工具支持从Windows 7到Windows 11的个人版本,以及从Server 2008到Server 2016的服务器版本。核心功能包括
-
详细记录成功/失败登录(事件ID: 4624/4625) -
支持SMB、RDP等多种登录类型 -
完整展示认证协议、进程信息
-
全方位记录RDP会话(事件ID: 21/25/1149) -
支持横向移动轨迹分析(事件ID: 1024/1102)
-
服务创建记录 -
用户账号变更追踪 -
进程创建监控 -
SQLServer行为分析 -
PowerShell命令记录 ![Windows日志分析工具(GUI版):让应急响应事半功倍]( "Windows日志分析工具(GUI版):让应急响应事半功倍")
工具还集成了多项威胁检测功能:
-
内存字符串检索:快速定位恶意进程 -
微步云API集成:实现文件威胁评估 -
文件同步功能:支持企业微信机器人 -
系统信息收集:覆盖进程、服务、计划任务等
https://github.com/Fheidt12/Windows_Log
请注意:本工具仅供安全研究使用,使用者需承担相关法律责任。
原文始发于微信公众号(释然IT杂谈):Windows日志分析工具(GUI版):让应急响应事半功倍
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论