前言
前段时间分享的日志分析工具,收到了很多用户反馈,目前已经有了300多start,十分感谢大家的支持和认可。这次更新主要是解决用户在使用中发现的问题(虽然我自己没有遇见过 捂脸)和提高分析效率的一些小改进。也算是为24年的工具分享收个尾。
免责声明:此工具仅限于安全研究,用户承担因使用此工具而导致的所有法律和相关责任!作者不承担任何法律责任
更新主要内容
1、解决日志数据写入数据库,报错database is locked问题;
2、增加所有日志数据、主机信息数据关键字筛选功能;
3、增加system日志、application日志、security日志部分展示(目前每个日志只展示1000条,并且日志详细信息展示不全,我知道有些鸡肋,大家勿喷)
4、增加威胁检索子功能功能弹窗提示
5、第二次运行会自动分析工具目录下Eventlog.db文件,减少重复分析日志时间;
功能介绍及效果展示
1、筛选关键字,例如在创建进程日志中,查找恶意文件名称(这里以1231.exe举例),会将关于1231.exe的所有进程筛选展示;2、筛选时间,查看指定时间的日志:
3、在进程信息中,可以根据外联地址直接检索对应的进程,并且会显示进程对应的父进程、启动用户名、进程对应的服务、进程启动时间、进程文件绝对路径;
4、计划任务中,同样可以根据恶意文件关键字信息进行检索是否存在恶意的计划任务,若存在则输出详细的计划任务信息
5、当工具同目录存在Eventlog.db文件时,会直接分析Eventlog.db中的数据,减少重复采集日志的时间(如果需要分析最新的日志,将Eventlog.db 手动进行删除即可)
6、之前有多个同学问,如何指定日志路径进行分析,当前工具可以对指定的日志文件进行分析,需要将日志文件放到工具同步目录,并且文件名为logs就可以
后续需求安排
1、美化GUI界面(由于需要兼容win7、server2008、server2012 这类相对低版本系统,也不会做的很花里胡哨);
2、增加自动化分析功能(主要应对勒索场景、webshell场景);
3、优化个别功能输出信息(主要是计划任务和安全日志部分);
4、增加进程扫描功能(将github中的windows_Scan添加上);
交流学习
1、可以关注作者公众号和github进行留言,我看见了都会回复;
工具地址
https://github.com/Fheidt12/Windows_Log/releases/tag/WinLog_Check_V3.4
原文始发于微信公众号(EventSec):Windows日志分析工具(GUI更新版)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论