Windows SMB/RDP日志溯源总结

2024-04-21 17:32

本文主要是介绍Windows SMB/RDP日志溯源总结,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

Windows SMB/RDP日志溯源总结


在以往涉及到Windows安全事件处理的时候,经常需要分析windows日志。对日志进行分析溯源的时候SMB/RDP日志是非常重要的一部分。比如:RDP入侵植入勒索病毒,drivelife等利用SMB暴力破解传播的病毒。

注:本文举例均为win7系统。


一、日志提取

  1. 使用“eventvwr.exe”直接打开事件管理器,可以直接查看和筛选日志。
    在这里插入图片描述

  2. 直接访问日志文件路径也可提取
    C:\Windows\System32\winevt\Logs
    一般重点关注security.evtx、setup.evtx、system.evtx这三个日志
    在这里插入图片描述
    SMB登录日志主要是看安全日志,RDP登录日志除了安全日志之外还有其他多种方法

  3. 部分情况下安全日志被攻击者清空,查看RDP登录成功事件可以访问以下路径。记录了哪些源IP利用RDP方式成功登陆到了本机。
    Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational
    在这里插入图片描述

  4. 注册表:
    HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers\
    此路径记录了当前主机曾经登录过了哪些服务器。
    在这里插入图片描述

  5. 在安全日志里面筛选事件ID5156日志,可以看到本机在什么时候访问了其他服务器的3389端口
    在这里插入图片描述

  6. 有些系统不记录日志或者只记录登录成功日志,需要在组策略里面开启审核。
    在这里插入图片描述
    我这里是勾选了大部分,审核的东西越多,产生的日志量越大,一般选择箭头标红的这几个就可以了。

二、登陆类型与事件ID

  1. windows登录类型

可以参考微软官方文档:管理工具和登录类型

在这里:我们主要关注:
登录类型:2 交互式登录(也称为“本地登录”)
登录类型:3 Network (网络)
登录类型:10 远程桌面(以前称为“终端服务”)

通常情况下,smb产生的日志类型为登录类型3,rdp登录日志为登录类型10。在部分暴力破解的工具下,rdp暴力破解可能在日志上会显示登录类型3且不记录源IP。

使用hydra爆破rdp,windows
在这里插入图片描述
在这里插入图片描述
日志上没有记录源IP
在这里插入图片描述

  1. 事件ID
    一般来说我们需要关注以下两种事件ID类型:
    4624 —— 帐户已成功登录
    4625 —— 帐户无法登录
    1149 —— 用户认证成功

事件分析举例

  1. 使用hydra对主机进行SMB暴力破解

在某应急事件现场,发现恶意文件生成时间为xx年xx月xx日,则以此为时间点,提取日志进行分析。
在这里插入图片描述
可以看到爆破成功登录时间,源地址等信息,以此确定登录源地址。
在这里插入图片描述

日志分析工具

LogParser 工具可以快速分析日志情况,具体用法这里就不再赘述了。
在这里插入图片描述

这篇关于Windows SMB/RDP日志溯源总结的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/923644

相关文章

HarmonyOS学习(七)——UI(五)常用布局总结

自适应布局 1.1、线性布局(LinearLayout) 通过线性容器Row和Column实现线性布局。Column容器内的子组件按照垂直方向排列,Row组件中的子组件按照水平方向排列。 属性说明space通过space参数设置主轴上子组件的间距,达到各子组件在排列上的等间距效果alignItems设置子组件在交叉轴上的对齐方式,且在各类尺寸屏幕上表现一致,其中交叉轴为垂直时,取值为Vert

学习hash总结

2014/1/29/   最近刚开始学hash,名字很陌生,但是hash的思想却很熟悉,以前早就做过此类的题,但是不知道这就是hash思想而已,说白了hash就是一个映射,往往灵活利用数组的下标来实现算法,hash的作用:1、判重;2、统计次数;

git使用的说明总结

Git使用说明 下载安装(下载地址) macOS: Git - Downloading macOS Windows: Git - Downloading Windows Linux/Unix: Git (git-scm.com) 创建新仓库 本地创建新仓库:创建新文件夹,进入文件夹目录,执行指令 git init ,用以创建新的git 克隆仓库 执行指令用以创建一个本地仓库的

二分最大匹配总结

HDU 2444  黑白染色 ,二分图判定 const int maxn = 208 ;vector<int> g[maxn] ;int n ;bool vis[maxn] ;int match[maxn] ;;int color[maxn] ;int setcolor(int u , int c){color[u] = c ;for(vector<int>::iter

整数Hash散列总结

方法:    step1  :线性探测  step2 散列   当 h(k)位置已经存储有元素的时候,依次探查(h(k)+i) mod S, i=1,2,3…,直到找到空的存储单元为止。其中,S为 数组长度。 HDU 1496   a*x1^2+b*x2^2+c*x3^2+d*x4^2=0 。 x在 [-100,100] 解的个数  const int MaxN = 3000

状态dp总结

zoj 3631  N 个数中选若干数和(只能选一次)<=M 的最大值 const int Max_N = 38 ;int a[1<<16] , b[1<<16] , x[Max_N] , e[Max_N] ;void GetNum(int g[] , int n , int s[] , int &m){ int i , j , t ;m = 0 ;for(i = 0 ;

flume系列之:查看flume系统日志、查看统计flume日志类型、查看flume日志

遍历指定目录下多个文件查找指定内容 服务器系统日志会记录flume相关日志 cat /var/log/messages |grep -i oom 查找系统日志中关于flume的指定日志 import osdef search_string_in_files(directory, search_string):count = 0

我在移动打工的日志

客户:给我搞一下录音 我:不会。不在服务范围。 客户:是不想吧 我:笑嘻嘻(气笑) 客户:小姑娘明明会,却欺负老人 我:笑嘻嘻 客户:那我交话费 我:手机号 客户:给我搞录音 我:不会。不懂。没搞过。 客户:那我交话费 我:手机号。这是电信的啊!!我这是中国移动!! 客户:我不管,我要充话费,充话费是你们的 我:可是这是移动!!中国移动!! 客户:我这是手机号 我:那又如何,这是移动!你是电信!!

go基础知识归纳总结

无缓冲的 channel 和有缓冲的 channel 的区别? 在 Go 语言中,channel 是用来在 goroutines 之间传递数据的主要机制。它们有两种类型:无缓冲的 channel 和有缓冲的 channel。 无缓冲的 channel 行为:无缓冲的 channel 是一种同步的通信方式,发送和接收必须同时发生。如果一个 goroutine 试图通过无缓冲 channel

在 Windows 上部署 gitblit

在 Windows 上部署 gitblit 在 Windows 上部署 gitblit 缘起gitblit 是什么安装JDK部署 gitblit 下载 gitblit 并解压配置登录注册为 windows 服务 修改 installService.cmd 文件运行 installService.cmd运行 gitblitw.exe查看 services.msc 缘起