Windows取证分析学习

Windows取证分析学习

QQ群:397745473

1
2
学习参考: 
漏洞银行丨Windows取证艺术赏析丨咖面85期 https://www.youtube.com/watch?v=BEGKtDF75LY

LogParser 使用

1
2
3
4
5
6
下载地址: https://www.microsoft.com/en-us/download/details.aspx?id=24659
1. 取事件日志文件 C:\Windows\System32\winevt\Logs\Security.evtx 到d盘下
4624 登陆事件

如果使用图形化工具可以安装一个Log Parser Studio(需.NET 4.0支援),
下載位址:http://gallery.technet.microsoft.com/Log-Parser-Studio-cd458765,下載之後解壓即可

使用命令

1
2
3
4
Logparser.exe –i:EVT –o:DATAGRID “SELECT * FROM E:\logparser\xx.evtx”

更多参考:
https://bypass007.github.io/Emergency-Response-Notes/LogAnalysis/%E7%AC%AC1%E7%AF%87%EF%BC%9AWindow%E6%97%A5%E5%BF%97%E5%88%86%E6%9E%90.html

内存取证

工具列表:

1
2
3
4
Dumplt与volatility

读取内存文件: Volatility
Volatility是一个用于事件响应和恶意软件分析的开源内存取证框架。 它是用Python编写的,支持Microsoft Windows,macOS和Linux,volatility框架是一个完全开放的工具集合,在GNU通用许可证下用Python实现,用于从易失性存储器(RAM)样本总提取数字镜像。

NirLauncher

NirLauncher为个人开发的一款实用小工具软件合集,适用于各版本的windows,且支持绿色运行。据官网介绍,NirLauncher包含200多个Windows便携免费工具的包,它们都是在过去几年为NirSoft网站开发的。免费授权给个人在家中或公司使用。其中的部分小工具同时具有X86及X64版本。软件支持简体中文,但目测部分翻译上有些许瑕疵,但不影响使用。同时在官网下载语言包,解压到对应的文件夹中即可。

windows 取证小工具

1
2
3
4
5
6
7
8
9
10
11
参考: https://www.jianshu.com/p/48dfa9ad5738

系统用户使用痕迹
完整路径:
C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Recent (AnSen当前登录的用户名)

运行程序痕迹提取
为了提升系统性能,在计算机运行程序时把一些prefecth下的*.pf文件存到内存中:C:\Windows\prefetch
Prefetch工具获取Prefetch文件下的程序,直观看到使用过的程序
Prefetch工具下载:http://www.nirsoft.net/utils/win_prefetch_view.html
userassistview: https://www.nirsoft.net/utils/userassist_view.html

应急响应大合集

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
https://github.com/meirwah/awesome-incident-response/blob/master/README_ch.md

目录
IR 工具收集
对抗模拟
工具集
书籍
社区
磁盘镜像创建工具
证据收集
事件管理
Linux 发行版
Linux 证据收集
日志分析工具
内存分析工具
内存镜像工具
OSX 证据收集
其它清单
其他工具
Playbooks
进程 Dump 工具
沙盒/逆向工具
时间线工具
视频
Windows 证据收集


其他参考:
https://xz.aliyun.com/t/2524 (Windows 系统安全事件应急响应)
https://xz.aliyun.com/t/48 (Linux应急响应姿势浅谈)
https://xz.aliyun.com/t/485 (应急响应大合集)


Sysinternals Suite,是微软发布的一套非常强大的免费工具程序集,Sysinternals Suite一共包括将近70个windows工具
https://docs.microsoft.com/en-us/sysinternals/downloads/sysinternals-suite

QQ群:397745473

知识星球