Search
Search the blog.
雕刻已删除的 EVTX 记录并恢复已轮转的日志
从未分配空间、pagefile 与内存中按签名雕刻 EVTX 记录,以及当实时日志里没有你需要的内容时,能优雅处理畸形块的工具。
在 Security.evtx 中检测横向移动
真实对手工具如何在 Windows 环境中跨主机移动,以及在 Security.evtx 中能抓住 PsExec、Impacket 与 WMIExec 的精确 Event ID 组合。
事件日志清除与那些能幸存的缺口
攻击者如何清除 Windows 事件日志,磁盘上与转发通道里会留下什么证据,以及 wevtutil cl 与 Invoke-Phant0m 这类挂起线程的工具之间的差异。
解读 EVTX 文件格式
EVTX 二进制格式的实操之旅:文件头、ELFCHNK 块、BinXML 模板、替换数组,以及为什么解析这玩意儿比看上去难。
EVTX 分诊:只有一小时与一台主机时该先读什么
应急响应中 Windows 事件日志分诊的实务操作顺序——哪些通道重要、哪些 Event ID 会骗你,以及 Sysmon 在哪里挑大梁。
PowerShell 日志记录:开启 module logging 和 script block logging 后你能得到什么
PowerShell module logging、script block logging、transcripts 和 AMSI buffers 之间的实际差异,以及真正开启有用项的 GPO 设置。
捕获真实攻击者的 Sysmon 配置
对 Sysmon 的观点: 哪些 event ID 在 IR 中真正重要、为什么 olafhartong/sysmon-modular 是正确的基线、以及让你对真实攻击视而不见的配置错误。
Event ID 4663 解读:基于 SACL 的文件与注册表访问审计
4663 是按访问触发的对象审计记录。在恰当的文件和键上配置 SACL,即可获得字节级的对象访问日志。对勒索软件、外泄与凭据库窃取尤其有用。
Event ID 4672 解读:在 Windows 中发现特权登录
4672 在登录被授予 SeDebugPrivilege 或 SeTcbPrivilege 等敏感特权时触发。把它读成等同于管理员的登录信号,审计策略其余部分就顺理成章。
Event ID 4688 解读:用于 DFIR 的 Windows 进程创建审计
在启用命令行审计的前提下,4688 是基础操作系统的进程创建记录。本文讲清它里面是什么、与 Sysmon 1 的区别,以及物有所值的分诊模式。
Event ID 4720 解读:检测 AD 中的恶意账户创建
4720 在每次创建用户账户时触发,本地账户或域账户都会。把它和 4722、4724、4732 一起读,几分钟就能抓到持久化与横向移动账户。
Event ID 4768 解读:Kerberos TGT 请求与 AS-REP roasting
4768 是 DC 对每一张发放出去的 TGT 的记录。通过结果码与预认证标志去读它,就能发现 AS-REP roasting、暴力破解,以及对非约束委派的滥用。
Event ID 4769 解读:Kerberos 服务票据与 kerberoasting
4769 是 DC 对每一次服务票据请求的记录。按加密类型来读,可以发现 kerberoasting;与 4768 配在一起读,可以发现 pass-the-ticket。
Event ID 7036 解读:用于 DFIR 分诊的服务状态变更
7036 在服务每次启动或停止时触发。与 7045 配对,它确认持久化是否真的跑起来了。单独来看,也能揭示服务滥用、防御规避与启动期异常。
如何打开 .evtx 文件(5 种方法,无需安装)
打开 Windows .evtx 文件的五种方式:在浏览器里、用 Event Viewer、用 wevtutil、用 EvtxECmd,或用 python-evtx。按主机系统与你能忍受的摩擦程度选。
.evtx 文件是什么?Windows 事件日志格式解读
.evtx 文件是二进制的 Windows 事件日志。它们存放在哪里、里面是什么、与 .evt 有何不同,以及如何打开。无需安装。
如何从运行中的 Windows 主机收集 .evtx 日志(4 种方法)
从一台运行中的 Windows 主机取出 .evtx 的四种方式:wevtutil、FTK Imager、KAPE 与原始 NTFS。附上每种方式的证据链取舍以及你实际会运行的命令。
Event ID 4625 解读:检测暴力破解、喷洒与枚举
4625 是登录失败记录。读得对,你能在它演变为成功之前发现密码喷洒、撞库和 Kerberos 滥用。
Event ID 1102 解读:Security 审计日志被清除(与什么得以幸存)
1102 是你无法抑制而不留下更多证据的唯一事件。它告诉了你什么,清除后什么得以保留,看到它后该去哪儿查。
EVTX 文件格式解读:块、模板与 BinXML 内部
一个 .evtx 文件在字节层面的布局:文件头、64 KB 块、模板表,以及引用它的 BinXML 记录流。
PowerShell Event ID 4104 详解:面向 DFIR 的脚本块日志
脚本块日志是 Windows 上最有用的免费防御控制。它记录每次执行的脚本完整正文 —— 包括混淆和驻留内存的 —— 事件 ID 是 4104。
Event ID 7045 详解:作为持久化信号的服务安装
服务创建是最显眼的持久化技术之一。事件 7045 捕获每次安装 —— 读这三个字段就能抓住大多数情况。
Sysmon Event ID 1 详解:面向 DFIR 分诊的进程创建
Sysmon 的事件 1 是 Windows 能产生的最丰富的进程创建记录。这里讲它包含什么,以及如何快速分诊。
Windows 事件 ID 4624:解读每一次成功登录
4624 记录里到底包含什么、为什么 LogonType 字段比事件本身更关键、分诊时应该重点关注哪些字段,以及如何在大规模日志数据中高效地读懂这些登录事件,应用于事件响应与威胁狩猎的实用指引。
从这里开始:DFIR 分析师的 .evtx 指南
.evtx 是什么、哪些通道重要、必须掌握的 Event ID,以及它们在磁盘上的位置。本博客其他所有内容的导航起点。