- Windows事件日志分析
- 使用Windows事件日志查看器,打开实验文档“security01.evtx”。
- 按“日期和时间”对日志进行分组统计;
- 按“事件ID”对日志进行分组统计:
- 问题:日志中是否有用户登录失败的记录。如果有,请按“登录用户”、“日期和时间”列出这些记录。 右键 添加列当中的用户名
参考链接:https://blog.csdn.net/NDASH/article/details/135660187
- NTFS日志分析
(1)开启Win2008虚拟机。
(2)将取证工具压缩包XWaysForensics.rar复制到虚拟机中,进行解压,运行其中的setup.exe安装取证工具X-Ways Forensics。(由于该工具是测试版,其有效期至2021年12月31日,为了使用该工具的功能,请把虚拟机的日期改为2021年的某一天。)
注意:修改时间、把工具调为中文模式
(3)启动取证工具,打开C盘,$Extend里面的$UsnJrnl下 观察其中的$J文件最后几条记录所展示的信息;
(4)在C盘中新建一个文本文件,将其重命名为111.txt,打开111.txt,在其中编辑一些内容,保存并关闭,再将111.txt重命名为22.txt,然后将22.txt删除。
(5)将打开的$J文件关闭,在取证工具中更新快照,观察$J新增的一些记录。
(6)将系统的日期提前两天,重复步骤(4)和(5),观察$J的记录变化。
(7)问题:上述的操作对取证有什么作用?
有助于验证取证工具的准确性和可靠性,以及对系统日期更改对取证结果的影响。
3. 拓展内容(选看):对X-Ways Forensics感兴趣的同学可参考一下链接加深认识:
- 通过NTFS日志分析文件的时间属性是否被篡改 - WXjzc - 博客园 (cnblogs.com)
- X-Ways取证快速入门 | CDF训练营(四) (qq.com)
- X-Ways 必会的基本操作 | CDF训练营(六) (qq.com)
