Windows取证分析学习

Windows取证分析学习

QQ群：397745473

学习参考: 
漏洞银行丨Windows取证艺术赏析丨咖面85期 	https://www.youtube.com/watch?v=BEGKtDF75LY		

LogParser 使用

下载地址: https://www.microsoft.com/en-us/download/details.aspx?id=24659
1. 取事件日志文件 C:\Windows\System32\winevt\Logs\Security.evtx 到d盘下
4624 登陆事件

如果使用图形化工具可以安装一个Log Parser Studio(需.NET 4.0支援)，
下載位址：http://gallery.technet.microsoft.com/Log-Parser-Studio-cd458765，下載之後解壓即可

使用命令

Logparser.exe –i:EVT –o:DATAGRID “SELECT * FROM E:\logparser\xx.evtx”

更多参考:
https://bypass007.github.io/Emergency-Response-Notes/LogAnalysis/%E7%AC%AC1%E7%AF%87%EF%BC%9AWindow%E6%97%A5%E5%BF%97%E5%88%86%E6%9E%90.html

内存取证

工具列表:

Dumplt与volatility

读取内存文件: Volatility
Volatility是一个用于事件响应和恶意软件分析的开源内存取证框架。 它是用Python编写的，支持Microsoft Windows，macOS和Linux，volatility框架是一个完全开放的工具集合，在GNU通用许可证下用Python实现，用于从易失性存储器（RAM）样本总提取数字镜像。

NirLauncher

NirLauncher为个人开发的一款实用小工具软件合集，适用于各版本的windows，且支持绿色运行。据官网介绍，NirLauncher包含200多个Windows便携免费工具的包，它们都是在过去几年为NirSoft网站开发的。免费授权给个人在家中或公司使用。其中的部分小工具同时具有X86及X64版本。软件支持简体中文，但目测部分翻译上有些许瑕疵，但不影响使用。同时在官网下载语言包，解压到对应的文件夹中即可。

windows 取证小工具

参考: https://www.jianshu.com/p/48dfa9ad5738

系统用户使用痕迹
完整路径：
C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Recent  (AnSen当前登录的用户名)

运行程序痕迹提取
为了提升系统性能，在计算机运行程序时把一些prefecth下的*.pf文件存到内存中：C:\Windows\prefetch
Prefetch工具获取Prefetch文件下的程序，直观看到使用过的程序
Prefetch工具下载：http://www.nirsoft.net/utils/win_prefetch_view.html
userassistview: https://www.nirsoft.net/utils/userassist_view.html

应急响应大合集

https://github.com/meirwah/awesome-incident-response/blob/master/README_ch.md

目录
IR 工具收集
对抗模拟
工具集
书籍
社区
磁盘镜像创建工具
证据收集
事件管理
Linux 发行版
Linux 证据收集
日志分析工具
内存分析工具
内存镜像工具
OSX 证据收集
其它清单
其他工具
Playbooks
进程 Dump 工具
沙盒／逆向工具
时间线工具
视频
Windows 证据收集


其他参考:
https://xz.aliyun.com/t/2524  (Windows 系统安全事件应急响应)
https://xz.aliyun.com/t/48	(Linux应急响应姿势浅谈)
https://xz.aliyun.com/t/485	(应急响应大合集)


Sysinternals Suite，是微软发布的一套非常强大的免费工具程序集，Sysinternals Suite一共包括将近70个windows工具
https://docs.microsoft.com/en-us/sysinternals/downloads/sysinternals-suite

QQ群：397745473