2. Windows系统日志审计详解

1.事件日志分析

使用eventvwr.msc打开事件查看器

1.1.事件日志类型

应用程序日志

应用程序日志包含由应用程序或系统程序记录的事件，主要记录程序运行方面的事件，例如数据库程序可以在应用程序日志中记录文件错误，程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况，那么我们可以从程序事件日志中找到相应的记录，也许会有助于你解决问题。

默认存放路径：C:\Windows\System32\Winevt\Logs\Application.evtx

系统日志

系统日志记录操作系统组件产生的事件，主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等

默认存放路径：C:\Windows\System32\Winevt\Logs\System.evtx

安全日志

安全日志记录系统的安全审计事件，包含各种类型的登录日志、对象访问日志、进程追踪日志、特权使用、帐号管理、策略变更、系统事件。安全日志也是调查取证中最常用到的日志。默认设置下，安全性日志是关闭的，管理员可以使用组策略来启动安全性日志，或者在注册表中设置审核策略，以便当安全性日志满后使系统停止响应。

默认存放路径：C:\Windows\System32\Winevt\Logs\Security.evtx

Windows Defind日志

如果Windows Defind查杀了某些工具，那么也会记录在日志中

默认存放路径：C:\Windows\System32\Winevt\Logs\Microsoft-Windows-Windows Defender%4Operational.evtx

1.2.常见事件ID

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25

事件ID	说明	备注
1074	计算机开机、关机、重启的时间、原因、注释	查看异常关机情况
1102	清理审计日志	发现篡改事件日志的用户
4624	登录成功	检测异常的未经授权的登录
4625	登陆失败	检测可能的暴力密码攻击
4632	成员已添加到启用安全性的本地组	检测滥用授权用户行为
4634	注销用户	
4648	试图使用显式凭据登录	
4657	注册表值被修改	
4663	尝试访问对象	检测未经授权访问文件和文件夹的行为。CTF有些时候常考
4672	administrator超级管理员登录（被赋予特权）	
4698	计划任务已创建	
4699	计划任务已删除	
4700	启用计划任务	
4701	禁用计划任务	
4702	更新计划任务	
4720	创建用户	
4726	删除用户	
4728	成员已添加到启用安全性的全局组	确保添加安全组成员的资格信息
4740	锁定用户账户	检测可能的暴力密码攻击
4756	成员已添加到启用安全性的通用组	
6005	表示日志服务已经启动（表明系统正常启动了）	查看系统启动情况
6006	表示日志服务已经停止（如果在某天没看到6006事件，说明出现关机异常事件了）	查看异常关机情况
6009	非正常关机（ctrl+alt+delete关机）	
5156/5158    出入站日志（很重要）

1.2.1.5156/5158出入站日志

当内网一台主机对你发起请求时，如Ping扫描就会记录在日志中，日志编号为5156

1.2.2.1102日志清除记录

在windows中，若运维人员开启了记录所有安全日志项，那么攻击者在拿到该服务器权限后的所有操作都可以在该安全日志中被记录到。所以清空该Security日志肯定是一个善后的必然选择。

1

通过cmd清除日志：wevtutil cl "Security"

在该日志事件中，执行日志清除动作的是system权限的账户，这肯定是有问题的。因为正常情况下普通用户是没有权限去清除日志的，除非绕过了UAC的普通账户，又或者是system权限的账户。

1.2.3.4720/4726账户管理记录

在安全日志4720中可以查看攻击者创建的用户，即使是隐藏用户都可以查看到。4726则是可以查看到被删除的用户。该事件日志中还可以查看该任务的发起者。

1

net user 用户名 密码 /add

SAM事件ID-4656：那么同样的若权限不足，则该事件也会被记录下来，但是需要注意的是该事件不会是4720，而是事件4656。因为只有对SAM有更改权限才能够对用户进行创建，无论是创建成功还是失败都会触发SAM的请求句柄事件，事件ID都为4656。

1.2.4.4732/4733安全组管理记录

在安全日志4732中可以查看攻击者将创建的用户加入到了哪个用户组中，4733则是查看用户从哪个组中移除了。

1

net localgroup 组名 用户名 /add

1.2.5.计划任务事件ID-4698、4699、4700、4701、4702

在该事件记录信息中，计划任务schtasks以及at都会被记录在内：包括创建者、任务名称、任务内容等。4698 计划任务已创建、4699 计划任务已删除、4700 计划任务已启用、4701 计划任务已停用、4702 计划任务已更。

1.2.6.进程创建及终止记录4688/4689

要记录该日志，需要编辑完毕本地审计策略后重启计算机，重启后便可以记录每一个被启动的进程日志，包括软件进程。那么可以根据是否有运行WINWORD.EXE来判断某个时间点用户是否有打开word进程，举一反三。

2.CTF中常见Windows日志分析题

2.1.蓝桥杯—EZevtx

在安全日志中，查找事件 ID 为 4663 的条目，该事件表示“尝试访问对象”。

1

flag{confidenal.docx}

2.2.软件系统安全赛

小梁的域控机器被黑客攻击了，请你找出一些蛛丝马迹。 攻击者在获取域管理员权限后，尝试上传木马文件，但是被杀毒软件查杀，上传的木马文件的绝对路径是什么？（如C:\Windows\cmd.exe）

要查找被查杀的木马文件的话，可以通过找相关查杀软件的日志或者查看 Windows 的事件记录。

在 Windows\System32\winevt\Logs 文件夹找到 Windows Defender 的事件记录文件：Microsoft-Windows-Windows Defender%4Operational.evtx`，然后查看其中内容，很容易在最近的一条事件中找到对应的木马文件：

1

事件ID：1116