事件 ID 才是真正的溯源神器,你还在看 IP?

admin
admin
admin
140390
文章
117
评论
2025年5月12日00:29:20评论4 views字数 2424阅读8分4秒阅读模式

关注公众号夜风Sec,持续分享各种工具和学习记录,与师傅共同进步 事件 ID 才是真正的溯源神器,你还在看 IP?

在应急响应中,Windows 日志(特别是 Security.evtxSystem.evtxApplication.evtx 等)是关键数据源。以下是按照 用途分类的常见事件 ID 总结表,便于快速定位异常行为,如远程登录、权限提升、后门植入等。

📋 Windows 应急响应事件 ID 分类表

✅ 登录/认证行为(Security.evtx

事件 ID
类型
说明
4624
成功登录
区分 Logon Type 可识别远程登录(如 type 10)
4625
登录失败
密码错误、账户不存在、策略限制等
4648
显式凭证登录
使用 runas、计划任务等方式
4675
特权服务调用
某进程尝试以系统权限执行操作
4634
注销事件
用户会话结束
4647
用户主动注销
与 4634 区别在于主动 vs 被动

🛂 权限与账户管理

事件 ID
类型
说明
4670
对对象的权限更改尝试
常见于文件、注册表权限变更
4720
创建新账户
攻击者新增本地账户
4722
启用账户
恢复被禁用的账户
4723
更改用户密码
用户自改密码
4724
管理员改用户密码
管理员强制重设密码
4725
禁用账户
管理或攻击行为
4726
删除账户
常见于攻击者销毁痕迹
4732
添加用户到本地组
比如添加到 Administrators
4756
添加用户到安全组(域)
更高级别的权限修改

📡 网络与远程访问

事件 ID
类型
说明
4778
RDP 会话重连
远程桌面恢复
4779
RDP 会话断开
网络波动或强制中断
1149
成功远程桌面连接
来自 TerminalServices 日志
5156
允许出站连接(防火墙日志)
记录成功建立的连接
5158
阻止连接尝试
若开启防火墙日志可见

⚠️ 程序执行与计划任务

事件 ID
类型
说明
4688
创建新进程
查看父子进程关系,分析是否存在异常命令执行(如 powershell.exe
4697
安装服务
可疑持久化方式
7045
安装服务
 System.evtx

 中同类记录
4698
创建计划任务
来自 Security.evtx(需开启详细审计)

🧬 注册表与系统配置

事件 ID
类型
说明
4657
注册表键值被修改
可用于检测系统启动项、服务修改
6416
加载驱动程序
检查是否有恶意驱动

🗃 文件与对象访问(需启用对象访问审计)

事件 ID
类型
说明
4663
对文件的访问尝试
包含文件路径与访问类型
4656
请求访问文件或注册表
请求尚未授权

🧩 DLL 注入/Hook/内核行为(补充)

来源
说明
Volatility malfind
可检测注入内存模块
EventID 不记录此类直接行为,可通过 4688 + 非正常父子进程判断

🔧 系统服务 / 驱动 / 启动项相关

事件 ID
日志源
说明
6005
System
“事件日志服务启动”——常用于判断系统重启时间
6006
System
“事件日志服务停止”
6013
System
系统运行时间
7040
System
服务启动类型被更改(如从手动改为自动)
7045
System
安装新服务(攻击者常用于持久化)

🧩 驱动/模块加载(怀疑 Rootkit 时很关键)

事件 ID
日志源
说明
6
Microsoft-Windows-Security-Auditing
加载可执行图像文件(如 DLL 注入、驱动)
6416
Security
加载新驱动(内核模块)
4104
Microsoft-Windows-PowerShell/Operational
PowerShell 脚本块记录(关键:监控攻击脚本)

🔍 审计策略/安全配置被修改

事件 ID
日志源
说明
4719
Security
审计策略被更改(攻击者可能禁用审计)
4902
Security
审计策略变更被应用
1102
Security
清除事件日志(攻击者消痕)
104
System
日志清除操作(对应 log clear 操作)

📡 网络共享与远程访问

事件 ID
日志源
说明
5140
Security
网络共享被访问(SMB)
5142
Security
网络共享创建
5145
Security
网络对象访问尝试(详细路径等)
4662
Security
对对象执行操作(如访问注册表)

💳 Kerberos / 票据相关(域控攻击必查)

事件 ID
日志源
说明
4768
Security
Kerberos 认证票据(TGT)请求
4769
Security
服务票据(TGS)请求
4771
Security
Kerberos 预身份验证失败(密码错误)
4776
Security
NTLM 登录认证失败(本地账号暴力破解)

🧼 痕迹清除相关

事件 ID
日志源
说明
1100
Security
安全日志服务停止
1102
Security
安全日志被清空(攻击者常见操作)
104
System
系统日志清空

👮 PowerShell 相关(APT 必查)

事件 ID
日志源
说明
400
PowerShell Operational 日志
PowerShell 引擎启动
403
PowerShell Operational 日志
命令执行(ScriptBlock)开始
4103
PowerShell Operational 日志
模块加载
4104
PowerShell Operational 日志
脚本块内容记录 ✅(开启日志后能看到具体脚本)

🧠 WMI/后门相关(高级持久化)

事件 ID
日志源
说明
5861
Microsoft-Windows-WMI-Activity
WMI 执行脚本行为
5857
Microsoft-Windows-WMI-Activity
注册 WMI 永久订阅事件(攻击者用于后门)

🔐 关键文件或系统组件访问

事件 ID
日志源
说明
4663
Security
对文件/对象进行访问的尝试(如访问敏感文件夹)
4656
Security
请求访问某对象

🧪 应急响应分析建议

  1. 登录行为 → 查找 4624(type=10)、4625、4648
  2. 权限提升 → 查找 4670、4732、4756
  3. 持久化方式 → 4697、7045(服务),4698(任务)
  4. 工具执行 → 4688(如 powershell、certutil、rundll32)
  5. 网络行为 → 5156、1149、4778

原文始发于微信公众号(夜风Sec):事件 ID 才是真正的溯源神器,你还在看 IP?

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年5月12日00:29:20
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   事件 ID 才是真正的溯源神器,你还在看 IP?https://cn-sec.com/archives/4050895.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息