windows日志排查工具:
https://www.cnblogs.com/starrys/p/17129993.htmlwindows日志事件ID,参考文章:https://peterpan.blog.csdn.net/article/details/139887217下载日志分析工具FullEventLogView.exe
https://www.nirsoft.net/utils/fulleventlogview-x64.zip
分别打开三个日志文件分析
EventID 为4624表示登录成功,LogonType 为 10 表示远程登录
EventID 为4624表示登录成功,LogonType 为 10 本地登录
EventID 为4625表示登录失败多翻几个4624日志,发现了远程登录的ip为192.168.36.188
或者筛选4625日志
筛选条件:包含字符串旧
然后发现修改的账户名:Adnimistartro
试了SamSs、lsass、svchost都不对,看WP
4663是访问文件成功的日志ID,筛选4663即可:SCHEMA
文件用途系统管理接口 (SMI):SMI 是 Windows 用于管理系统的一个框架,它提供了一种与系统管理数据交互的方式。SMI 主要用于处理与硬件和软件的管理信息。SCHEMA.DAT 文件:SCHEMA.DAT 文件包含了系统管理接口的数据模式和结构定义。这些模式用于定义如何存储和检索系统管理信息。它保存了有关计算机配置、策略、设备和其他系统设置的信息,通常在系统启动或设备连接时进行访问。安全性和完整性重要性:SCHEMA.DAT 文件对于系统管理和配置的正常运行至关重要。如果这个文件损坏或丢失,可能会导致系统管理功能受限或无法正常工作。备份和恢复:由于 SCHEMA.DAT 是一个关键文件,建议定期备份此文件,尤其是在进行系统配置更改或更新之前。位置该文件位于 C:\Windows\System32\SMI\Store\Machine\ 目录下。这个位置通常是系统文件夹的一部分,通常不建议用户直接修改或删除该文件。结论SCHEMA.DAT 是 Windows 系统中一个重要的管理文件,负责定义和存储系统管理相关的数据结构。保持该文件的完整性对于确保系统正常运行和管理非常重要。
Windows默认自带的查看器里,过滤事件ID100,按时间排序,发现:8820
看不出12/26的和10/8的有什么区别,只是试到8820可以。
用FullEventLogView可以找到对应的重启事件,但是进程ID看不到
服务重启相关日志ID是7035和7036
7035是请求启动服务
7036是服务已启动/停止
事件ID 6xxx 的含义Event ID 6000:事件日志服务初始化失败。Event ID 6001:事件日志服务成功初始化。Event ID 6002:事件日志服务关闭。Event ID 6003:事件日志服务开始。Event ID 6004:事件日志服务正在执行。Event ID 6005:事件日志服务已启动(系统启动时记录)。Event ID 6006:事件日志服务已关闭(系统关闭时记录)。Event ID 6007:事件日志服务在关闭过程中遇到问题。计算机重启相关的事件ID与计算机重启更直接相关的事件ID包括:Event ID 6008:表示上次关机发生错误,通常与非正常关机有关。Event ID 41:表示系统重新启动,通常与意外重启或电源故障有关。因为计算机开关机时默认日志服务跟随开关机,所以看到6开头的日志事件是3次,直接就是flag{3}另外,系统.evtx中,1074/1075代表系统开关机,直接过滤查找重新启动即可。
