首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

神兵利器 - APT-Hunter 威胁猎人日志分析工具

,为了不错过任何东西),如果你有许可证,但如果你不这样做,那么你是在你自己的享受提取CSV从evtx文件,并开始寻找事件的表与数百万的事件 ....分析CSV日志:APT-hunter使用内置库(csv)来解析CSV日志文件,然后使用Regex为APT-hunter中使用的每个事件提取字段。...分析EVTX日志:APT-hunter使用外部库(evtx)来解析EVTX日志文件,然后使用Regex为APT-Hunter中使用的每一个事件提取字段,用户可以使用提取的字段来创建他们的用例。...-t: 日志类型(如果是CSV或EVTX) 剩余的参数,如果您想分析单一类型的日志。...检测使用系统日志清除的系统日志 使用系统日志检测TEMP文件夹中安装有可执行文件的服务 使用系统日志检测系统中安装的服务 使用系统日志检测服务启动类型已更改 使用系统日志检测服务状态已更改

1.8K10

通过Windows事件日志介绍APT-Hunter

分析EVTX日志:APT-hunter使用外部库(evtx)来解析EVTX日志文件,然后使用Regex为APT-Hunter中使用的每个事件提取字段。用户可以使用提取的字段来创建他们的用例。...支持将Windows事件日志导出为EVTX和CSV。 分析师可以将新的恶意可执行文件名称直接添加到list中。 提供输出为excel表,每个Log作为工作表。 此版本只是开始,更多用例即将出现。...使用安全日志检测通过哈希攻击 使用安全日志检测可疑的枚举用户或组的尝试 使用Powershell操作日志检测Powershell操作(包括TEMP文件夹) 使用Powershell操作日志使用多个事件...使用安全日志使用令牌提升检测特权提升 使用安全日志检测可运行的可执行文件 使用安全日志检测可疑的Powershell命令 使用安全日志检测通过管理界面创建的用户 使用安全日志检测Windows关闭事件...检测使用系统日志清除的系统日志 使用系统日志检测TEMP文件夹中安装有可执行文件的服务 使用系统日志检测系统中安装的服务 使用系统日志检测服务启动类型已更改 使用系统日志检测服务状态已更改 将来的功能

1.5K20
  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    安全蓝队 : windows日志检索和分析

    事件日志 Windows事件日志文件实际上是以特定的数据结构的方式存储内容,其中包括有关系统,安全,应用程序的记录。...以下将分别介绍: 事件类型 应用程序日志 包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件,例如数据库程序可以在应用程序日志中记录文件错误,程序开发人员可以自行决定监视哪些事件。...默认位置: %SystemRoot%\System32\Winevt\Logs\System.evtx 安全日志 包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件,例如数据库程序可以在应用程序日志中记录文件错误...默认位置: %SystemRoot%\System32\Winevt\Logs\Application.evtx 转发事件 日志用于存储从远程计算机收集的事件。...它通过系统服务和驱动程序实现记录进程创建、文件访问以及网络信息的记录,并把相关的信息写入并展示在 windows 的日志事件里。 sysmon 特点是用完整的命令行记录子进程和父进程的创建行为。

    3.1K21

    Nginx日志文件格式及切割日志文件

    作为Web服务器而言,日志是必不可少的也是需要经常查看的。此篇就来介绍下如何自定义Nginx中的日志格式以及使用crontab计划任务来做到每天切割一次日志文件从而做到方便管理。...在Nginx中日志文件是由log_format这个指令来定义的,它的语法如下: log_format    name    format ##    name:指的是日志格式的名称(后面调用) ##   ...,然后重读配置文件 cd /web/vhost/test1/logs/ mv test1.access.log access.log.bak nginx -s reload    #重读配置文件 然后访问下看看日志文件是否和我们自定义的内容一样...-) 自定义日志就结束了,接下来就是切割日志文件并且每天保存一份当天的日志文件方法如下: 首先将原来的日志文件重命名 mv test1.access.log test1.2014-12-29.log nginx...  -s reload 这样就可以做到日志文件的切割。

    1.3K10

    安全运维 | RDP登录日志取证和清除

    线上分析 1.1.2 Security 离线分析 1.1.3 TerminalServices/Operational 1.2 登录失败 1.3 客户端主机名 1.4 远程server 1.5 日志量最大限制...console模式登录 使用工具: wevtutil LogParser powershell regedit 一:取证 取证关键点: 登录IP 登录ip端口 登录时间 登录客户端主机名 登录后操作日志...服务端敏感文件 服务端登录的服务器ip 服务端浏览器记录 1.1 登录成功 EventID=4624,从安全日志中获取登录成功的客户端登录ip、登录源端口、登录时间等信息 1.1.1 Security...]$evtx = $pwd.Path+"\Sec.evtx" ) $time=Get-Date -Format h:mm:ss $evtx=(Get-Item $evtx).fullname...tasklist /svc | findstr "eventlog" taskkill /F /PID 279 net start eventlog 2.1 EventRecordID单条删除 单条日志清除

    2.2K30

    win11系统的安全性真牛逼

    cl security 2>$null wevtutil cl system 2>$null 下面这个Powershell代码使用wevtutil el获取所有事件日志,然后使用foreach循环逐个处理每个事件日志...对于每个事件日志,脚本会尝试使用wevtutil cl命令清空它,并捕获可能出现的错误。如果无法清空某个日志,脚本将输出警告消息。...查找文件只找到C:\Windows\System32\winevt\Logs\Microsoft-Windows-LiveId%4Operational.evtx,没找到 C:\Windows\System32...对比下Microsoft-Windows-LiveId/Analytic和Microsoft-Windows-LiveId/Operational的注册表键值有什么区别 用LockHunter定位,该.evtx...总之,要彻底清空win11的系统日志相当麻烦,最后还是在winpe中实现删.evtx文件,单纯只清空.evtx文件内容实现不了。

    42720

    闲聊Windows系统日志

    EVTX事件日志文件 使用事件查看器工具可以将这些EVTX事件日志文件导出为evtx,xml,txt和csv格式的文件。...对于后三种文件格式已经比较了解,现在分析下evtx后缀额格式。事件日志evtx文件是一种二进制格式的文件。 ?...图 evtx文件类型 文件头部签名为十六进制45 6C 66 46 69 6C 65 00(ElfFile\x00)。Evtx文件结构包含三部分:文件头,数据块,结尾空值。...单条日志删除 准备:测试文件(test.evtx—系统中的Setup.evtx),Winhex,python 下载地址:https://github.com/ByPupil/delete-windows-log...图 成功删除单条日志记录 此处讲的是删除最后一条记录的详细过曾,删除第一条和中间的记录在实际操作中会有一些不一样的部分,只要对了解evtx文件的格式,删除evtx格式内容中的记录方法并不唯一。

    11.7K10

    Oracle的日志日志文件

    在Oracle数据库中,日志文件是用于数据恢复和事务重演的,这个日志文件对于Oracle数据库的作用是致命的,从这个角度来说,此日志完全不同于其他其他软件层面理解上的日志。...很多Oracle的数据库灾难发生于日志文件的误操作,有人误删除、误清空、误覆盖,此类错误层出不穷,引发了一次又一次的故障。...对于生产系统,出现在线日志覆盖的情况,可能是灾难性的,最近遇到了几起和日志有关的故障,感触刻骨铭心。...所以,我曾经建议Oracle,将日志文件的缺省后缀改掉,舍log而取dbf,也将日志文件的名字改为日志数据文件,这样或能警醒且减少部分故障。...Oracle的日志文件是重中之重,轻忽不得,各位DBA们共勉。

    1.5K120

    导出系统日志发给技术支持协助分析

    Windows获取日志非常方便,直接去这个目录拿就行了:C:\Windows\System32\winevt\Logs,按大小倒叙排列,一般看这3个 image.png 把这3个日志从原位置复制到别的地方...个人建议用下面导出日志的办法,cmd命令行执行wevtutil epl命令就行,epl是export-log的缩写,wevtutil epl和wevtutil export-log都行,例如 以日期命名...,格式须指定.evtx,分别导出安全日志、系统日志、应用日志 wevtutil epl Security C:\Security0420.evtx wevtutil epl System C:\System0420....evtx wevtutil epl Application C:\Application0420.evtx image.png 上面命令里的epl其实是export-log的缩写,例如 wevtutil...export-log Security C:\Security0421.evtx wevtutil export-log System C:\System0421.evtx wevtutil export-log

    1.8K50

    痕迹清除-Windows日志清除绕过

    c:10 日志导出过滤 wevtutil.exe epl Security 1.evtx 过滤分两种: 按日志号过滤: wevtutil epl Security 1.evtx "/q:*[System...=1112)]]" 通过加or语句 wevtutil epl Security 1.evtx "/q:*[System [(EventID>13032) or (EventRecordID<13030...,结果保存为new.evtx,然后可以把删除处理后的日志进行重新导入 组合过滤: wevtutil epl Security asd.evtx "/q:(Event/System/TimeCreated...DeleteRecordbyTerminateProcess(ReplaceFile).cpp 编译在代码位置添加 #include #include 该项目的原理: 1、解除本身日志文件的占用...2、结束日志进程 3、释放日志文件句柄 4、替换日志文件 5、重启日志服务 运行完成后把删除处理后的日志重新导入安全日志,但会留下7034的系统日志 EventLogMaster 这是一款用于日志清除的

    2.9K20

    Window日志分析

    默认位置:%SystemRoot%\System32\Winevt\Logs\System.evtx 应用程序日志 包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件,例如数据库程序可以在应用程序日志中记录文件错误...默认位置:%SystemRoot%\System32\Winevt\Logs\Application.evtx 安全日志 记录系统的安全审计事件,包含各种类型的登录日志、对象访问日志、进程追踪日志、特权使用...默认位置:%SystemRoot%\System32\Winevt\Logs\Security.evtx 系统和应用程序日志存储着故障排除信息,对于系统管理员更为有用。...0x04 日志分析工具 Log Parser Log Parser(是微软公司出品的日志分析工具,它功能强大,使用简单,可以分析基于文本的日志文件、XML 文件、CSV(逗号分隔符)文件,以及操作系统的事件日志...、注册表、文件系统、Active Directory。

    2K20

    日志ILog(文件日志控制台日志控件日志网络日志

    Off = 0xFF } 文件日志 文本文件日志是最重要的日志,也是XTrace.Log的默认实现。...文本文件日志是把日志逐行输出到文本文件中,每天一个文件。 如果想要独立存储某个模块的日志,可以实例化一个专属的TextFileLog对象。推荐使用Create创建。...文本文件日志主要特性: 每天一个文件,例如 2021_06_25.log 每个文件最大10M,(可在core.config中配置LogFileMaxBytes),超过后产生新的日志文件,例如 2021_...可以看到,日志文件非常完善,还有一个很完整的日志头。 文本日志文件格式,参考了多款微软产品,头部井号#隔开的行是注释行,用于说明情况。...加上后,同时写文件和控制台。 控制台日志ConsoleLog没有日志头,其它跟文本文件日志一样,输出时间、线程信息和日志内容。

    94020

    Window日志分析

    0x01 基本设置 A、Windows审核策略设置 前提:开启审核策略,若日后系统出现故障、安全事故则可以查看系统的日志文件,排除故障,追查入侵者的信息等。...Parser(是微软公司出品的日志分析工具,它功能强大,使用简单,可以分析基于文本的日志文件、XML 文件、CSV(逗号分隔符)文件,以及操作系统的事件日志、注册表、文件系统、Active Directory...where Eve ntID=4624" LogParser.exe -i:EVT –o:DATAGRID “SELECT * FROM c:\11.evtx where TimeGenerated...:EVT "SELECT EXTRACT_TOKE N(Message,19,' ') as user,count(EXTRACT_TOKEN(Message,19,' ')) FROM c:\11.evtx...DATAGRID “SELECT TimeGenerated as Creationtime,EXTRACT_TOKEN(Strings,5,’|’) as Process FROM c:\11.evtx

    62530

    应急响应-遭受入侵的通用处置方法

    应急响应通用方法 查看日志 通过cmd输入eventvwr.msc打开事件查看器 在%SystemRoot%\System32\Winevt\Logs\位置存放着日志文件 常见的事件ID 安全日志...远程登录日志 Microsoft-Windows-TerminalServices-RemoteConnectionManager%4Operational.evtx Microsoft-Windows-TerminalServices-LocalSessionManager...25:远程桌⾯服务:会话重新连接成功 连接其他机器日志 Microsoft-Windows-TerminalServices-RDPClient%4Operational.evtx • 1024:...日志分析工具 EvtxLogparse 款用于快速筛查整理日志的工具,贴近实战场景 基础用法 evtxLogparse.exe -s success security.evtx #SMB登录成功 evtxLogparse.exe...内存马又名无文件马,见名知意,也就是无文件落地的Webshell技术。

    1.5K10

    日志文件过大优化

    # 执行脚本 postrotate # 脚本开始 # 把操作当前的日志文件的进程停止并清空(注意:这里的进程是指日志文件的进程,不是应用程序的进程,这两者要区分起来) #...nocompress #不需要压缩时,用这个参数 copytruncate #用于还在打开中的日志文件,把当前日志备份并截断 nocopytruncate #...备份日志文件但是不截断 create mode owner group #使用指定的文件模式创建新的日志文件 nocreate #不建立新的日志文件 delaycompress...notifempty #如果是空文件的话,不转储 mail address #把转储的日志文件发送到指定的E-mail 地址 nomail #转储时不发送日志文件...olddir directory #转储后的日志文件放入指定的目录,必须和当前日志文件在同一个文件系统 noolddir #转储后的日志文件和当前日志文件放在同一个目录下

    1.4K10

    MyCAT 日志文件描述

    与任何应用软件一样,MyCAT也有自身的日志文件用于记录MyCAT运行时的相关信息用于排错与跟踪。本文主要描述其日志文件部分。    ...3306,192.168.1.143:3307 ###查看日志文件配置 D:\>type mycat\conf\log4j.xml <?...:mycat启动,停止,添加为服务等都会记录到此日志文件,如果系统环境配置错误或缺少配置时,导致 Mycat 无法 启动,可以通过查看 warrpper.log 定位具体错误原因。...mycat.log为mycat主要日志文件,记录了启动时分配的相关buffer信息,数据源连接信息,连接池,动态类加载信息等等 在log4j.xml文件中进行相关配置,如保留个数,大小,字符集,日志文件大小等...非启动状态下可以删除,启动后会自动生成该日志文件 日志的级别为info时的相关信息: 以下日志部分为描述了mycat初始相关参数的配置信息,如Mycat 线程池、 buffer、连接池等等所有的配置信息

    1.3K20
    领券