Windows用户行为分析

admin 2024年7月2日11:33:26评论5 views字数 2524阅读8分24秒阅读模式
Windows用户行为分析

点击上方蓝字关注我们

建议大家把公众号“TeamSecret安全团队”设为星标,否则可能就看不到啦!因为公众号现在只对常读和星标的公众号才能展示大图推送。操作方法:点击右上角的【...】,然后点击【设为星标】即可。

                   免责申明

"本文档所提供的信息旨在帮助网络安全专业人员更好地理解并维护他们负责的网站和服务器等系统。我们鼓励在获得适当授权的情况下使用这些信息。请注意,任何未经授权的使用或由此产生的直接或间接后果和损失,均由使用者自行承担。我们提供的资源和工具仅供学习和研究之用,我们不鼓励也不支持任何非法活动。"

"我们创建这个社区是为了促进技术交流和知识分享。我们希望每位成员都能在遵守法律法规的前提下参与讨论和学习。如果使用本文档中的信息导致任何直接或间接的后果和损失,我们提醒您,这将由您个人承担。我们不承担由此产生的任何责任。如果有任何内容侵犯了您的权益,请随时告知我们,我们将立即采取行动并表示诚挚的歉意。我们感谢您的理解和支持。"

                        前言

最近在Github上闲逛时突然看到了kacos2000的一个项目WindowsTimeline(Windows 10 (v1803+) ActivitiesCache.db parsers (SQLite, PowerShell, .EXE),大概内容是基于Windows 10 时间线的一个.db文件会记录用户的活动信息。

ActivitiesCache.db

ActivitiesCache.db 是一个数据库文件,通常与 Windows 操作系统的活动历史记录相关。它用于存储用户在设备上的活动信息,这些信息可以帮助操作系统提供更好的用户体验。例如,Windows 10 的时间线功能允许用户查看和恢复以前的活动,ActivitiesCache.db 就是其中一个存储这些活动数据的文件。 
这个文件记录了用户的应用使用情况、文件访问记录、网页浏览历史等信息。虽然它主要用于提升用户体验。 

Windows 10 时间轴默认启用的,ActivitiesCache.db 存储位置在如下路径:

C:Users%username%AppDataLocalConnectedDevicesPlatform

在Github上有一款工具User-Behavior-Mapping-Tool,可以很好的将此ActivitiesCache.db文件导出,进行数据分析,可提取数据库中找到的所有数据,不同应用程序主动使用的时间;启动的应用程序和使用的参数。

此类数据可快速判断当前主机用户的使用习惯,文件存储位置等有用信息。

https://github.com/trustedsec/User-Behavior-Mapping-Tool

使用方法如何:

python3 UserBehaviourAnalyzer.py -f /mnt/c/ads/ActivitiesCache.db
Windows用户行为分析
  • en_report_Activity_Applications.csv

该报告包含基于数据库中找到的所有数据,不同应用程序已主动使用的总时间。
  • gen_report_ApplicationLaunch_StartTime.csv

此报告显示已启动的应用程序和使用的参数(有时还包括文件名)以及启动时间。这对于了解用户何时启动其应用程序很有用。
  • gen_report_useractivity_start_and_end.csv

此报告对每天的所有时间进行分组,并查找当天的第一个条目和最后一个条目。此报告有助于了解用户何时开始一天的工作以及上次启动应用程序的时间。
  • gen_fig_top10_apps_bars.jpg

这显示了使用 Bars 可视化的前 10 个最常用的应用程序。使用时间以秒为单位。
  • gen_fig_top10_apps_pie.jpg

这以饼图的形式显示了最常用的 10 个应用程序。使用时间以秒为单位。
  • gen_fig_useractivity_bar.jpg

这会根据每天找到的第一个活动和每天找到的最后一个活动来可视化用户何时处于活动状态和空闲状态。y 轴显示一天中的时间。时间基于用户的时区 ex 500 = 0500 (5am) ex 2000 (8pm)
  • gen_fig_useractivity_heatmap.jpg

这可视化了按天排序的用户活动。颜色越亮,活动越多。时间基于用户的时区

Windows用户行为分析

ulog.exe(自研小工具)

此工具是自研工具,通过调用Windows api获取用户操作程序的信息,将获取到的信息存入log文件中。

Windows用户行为分析

Windows用户行为分析

                    免杀效果

  • Kaspersky

Windows用户行为分析

  • Defender

Windows用户行为分析

                 加入纷传

掌握免杀艺术,深入内网核心。

我们是您网络安全技能提升的加速器,专注于免杀技术和内网渗透的深度培训。在这里,您将学习如何无声无息地穿透防御,掌握网络安全的高级技巧。

  • 免杀专精:学会如何在不触发警报的情况下进行有效渗透。

  • 内网精通:深入网络的心脏地带,学习如何识别和利用关键漏洞。

  • 实战演练:通过模拟真实攻击场景,提升您的应对策略。

加入我们,让免杀和内网渗透成为您网络安全职业生涯的利器。

Tips:

每周不定时纷传小圈子都会开启公开课!

Windows用户行为分析

       TeamSecret安全团队初衷

我们的目标是:

  • 知识普及:让更多人了解网络安全的基础知识和最新动态。

  • 技能提升:为网络安全从业者和爱好者提供实战技能的提升。

  • 案例分析:深入剖析国内外网络安全事件,提炼经验教训。

  • 攻防演练:模拟攻击与防御场景,提高应对网络威胁的能力。

我们的内容涵盖:

  • 攻击队常用的网络攻击技术与工具。

  • 网络攻防演练的策略与实战案例。

  • 系统漏洞分析与防御措施。

  • 网络安全法律法规与伦理道德。

  • 网络安全行业动态与未来趋势。

加入我们,您将获得:

  • 专业的网络安全知识分享。

  • 与行业专家的互动交流机会。

  • 网络安全防护的实用技巧。

  • 网络安全事件的深度解析。

安全第一,技术先行。 我们相信,通过不断的学习和实践,我们能够共同构建一个更加安全、稳定的网络环境。

关注我们,一起探索网络安全的奥秘,成为网络世界的守护者!

添加作者微信发送:进群,邀请你加入学习交流群

Windows用户行为分析

#Tools

原文始发于微信公众号(TeamSecret安全团队):Windows用户行为分析

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年7月2日11:33:26
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Windows用户行为分析http://cn-sec.com/archives/2908890.html

发表评论

匿名网友 填写信息