windows服务器远控木马溯源日志分析

          windows日志溯源分析我们还有一个工具是日志分析工具,这个工具是微软自带的,然后的话安装完之后,我们怎么打开 LG搜索,把它搜索出来,它是命令行模式下的,而且它的语法是跟SQL语句很像,然后看他的帮助。-l是输入的格式,但我是输出的格式,它可以输出csvxml,很多种格式都可以。然后我们举个例子来查看一下系统安全的日志,然后系统安全的日志存放是在这条路径下面,上面我有说过了位置,有的存放是在这条路径下面,那它的日志在这里,把它找到之后,我们把它复制出来,我已经把它复制到了这里了。

然后就是我们的命令 a输入格式而输出格式,选择路径,再加上它的路径,就是这样,我们刚才说的事件的类别就是这里。在这里的8就是刚才我所说的8的类型说明就是网络铭文登录,还有这里的事件ID,每一个事件的ID都是不太一样的,到底有没有登录成功,还有等审核是什么情况,它都不太一样,这些到需要的时候可以查找一些资料,然后他的时间做了什么,Id,还有后面的一些信息,我查看具体是这样,这条命令,这个工具还可以利用,还可以看系统日志之后,除了看系统位置,还可以看我们之前所说到的是晚上的日志,就要把格式换一下就可以了,例如iis的日志,还有限制条件的查找,我们利用这条命令-I输入格式,-o输出格式,然后选择他 from然后再where查找条件,ID等于他,然后这就是利用了这条命令,然后它的命令格式也是跟SQL语句是一样的,然后到了工具排查,我这里有一款工具,挺好用的,就是SINEsafe工具,这个工具是一款很强大的系统安全信息查看的软件,在他的帮助下面,不仅可以可以深入的查看到系统各种的信息,还可以很方便的揪出电脑中的木马病毒,同时还可以在线修复各种的系统问题,然后在我的虚拟机里面打开有点慢,来说一下这款工具,它比较好的一点就是它把颜色区分出来了哪些程序,对我们小白来说是比较简单的。对黑色微软签名的驱动程序就是比较安全的。如果是蓝色就是没有微软签名的驱动程序,是可疑的。如果是红色非常可疑危险的程序了,然后我现在做的就是案例,某个远控密码的清除,跟最终我们利用这个工具来查看。

然后我这里是64位的直接打开,它这里黑色的话就是比较安全的,蓝色的是比较可疑的,然后如果遇到红色的话就是极度危险的。我们查看一下,像这些都是本机的系统的,然后看一下蓝色有什么可疑的,我们查看一下,看这个a有点可疑,然后它还有驱动模块,还有内核方面的层面上的工具,还有内核钩子,就是如果有一些木马病毒的话,它在更底层的层面下的话,它是在内核层面下的,有些病毒可以自己生成一个sys的system的文件,然后我们可以把在这里把它揪出来。

分享: