Sitemap
All pages on the site.
首页
事件日志笔记
- 雕刻已删除的 EVTX 记录并恢复已轮转的日志
- 在 Security.evtx 中检测横向移动
- 事件日志清除与那些能幸存的缺口
- 解读 EVTX 文件格式
- EVTX 分诊:只有一小时与一台主机时该先读什么
- PowerShell 日志记录:开启 module logging 和 script block logging 后你能得到什么
- 捕获真实攻击者的 Sysmon 配置
- Event ID 4663 解读:基于 SACL 的文件与注册表访问审计
- Event ID 4672 解读:在 Windows 中发现特权登录
- Event ID 4688 解读:用于 DFIR 的 Windows 进程创建审计
- Event ID 4720 解读:检测 AD 中的恶意账户创建
- Event ID 4768 解读:Kerberos TGT 请求与 AS-REP roasting
- Event ID 4769 解读:Kerberos 服务票据与 kerberoasting
- Event ID 7036 解读:用于 DFIR 分诊的服务状态变更
- 如何打开 .evtx 文件(5 种方法,无需安装)
- .evtx 文件是什么?Windows 事件日志格式解读
- 如何从运行中的 Windows 主机收集 .evtx 日志(4 种方法)
- Event ID 4625 解读:检测暴力破解、喷洒与枚举
- Event ID 1102 解读:Security 审计日志被清除(与什么得以幸存)
- EVTX 文件格式解读:块、模板与 BinXML 内部
- PowerShell Event ID 4104 详解:面向 DFIR 的脚本块日志
- Event ID 7045 详解:作为持久化信号的服务安装
- Sysmon Event ID 1 详解:面向 DFIR 分诊的进程创建
- Windows 事件 ID 4624:解读每一次成功登录
- 从这里开始:DFIR 分析师的 .evtx 指南