信息安全铁人三项赛

本文主要是介绍信息安全铁人三项赛，希望对大家解决编程问题提供一定的参考价值，需要的开发者们随着小编来一起学习吧！

信息安全铁人三项赛学习第一天

信息安全数据分析对抗赛（数据分析赛）

一.系统日志分析

1.理解 window 系统日志与分析方法

2.理解 windows 安全日志与分析方法

3.理解 windows 应用程序日志与分析方法

4.理解 linux 系统日志与分析方法

1.理解window安全日志与分析方法
对于我们经常使用的操作系统来说，系统日志与分析方法是比较陌生的，我打算先百度看一看怎么查看系统日志，百度经验：（https://jingyan.baidu.com/article/2d5afd692d2d8d85a2e28e18.html）给出了两种方法：
1.通过控制面板（我是win10直接打开了设置）
2.点击系统和安全在这里插入图片描述
3.找到管理工具下的系统日志
4.点击打开
这是第一种方法，比较繁琐，但是对于小白来说这是一个挺简单的操作
那么第二种方法是什么呢？
第二种方法是通过命令的方式打开
1.win+R打开运行窗口，输入eventvwr.exe，然后回车在这里插入图片描述
是不是很简单，一步就搞定了，eventvwr也有事件查看器的意思。

学完怎么查看window系统日志之后，我们来学一学分析方法

首先我们打开前面的界面，也就是事件查看器，点开window日志-安全
在这里插入图片描述
里面存放一些东西，我们一个一个来分析是什么
首先是关键字

上图是我正常物理机的日志回显
下面给你们看看不正常虚拟机是怎么记录的

这里有两个失败审核，也就是说这个事件没有通过审核，不会发生，如果遇到这样的情况，那么就得小心了，我们尝试点开看看是什么情况
在这里插入图片描述
原因写得很清楚了，用户名未知或密码错误，
而且，登录类型是3，说明是用网络登录的window，在看看登录过程使用的是NtLmSsp，NtLmSsp是什么呢
NtLmSsp（NT LM安全性支持提供者服务）的进程名是lsass.exe，WinXP Home/PRO默认安装的启动类型是手动，它不依赖于其他服务。NT LM的意思即NT LanManger，是NT下提供的认证方法之一，使用了64位的加密手段。NtLmSsp这个服务主要针对RPC（远程过程调用），通常RPC可以选择基于两种通信方式，一种是传输协议，比如TCP/IP、UDP、IPX等，另一种为命名管道（Pipeline）。通常情况下Windows默认选择都是传输协议，而由于RPC是采用非加密传输的，通信数据安全无法得到保证，而NtLmSsp就可向这一类RPC提供安全服务。WinXP中已知的这类RPC应用就是Telnet服务（Telnet也依赖于NtLmSsp），因此无需Telnet服务的单机用户可将NtLmSsp其关闭。
这一长串是不是看得头疼？没关系你要注意的是里面有一个词，叫做‘命名管道’记住这个词，接下来会用到。
那么这能证明什么呢？这是一台winxp系统的pc机，我们都知道微软已经停止对xp提供安全补丁，那么如果出现这样的情况就说明，这台电脑很有可能被入侵了，当然这只是我们的一个猜测。
那么想要进一步确认的话呢，我们就得从多方面去排查
那么剩下来还有在这里插入图片描述
时间和日期还有来源，应该都明白是什么意思，那么事件ID是什么呢？我百度查了一些资料，window安全日志对应ID会有对应的事件发生，我们说几个常用的

4624  --登录成功   
4625  --登录失败  
4634 -- 注销成功
4647 -- 用户启动的注销   
4672 -- 使用超级用户（如管理员）进行登录

比如说在这里插入图片描述
我在同一时间内的事件ID为4672，4624 什么意思呢，两个都是登录，那么意思就是看谁先成功，从下往上看，就是4624-4672 这个意思就是说登录成功-使用超级用户进行登录。
为什么我XP系统ID就不一样我就不太清楚了
最后说一说任务类别，如果看不懂可以去翻译，翻译出来的意思和事件ID对应的意思差不多。

现在学习系统日志

还是熟悉的界面在这里插入图片描述
但是点开的是“系统”
这里我发现有许多的黄色感叹号，警告！
首先看到这样的情况不要慌，我们点开来看看

这是我打开VM发生的一个系统事件，ID为1，那么这个ID是什么意思呢？意思就是“函数不正确”
那我们看看不正常的XP是什么样子的
在这里插入图片描述

事件ID是8032 这个意思就是说
此事件可能是由于暂时丢失网络连接造成的。如果此消息再次出现，请确认服务器仍然与网络连接。返回码在数据文本框中。

现在呢，我们来看看应用程序日志

还是熟悉的界面！
在这里插入图片描述
这一次我们打开的是应用程序，在这里我们可以看到此系统什么时间什么时候了从哪里安装了什么，运行了什么运用

现在我们来看一看linux操作系统怎么查看日志文件的，这里我选择使用kali作为实验对象

Linux系统常见的日志文件
基本上都在/var/log/目录下
路径1：/var/log/messages：记录 Linux 内核消息及各种应用程序的公共日志信息
在这里插入图片描述
有一堆东西，看得我头疼，毕竟是关于内核的东西，比较深奥
路径2：/var/log/cron：记录 crond 计划任务产生的事件信息

路径3：/var/log/dmesg：记录 Linux 操作系统在引导过程中的各种事件信息

路径4：/var/log/maillog：记录进入或发出系统的电子邮件活动

路径5：/var/log/lastlog：记录每个用户最近的登录事件

路径6：/var/log/secure：记录用户认证相关的安全事件信息

路径7：/var/log/wtmp：记录每个用户登录、注销及系统启动和停机事件

路径8：/var/log/btmp：记录失败的、错误的登录尝试及验证事件

这篇关于信息安全铁人三项赛的文章就介绍到这儿，希望我们推荐的文章对编程师们有所帮助！

原文地址:https://blog.csdn.net/weixin_45722065/article/details/105672701
本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：http://www.chinasem.cn/article/413195。如若内容造成侵权/违法违规/事实不符，请联系我们进行投诉反馈，一经查实，立即删除！我们的邮箱：23002807@qq.com