Windows日志分析工具(GUI更新版)

admin 2024年12月31日22:57:58评论29 views字数 1078阅读3分35秒阅读模式

前言

前段时间分享的日志分析工具,收到了很多用户反馈,目前已经有了300多start,十分感谢大家的支持和认可。这次更新主要是解决用户在使用中发现的问题(虽然我自己没有遇见过 捂脸)和提高分析效率的一些小改进。也算是为24年的工具分享收个尾。

免责声明:此工具仅限于安全研究,用户承担因使用此工具而导致的所有法律和相关责任!作者不承担任何法律责任

更新主要内容

1、解决日志数据写入数据库,报错database is locked问题;

2、增加所有日志数据、主机信息数据关键字筛选功能;

3、增加system日志、application日志、security日志部分展示(目前每个日志只展示1000条,并且日志详细信息展示不全,我知道有些鸡肋,大家勿喷)

4、增加威胁检索子功能功能弹窗提示

5、第二次运行会自动分析工具目录下Eventlog.db文件,减少重复分析日志时间;

功能介绍及效果展示

1、筛选关键字,例如在创建进程日志中,查找恶意文件名称(这里以1231.exe举例),会将关于1231.exe的所有进程筛选展示;Windows日志分析工具(GUI更新版)2、筛选时间,查看指定时间的日志:Windows日志分析工具(GUI更新版)3、在进程信息中,可以根据外联地址直接检索对应的进程,并且会显示进程对应的父进程、启动用户名、进程对应的服务、进程启动时间、进程文件绝对路径;Windows日志分析工具(GUI更新版)4、计划任务中,同样可以根据恶意文件关键字信息进行检索是否存在恶意的计划任务,若存在则输出详细的计划任务信息Windows日志分析工具(GUI更新版)5、当工具同目录存在Eventlog.db文件时,会直接分析Eventlog.db中的数据,减少重复采集日志的时间(如果需要分析最新的日志,将Eventlog.db 手动进行删除即可)Windows日志分析工具(GUI更新版)6、之前有多个同学问,如何指定日志路径进行分析,当前工具可以对指定的日志文件进行分析,需要将日志文件放到工具同步目录,并且文件名为logs就可以Windows日志分析工具(GUI更新版)

后续需求安排

1、美化GUI界面(由于需要兼容win7、server2008、server2012 这类相对低版本系统,也不会做的很花里胡哨);

2、增加自动化分析功能(主要应对勒索场景、webshell场景);

3、优化个别功能输出信息(主要是计划任务和安全日志部分);

4、增加进程扫描功能(将github中的windows_Scan添加上);

交流学习

1、可以关注作者公众号和github进行留言,我看见了都会回复;

工具地址

https://github.com/Fheidt12/Windows_Log/releases/tag/WinLog_Check_V3.4

原文始发于微信公众号(EventSec):Windows日志分析工具(GUI更新版)

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年12月31日22:57:58
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Windows日志分析工具(GUI更新版)https://cn-sec.com/archives/3577014.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息