Sitemap
All pages on the site.
首页
事件日志笔记
- Event ID 4663 详解:用 SACL 做文件与注册表访问审计
- Event ID 4672 详解:检测 Windows 特权登录
- Event ID 4688 详解:面向 DFIR 的 Windows 进程创建审计
- Event ID 4720 详解:检测 AD 中的恶意账户创建
- Event ID 4768 详解:Kerberos TGT 请求与 AS-REP roasting
- Event ID 4769 详解:Kerberos 服务票据与 kerberoasting
- Event ID 7036 详解:服务状态变化在 DFIR 分诊中的用途
- 如何打开 evtx 文件(5 种方法,皆可免安装)
- 什么是 evtx 文件?Windows 事件日志格式详解
- 如何从运行中的 Windows 主机收集 .evtx 日志(4 种方法)
- Event ID 4625 详解:检测爆破、密码喷洒与账户枚举
- Event ID 1102 详解:安全审计日志被清空(以及还有什么留下来)
- EVTX 文件格式详解:chunk、模板与 BinXML 内部结构
- PowerShell Event ID 4104 详解:面向 DFIR 的脚本块日志
- Event ID 7045 详解:作为持久化信号的服务安装
- Sysmon Event ID 1 详解:面向 DFIR 分诊的进程创建
- Windows 事件 ID 4624:解读每一次成功登录
- 解读 Windows 事件日志的二进制格式