- 综合排序
- 最热优先
- 最新优先
- 来自专栏全栈工程师修炼之路
Windows日志取证
常见安全事件日志ID汇总 适用于:Windows Server 2016 ID 安全事件信息 12 Windows系统启动时间(Kernel) - * 13 Windows系统关闭时间( ,因为Windows防火墙无法识别其次要版本号 4953 Windows防火墙已忽略规则,因为它无法解析规则 4954 Windows防火墙组策略设置已更改。 5032 Windows防火墙无法通知用户它阻止应用程序接受网络上的传入连接 5033 Windows防火墙驱动程序已成功启动 5034 Windows防火墙驱动程序已停止 5035 Windows 5152 Windows筛选平台阻止了数据包 5153 限制性更强的Windows筛选平台筛选器阻止了数据包 5154 Windows过滤平台允许应用程序或服务在端口上侦听传入连接 5155 Windows Windows筛选平台基本筛选引擎启动时,存在以下提供程序上下文 5444 Windows筛选平台基本筛选引擎启动时,存在以下子层 5446 Windows筛选平台标注已更改 5447 Windows
5.3K40发布于 2020-10-23 - 来自专栏全栈工程师修炼之路
Windows日志取证
常见安全事件日志ID汇总 适用于:Windows Server 2016 ID 安全事件信息 12 Windows系统启动时间(Kernel) - * 13 Windows系统关闭时间( ,因为Windows防火墙无法识别其次要版本号 4953 Windows防火墙已忽略规则,因为它无法解析规则 4954 Windows防火墙组策略设置已更改。 5032 Windows防火墙无法通知用户它阻止应用程序接受网络上的传入连接 5033 Windows防火墙驱动程序已成功启动 5034 Windows防火墙驱动程序已停止 5035 Windows 5152 Windows筛选平台阻止了数据包 5153 限制性更强的Windows筛选平台筛选器阻止了数据包 5154 Windows过滤平台允许应用程序或服务在端口上侦听传入连接 5155 Windows Windows筛选平台基本筛选引擎启动时,存在以下提供程序上下文 5444 Windows筛选平台基本筛选引擎启动时,存在以下子层 5446 Windows筛选平台标注已更改 5447 Windows
4.4K11编辑于 2022-09-28 Windows取证实战指南
概述(Overview)计算机取证是网络安全领域的核心分支,专注于收集和分析计算机活动证据。作为广义数字取证的一部分,它涵盖了对各类数字设备(包括计算机)中数据的恢复、检查与分析。 微软Windows是目前市场份额最高(约80%)的桌面操作系统,被个人和企业广泛使用。因此,对于任何数字取证从业者而言,精通Windows系统的取证分析至关重要。 Windows取证基础(WindowsForensicsFundamentals)#####1.取证证据(ForensicArtifacts)在取证分析中,“证据”(Artifacts)是指能够证明人类活动的 在计算机取证中,证据是用户活动在系统中留下的微小痕迹。Windows系统会为特定活动创建并记录大量证据,使得调查人员能够通过取证技术相当精确地追溯个人行为。这些证据通常存储在普通用户不易接触的位置。 #####2.Windows注册表与取证(WindowsRegistryandForensics)Windows注册表是一个包含系统配置数据的核心数据库集合。
31220编辑于 2025-12-15- 来自专栏FreeBuf
数字取证技术 | Windows内存信息提取
0×00概述 后面会花一部分时间,写一些数字取证相关的文章。攻击技术贴多如牛毛,眼下不管是网安,还是安全厂商, 欠缺的是对取证技术的研究。 大致想了一下,主要会从以下几个方面逐一介绍吧: - 内存 - 硬盘镜像 - 网络 - Timeline利用 - 威胁情报在取证中的作用等 0×01 windows内存取证 取证的时候为什么要做内存分析 0×04获取历史CMD命令 在windows XP下, 一般cmd.exe的历史记录存在于csrss.exe进程内。 而windows 7上,则存在于Conhost.exe进程内。
3.1K60发布于 2018-02-23 - 来自专栏FreeBuf
Windows取证分析 | 如何最大程度提升分析效率
本文介绍的工具和方法是内存取证活动中常用的,几乎每一项取证活动都会涉及到这些方法步骤,例如寻找可疑的父子进程关系、网络连接、命令执行和异常等等。 希望本文能够给信息安全取证人员提供一些新的思路,最大程度地实现取证分析效率的提升。 本文涉及到的内存映像拆分成了三个部分,感兴趣的用户可以自行下载实操: 1、第一部分: https://f002.backblazeb2.com/file/C5blogfiles/memorydump1/MemoryDump.raw.7z .001 2、第二部分: https://f002.backblazeb2.com/file/C5blogfiles/memorydump1/MemoryDump.raw.7z.002 3、第三部分: https://f002.backblazeb2.com/file/C5blogfiles/memorydump1/MemoryDump.raw.7z.003 https://github.com/volatilityfoundation
60410编辑于 2024-06-11 - 来自专栏FreeBuf
针对Windows的事件应急响应数字取证工具
目前,该工具仅支持Windows平台。 重构了输出目录的结构; 3、移除了TZworks工具; 4、增加了新的命令行参数; 内存采集: 1、默认采集内存数据; 2、内存数据采集时需提供参数; 3、获取内存之前进行可用空间检查; 4、更新采集流程以避免Windows 崩溃; 新工具: 1、Windowsupdate.log文件 2、Windows Defender扫描日志 3、PowerShell命令行历史记录 4、HOST文件 5、Netstat输出(含相关网络连接的 PID) 6、记录所有目标主机中已登录用户的信息(Triage_info.txt) 7、新增Windows Event日志事件条目 DFIRtriage搜索工具: 1、可针对DFIRtriage输出数据和日志文件进行关键词搜索
1.7K20发布于 2019-12-03 - 来自专栏FreeBuf
Windows系统安全事件日志取证工具:LogonTracer
LogonTracer这款工具是基于Python编写的,并使用Neo4j作为其数据库(Neo4j多用于图形数据库),是一款用于分析Windows安全事件登录日志的可视化工具。 它会将登录相关事件中的主机名(或IP地址)和帐户名称关联起来,并将其以图形化的方式展现出来,使得在日志取证时直观清晰。 7、再次访问LogonTracer界面 http://[本地IP地址]:8080 点击左侧的“UploadEvent Log”上传保存在本机的evtx格式或者XML格式的Windows安全日志文件,点击
3.9K20发布于 2019-12-04 - 来自专栏FreeBuf
如何从Windows注册表中提取证书
Windows 注册表中包含有二进制块(Blob),有些二进制块用于存储证书,如下所示: 以下的注册表位置都存储证书: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates 属性标识符的可能值可以在 Windows 开发中心和 wincrypt.h 头文件中找到。 如下所示,证书本身位于记录 11 内(类型为 0x20): 要提取证书请使用 -d执行二进制 dump 并写入本地文件: 结论 二进制数据块中经常出现 TLV 记录,如果想要识别二进制块中的数据, 参考来源: https://blog.nviso.eu/2019/08/28/extracting-certificates-from-the-windows-registry/
2.2K20发布于 2021-10-11 - 来自专栏HACK学习
干货 | Windows取证分析基础知识大全,赶快收藏!
想要做好取证分析工作,工具和技术只是辅助,思路才是核心和重点。 本文将详细分享Microsoft Windows操作系统的基础数字取证知识,了解数据的存放位置和对应部件,便于快速确定关键证据,内容包括windows时间规则、文件下载、程序执行、文件删除/文件信息、浏览器资源 Windows\Recent\ AutomaticDestinations 6 Amcache.hve(ProgramDataUpdater) Win7/8/10: C:\Windows\AppCompat \setupapi.log Win7/8/10: C:\Windows\inf\setupapi.dev.log 2)(第一次,最后一次,拔出)(在Win7/8/10) System Hive: 6 prefetch WinXP/7/8/10: C:\Windows\Prefetch 7 最后访问的MRU XP: NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion
5.5K50发布于 2020-03-27 - 来自专栏网络
安装 Windows 7
1.镜像安装 镜像安装:安装Windows 7 2.安装过程(直接以图的形式呈现) 等待安装成功即可
22510编辑于 2024-10-17 - 来自专栏张善友的专栏
Windows 7社区发布活动 -- Windows 7兼容性概述
今天在深圳的Windows 7社区发布活动讲了Session 2 -- Windows 7兼容性概述。今天参会的人员达到60多个,大家也非常积极的讨论。 在抽奖环节,我抽取一等奖的奖品-- windows 7,得主是位女生,各位得主最后有张合影。 ,因此Windows 7实际上是Vista的一个升级版,核心还是沿用Vista SP1。 这些旧式程序为Windows 7的兼容性带来了巨大的挑战。 5、浏览器兼容性问题:很多程序在xp/vista下的IE8没问题,到了win7下就出现问题。Windows 7调用的是内置的IE 8组件。 所以在win7下的兼容性测试,浏览器兼容是需要重点关注的。 实际上,Windows 7就是Windows Vista的一种升级进化版本。
2.4K60发布于 2018-01-31 - 来自专栏张善友的专栏
Sketchflow for Windows Phone 7
这篇文章小试Sketchflow for Windows Phone 7 简要的介绍了Sketchflow for Windows Phone 7,这里是我主要是介绍下最新版本的功能。 Sketchflow for Windows Phone 7在错哦deplex上安家了,地址是:http://wp7sketchflow.codeplex.com,具体使用文档可以参考http://wp7sketchflow.codeplex.com 您可以使用Windows Phone 7中现有的控件或您自定义的控件。 收集反馈 Sketchflow for Windows Phone 7在浏览器中向他人展示您的原型。在浏览器中使您可以从第一时刻起探索原型,即使它仅包含几张粗略的草图。 但是向他人展示原型只是审查流程的一部分,因此Sketchflow for Windows Phone 7还提供了工具来收集评论者的反馈意见。
1.2K80发布于 2018-01-30 - 来自专栏Python 知识大全
Windows 7正式退休
阅读本文需要1.3分钟 Windows 7系统诞生于2009年,至今已有10年多,微软在发布的时候承诺10年的维护。据调查显示,国内近60%电脑用户仍在使用win7系统。 考虑到用户庞大、影响广泛,微软方面于去年3月就正式对用户做出了将停止更新Windows 7系统的提醒。 ? ? 微软已经在Win10推荐页面中上线Win7倒计时并写道,微软对Windows 7的外延支持将于2020年1月14日结束,微软将不再为运行Windows 7操作系统的设备提供安全更新或技术支持。 1月14日,微软宣告Windows 7正式退休,它将不再为安装Windows 7的电脑提供安全升级或支持。 ? 据调查显示,国内近60%电脑用户仍在使用win7系统。 Windows 7的企业及个人用户实时查杀流行病毒、提供漏洞补丁。
96010发布于 2020-02-13 - 来自专栏NetCore
Windows 7 初体验
用了10个小时下载windos 7 build版本,再用了2个小时安装了windows 7,在盼望中正式开始接触了,我也“潮”了一次 研究了1个小时,实在太累了,就睡着了,今天来说说1个小时的体验吧 windows 总体感觉还不错的,觉得很方便,IE8比起IE7快了很多,不过很奇怪的是,有一个进程一直占据着大量的cpu,通过任务管理器把其关闭,不影响系统,不太明白是什么运行着。 ,上次看到博客园里的朋友说7对于VS2008支持很好,目前还没有测试,今天晚上抓紧测试一下。 再来说说7的独特boot,boot文件偶找不到在哪里,不过启动机器后,会先进入7的boot,然后你可以开始选择,可以选择原先的系统,特别方便,不像以前装双系统自己去修改boot 7真的很神奇,现在是build1 ,我想日后我基本上会换成7了,vista对我的诱惑太小了,希望7能 越走越远~~~这几天我会继续测试,大家有兴趣也可以下载一下,一起讨论讨论
1K90发布于 2018-02-01 - 来自专栏全栈工程师修炼之路
Linux日志取证
(2)发现隐匿的ssh登录行为 如果是隐匿的ssh正在进行可以通过lsof 或者 netstat 或者ps 命令发现
2.4K20发布于 2020-10-23 - 来自专栏网络安全技术点滴分享
使用Osquery进行远程取证:NTFS取证扩展实战指南
现在另一个群体正在发现osquery的价值:取证分析师。虽然osquery核心功能擅长远程查询各种系统级数据,但取证扩展使其能够检查本地系统用户甚至无法访问的深层数据结构和元数据。 它们是攻击者和取证分析师共同关注的重点。"时间戳篡改"是破坏攻击者文件修改的文件系统时间戳证据的反取证策略的通用名称。在掩盖时间戳证据方面,NTFS比其他文件系统稍微复杂一些。 如果你有Windows命令提示符,那是2018年4月16日星期一晚上9:27:43——具体来说,是晚上9:27:42和0.7452045分钟,但被四舍五入了。非常具体!这是一个自然文件时间戳的样子。 开始使用此扩展提供了一种快速方便的方法,在事件响应过程中对Windows端点执行文件系统取证。从我们的存储库获取它——以及我们的其他osquery扩展。我们致力于维护和扩展我们的扩展集合。 帮助事件响应者进行远程取证是osquery能力不断增强的领域。除了我们的NTFS取证扩展,osquery已经支持文件雕刻、系统活动查询和基于审计的监控。
24910编辑于 2025-09-12 - 来自专栏全栈工程师修炼之路
Linux日志取证
(2)发现隐匿的ssh登录行为 如果是隐匿的ssh正在进行可以通过lsof 或者 netstat 或者ps 命令发现
2.2K20编辑于 2022-09-28 - 来自专栏蜉蝣禅修之道
Windows 7 mklink命令详解
mklink是Windows 7下的一个类似于linux下In的命令,其作用是在NTFS文件系统中创建文件或目录的链接(类似于桌面快捷方式)。 Mklink命令详细介绍 Windows 7下的mklink命令通过指定参数可以建立出不同形式的文件或目录链接,分为硬链接(hard link)、符号链接(symbolic link)和软链接(联接 Mklink命令用途 转移系统中的用户设置文件 Windows 7中将用户设置与系统文件分离,所有的用户设置及用户文件都存储在C盘下的User目录(在中文版Windows 7中显示为“用户”目录 Windows 7安装完成后可以将C盘下的User目录转移到非系统分区,如D盘,这样,重装系统后只要重新将C盘下的User目录链接到D盘即可。
2.1K20编辑于 2022-04-02 - 来自专栏蘑菇先生的技术笔记
Windows Phones 7 文件操作
Windows Phones 文件操作,自己重新测试了一遍,通过,给大家参考使用。 file.DeleteFile(filepath); } } //在文件里增加内容 private void button7_
75460发布于 2018-05-21 - 来自专栏成猿之路
Windows 7 时代即将终结!
曾经的 Windows XP 如此,现在的 Windows 7 如此,未来的 Windows 10 更会如此。 2009 年诞生的 Windows 7 终究没能超过 Windows XP 13 岁的寿命。 但是整体而言,Windows 7 依旧是 Windows 10 普及最大的“敌人”。 上个月 Windows 10 的装机量已经超过了 Windows 7。对于 Windows 7 终止支持,微软和各大厂商均表示希望通过这一举动可以让更多户升级至最新系统和设备。 Windows 7 的剪不断 不过想在接下来的一年之内,让全球 30% 以上的 Windows 7 用户及企业全部升级至 Windows 10,目前看起来可行性上并不高,毕竟 Windows XP
85520发布于 2019-03-04
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号