点击上方蓝字关注我们
建议大家把公众号“TeamSecret安全团队”设为星标,否则可能就看不到啦!因为公众号现在只对常读和星标的公众号才能展示大图推送。操作方法:点击右上角的【...】,然后点击【设为星标】即可。
免责申明
"本文档所提供的信息旨在帮助网络安全专业人员更好地理解并维护他们负责的网站和服务器等系统。我们鼓励在获得适当授权的情况下使用这些信息。请注意,任何未经授权的使用或由此产生的直接或间接后果和损失,均由使用者自行承担。我们提供的资源和工具仅供学习和研究之用,我们不鼓励也不支持任何非法活动。"
"我们创建这个社区是为了促进技术交流和知识分享。我们希望每位成员都能在遵守法律法规的前提下参与讨论和学习。如果使用本文档中的信息导致任何直接或间接的后果和损失,我们提醒您,这将由您个人承担。我们不承担由此产生的任何责任。如果有任何内容侵犯了您的权益,请随时告知我们,我们将立即采取行动并表示诚挚的歉意。我们感谢您的理解和支持。"
前言
最近在Github上闲逛时突然看到了kacos2000的一个项目WindowsTimeline(Windows 10 (v1803+) ActivitiesCache.db parsers (SQLite, PowerShell, .EXE),大概内容是基于Windows 10 时间线的一个.db文件会记录用户的活动信息。
ActivitiesCache.db
Windows 10 时间轴默认启用的,ActivitiesCache.db 存储位置在如下路径:
C:Users%username%AppDataLocalConnectedDevicesPlatform在Github上有一款工具User-Behavior-Mapping-Tool,可以很好的将此ActivitiesCache.db文件导出,进行数据分析,可提取数据库中找到的所有数据,不同应用程序主动使用的时间;启动的应用程序和使用的参数。
此类数据可快速判断当前主机用户的使用习惯,文件存储位置等有用信息。
https://github.com/trustedsec/User-Behavior-Mapping-Tool使用方法如何:
python3 UserBehaviourAnalyzer.py -f /mnt/c/ads/ActivitiesCache.db
-
en_report_Activity_Applications.csv
-
gen_report_ApplicationLaunch_StartTime.csv
-
gen_report_useractivity_start_and_end.csv
-
gen_fig_top10_apps_bars.jpg
-
gen_fig_top10_apps_pie.jpg
-
gen_fig_useractivity_bar.jpg
-
gen_fig_useractivity_heatmap.jpg
ulog.exe(自研小工具)
免杀效果
-
Kaspersky
-
Defender
加入纷传
掌握免杀艺术,深入内网核心。
我们是您网络安全技能提升的加速器,专注于免杀技术和内网渗透的深度培训。在这里,您将学习如何无声无息地穿透防御,掌握网络安全的高级技巧。
-
免杀专精:学会如何在不触发警报的情况下进行有效渗透。
-
内网精通:深入网络的心脏地带,学习如何识别和利用关键漏洞。
-
实战演练:通过模拟真实攻击场景,提升您的应对策略。
加入我们,让免杀和内网渗透成为您网络安全职业生涯的利器。
Tips:
每周不定时纷传小圈子都会开启公开课!
TeamSecret安全团队初衷
我们的目标是:
-
知识普及:让更多人了解网络安全的基础知识和最新动态。
-
技能提升:为网络安全从业者和爱好者提供实战技能的提升。
-
案例分析:深入剖析国内外网络安全事件,提炼经验教训。
-
攻防演练:模拟攻击与防御场景,提高应对网络威胁的能力。
我们的内容涵盖:
-
攻击队常用的网络攻击技术与工具。
-
网络攻防演练的策略与实战案例。
-
系统漏洞分析与防御措施。
-
网络安全法律法规与伦理道德。
-
网络安全行业动态与未来趋势。
加入我们,您将获得:
-
专业的网络安全知识分享。
-
与行业专家的互动交流机会。
-
网络安全防护的实用技巧。
-
网络安全事件的深度解析。
安全第一,技术先行。 我们相信,通过不断的学习和实践,我们能够共同构建一个更加安全、稳定的网络环境。
关注我们,一起探索网络安全的奥秘,成为网络世界的守护者!
添加作者微信发送:进群,邀请你加入学习交流群
原文始发于微信公众号(TeamSecret安全团队):Windows用户行为分析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论