Sitemap
All pages on the site.
Start
Notizen zum Ereignisprotokoll
- Event-ID 4663 erklärt: Datei- und Registry-Zugriff per SACL auditieren
- Event-ID 4672 erklärt: privilegierte Anmeldungen unter Windows erkennen
- Event-ID 4688 erklärt: Windows-Prozesserstellung für DFIR auditieren
- Event-ID 4720 erklärt: heimliche Kontoerstellung in AD erkennen
- Event-ID 4768 erklärt: Kerberos-TGT-Requests und AS-REP-Roasting
- Event-ID 4769 erklärt: Kerberos-Service-Tickets und Kerberoasting
- Event-ID 7036 erklärt: Dienst-Zustandswechsel für die DFIR-Triage
- EVTX-Datei öffnen: 5 Methoden (ohne Installation möglich)
- Was ist eine EVTX-Datei? Das Windows-Event-Log-Format erklärt
- .evtx-Logs vom laufenden Windows-System holen (4 Methoden)
- Event-ID 4625 erklärt: Brute Force, Spray und Enumeration erkennen
- Event-ID 1102 erklärt: Sicherheits-Audit-Log gelöscht (und was übrig bleibt)
- EVTX-Dateiformat erklärt: Chunks, Templates und BinXML-Interna
- PowerShell-Event-ID 4104 erklärt: Scriptblock-Logging für DFIR
- Event-ID 7045 erklärt: Dienstinstallation als Persistenzsignal
- Sysmon-Event-ID 1 erklärt: Prozesserstellung für die DFIR-Triage
- Windows-Event-ID 4624: jede Anmeldung entschlüsselt
- Das binäre Windows-Ereignisprotokollformat lesen