Windows日志分析工具

admin 2024年7月19日22:48:03评论116 views字数 1545阅读5分9秒阅读模式

WindowsLog_Check

此工具主要实现对windows日志进行分析,主要分为以下功能,

  1. 针对常规 登录成功、登录失败、RDP登录、用户创建、服务创建等日志进行分析,判断是否存在爆破、是否有代理登录行为;
  2. 针对SQLServer数据库,可分析是否存在爆破,以及开启Xp_cmdshell等记录;
  3. 针对域控主机日志分析,是否存在漏洞利用,密码抓取,后门用户等情况,前提为域控主机开启高级策略配置,否则主机不会有日志记录;
  4. 分析主机进程,外联,文件是否存在已知恶意的文件或者IP;
  5. 分析常用远控软件被控记录,可定位IP和动作;
  6. 目前支持离线分析,若针对win2008和win7版本操作系统,只能使用离线分析,因为低版本系统无法运行,winserver 2012也建议使用离线分析,便于查看日志信息,高版本 winserver2016 2019 win10 win11 均可以在主机直接进行分析;

免责声明:此工具仅限于安全研究,用户承担因使用此工具而导致的所有法律和相关责任!作者不承担任何法律责任。

工具运行界面

Windows日志分析工具

功能1&2:登录成功和登录失败日志分析

(1)不输入登录类型和IP时,默认查看所有4624登录日志

Windows日志分析工具

(2)可指定查看登录类型,例如查看登录类型:3

Windows日志分析工具

(3)可指定登录源地址查看,例如指定源地址为:192.168.1.4

Windows日志分析工具

(4)可同时指定登录类型和源地址

Windows日志分析工具

功能3:RDP登录记录

查看rdp登录记录,并且会判断是否通过代理软件登录的情况, 日志ID说明:1149:远程桌面认证成功 21:RDP连接成功 25:RDP重连成功

Windows日志分析工具

功能4:RDP连接记录

RDP连接记录,查看当前主机,rdp登录过哪些机器 1102:当前主机使用RDP登录过哪些机器 1024:当前主机使用RDP尝试登录过哪些机器(不一定成功)

Windows日志分析工具

功能5:服务创建记录

查看服务创建记录,在横向渗透过程中或者病毒横向传播过程中均可能会创建恶意服务项,目前程序对sys相关的驱动服务进行了过滤

Windows日志分析工具

功能6:SQLServer 数据库爆破和配置修改

查看SQLServer数据库,爆破记录和配置修改记录支持筛选IP

Windows日志分析工具

功能7:用户相关日志

查看用户,主要分为两个方面:系统日志方面:创建用户记录i、启动用户记录、修改密码记录、修改所属组记录 主机信息方面:当前用户信息,包括:存在的所有用户、所在域、用户SID、是否禁用、用户信息描述

Windows日志分析工具

功能8:计划任务

查看计划任务 排版有点问题 后续调整  暂不展示

功能9:主机进程分析

查看进程信息,目前支持查看进程外联地址,启动时间,执行路径,执行用户,PID

Windows日志分析工具

功能10:主机外联地址研判

查看当前主机外联地址是否存在恶意IP,需要微步有对应接口权限,我现在没有有 有的大哥可以自己测试下,之前测试是没有问题的

Windows日志分析工具

功能11:向日葵和todesk被控日志分析

向日葵被控记录,可查看远程连接时间和 对方内外网IP地址,以及远控时上传的文件

Windows日志分析工具

todesk被控记录

Windows日志分析工具

功能12:批量分析文件MD5

批量计算指定文件目录所有文件MD5值,并判断是否为恶意

Windows日志分析工具

功能13:kerberos协议分析

kerberos协议分析,判断是否存在利用kerberos协议进行用户名枚举和爆破,可筛选源地址和登录状态 默认查看所有

Windows日志分析工具

筛选IP和登录失败的记录

Windows日志分析工具

功能14:DCSync 攻击分析

查看是否存在利用某个用户进行DCSync攻击的记录 注意:机器账号的日志 情况为正常

Windows日志分析工具

功能15:SID后门分析

通过SID历史记录,判断是否存在SID后门

Windows日志分析工具

功能16:Lsass内存读取记录

Windows日志分析工具

功能17:域内信息收集记录

攻击者查看所有域用户时会触发该记录

Windows日志分析工具

功能18:ZeroLogon漏洞利用记录

Windows日志分析工具

工具下载链接:

https://github.com/Fheidt12/Windows_Log/

 

原文始发于微信公众号(安服仔的救赎):一款Windows日志分析工具

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年7月19日22:48:03
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Windows日志分析工具https://cn-sec.com/archives/2976482.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息