Search
Search the blog.
Event ID 4663 详解:用 SACL 做文件与注册表访问审计
4663 是每次对象访问的审计记录。在合适的文件和键上配好 SACL,你就能获得每次访问的细粒度日志 —— 对勒索软件、外泄和凭证库窃取都非常有用。
Event ID 4672 详解:检测 Windows 特权登录
每当一次登录被授予 SeDebugPrivilege 或 SeTcbPrivilege 等敏感权限时,4672 就会触发。把它视为「这次登录等价于管理员」的信号,你其余的审计策略就有了主心骨。
Event ID 4688 详解:面向 DFIR 的 Windows 进程创建审计
4688 是基础 OS 的进程创建记录 —— 前提是命令行审计已开启。这里讲它包含什么、与 Sysmon 1 的区别,以及真正用得上的分诊模式。
Event ID 4720 详解:检测 AD 中的恶意账户创建
4720 每次创建用户账号都会触发 —— 本地或 AD。把它和 4722/4724/4732 一起读,几分钟内就能发现持久化和横移账户。
Event ID 4768 详解:Kerberos TGT 请求与 AS-REP roasting
4768 是 DC 对每次 TGT 颁发的记录。从结果码和预认证标志读它,你能发现 AS-REP roasting、爆破和非约束委派滥用。
Event ID 4769 详解:Kerberos 服务票据与 kerberoasting
4769 是 DC 对每次服务票据请求的记录。从加密类型读它,你能发现 kerberoasting;和 4768 一起读,你能发现 pass-the-ticket。
Event ID 7036 详解:服务状态变化在 DFIR 分诊中的用途
7036 每次服务启动或停止都会触发。和 7045 配对,它能确认持久化是否真的执行了 —— 单独看,也能揭示服务滥用、防御规避和启动异常。
如何打开 evtx 文件(5 种方法,皆可免安装)
打开 Windows evtx 文件的五种方式 —— 浏览器、事件查看器、wevtutil、EvtxECmd、python-evtx。按主机操作系统与你能接受的麻烦程度自选。
什么是 evtx 文件?Windows 事件日志格式详解
evtx 文件是 Windows 事件日志的二进制格式。本文讲清楚它存在哪、内部结构是什么、与 .evt 有何不同,以及如何在不安装任何软件的情况下打开它。
如何从运行中的 Windows 主机收集 .evtx 日志(4 种方法)
从在线 Windows 主机抓取 .evtx 的四种方式 —— wevtutil、FTK Imager、KAPE、原始 NTFS —— 各自的取证链权衡,以及实际用得上的命令。
Event ID 4625 详解:检测爆破、密码喷洒与账户枚举
4625 是登录失败记录。读对了,你能在攻击得手前发现密码喷洒、凭证填充和 Kerberos 滥用。
Event ID 1102 详解:安全审计日志被清空(以及还有什么留下来)
1102 是攻击者无法在不留下更多证据的前提下抑制的事件之一。这里讲它告诉你什么,以及清空之后还有什么会幸存。
EVTX 文件格式详解:chunk、模板与 BinXML 内部结构
从字节层面看一个 .evtx 文件如何布局 —— 文件头、64 KB 的 chunk、模板表,以及引用这些模板的 BinXML 记录流。
PowerShell Event ID 4104 详解:面向 DFIR 的脚本块日志
脚本块日志是 Windows 上最有用的免费防御控制。它记录每次执行的脚本完整正文 —— 包括混淆和驻留内存的 —— 事件 ID 是 4104。
Event ID 7045 详解:作为持久化信号的服务安装
服务创建是最显眼的持久化技术之一。事件 7045 捕获每次安装 —— 读这三个字段就能抓住大多数情况。
Sysmon Event ID 1 详解:面向 DFIR 分诊的进程创建
Sysmon 的事件 1 是 Windows 能产生的最丰富的进程创建记录。这里讲它包含什么,以及如何快速分诊。
Windows 事件 ID 4624:解读每一次成功登录
4624 记录里到底包含什么、为什么 LogonType 字段比事件本身更关键、分诊时应该重点关注哪些字段,以及如何在大规模日志数据中高效地读懂这些登录事件,应用于事件响应与威胁狩猎的实用指引。
解读 Windows 事件日志的二进制格式
一份关于 .evtx 文件内部结构、64 KB 分块与 XML 模板机制、单条事件包含哪些信息,以及为什么这种二进制格式在 Windows 事件响应与数字取证中至关重要的简短入门。