这是 酒仙桥六号部队 的第 23 篇文章。全文共计3915个字，预计阅读时长12分钟。前言又到了一年一度的HW时刻，各家都在为HW积极筹备着，一些厂商也在做着攻防演练的工作，此时，有些真正的攻击者也在利用这个档口对一些网站进行攻击，浑水摸鱼，这样，对于防守队员来说，分析流量做应急的工作就会变得更加困难。这不，某公司内网网络被黑客渗透，接下来，我们就借助wireshark来对流量包进行分析，来还原查找黑客留下的蛛丝马迹，还原攻击的现场。wireshark作为流量分析神器，在开始之前，先来简单科普一下它的一些常用的过滤命令。过滤查看包含某字符串的http数据包：http contains “string”（tcp同理）过滤查看请求某一url的流量：http.request.uri == “path”或 http.request.uri contains “path”过滤出某一ip的流量：ip.addr == ip 或 ip.src == ip 或 ip.dst == ip跟踪显示http请求包与返回包可以Fllow HTTP Stream第一问 扫描器首先来看第一个：黑客用什么扫描器进行的扫描？在开始这个问题之前，我们先来说一说在应急、流量分析的时候，如何快速发现是不是有扫描器扫描的痕迹。一般最常用到的扫描器有WVS、nessus、APPscan、绿盟极光、sqlmap、dirsearch等等，所以我们就要了解这些扫描器本身的一些特征。WVS扫描器通常默认情况下，会在请求的数据包中带有wvs、acunetix_wvs_security_test、acunetix、acunetix_wvs等字样。Nessus扫描器默认情况下会包含nessus字样。APPscan默认情况下会包含APPscan字样。绿盟极光扫描器一般会包含nsfocus、Rsas字样。sqlmap大多情况下也会包含有sqlmap字样。以上情况均为一般、默认情况，但是大多数情况下攻击者都会对自己的行为进行隐藏，如果人家对自己使用的工具做了修改，就为了隐藏让你不好分析，那你就只能另辟蹊径了。好了，了解了一般情况下扫描器的特征，我们就来找找看，一共一个多G的pacp包，一个请求一个请求的来找，怕是找到黑人抬你的时候都找不完，这时就要用到wireshark的命令了，通常情况下，扫描器扫描web应用的流量都是http流量，筛选过滤走起，先来找找看有没有wvs的扫描流量，过滤命令：http contains wvs很明显用了WVS，再搜一搜其他扫描器的特征字符，并没有搜到，看来这个黑阔只用了wvs来扫描。从这个流量中也能确定使用扫描器的攻击者的ip地址，可以先将此ip记录下来，再看看还有没有其他的扫描IP，用到的命令：http contains wvs and not ip.addr==192.168.94.59可以看到过滤之后没有其他的数据包，可以确定只有这一个ip在发起攻击，明确了攻击ip，之后的分析就会轻松一些。第二问 后台黑客扫描到的网站后台是什么？从这个问题出发，我们先确定三个要素：黑客、扫描、后台。从前面我们已经确定了黑客的攻击IP，也确定了扫描器是使用的wvs，那么我们只需要找到后台就可以，我们先假设一些可能的后台关键字：admin、login、administrator。在实际情况中，真正攻击者会隐藏自己的攻击行为，所以不必要过于在意是不是使用的扫描器，只要是这个IP发出的请求，我们都认为他是攻击行为，这样可以尽可能的减少我们分析过程中出现的遗漏。我们先过滤数据包，来看看攻击者访问的登录地址有哪些。这里我们用到的命令：http contains login and ip.addr==192.168.94.59从筛选出来的数据包中，能够看到一个/admin/login.php的请求，我们来跟踪看一下。从前边小箭头的关系就能看出来第一个数据包是request数据包，下边的是response数据包，该请求的请求地址是/admin/login.php，返回状态是200。从这里难道就能确定黑客找到的后台就是它吗？不能直接确定，万一是网站做了统一错误页面呢，也可能是返回状态200，但请求文件不存在。所以我们只能看一下这个数据包具体的内容了。来Fllow HTTP Stream看一下。看到这个返回包的内容，我们可以肯定了，这个地址是存在的，并且可以确定是后台登录地址了。你以为到这里就结束了吗？并没有，我们还需要看看其他的数据包，看看是不是还有其他的后台。通过筛选分析，没有发现有其他存在的后台地址，所以确定黑客攻击的后台地址为/admin/login.php。第三问 账号攻击者使用什么账号登录了后台？上一问中，我们知道了网站的后台地址，现在，我们可以先通过该后台地址了解一下这个网站登录成功的特征。先筛选POST提交账号密码的数据包。这里看到有一个登录数据包，跟踪这个流量来看一下。可以看到这个网站正常登陆后会返回302数据包跳转到/admin/index.php页面，应该就是登录成功了。这个会是攻击者登录的吗？本着不信任任何数据包的信念，把这个登录者的行为来分析一下。先看看他发起了多少次登录请求。登录请求只有三次，而且每次使用的账号密码都相同，如果是攻击者，那么他在发起攻击之前就已经获得了此后台的账号。再来看看除此之外他还有哪些请求。筛选这个ip的请求发现他请求了一个backup.php文件，看看关于这个backup文件还有哪些操作。这里有个对backup文件的POST请求，从请求的内容中分析可以看出来这个backup.php文件的功能是进行数据库备份，再返回来看看这个登录者执行备份操作后还有什么后续的行为。寻遍所有的请求，都只有正常的操作请求，一点点的恶意攻击操作都没有，看来这个ip是正常的员工登录使用。那就再返回来，根据这个登录跳转特征我们来分析一下，来找找攻击者所使用的是什么账号登录的。过滤出来返回包状态302，包含跳转地址为/admin/index.php。只有两个ip登录成功跳转到了后台，我们已经确定了192.168.94.233是正常用户，那么另外这个就应该是攻击者了，来跟踪看一下这个登录所使用的账号信息。再来筛选一下这个ip发起的登录请求，发现存在大量的登录请求，登录成功的数据包就夹杂在这些登录请求中，那么就实锤了，攻击者通过登录爆破的方式爆破出了admin账号的密码，然后使用这个账号密码登录成功后进入后台执行下一步的攻击。第四问 webshell黑客上传的webshell文件名是什么？内容是什么？从前面我们也已经知道，这个网站是PHP的网站，所以上传的webshell也可以先从php后缀文件开始判断，根据PHP一句话webshell的特征先来看看有什么。前边两个GET请求应该是扫描器行为，直接看后边POST请求的a.php文件，跟踪一下这些文件的请求内容和返回包，查看是否为完整的webshell请求。毫无疑问，这个a.php就是我们要找的webshell了。在实际的应急处置过程中，一般我们都需要对攻击进行溯源分析，找到黑客的攻击途径，那么这个webshell是如何被传进来的，我们来分析一下。从http流量中搜寻了半天，始终没有发现上传a.php文件的痕迹，猜测可能上传的数据包在记录时并没有记录为http流量，可能为tcp流量，于是改变策略，来从攻击者发起的所有的流量来寻找一番。根据上边攻击者访问a.php执行的代码，来搜索一下$_POST内容，看看有什么结果。搜索一番，发现了这个数据包，看起来是上传了一个一句话木马，但是跟上边a.php的webshell不一样，来跟进去分析一下。这个是直接上传了一个1.php的一句话，看来可能还不止有a.php这一个webshell，我们再来分析看一下。寻遍所有的流量包，只发现有上传1.php的数据包，没有成功请求1.php的数据包，猜测可能被杀软干掉了，那么继续寻找a.php上传的途径。从这个数据包中，我们可以发现a.php文件的上传时间，我们来根据时间查看一下上传的数据包。查看之后发现提供的数据包没有覆盖到上传a.php的时间，这样看来，似乎就无法定位攻击者的攻击途径了。但是呢，这里对比一下上传的1.php的内容跟a.php请求传输的内容，是不是已经发现了关联，1.php获取的参数密码是1234，a.php传输的内容也是1234为参数名，那么a.php的webshell内容就应该与1.php一样，不过这个a.php传输的内容也不复杂，也可以反推出来a.php的内容。那么我们这里就能基本判断出来攻击者是如何getshell的了，大致的攻击流程就是：扫描后台—>爆破密码—>登录后台—>上传webshell—>持久控制。拓展通常，攻击者获得主机权限后为了进一步持久化控制主机，会使用一些较为隐蔽的方法来控制主机，经常会用到CobaltStrike，在CS中提供的有http隧道、https隧道、DNS隧道、SMB隧道。在流量分析的视角下，这些流量会是什么样的一个状态，我们一起来看一看。HTTP隧道首先我们使用CobaltStrike生成一个beacon模式的HTTP协议木马，将木马放在widonws主机下执行，然后同时使用wireshark来抓包查看整个通信过程。（这里我所使用的CobaltStrike版本为4.0）执行木马主机上线后，这里我执行了ipconfig、net user、dir命令，来看一下cobaltstrike远程控制主机执行这些命令后，teamserver与远控主机之间是如何进行通信的。对远控主机与teamserver之间的所有通信流量进行分析查看，在数据传输上均没有直接传输的明文数据，对这些数据包传输的数据都分析一下，来看看CobaltStrike的HTTP隧道远控的特征。一共执行了4次命令，每次执行之后，都会从远控主机向teamserver发送一个POST请求，请求的文件为submit.php。跟踪数据包后可以看到，所有的POST请求内容都是乱码，所以在进行流量分析的时候也无法直接判断是不是远控的请求流量。可能与CobaltStrike的版本相关，CobaltStrike 4.0版本中的HTTP隧道传输的数据内容均被加密。使用CobaltStrike 3.12进行尝试，使用HTTP隧道执行命令时，分析整个过程的流量包，对比中可以发现3.12版本中木马将执行命令的结果回传至teamserver服务器时，传输的数据为明文方式传输，这种方式较容易判断。对比可以发现，无论是什么版本，在回传数据时，都会由被控主机发起一个请求路径为submit.php的POST请求，并且Content-Type为application/octet-stream。这个特征可以作为使用CobaltStrike的HTTP隧道进行远程控制的一个特征。对比来看，在进行攻击使用远控时，相对来说较高版本的CobaltStrike的隐蔽性还是比较强的。HTTPS隧道与http隧道相同，我们先使用CS创建一个基于HTTPS隧道的木马，同时进行抓取流量包，主机上线就可以看到有很多握手包。通过CS执行命令，这里我执行了net user、whoami、ipconfig、dir命令，来看看执行这些命令的流量数据包。由于是走的HTTPS隧道，所以整个数据包也都被加密了，通过这些数据包，从中也提取不到有价值的特征字符。基于HTTPS隧道的远程控制相对来说还是比较隐蔽，所以要想单纯通过流量来判断是不是有CS的远控流量，是非常非常困难的。小结HW时攻击方手段百出，防守方也需要明察秋毫。通过对流量的分析，发现攻击痕迹，还原攻击现场，掌握攻击者意图，才能更好的完成HW任务。第一部分的流量分析就到这，更多精彩内容请继续关注我们的公众号。 本文始发于微信公众号（谢公子学安全）：攻守道—流量分析的刀光剑影（上）

认识四年的朋友竟然骗了我，在今年2021年2月份左右网名：【王艾】真名：施X亮向我开始要人，准备开始今年的HW行动。出于信任我将我们学员介绍给了他，经过面试选拔，其中五个学员面试成功。当面试成功后，为了防止黑中介，我还特地叫他一定要：签订合同是否背对背付款付款时间因为涉及到税务原因，王艾自身没有公司，所以找了【安徽科盾】来与我们学员签订合同。当初应该我们公司【巴中殷诚】->【安徽科盾】签订合同协议，但是如果一旦这样做就涉及到了税会多出6%，所以我就让【王艾】直接与学员签订合同，这样能够让学员赚的更多，可惜没想到遇到了两个骗子！这个吊毛还说结款给我图，结果到现在为止都没有给过我们一分钱！在今年6月份开始出了问题，陆续有几个学员告诉我还没结款，因为我们公司也跟某藤合作过几次，对他们的借款速度我们是知道的，按常理早就已经结算了！结果一个礼拜，过了一个礼拜，到现在为止：9月18日还没搞定！最后我们才知道大概的事件原因：以下是我的逻辑图乙方一号没有任何问题，按照合同将钱打给乙方二号，但是乙方二号属于个人，无法直接跟一号签订协议，于是二号找来了乙方三号来作为跳板。问题就出现在：乙方二号跟乙方三号原先商定好的介绍费，乙方三号并没有按照约定打给二号，因为二号跟三号直接的协议完全就是瞎几把乱写！重点：乙方三号 将5名IT农名工应得的工资全部打给了乙方二号，但是乙方二号的介绍费用貌似是没有打，造成乙方二号觉得自己亏损于是将5名原本属于用户的钱私自扣留！问题一：王艾【乙方二号】属于中间商，自己未与科盾公司【乙方三号】处理好双方介绍费等款项的合同，属于王艾自身原因。跟5名用户的辛勤劳动有什么关系？王艾 你有什么理由不给钱？问题二：王艾你赚钱的时候为什么没想着给信你的人分钱，反而在出现问题的时候躲躲闪闪？难道在你身上责任二字如此之轻嘛？？问题三：科盾公司，难道你就没有责任嘛？？？用户与你签订的合同，出了问题你给一句：找王艾 ，事情就这样解决了嘛？合同上面的公章你难道装作不认识嘛？问题四：王艾你把你银行卡，支付宝，微信，所有的钱全部转移，你又居心何在？是不是早就想好了跑路？？到目前为止，我们找过了公安，咨询了律师，给到的结果都是无法立即要回钱，最终只能去法院起诉科盾跟王艾，但是一旦起诉就是漫长的等待，问过朋友，可能基本都要2 3年才能拿到钱，有的人急需用钱，也有的人都已经去借钱租房！希望各位行业同胞，一定要警惕！也希望各位能多多转发一次，让更多人看到这两个吃人不吐骨头的人！写到最后，我遇人不淑，把信任我的学员推给了无耻之徒，我个人有逃不掉的责任，我个人一定会将10w多欠款追回！否则绝不妥协！有更多好的建议的朋友麻烦可以联系微信：CYWLHL ，感谢各位！ 本文始发于微信公众号（诚殷网络Team）：【警惕HW诈骗】HW行动10W血汗钱应该如何追回！

HW：红队眼中的防守弱点与蓝队应对攻击的常用策略▼微信公众号：计算机与网络安全ID：Computer-network一如既往的学习，一如既往的整理，一如即往的分享。感谢支持“如侵权请私聊公众号删文”关注LemonSec觉得不错点个“赞”、“在看”哦 本文始发于微信公众号（LemonSec）：HW：红队眼中的防守弱点与蓝队应对攻击的常用策略

因为要涉及到流量分析，网上一般很难找到真实的环境流量，这里我们已CTF流量分析题为例。就往年HW来说，防守方除了看监控设备、分析监控报警、分析溯源之外，流量分析在HW中是常用的分析攻击者行为的手段。练练手：第一届 “百度杯” 信息安全攻防总决赛 线上选拔赛：find the flagpacp文件地址：https://static2.ichunqiu.com/icq/resources/fileupload/CTF/BSRC/2017/BSRC3-1/findtheflag.cap■ WEB流量包分析WEB数据包分析的题目主要出现WEB攻击行为的分析上， 典型的WEB攻击行为有：WEB扫描、后台目录爆破、后台账号爆破、WEBSHELL上传、SQL注入等等。■ WEB扫描分析题型：通过给出的流量包获取攻击者使用的WEB扫描工具。解题思路：常见的WEB扫描器有Awvs，Netsparker，Appscan，Webinspect，Rsas（绿盟极光），Nessus，WebReaver，Sqlmap等。要识别攻击者使用的是哪一种扫描器，可通过wireshark筛选扫描器特征来得知。相关命令：http contains “扫描器特征值”。常见的扫描器特征参考：https://www.freebuf.com/column/156291.htm我们在进行流程分析前，一定要先熟悉常见攻击者工具的特征；练练手：安恒八月月赛流量分析：黑客使用的是什么扫描器？pacp文件地址：链接：https://pan.baidu.com/s/1bGEIPeXDCbhybmWOyGr8Og 提取码：q6ro■ 后台目录爆破分析题型：已知攻击者通过目录爆破的手段获取了网站的后台地址，请通过给出的流量包获取后台地址。解题思路：要获取流量包中记录的后台地址，可通过wireshark筛选后台url特征来得知。相关命令：http contains “后台url特征”。常见后台url特征参考：https://www.freebuf.com/column/156291.html练练手：安恒八月月赛流量分析：黑客扫描到的后台登录地址是什么？pacp文件地址：链接：https://pan.baidu.com/s/1bGEIPeXDCbhybmWOyGr8Og 提取码：q6ro■ 后台账号爆破题型：已知攻击者通过暴力破解的手段获取了网站的后台登陆账号，请通过给出的流量包获取正确的账号信息。解题思路：WEB账号登陆页面通常采用post方法请求，要获取流量包中记录的账号信息可通过wireshark筛选出POST请求和账号中的关键字如‘admin’。相关命令：http.request.method==”POST” && http contains == “关键字”练练手：安恒八月月赛流量分析：黑客使用了什么账号密码登录了web后台？pacp文件地址：链接：https://pan.baidu.com/s/1bGEIPeXDCbhybmWOyGr8Og 提取码：q6ro■ WEBSHELL上传题型：已知攻击者上传了恶意webshell文件，请通过给出的流量包还原出攻击者上传的webshll内容。解题思路：Webshell文件上传常采用post方法请求，文件内容常见关键字eval，system，assert要。获取流量包中记录的webshell可通过wireshark筛选出POST请求和关键字.相关命令：http.request.method==”POST” && http contains == “关键字”练练手：安恒八月月赛流量分析：黑客上传的webshell文件名是？内容是什么？pacp文件地址：链接：https://pan.baidu.com/s/1bGEIPeXDCbhybmWOyGr8Og 提取码：q6ro■ USB流量包分析USB流量指的是USB设备接口的流量，攻击者能够通过监听usb接口流量获取键盘敲击键、鼠标移动与点击、存储设备的铭文传输通信、USB无线网卡网络传输内容等等。在CTF中，USB流量分析主要以键盘和鼠标流量为主。■ 键盘流量USB协议数据部分在Leftover Capture Data域中，数据长度为八个字节。其中键盘击键信息集中在第三个字节中。数据如下图所示：如上图所示击键信息为0×05，对应的按键为“B“。具体的键位映射关系可参考：《USB键盘协议中键码》中的HID Usage ID，链接：https://wenku.baidu.com/view/9050c3c3af45b307e971971e.html题型：Flag藏于usb流量中，通过USB协议数据中的键盘键码转换成键位。解题思路：1.使用kali linux中的tshark 命令把cap data提取出来：tshark -r usb.pcap -T fields -e usb.capdata > usbdata.txt，并去除空行。2. 根据《USB键盘协议中键码》中的HID Usage ID将数据还原成键位。练练手：安全评测人员在对某银行卡密码输入系统进行渗透测试，截获了一段通过USB键盘输入6位数字密码的流量，其中也包含了一些其他无关的USB设备的流量，你能从中恢复出6位数字密码吗？最终提交的flag格式为flag。pacp文件地址：链接：https://pan.baidu.com/s/1bGEIPeXDCbhybmWOyGr8Og提取码：q6ropython键盘键码转换脚本：同上■ 鼠标流量USB协议鼠标数据部分在Leftover Capture Data域中，数据长度为四个字节。其中第一个字节代表按键，当取0×00时，代表没有按键、为0×01时，代表按左键，为0×02时，代表当前按键为右键。第二个字节可以看成是一个signed byte类型，其最高位为符号位，当这个值为正时，代表鼠标水平右移多少像素，为负时，代表水平左移多少像素。第三个字节与第二字节类似，代表垂直上下移动的偏移。数据如下图所示：如上图所示数据信息为0×00002000，表示鼠标垂直向上移动20。题型：Flag藏于usb流量中，通过USB协议数据中的鼠标移动轨迹转换成Flag。解题思路：1. 使用kali linux中的tshark 命令把cap data提取出来：tshark -r usb.pcap -T fields -e usb.capdata > usbdata.txt，并去除空行。2. 根据usb协议鼠标数据还原鼠标移动轨迹。练练手：这是一道鼠标流量分析题。pacp文件地址：链接：https://pan.baidu.com/s/1bGEIPeXDCbhybmWOyGr8Og 提取码：q6ropython鼠标数据转换脚本：同上■ 其他流量包分析除了常规的WEB和USB流量外，可能还存在诸如SMTP,Telnet等流量，均与WEB流量分析类似，不再赘述。0×03 总结以上为斗哥了解的流量分析在CTF比赛中的基本题型，欢迎大家补充。参考：https://www.freebuf.com/column/201830.html 本文始发于微信公众号（LemonSec）：HW防守之流量分析

转载自：https://www.freebuf.com/column/206352.html笔者都是作为CTF解题思路来讲述的日志分析方式，其实在真实的网络攻击中，日志分析方式大同小异，这里引荐笔者的文章。上期为大家介绍了攻击取证之日志分析（一）中的Web日志分析，因此本期将给大家带来系统的日志分析。众所周知，操作系统有很多，但是市面上一般比较主流的操作系统有Windows、Linux以及Mac。其中比较常见的还是Windows以及Linux，Mac毕竟价格有些高昂。在比赛中，系统日志分析的题目更是少之又少，但有时也会结合在一些其他的题目中，因此了解一下也是必要的。接下来，斗哥将从Linux和Windows的系统日志进行讲解。Linux操作系统Linux的系统日志一般存放在/var/log目录下，常见的日志（列举部分）有以下：●  /var/log/messages用于记录系统相关信息，如执行程序、系统错误、启动信息等，一般我们会使用message进行查看可疑程序执行的可疑操作，系统在执行程序时出现错误等，具体日志信息如下：对应的格式：日期 时间 主机 执行的程序：具体信息●  /var/log/boot.log用于记录系统启动信息的日志，一般用于查看在系统启动时所有相关信息，具体如下：不难发现，该日志记录的是系统启动时的启动信息，比如开启了哪些服务、做了什么操作都能一目了然。●  /var/log/lastlog用于记录了用户近期登陆情况，直接查看lastlog，可能信息不太明显，但是也可以使用lastlog命令进行查看，会比较详细：从上图中可以看出，root用户在5月26日23：23：42登陆到终端，IP为192.168.153.1。●  /var/log/cronLinux的计划任务相关信息的日志，我们也会使用它来找寻攻击者可能会写入的一些恶意计划任务，其中可能会带有一些恶意软件等相关信息。斗哥特意在计划中添加了一个flag，通过cron日志我们可以很明显的看到，有个flag，当然在真实环境或者是CTF比赛中，当然不会这么简单，但是基本上我们排查问题思路也是如此。●  /var/log/secure此日志是linux 的安全日志，被用于记录用户工作的安全相关问题以及登陆认证情况，如：不难发现，上面记录了一些服务如polkitd、login、sshd等，无论成功与否，均会被记录到此日志中，有时我们也可以通过它来判断服务器是否被攻击（如暴力破解、调用一些系统方法等），以下举个被爆破之后的日志：可以从上图中很容易发现该服务器正在被IP为192.168.153.167的攻击机在短时间内对root用户进行多次尝试ssh登录。讲完Linux，就得讲一讲Windows了，Windows大家肯定比较熟悉，因为我们现在的笔记本也基本都是Windows操作系统，但是说起查日志，可能还是相对比较少，但在Windows服务器中，日志还是挺关键的，确切的说不管在什么操作系统中，日志都是很重要的。话不多说，开始和大家一起分析分析Windows日志。Windows操作系统Windows日志一般在事件查看器中可以进行查看，通常分为五个：应用程序、安全、Setup、系统、转发事件。并且这五个中又以应用程序、安全以及系统日志较为常见，因此在本期中，将介绍这三个。● 应用程序日志此日志顾名思义便是记录了应用程序的运行情况，包括运行出错、甚至于出错的原因，如：它指出了错误应用程序名称、版本、具体时间错，并且还指出了错误的模块以及异常代码，故而，我们可以通过这些信息，进行对应的故障排查，具体如何排查可通过适当的资料等进行，斗哥在此便不做过多说明，需要提的是它在Windows中保存在Application.evtx文件中，如果在CTF比赛中，看到这个文件，那么可能就是让你进行应用程序日志分析了。● 安全日志此处的安全日志和Linux的安全日志相似，但是它只记录用户登陆情况、用户访问时间以及访问是否授权等，通过它我们可以轻松的发现是否存在爆破风险（一般在短时间内发现大量登陆失败，即可认为该账号被爆破了）。上图显示的是正常的日志，并且它所给的信息也非常详细（以一个登陆失败为例）。它详细到可以发现使用者信息、登陆类型、登陆失败的账户、失败信息、进程信息、内网信息以及详细身份验证信息等，十分方便。它在操作系统中保存在Security.evtx文件下，我们也可以通过双击它打开安全日志。● 系统日志系统日志则是记录了操作系统安装的应用程序软件相关的事件。它包括了错误、警告及任何应用程序需要报告的信息等。相比于Linux 的日志，Windows对于系统日志的记录，也是挺详细的，我们可以通过它来进行一些分析判断，它存在于System.evtx文件中。本期小结本期的日志分析就介绍到此，主要为系统日志分析，这在分析取证中还是蛮重要的。 本文始发于微信公众号（LemonSec）：HW防守之日志分析 二