CI\Policy
3.1K10编辑于 2022-01-18 - 来自专栏程序猿DD
Windows Terminal正式成为Windows 11默认终端
出品 | OSC开源社区(ID:oschina2013) 今年 7 月 ,微软在 Windows 11 的 Beta 版本测试了将系统默认终端设置为 Windows Terminal 。 如今该设置已登录稳定版本,从 Windows 11 22H2 版本开始,Windows Terminal 将正式成为 Windows 11 的默认设置。 此次更新则意味着,以后 Windows 11 的所有命令行应用程序都将在 Windows Terminal 中自动打开。 关于 Windows 11 默认终端的更多详情可查看微软博客:https://devblogs.microsoft.com/commandline/windows-terminal-is-now-the-default-in-windows -11/ ------ 我们创建了一个高质量的技术交流群,与优秀的人在一起,自己也会优秀起来,赶紧点击加群,享受一起成长的快乐。
1.1K20编辑于 2023-04-04 - 来自专栏全栈程序员必看
Windows11安装 Python
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
64710编辑于 2022-11-01 - 来自专栏yetonwoo
物理机安装 Windows 11
通过各种高科技功能同步到Hajeekn 的博客 最近 Windows 11 发布了,我趁机白嫖了个预览版镜像在虚拟机里面装着玩玩,之后便给实体机也装上了 本文章说说如何安装 Windows 11 和对于笔记本如何优化动效 安装 Windows 11 获取 Windows 11 预览版镜像 天翼云:https://cloud.189.cn/t/bYbEzq7vAVra 访问码:q2rt 迅雷:https://pan.xunlei.com 11 下载之后解压镜像 双击运行 setup.exe 进行安装 如果提示你的电脑不能访问,那么下载一个 Windows 10 镜像内部的 appraiserres.dll 文件替换掉 Windows 徽标 选择设置 找到 Windows Update 进入 Windows 预览体验计划 把选择预览体验成员设置里面的通道改为 Dev 然后点击打开 Windows 更新 找到英特尔 Display 更新 ,把这个补丁安装了 之后你的 Windows 11 会非常流畅,然后点击任务栏的搜索(放大镜)搜索查看”高级系统设置” 找到性能-设置 点击调为最佳外观 然后确定 然后再搜索控制面板 进入控制面板\硬件和声音
2.1K10编辑于 2022-04-25 - 来自专栏科控自动化
WINDOWS 11 Manager 和谐版
软件功能 信息 获得系统和系统上的所有硬件的详细信息;帮你找出的Windows,Office产品安装密钥;显示运行在你机器上进程和线程的详细信息;Windows 11 Manager提供1 优化 调整你的系统以提高windows的启动及关机速度,调整你的硬件以提高系统速度和性能;控制哪些程序随着Windows启动而启动,检查并修复高级启动项目以恢复被病毒恶意的改变;调整和优化系统服务和计划任务 自定义 调整资源管理器的外观,桌面,开始菜单,任务栏和通知区域来自定义您的系统;管理被固定项目和固定任何文件或文件夹到任务栏和开始;在任务栏上创建快速启动的跳转列表项;调整Windows 10的启动菜单 多种实用程序 创建计划任务或触发任务的监控;显示和运行内置的Windows的有用的集合工具;将一个文件分成几个较小的文件或合并回原始文件;超级拷贝是自动复制或备份文件的有力工具;使用注册表工具很容易地操作你的注册表 Windows10Manager:https://ldqk.lanzouo.com/iNzlaxcgsed Windows11Manager:https://ldqk.lanzouo.com/iMxCnx44u9a
1.1K10编辑于 2022-03-29 - 来自专栏云深之无迹
Windows11初体验
今天把手头的一台电脑升级了Windows11,先简单的说下升级过程。你需要有一个微软的账号。然后加入开发者计划,然后更新一次最新的20H4的版本。 然后就开始下载Windows11 Insider Preview的安装包了。 微软的软件,也是可以用的,很漂亮 在win10下设置这个Dev渠道 下载过后监测一下是不是可以升级 其实就安装一个大的11OS 其中从注册到升级开机需要2个半小时,假如你的电脑是SSD 网络的速度很快的话 开机过后,你最应该发现的不同的地方就是任务栏了 还有新的这个 设置的logo,是不是很好看 任务栏太大了,但是win11去掉了这个功能。 查了一下可以使用注册表打开 WIn+R 输入regedit HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Explorer\
74220发布于 2021-08-20
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号