公众号现在只对常读和星标的公众号才展示大图推送,建议把公众号设为星标,否则可能就看不到啦!感谢各位师傅。
工具介绍
下载地址:https://github.com/Fheidt12/Windows_Log/WindowsLog_Check
此工具主要实现对windows日志进行分析,主要分为以下功能,
- 针对常规 登录成功、登录失败、RDP登录、用户创建、服务创建等日志进行分析,判断是否存在爆破、是否有代理登录行为;
- 针对SQLServer数据库,可分析是否存在爆破,以及开启Xp_cmdshell等记录;
- 针对域控主机日志分析,是否存在漏洞利用,密码抓取,后门用户等情况,前提为域控主机开启高级策略配置,否则主机不会有日志记录;
- 分析主机进程,外联,文件是否存在已知恶意的文件或者IP;
- 分析常用远控软件被控记录,可定位IP和动作;
- 目前支持离线分析,若针对win2008和win7版本操作系统,只能使用离线分析,因为低版本系统无法运行,winserver 2012也建议使用离线分析,便于查看日志信息,高版本 winserver2016 2019 win10 win11 均可以在主机直接进行分析;
工具运行
工具需要使用管理员身份运行
登录成功和登录失败日志分析
RDP登录记录/RDP连接记录
服务创建记录
SQLServer 数据库爆破和配置修改
用户相关日志
主机进程分析
向日葵和todesk被控日志分析
原文始发于微信公众号(Devil安全):【应急响应】大佬开发的windows日志分析工具
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论