应急响应之日志分析

“ 日志文件是分析系统操作及其行为的关键，对于应急响应有着不可描述的作用，通过分析日志获取操作系统历史发生的事件或检查操作系统是否按照预期运行。在后续文章中，分析下Windows系统上的日志作用**”**

01

—

Microsoft-Windows-Shell-Core

9707: 从注册表"Software\Microsoft\Windows\CurrentVersion\Run "和" Software\Microsoft\Windows\CurrentVersion\RunOnce"中获取进程名并开始执行。

9708: 检测上述进程何时执行成功，即获取PID(当进程仍在系统上运行时有用)。

通过事件ID9707和9708可以用来发现使用"Run"和"RunOnce"作为持久化的恶意软件。

28115 :  当快捷方式被添加到 "App Resolver Cache"时候触发，指何时安装应用程序。

02

—

Microsoft-Windows-WinINet-Config

5600:  检测代理配置的变化

03

—

Microsoft Office Alerts

300:  使用office应用程序时触发。例如，当提示保存office (excel, word…等)文件时，就会产生一个事件。包含关于文件名称(在保存文件的情况下)，office版本，触发事件的应用程序(Word, PowerPoint, Excel…等)的信息。

该事件可用于确定可疑的文件是否已被用户打开或更改。

04

—

Microsoft-Windows-WLAN-AutoConfig

8001:  成功连接到无线网络时触发。

8003：成功断开无线网络时触发。

05

—

Microsoft-Windows-Winlogon

811/812:   当用户登录到计算机时触发。可以在EID为811的日志中看到关键词"SessionEnv"，"SessionEnv"也会在用户第一次登录触发，要区分RDP或者Local登录，可以查找该事件之后是否有EID 1/2，如果不存在是RDP登录，存在就是本地登录。

1/2:   只有当用户登录到他没有会话的计算机时(即会话断开/不存在)，这个事件才会被触发。ID 2可用于确定用户输入错误密码的次数。如果密码正确，则生成Result Code: 0。如果用户提供了错误的密码，ID 2 将生成"Result Code:1326"。表示密码错误。通过统计ID 2的次数可以发现尝试了多少次密码爆破

06

—

Microsoft-Windows-Windows Firewall With Advanced Security

2004 :  规则被添加到Windows防火墙例外列表时触发。

2005:  Windows防火墙例外列表中的规则被修改时触发。

2006:  在indows防火墙例外列表中删除了一条规则”时触发。