Windows系统安全日志取证工具

  • A+
所属分类:网络安全工具
阿里


推广者专属福利,新客户无门槛领取总价值高达2775元代金券,每种代金券限量500张,先到先得。

Windows安全事件日志中详细记录了是谁在什么时候通过什么手段登录到系统或者注销了登录,通过分析该日志可以详细了解服务器的安全情况以及必要时的取证工作。

传统的查看Windows安全日志方法是通过系统自带的“事件查看器”,操作方法如下:

1、右键“我的电脑”,选择管理,打开“事件查看器”;

或者按下Windows键+R的组合键,在运行窗口中输入“eventvwr.msc”直接打开“事件查看器”。

2、在“事件查看器”窗口,展开Windows日志,选择“安全”,登录日志就显示出来了。

Windows系统安全日志取证工具

3、接下来你会在窗口中看到一个列表,包括 “关键字”、 “日期和时间”、“来源”、“事件ID”、“任务类别”。

4、在这里我们可以筛选“事件ID”进行事件分类查看。按不同的事件ID来分析登录情况。

以上是我们传统的查看Windows系统安全日志的方法,通过以上方法可以看出我们需要很大工作量才能把所有的日志一条一条的看完,非常不方便,不利于我们进行取证等

那么有没有什么方法或工具可以帮助我们自动处理这些日志,并帮助我们分析出来想要的数据,帮助我们进行取证呢?

答案是:YES!有的,下面我们就进入今天的主题,在这里给大家分享一款可以自动帮助我们分析Windows安全日志的工具,并且开源免费的。

工具简介:

LogonTracer:是一款用于可视化分析Windows安全事件日志寻找恶意登录的工具。它会将登录相关事件中找到的主机名(或IP地址)和帐户名称关联起来,并将其以图形化的方式展现出来。通过这种方式,可以看到哪个帐户中发生过登录尝试以及哪个主机被使用。基于此研究,该工具可以可视化与Windows登录相关的下列事件ID。

Windows系统安全日志取证工具

4624:登录成功

4625:登录失败

4768:Kerberos身份验证(TGT请求)

4769:Kerberos服务票据(ST请求)

4776:NTLM身份验证

4672:分配特殊权限

CE安全网

发表评论

您必须登录才能发表评论!