Windows 取證之EVTX日志 - 蟻景網安實驗室 - 博客園

一.evtx日志文件是什么

????????從?Windows NT 6.0（也就是?Windows Vista?和?Windows Server 2008）開始，微軟引入了一種全新的日志文件格式，稱為?evtx。這種格式取代了之前 Windows 系統中使用的?evt?格式。

1、將黑客成功登錄系統所使用的IP地址作為Flag值提交；

(1).過濾成功的賬戶登錄的事件，登錄成功的事件ID為4624

(2).點擊一下時間進行排序

flag{192.168.36.133}

2.黑客成功登錄系統后修改了登錄用戶的用戶名，將修改后的用戶名作為 Flag 值提交；

##從第一題知道登錄時的用戶名是Adnimistartro正常應該是Adnimistartor才對

(1).過濾帳戶名更改事件，賬戶名更改事件ID為4738

這個事件可以確定有一個用戶賬戶的用戶名被改成了Adnimistartro，操作者是SYSTEM（用戶賬戶名的更改要重啟才能成功應用哦🤣🤣🤣🤣🤣🤣🤣🤣🤣🤣🤣🤣🤣🤣🤣）

1. 事件 ID 4781 的用途：

   • 專門記錄?計算機賬戶（Computer Account）?的創建、修改或刪除操作，例如：

     • 域中新增一臺計算機（如?WIN-PC01$）。

     • 修改計算機賬戶的描述或 DNS 名稱。

   • 與用戶賬戶無關，無法捕獲用戶賬戶名的修改行為。

2. 修改用戶名的正確事件 ID：

   • 事件 ID 4738：記錄?用戶賬戶屬性修改，包括用戶名（SAM 帳戶名）、顯示名稱、組權限等。

   • 事件 ID 4720-4726：用戶賬戶的創建、刪除、啟用/禁用等操作（但非屬性修改）。

但是為什么4781有記錄，以下是deepseek的解釋🤣🤣🤣

首先，我需要確認事件ID 4781的定義。根據微軟文檔，4781確實是用于計算機賬戶的創建、修改或刪除。那為什么用戶的日志顯示的是用戶賬戶名的更改呢？是不是用戶混淆了賬戶類型？仔細看用戶提供的日志內容：目標賬戶的安全ID是S-1-5-21...-500，這是內置的本地管理員賬戶的SID，屬于用戶賬戶，而不是計算機賬戶。計算機賬戶的SID通常以計算機名結尾，并且賬戶名以$結尾。而用戶提供的舊賬戶名和新賬戶名都是用戶賬戶，沒有$符號，明顯是用戶賬戶的修改。這說明用戶的系統中可能出現了異常情況，或者是日志記錄的bug？或者是攻擊者通過某種手段繞過了系統機制，將用戶賬戶的修改記錄到了4781事件中？另外，用戶的操作者顯示為SYSTEM賬戶，計算機賬戶名為WIN-B1B1T3K57G9$，這符合計算機賬戶的命名規則。但目標賬戶是用戶賬戶，所以這里可能存在混淆。可能的情況是，用戶的環境中有特殊的配置，或者攻擊者利用某些工具或漏洞，使得修改用戶賬戶的操作被錯誤地記錄為計算機賬戶事件。或者是用戶誤讀了日志中的某些字段，將計算機賬戶的操作與用戶賬戶的修改混淆了。需要進一步驗證事件ID 4781的具體字段。通常，4781事件的目標賬戶名應該是計算機賬戶名，以$結尾，而用戶提供的日志中目標賬戶名是Adnimistartro，沒有$，說明是用戶賬戶。這可能意味著系統在記錄時發生了錯誤，或者攻擊者通過某種方式篡改了日志記錄機制。另一個可能性是用戶使用的系統版本或配置不同，某些情況下用戶賬戶的修改可能被錯誤歸類到4781。需要查閱更多資料，確認不同系統版本中事件ID的定義是否有變化。此外，用戶提到的“舊帳戶名”和“新帳戶名”字段是否在4781事件中存在？根據微軟文檔，4781事件主要記錄計算機賬戶的變動，如創建、修改屬性或刪除，而用戶賬戶的修改應由4738處理。用戶提供的日志中出現了用戶賬戶名的修改，這不符合4781的標準定義，可能涉及日志偽造或系統異常。需要建議用戶檢查其他相關事件日志，確認是否有4738事件同時記錄，或者是否有其他異常事件。同時，檢查系統完整性，是否存在被入侵的跡象，如惡意進程或服務以SYSTEM權限運行，篡改日志記錄。總結來說，用戶的情況可能是由于日志記錄異常、系統配置問題，或攻擊者故意混淆日志類型以掩蓋行蹤。需要進一步分析系統環境和其他日志，才能確定具體原因。

flag{Adnimistartro}

3.黑客成功登錄系統后成功訪問了一個關鍵位置的文件，將該文件名稱（文件名稱不包含后綴）作為Flag值提交；

（1）過濾記錄對象訪問嘗試的安全審計事件4663

flag{SCHEMA}

4.黑客成功登錄系統后重啟過幾次數據庫服務，將最后一次重啟數據庫服務后數據庫服務的進程ID號作為Flag值提交；

（1）過濾來自 Mysql 服務的事件記錄，?Mysql 服務的事件 id 為 100?

（2）CTRL+F 搜索start，定位到最后一次啟動數據庫，找到進程號

1. 根據上幾題描述確定黑客攻擊的時間段，為2020年10月8日
2. 找到2020年10月8日的最后一次啟動

flag{8820}

5.黑客成功登錄系統后修改了登錄用戶的用戶名并對系統執行了多次重啟操作，將黑客使用修改后的用戶重啟系統的次數作為Flag值提交。

根據前兩題知道修改后的用戶名是Administratro

? ? ? ? 事件id1074：當用戶、進程或系統管理員?主動觸發關機、重啟、注銷或計劃任務關機?時，系統會記錄此事件。

• 事件 ID 1074 屬于?系統日志（路徑：Windows 日志 > 系統），而非?安全日志。

• 安全日志中的關機事件?由?事件 ID 4647（用戶發起注銷）或?事件 ID 4670（權限更改觸發注銷）記錄。

（1）過濾篩選1074的事件

• 身份屬性：

  • SYSTEM?是 Windows 中權限最高的內置賬戶，代表操作系統本身。

  • 系統服務、內核驅動、計劃任務等后臺進程通常以?SYSTEM?身份運行。

• 觸發重啟的場景：

  • 當賬戶屬性修改涉及?安全策略或核心配置（如修改管理員賬戶名、調整用戶組權限）時，系統可能自動觸發重啟以應用變更。

  • 此類操作由系統服務（如?SAM?服務）自動發起，因此事件日志中操作者顯示為?SYSTEM。

????????所以攻擊者修改了用戶賬號名后要應用就一定要重啟，因此SYSTEM?這次重啟算在（黑客使用修改后的用戶重啟系統的次數）里，一共是三次，還有兩次是以修改后的用戶賬戶名Adnimistartro重啟的

flag{3}