- 综合排序
- 最热优先
- 最新优先
- 来自专栏全栈工程师修炼之路
Windows日志取证
常见安全事件日志ID汇总 适用于:Windows Server 2016 ID 安全事件信息 12 Windows系统启动时间(Kernel) - * 13 Windows系统关闭时间( ,因为Windows防火墙无法识别其次要版本号 4953 Windows防火墙已忽略规则,因为它无法解析规则 4954 Windows防火墙组策略设置已更改。 5032 Windows防火墙无法通知用户它阻止应用程序接受网络上的传入连接 5033 Windows防火墙驱动程序已成功启动 5034 Windows防火墙驱动程序已停止 5035 Windows 5152 Windows筛选平台阻止了数据包 5153 限制性更强的Windows筛选平台筛选器阻止了数据包 5154 Windows过滤平台允许应用程序或服务在端口上侦听传入连接 5155 Windows Windows筛选平台基本筛选引擎启动时,存在以下提供程序上下文 5444 Windows筛选平台基本筛选引擎启动时,存在以下子层 5446 Windows筛选平台标注已更改 5447 Windows
5.2K40发布于 2020-10-23 - 来自专栏全栈工程师修炼之路
Windows日志取证
常见安全事件日志ID汇总 适用于:Windows Server 2016 ID 安全事件信息 12 Windows系统启动时间(Kernel) - * 13 Windows系统关闭时间( ,因为Windows防火墙无法识别其次要版本号 4953 Windows防火墙已忽略规则,因为它无法解析规则 4954 Windows防火墙组策略设置已更改。 5032 Windows防火墙无法通知用户它阻止应用程序接受网络上的传入连接 5033 Windows防火墙驱动程序已成功启动 5034 Windows防火墙驱动程序已停止 5035 Windows 5152 Windows筛选平台阻止了数据包 5153 限制性更强的Windows筛选平台筛选器阻止了数据包 5154 Windows过滤平台允许应用程序或服务在端口上侦听传入连接 5155 Windows Windows筛选平台基本筛选引擎启动时,存在以下提供程序上下文 5444 Windows筛选平台基本筛选引擎启动时,存在以下子层 5446 Windows筛选平台标注已更改 5447 Windows
4.3K11编辑于 2022-09-28 Windows取证实战指南
概述(Overview)计算机取证是网络安全领域的核心分支,专注于收集和分析计算机活动证据。作为广义数字取证的一部分,它涵盖了对各类数字设备(包括计算机)中数据的恢复、检查与分析。 微软Windows是目前市场份额最高(约80%)的桌面操作系统,被个人和企业广泛使用。因此,对于任何数字取证从业者而言,精通Windows系统的取证分析至关重要。 Windows取证基础(WindowsForensicsFundamentals)#####1.取证证据(ForensicArtifacts)在取证分析中,“证据”(Artifacts)是指能够证明人类活动的 在计算机取证中,证据是用户活动在系统中留下的微小痕迹。Windows系统会为特定活动创建并记录大量证据,使得调查人员能够通过取证技术相当精确地追溯个人行为。这些证据通常存储在普通用户不易接触的位置。 #####2.Windows注册表与取证(WindowsRegistryandForensics)Windows注册表是一个包含系统配置数据的核心数据库集合。
21520编辑于 2025-12-15- 来自专栏FreeBuf
数字取证技术 | Windows内存信息提取
0×00概述 后面会花一部分时间,写一些数字取证相关的文章。攻击技术贴多如牛毛,眼下不管是网安,还是安全厂商, 欠缺的是对取证技术的研究。 大致想了一下,主要会从以下几个方面逐一介绍吧: - 内存 - 硬盘镜像 - 网络 - Timeline利用 - 威胁情报在取证中的作用等 0×01 windows内存取证 取证的时候为什么要做内存分析 0×04获取历史CMD命令 在windows XP下, 一般cmd.exe的历史记录存在于csrss.exe进程内。 而windows 7上,则存在于Conhost.exe进程内。
3.1K60发布于 2018-02-23 - 来自专栏FreeBuf
针对Windows的事件应急响应数字取证工具
目前,该工具仅支持Windows平台。 重构了输出目录的结构; 3、移除了TZworks工具; 4、增加了新的命令行参数; 内存采集: 1、默认采集内存数据; 2、内存数据采集时需提供参数; 3、获取内存之前进行可用空间检查; 4、更新采集流程以避免Windows 崩溃; 新工具: 1、Windowsupdate.log文件 2、Windows Defender扫描日志 3、PowerShell命令行历史记录 4、HOST文件 5、Netstat输出(含相关网络连接的 PID) 6、记录所有目标主机中已登录用户的信息(Triage_info.txt) 7、新增Windows Event日志事件条目 DFIRtriage搜索工具: 1、可针对DFIRtriage输出数据和日志文件进行关键词搜索
1.7K20发布于 2019-12-03 - 来自专栏FreeBuf
Windows取证分析 | 如何最大程度提升分析效率
介绍 内存取证是任何计算机取证分析人员的必备技能之一,这种技术允许我们找到很多无法在磁盘上找到的数字证据,例如: 1、建立的网络链接; 2、仅在内存中的恶意软件; 3、加密密钥; 4、用户凭证。 \vol.py -f D:\MemoryDump.mem windows.info 上图中显示的内容可以告诉我们目标系统的Windows版本和执行内存数据捕捉时的系统时间。 第一个插件就是windows.pslist插件,该插件可以枚举出所有正在运行的进程,如下图所示: windows.psscan插件与windows.pslist插件类似,但它能够获取已终止进程的信息,同时它也使用了不同的方法来收集正在运行进程的信息 本文介绍的工具和方法是内存取证活动中常用的,几乎每一项取证活动都会涉及到这些方法步骤,例如寻找可疑的父子进程关系、网络连接、命令执行和异常等等。 希望本文能够给信息安全取证人员提供一些新的思路,最大程度地实现取证分析效率的提升。
56210编辑于 2024-06-11 - 来自专栏FreeBuf
Windows系统安全事件日志取证工具:LogonTracer
LogonTracer这款工具是基于Python编写的,并使用Neo4j作为其数据库(Neo4j多用于图形数据库),是一款用于分析Windows安全事件登录日志的可视化工具。 它会将登录相关事件中的主机名(或IP地址)和帐户名称关联起来,并将其以图形化的方式展现出来,使得在日志取证时直观清晰。 7、再次访问LogonTracer界面 http://[本地IP地址]:8080 点击左侧的“UploadEvent Log”上传保存在本机的evtx格式或者XML格式的Windows安全日志文件,点击
3.8K20发布于 2019-12-04 - 来自专栏FreeBuf
如何从Windows注册表中提取证书
Windows 注册表中包含有二进制块(Blob),有些二进制块用于存储证书,如下所示: 以下的注册表位置都存储证书: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates 属性标识符的可能值可以在 Windows 开发中心和 wincrypt.h 头文件中找到。 如下所示,证书本身位于记录 11 内(类型为 0x20): 要提取证书请使用 -d执行二进制 dump 并写入本地文件: 结论 二进制数据块中经常出现 TLV 记录,如果想要识别二进制块中的数据, 参考来源: https://blog.nviso.eu/2019/08/28/extracting-certificates-from-the-windows-registry/
2.2K20发布于 2021-10-11 - 来自专栏HACK学习
干货 | Windows取证分析基础知识大全,赶快收藏!
想要做好取证分析工作,工具和技术只是辅助,思路才是核心和重点。 本文将详细分享Microsoft Windows操作系统的基础数字取证知识,了解数据的存放位置和对应部件,便于快速确定关键证据,内容包括windows时间规则、文件下载、程序执行、文件删除/文件信息、浏览器资源 01 windows 时间规则 ? 1 上次登录 • C:\windows\system32\config\SAM • SAM\Domains\Account\Users 2 上次密码修改 • C:\windows\system32 \Microsoft\Windows\Shell\BagMRU 访问桌面: • NTUSER.DAT\Software\Microsoft\Windows\Shell\BagMRU • NTUSER.DAT
5.4K50发布于 2020-03-27 - 来自专栏全栈工程师修炼之路
Linux日志取证
(2)发现隐匿的ssh登录行为 如果是隐匿的ssh正在进行可以通过lsof 或者 netstat 或者ps 命令发现
2.4K20发布于 2020-10-23 - 来自专栏网络安全技术点滴分享
使用Osquery进行远程取证:NTFS取证扩展实战指南
现在另一个群体正在发现osquery的价值:取证分析师。虽然osquery核心功能擅长远程查询各种系统级数据,但取证扩展使其能够检查本地系统用户甚至无法访问的深层数据结构和元数据。 它们是攻击者和取证分析师共同关注的重点。"时间戳篡改"是破坏攻击者文件修改的文件系统时间戳证据的反取证策略的通用名称。在掩盖时间戳证据方面,NTFS比其他文件系统稍微复杂一些。 如果你有Windows命令提示符,那是2018年4月16日星期一晚上9:27:43——具体来说,是晚上9:27:42和0.7452045分钟,但被四舍五入了。非常具体!这是一个自然文件时间戳的样子。 开始使用此扩展提供了一种快速方便的方法,在事件响应过程中对Windows端点执行文件系统取证。从我们的存储库获取它——以及我们的其他osquery扩展。我们致力于维护和扩展我们的扩展集合。 帮助事件响应者进行远程取证是osquery能力不断增强的领域。除了我们的NTFS取证扩展,osquery已经支持文件雕刻、系统活动查询和基于审计的监控。
22110编辑于 2025-09-12 - 来自专栏全栈工程师修炼之路
Linux日志取证
(2)发现隐匿的ssh登录行为 如果是隐匿的ssh正在进行可以通过lsof 或者 netstat 或者ps 命令发现
2.2K20编辑于 2022-09-28 - 来自专栏betasec
Volatility取证分析工具
1.Volatility功能介绍 Volatility是一款开源的内存取证分析工具,支持Windows,Linux,MaC,Android等多类型操作系统系统的内存取证方式。 /Target.vmem windows.info (2) 列出进程信息 (3) 提取某进程文件内容 >>>sudo python3 vol.py -f /opt/forensic-analysis /Target.vmem windows.pslist --pid 516 --dump (4) 查看文件目录 (5) 提取某文件内容(此功能存在问题,待进一步解决!)
1.9K40编辑于 2022-12-11 - 来自专栏FreeBuf
USB流量取证分析
Linux下的分析已经比较多了,下面的环境均在Windows下进行。 一、鼠标流量 1.1 特点分析 USB鼠标流量的规则如下所示: ? 在Windows中安装tshark.exe的目录中输入: tshark.exe -r b.pcap -T fields -e usb.capdata >b.txt //这里b.pcap是我抓捕的数据包名字
3.7K20发布于 2020-04-20 - 来自专栏鸿鹄实验室
内存取证(volatility)
首先第一步,取证大师打开,工具集,内存镜像解析工具,打开镜像 Cmd打开volatility 1、查看内存镜像的基本信息 volatility.exe -f victor_PC_memdump.dmp victor_PC_memdump.dmp --profile=Win7SP1x64 -o 0xfffff8a000a55010 printkey -K "( Wow6432Node)\Microsoft\Windows \2 14、查看用户的SID 导出注册表文件 两种方法: 1.查看SAM 2.查看SOFTWARE\Microsoft\Windows \victor_PC_memdump.dmp --profile=Win7SP1x64 windows
4.5K20发布于 2021-04-15 - 来自专栏用户10781703的专栏
BugKu-Misc-简单取证1
下载文件压缩包,解压得到文件夹config,根据题目得知为取证,使用工具mimikatz, github地址:https://github.com/ParrotSec/mimikatz 将文件夹config
48120编辑于 2023-10-10 内存取证(仅个人思路)
volatility -f test2.raw --profile=Win7SP1x64 hashdump
17510编辑于 2025-10-23- 来自专栏FreeBuf
Collect-MemoryDump:一款针对Windows的数字取证与事件应急响应工具
关于Collect-MemoryDump Collect-MemoryDump是一款针对Windows的数字取证与事件应急响应工具,该工具能够自动创建Windows内存快照以供广大研究人员或应急响应安全人员进行后续的分析和处理 项目提供的Collect-MemoryDump.ps1是一个PowerShell脚本文件,该脚本主要功能就是从一个活动的Windows操作系统中收集内存快照。 \Collect-MemoryDump.ps1 -WinPMEM --Pagefile 工具使用演示 查看帮助信息 检查可用空间 自动创建Windows内存快照 w/ Dumplt 自动创建Windows内存快照 w/ Magnet RAM Capture 自动创建Windows内存快照 w/ WinPMEM 自动创建Windows内存快照 w/ Belkasoft Live RAM Capturer 自动创建Windows内存快照 w/ DumpIt (Microsoft Crash Dump) 自动创建Windows内存快照 w/ WinPMEM
1.3K20编辑于 2023-03-29 - 来自专栏AI SPPECH
090_数字取证高级技术:Windows注册表取证与用户行为分析实战指南——从键值提取到时间线构建的深度调查方法
前言 Windows注册表作为操作系统的核心组件,存储了大量系统配置、应用程序设置和用户行为记录,是数字取证中不可或缺的关键数据源。注册表取证已成为调查用户活动、恶意软件感染和系统入侵的重要手段。 第一章 Windows注册表基础 1.1 注册表概述 Windows注册表是一个层次化的数据库,用于存储Windows操作系统和应用程序的配置信息。 第二章 注册表取证关键位置 2.1 用户活动记录位置 2.1.1 最近使用文件 HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs 跨平台整合:Windows与其他操作系统注册表数据的整合分析 高级反取证:攻击者使用更复杂的注册表隐藏技术 8.3 工具发展趋势 注册表取证工具的发展趋势: 自动化程度提高:更多的自动化分析和报告生成 可视化增强:更直观的可视化分析界面 集成化平台:与其他取证工具的无缝集成 云原生工具:专为云环境设计的取证工具 结论 Windows注册表作为系统核心组件,在数字取证中具有不可替代的价值。
38110编辑于 2025-11-16 - 来自专栏陈冠男的游戏人生
内存取证工具(volatility)
用到的文件是之前 360 的比赛里面的一个镜像(文件名:xp.raw),本来想自己 dump 一个虚拟机的分析一下,但是太大了就放弃了
3.6K40发布于 2020-01-02
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号