Skip to content

事件日志笔记

关于 Windows 事件日志二进制格式、取证中常见的 Event ID 以及分诊流程的简短笔记。涵盖 EVTX 文件的内部结构、分块与模板机制、以及 BinXML 如何压缩事件记录的相关内容。文章侧重于事件响应、威胁狩猎和日志审查中真正用得上的实用细节,而不是 Event Viewer 界面里能看到的表层信息。新的笔记会持续添加,逐步覆盖更多与 Windows 事件日志取证相关的主题与工作流。

从未分配空间、pagefile 与内存中按签名雕刻 EVTX 记录,以及当实时日志里没有你需要的内容时,能优雅处理畸形块的工具。
真实对手工具如何在 Windows 环境中跨主机移动,以及在 Security.evtx 中能抓住 PsExec、Impacket 与 WMIExec 的精确 Event ID 组合。
攻击者如何清除 Windows 事件日志,磁盘上与转发通道里会留下什么证据,以及 wevtutil cl 与 Invoke-Phant0m 这类挂起线程的工具之间的差异。
EVTX 二进制格式的实操之旅:文件头、ELFCHNK 块、BinXML 模板、替换数组,以及为什么解析这玩意儿比看上去难。
应急响应中 Windows 事件日志分诊的实务操作顺序——哪些通道重要、哪些 Event ID 会骗你,以及 Sysmon 在哪里挑大梁。
PowerShell module logging、script block logging、transcripts 和 AMSI buffers 之间的实际差异,以及真正开启有用项的 GPO 设置。
对 Sysmon 的观点: 哪些 event ID 在 IR 中真正重要、为什么 olafhartong/sysmon-modular 是正确的基线、以及让你对真实攻击视而不见的配置错误。
4663 是按访问触发的对象审计记录。在恰当的文件和键上配置 SACL,即可获得字节级的对象访问日志。对勒索软件、外泄与凭据库窃取尤其有用。
4672 在登录被授予 SeDebugPrivilege 或 SeTcbPrivilege 等敏感特权时触发。把它读成等同于管理员的登录信号,审计策略其余部分就顺理成章。