Windows日志分析

 

某用户2019年12月31日上午报障，说他云主机密码被改了，昨天还能登录的。用户后来通过天翼云自带的密码重置功能进去了，进去后发现了一个system32账户。

一、问题

1、请分析日志，找出攻击者创建system32账户的时间

2、找出攻击者修改administrator密码的时间

 

二、解答

1、打开日志文件，按任务类别排序排序，找到“用户帐户管理”这一类，然后挨个查看

 

 

 

2、同样是在“用户帐户管理”这一类挨个查找，发现早上6:13:27有一条事件ID是4724的“试图重置账户密码”日志

 

还有一条同一时刻的事件ID是4738的“已更改用户帐户”的日志

 

 

 

 

 

把这条日志下面的滚动条拖下去一点，发现administrator密码的更改时间。

 

（还有10点多钟的更改密码的日志，跟用户确认后发现是他自己操作的）

 

三、引申

一些常见的Windows日志的事件ID要记住，分析日志可以直接根据ID筛选。

如“已创建用户账户”是4720，“试图重置账户密码”是4724，重置成功后会有4738“已更改用户帐户”的日志。

另外4624是登录成功，4625是登录失败。本案例日志文件里有很多4625，就是说明有人在暴力破解。在登录成功日志中，如果登录类型是10，说明是远程登录，在详细内容里可以看到登录IP，如下图所示：（一张图截不下，分了2张）

 

 

关于“登录类型”的说明如下：

登录类型2：交互式登录(INTERACTIVE)

本地键盘上的登录,基于网络上的KVM登录也是这种类型

 

登录类型3：网络(NETWORK)

当你从网络访问一台PC时WINDOWS记为类型3,常见的是通过网络连接到共享文件夹或共享打印机!

 

登录类型4：批处理(BATCH)

运行计划任务是产生的记录类型..也可能是HACKER通过它来猜测用户密码

 

登录类型5：服务(SERVICE)

一个服务开始时,WINDOWS为这个特定的用户创造的一个登录会话

 

登录类型7：解锁(UNLOOK)

解除锁定的PC密码,比如对屏保密码的解除操作

 

登录类型8：网络明文(NETWORKCLEARTEXT) 网络明文传输

 

登录类型9：新凭证(NEWCREDENTIALS)

 

登录类型10：远程交互(REMOTEINTERACTIVE)

通过终端服务,远程桌面访问

 

登录类型11：缓存交互(CACHEDINTERACTIVE)