在 Windows 操作系统中,用户或计算机必须登录到系统才能访问本地或网络资源。Windows 采用不同的登录类型(Logon Type) 来区分各种登录方式,每种类型适用于不同的使用场景...
APT狩猎工具
安全分析与研究 专注于全球恶意软件的分析与研究 前言概述 APT狩猎过程中经常需要使用一些工具来帮助我们提高效率,笔者今天给大家介绍一款开源的APT狩猎工具,可以根据自己的需求进行...
用于快速搜索 Windows 取证文件的开源工具
Chainsaw 是一款开源的急救工具,用于快速检测 Windows 取证工具(包括事件日志和 MFT 文件)中的威胁。它支持通过事件日志快速搜索关键字,并使用内置的 Sigma 检测和自定义检测规则...
Grove:一款软件即服务型安全日志收集框架
关于Grove Grove是一款软件即服务型(SaaS)安全日志收集框架,旨在帮助广大安全分析人员从不支持日志流的服务中收集安全日志等数据。 Grove 使团队能够以可靠且一致的方式从其供应商处收集安...
实测 Process Monitor 的系统启动日志功能确实强
之前的文章:《运维和网安必备:Sysinternals Process Monitor 4.01 更新(还有 Linux 版)》介绍了 Process Monitor 新版本功能,其中提到了不算是新功...
未探索的 LOLBAS 技术 Wevtutil
Unexplored LOLBAS Technique Wevtutil利用本地二进制文件和脚本(LOLBAS)技术已成为攻击者的首选策略。这些方法依赖于合法的、预装的 Windows 工具来执行恶意...
环境利用技术(LOLBAS ):Wevtutil.exe
Wevtutil.exe 管理 Windows 事件日志,协助系统管理员,但可被攻击者利用进行日志收集、逃避和数据泄露。环境利用攻击二进制和脚本(LOLBAS)技术:Wevtutil.exe 的隐秘威...
信息安全手册:系统监控指南
事件记录和监控事件记录策略通过制定事件日志记录策略,考虑到服务提供商与其客户之间的任何共同责任,组织可以提高其在系统上检测到恶意行为的机会。在此过程中,事件日志记录策略应涵盖要记录的事件的详细信息、要...
EVTX:一款针对Windows EVTX事件日志的快速安全解析工具
关于EVTX EVTX是一款针对Windows XML 事件日志 (EVTX) 格式的快速安全解析工具,该工具拥有跨平台特性,可以在多个平台上实现对Windows XML EventLog 格式日志的...
操作系统安全防护浅析(下篇)
前言操作系统作为计算机系统的核心,其安全性直接关系到个人隐私、企业数据和国家信息的安全。在信息技术快速发展的今天,信息泄露已成为常见的安全威胁,因此保障操作系统安全是防止计算机中重要信息泄露的基本要求...
NSA发布事件记录和威胁检测最佳实践
美国国家安全局 (NSA) 发布了跨云服务、企业网络、移动设备和运营技术 (OT) 网络的事件日志和威胁检测最佳实践,以确保重要系统的持续交付。该网络安全信息表 (CSI) 是与澳大利亚信号局的澳大利...
一款基于Windows事件日志的信息安全取证工具
作者:WithSecureLabs文章转自https://www.freebuf.com/sectool/412126.htmlChainsaw介绍Chainsaw是一款基于Windows事件日志的信...