- 综合排序
- 最热优先
- 最新优先
- 来自专栏全栈工程师修炼之路
Windows日志取证
5032 Windows防火墙无法通知用户它阻止应用程序接受网络上的传入连接 5033 Windows防火墙驱动程序已成功启动 5034 Windows防火墙驱动程序已停止 5035 Windows Windows筛选平台已阻止绑定到本地端口 5168 SMB/ SMB2的Spn检查失败。 Windows筛选平台基本筛选引擎启动时,存在以下提供程序上下文 5444 Windows筛选平台基本筛选引擎启动时,存在以下子层 5446 Windows筛选平台标注已更改 5447 Windows 6405 BranchCache:发生了事件ID%1的%2个实例。 6406 注册到Windows防火墙以控制以下过滤: 6407 1% 6408 已注册的产品%1失败,Windows防火墙现在正在控制%2的过滤。
5.3K40发布于 2020-10-23 - 来自专栏全栈工程师修炼之路
Windows日志取证
5032 Windows防火墙无法通知用户它阻止应用程序接受网络上的传入连接 5033 Windows防火墙驱动程序已成功启动 5034 Windows防火墙驱动程序已停止 5035 Windows Windows筛选平台已阻止绑定到本地端口 5168 SMB/ SMB2的Spn检查失败。 Windows筛选平台基本筛选引擎启动时,存在以下提供程序上下文 5444 Windows筛选平台基本筛选引擎启动时,存在以下子层 5446 Windows筛选平台标注已更改 5447 Windows 6405 BranchCache:发生了事件ID%1的%2个实例。 6406 注册到Windows防火墙以控制以下过滤: 6407 1% 6408 已注册的产品%1失败,Windows防火墙现在正在控制%2的过滤。
4.4K11编辑于 2022-09-28 Windows取证实战指南
微软Windows是目前市场份额最高(约80%)的桌面操作系统,被个人和企业广泛使用。因此,对于任何数字取证从业者而言,精通Windows系统的取证分析至关重要。 Windows取证基础(WindowsForensicsFundamentals)#####1.取证证据(ForensicArtifacts)在取证分析中,“证据”(Artifacts)是指能够证明人类活动的 在计算机取证中,证据是用户活动在系统中留下的微小痕迹。Windows系统会为特定活动创建并记录大量证据,使得调查人员能够通过取证技术相当精确地追溯个人行为。这些证据通常存储在普通用户不易接触的位置。 #####2.Windows注册表与取证(WindowsRegistryandForensics)Windows注册表是一个包含系统配置数据的核心数据库集合。 特性FAT12FAT16FAT32可寻址位数121628最大簇数4,09665,536268,435,456最大卷大小32MB2GB2TB#####2.新技术文件系统(NewTechnologyFileSystem
31220编辑于 2025-12-15- 来自专栏FreeBuf
数字取证技术 | Windows内存信息提取
0×00概述 后面会花一部分时间,写一些数字取证相关的文章。攻击技术贴多如牛毛,眼下不管是网安,还是安全厂商, 欠缺的是对取证技术的研究。 大致想了一下,主要会从以下几个方面逐一介绍吧: - 内存 - 硬盘镜像 - 网络 - Timeline利用 - 威胁情报在取证中的作用等 0×01 windows内存取证 取证的时候为什么要做内存分析 2. 每个进程参数 3. Redline自带打分功能MRI,给每个进程打分。 恶意进程的MRI会很高,标记为红色。 4. 加载的驱动 5. Hooks 6. 根据时间生成timeline。 0×04获取历史CMD命令 在windows XP下, 一般cmd.exe的历史记录存在于csrss.exe进程内。 而windows 7上,则存在于Conhost.exe进程内。
3.1K60发布于 2018-02-23 - 来自专栏FreeBuf
Windows取证分析 | 如何最大程度提升分析效率
介绍 内存取证是任何计算机取证分析人员的必备技能之一,这种技术允许我们找到很多无法在磁盘上找到的数字证据,例如: 1、建立的网络链接; 2、仅在内存中的恶意软件; 3、加密密钥; 4、用户凭证。 Volatility 映像信息 在使用Volatility 2时,如果要处理内存映像的话,你还需要使用一个专门的配置。但如果你使用的是Volatility 3,插件本身就会动态识别配置信息。 本文介绍的工具和方法是内存取证活动中常用的,几乎每一项取证活动都会涉及到这些方法步骤,例如寻找可疑的父子进程关系、网络连接、命令执行和异常等等。 希望本文能够给信息安全取证人员提供一些新的思路,最大程度地实现取证分析效率的提升。 /MemoryDump.raw.7z.001 2、第二部分: https://f002.backblazeb2.com/file/C5blogfiles/memorydump1/MemoryDump.raw
60410编辑于 2024-06-11 - 来自专栏FreeBuf
针对Windows的事件应急响应数字取证工具
目前,该工具仅支持Windows平台。 工具新特性 常规: 1、引入了高性能更新机制,清理了旧版本Bug,提升了工具性能; 2、重构了输出目录的结构; 3、移除了TZworks工具; 4、增加了新的命令行参数; 内存采集: 1、默认采集内存数据 ; 2、内存数据采集时需提供参数; 3、获取内存之前进行可用空间检查; 4、更新采集流程以避免Windows崩溃; 新工具: 1、Windowsupdate.log文件 2、Windows Defender 扫描日志 3、PowerShell命令行历史记录 4、HOST文件 5、Netstat输出(含相关网络连接的PID) 6、记录所有目标主机中已登录用户的信息(Triage_info.txt) 7、新增Windows 2、现在,我们需要使用PSEXEC来与目标主机建立远程Shell连接: psexec \target_host cmd 3、拿到目标主机的远程Shell之后,现在就能够在目标主机上执行所有命令了。
1.7K20发布于 2019-12-03 - 来自专栏FreeBuf
Windows系统安全事件日志取证工具:LogonTracer
LogonTracer这款工具是基于Python编写的,并使用Neo4j作为其数据库(Neo4j多用于图形数据库),是一款用于分析Windows安全事件登录日志的可视化工具。 它会将登录相关事件中的主机名(或IP地址)和帐户名称关联起来,并将其以图形化的方式展现出来,使得在日志取证时直观清晰。 7、再次访问LogonTracer界面 http://[本地IP地址]:8080 点击左侧的“UploadEvent Log”上传保存在本机的evtx格式或者XML格式的Windows安全日志文件,点击 5、Diff Graph(差异扩散图) 选择要比较额2个不同的时间日期,以图形化对其进行差异分析。 ? ? 问题2:在使用docker安装运行后,访问LogonTracer界面时上传的日志文件成功后,却无法对日志加载分析。 ?
3.9K20发布于 2019-12-04 - 来自专栏FreeBuf
如何从Windows注册表中提取证书
Windows 注册表中包含有二进制块(Blob),有些二进制块用于存储证书,如下所示: 以下的注册表位置都存储证书: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates 属性标识符的可能值可以在 Windows 开发中心和 wincrypt.h 头文件中找到。 这意味着二进制块内的 TLV 记录可以使用 format-bytes.py -f “tlv=f:<III,t:0,l:2” blob.bin进行解析: 例如,记录 5 的类型为 0x0b 代表是 CERT_FRIENDLY_NAME_PROP_ID 如下所示,证书本身位于记录 11 内(类型为 0x20): 要提取证书请使用 -d执行二进制 dump 并写入本地文件: 结论 二进制数据块中经常出现 TLV 记录,如果想要识别二进制块中的数据, 参考来源: https://blog.nviso.eu/2019/08/28/extracting-certificates-from-the-windows-registry/
2.2K20发布于 2021-10-11 - 来自专栏HACK学习
干货 | Windows取证分析基础知识大全,赶快收藏!
想要做好取证分析工作,工具和技术只是辅助,思路才是核心和重点。 本文将详细分享Microsoft Windows操作系统的基础数字取证知识,了解数据的存放位置和对应部件,便于快速确定关键证据,内容包括windows时间规则、文件下载、程序执行、文件删除/文件信息、浏览器资源 (第一次) XP: C:\Windows\setupapi.log Win7/8/10: C:\Windows\inf\setupapi.dev.log 2)(第一次,最后一次,拔出)(在Win7/8/ 1 上次登录 • C:\windows\system32\config\SAM • SAM\Domains\Account\Users 2 上次密码修改 • C:\windows\system32 Microsoft\Windows\Cookies IE11: %USERPROFILE%\AppData\Local\Microsoft\Windows\InetCookies 2)Firefox
5.5K50发布于 2020-03-27 - 来自专栏全栈工程师修炼之路
Linux日志取证
0.31s 0.00s w [[email protected] bash-5.0]$last root pts/0 192.168.1.88 Fri Aug 2 Fri Aug 2 14:51 - 16:01 (01:10) root pts/1 192.168.1.88 Fri Aug 2 14:43 - down (00 :06) (2)发现隐匿的ssh登录行为 如果是隐匿的ssh正在进行可以通过lsof 或者 netstat 或者ps 命令发现 #lsof方法 lsof -i:22 | grep EST sshd
2.4K20发布于 2020-10-23 - 来自专栏网络安全技术点滴分享
使用Osquery进行远程取证:NTFS取证扩展实战指南
现在另一个群体正在发现osquery的价值:取证分析师。虽然osquery核心功能擅长远程查询各种系统级数据,但取证扩展使其能够检查本地系统用户甚至无法访问的深层数据结构和元数据。 \PhysicalDrive0" AND partition=2 AND path="/Users/Garret/Downloads" AND fn_btime > ctime OR btime > ctime ;示例2:时间戳缺少完整精度攻击者有时可能很懒,使用内置系统工具进行时间戳篡改。 如果你有Windows命令提示符,那是2018年4月16日星期一晚上9:27:43——具体来说,是晚上9:27:42和0.7452045分钟,但被四舍五入了。非常具体!这是一个自然文件时间戳的样子。 开始使用此扩展提供了一种快速方便的方法,在事件响应过程中对Windows端点执行文件系统取证。从我们的存储库获取它——以及我们的其他osquery扩展。我们致力于维护和扩展我们的扩展集合。
24910编辑于 2025-09-12 - 来自专栏全栈工程师修炼之路
Linux日志取证
0.00s 0.31s 0.00s w [root@master bash-5.0]$last root pts/0 192.168.1.88 Fri Aug 2 Fri Aug 2 14:51 - 16:01 (01:10) root pts/1 192.168.1.88 Fri Aug 2 14:43 - down (00 :06) (2)发现隐匿的ssh登录行为 如果是隐匿的ssh正在进行可以通过lsof 或者 netstat 或者ps 命令发现 #lsof方法 lsof -i:22 | grep EST sshd
2.2K20编辑于 2022-09-28 - 来自专栏betasec
Volatility取证分析工具
1.Volatility功能介绍 Volatility是一款开源的内存取证分析工具,支持Windows,Linux,MaC,Android等多类型操作系统系统的内存取证方式。 Volatility2的使用方法 (1) 获取系统基本信息 >>>python2 vol.py -f .. /Target.vmem imageinfo (2) 列出进程信息 >>> python2 vol.py -f .. /Target.vmem windows.info (2) 列出进程信息 (3) 提取某进程文件内容 >>>sudo python3 vol.py -f /opt/forensic-analysis /Target.vmem windows.pslist --pid 516 --dump (4) 查看文件目录 (5) 提取某文件内容(此功能存在问题,待进一步解决!)
2K40编辑于 2022-12-11 - 来自专栏FreeBuf
USB流量取证分析
Linux下的分析已经比较多了,下面的环境均在Windows下进行。 一、鼠标流量 1.1 特点分析 USB鼠标流量的规则如下所示: ? 在Windows中安装tshark.exe的目录中输入: tshark.exe -r b.pcap -T fields -e usb.capdata >b.txt //这里b.pcap是我抓捕的数据包名字 需要注意的是这个工具必须在python2环境下,同时保证安装了matplotlib和numpy。 , 0x1F: "2@", 0x20: "3#", 0x21: "4$", 0x22: "5%", 0x23: "6^", 0x24: "7&", 0x25: "8*", 0x26: "9(", 0x27: "0)", 0x2C: " ", 0x2D: "-_", 0x2E: "=+", 0x2F: "[{", 0x30: "]}", 0x32: "#~", 0x33: ";:",
3.8K20发布于 2020-04-20 - 来自专栏鸿鹄实验室
内存取证(volatility)
首先第一步,取证大师打开,工具集,内存镜像解析工具,打开镜像 Cmd打开volatility 1、查看内存镜像的基本信息 volatility.exe -f victor_PC_memdump.dmp 2、查看进程 PID是进程号 PPID是父进程号 volatility.exe -f victor_PC_memdump.dmp --profile=Win7SP1x64 pslist victor_PC_memdump.dmp --profile=Win7SP1x64 -o 0xfffff8a000a55010 printkey -K "( Wow6432Node)\Microsoft\Windows 14、查看用户的SID 导出注册表文件 两种方法: 1.查看SAM 2.查看SOFTWARE\Microsoft\Windows \victor_PC_memdump.dmp --profile=Win7SP1x64 windows
4.5K20发布于 2021-04-15 - 来自专栏用户10781703的专栏
BugKu-Misc-简单取证1
下载文件压缩包,解压得到文件夹config,根据题目得知为取证,使用工具mimikatz, github地址:https://github.com/ParrotSec/mimikatz 将文件夹config
49820编辑于 2023-10-10 内存取证(仅个人思路)
volatility -f test2.raw imageinfo 获取镜像详细信息 profile参数很重要 volatility -f test2.raw --profile=Win7SP1x64 获取桌面文件名称,猜解其内容 volatility -f test2.raw --profile=Win7SP1x64 filescan | grep Desktop 2. 先找名字异常的进程 比如Explore.exe 原系统进程是 explorer.exe 2. 在上一种方式魏国的情况下监察系统进程的启动时间 从启动时间判断 3. 反正只要求提交端口和ip,找外部ip一个一个试 volatility -f test2.raw --profile=Win7SP1x64 netscan/connscan volatility -f test2 -f test2.raw iehistory 会给一个url 从里面的参数可以看到搜索了什么
20510编辑于 2025-10-23- 来自专栏FreeBuf
Collect-MemoryDump:一款针对Windows的数字取证与事件应急响应工具
关于Collect-MemoryDump Collect-MemoryDump是一款针对Windows的数字取证与事件应急响应工具,该工具能够自动创建Windows内存快照以供广大研究人员或应急响应安全人员进行后续的分析和处理 功能介绍 1、开始获取内存之前检查主机名和物理内存大小; 2、检查是否有足够的可用磁盘空间来保存内存转储文件; 3、支持收集原始内存转储 w/ Dumplt; 4、从Magnet Idea 因此,我们需要手动下载下列工具依赖组件: 1、Belkasoft Live RAM Capturer 2、Comae-Toolkit 3、MAGNET Encrypted Disk Detector \Collect-MemoryDump.ps1 -DumpIt 使用样例2 .\Collect-MemoryDump.ps1 -Comae 使用样例3 . 自动创建Windows内存快照 w/ Magnet RAM Capture 自动创建Windows内存快照 w/ WinPMEM 自动创建Windows内存快照 w/ Belkasoft
1.4K20编辑于 2023-03-29 - 来自专栏AI SPPECH
090_数字取证高级技术:Windows注册表取证与用户行为分析实战指南——从键值提取到时间线构建的深度调查方法
前言 Windows注册表作为操作系统的核心组件,存储了大量系统配置、应用程序设置和用户行为记录,是数字取证中不可或缺的关键数据源。注册表取证已成为调查用户活动、恶意软件感染和系统入侵的重要手段。 拍摄基准快照 2. 执行可疑活动 3. 拍摄对比快照 4. 合并时间线数据 cat system_timeline.txt software_timeline.txt user_timeline.txt > combined_timeline.txt # 使用log2timeline # 递归处理子键 for subkey in key.subkeys(): process_key(subkey, depth + 2) 可视化增强:更直观的可视化分析界面 集成化平台:与其他取证工具的无缝集成 云原生工具:专为云环境设计的取证工具 结论 Windows注册表作为系统核心组件,在数字取证中具有不可替代的价值。
50610编辑于 2025-11-16 - 来自专栏明丰随笔
Windows服务小结 2
如何安装一个Windows服务? 如何卸载一个Windows服务? 如何使用参数控制服务的运行方式? 本文主要讨论上面三个问题。 如何安装一个Windows服务? 如何卸载一个Windows服务? 对于这一段实例代码,它想表达的是,一共有三种方式来运行这个程序: 1. engineMode 2. consoleMode 3. windows服务 对于使用windows服务的方式,本文前面的内容已经讲过了 本文回顾: 安装一个Windows服务 卸载一个Windows服务 使用参数控制服务的运行方式 cmd命令行保存到bat文件
60230发布于 2019-09-09
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号