此工具主要实现对windows日志进行分析,主要分为以下功能,
- 针对常规 登录成功、登录失败、RDP登录、用户创建、服务创建等日志进行分析,判断是否存在爆破、是否有代理登录行为;
- 针对SQLServer数据库,可分析是否存在爆破,以及开启Xp_cmdshell等记录;
- 针对域控主机日志分析,是否存在漏洞利用,密码抓取,后门用户等情况,前提为域控主机开启高级策略配置,否则主机不会有日志记录;
- 分析主机进程,外联,文件是否存在已知恶意的文件或者IP;
- 分析常用远控软件被控记录,可定位IP和动作;
- 目前支持离线分析,若针对win2008和win7版本操作系统,只能使用离线分析,因为低版本系统无法运行,winserver 2012也建议使用离线分析,便于查看日志信息,高版本 winserver2016 2019 win10 win11 均可以在主机直接进行分析;
免责声明:此工具仅限于安全研究,用户承担因使用此工具而导致的所有法律和相关责任!作者不承担任何法律责任
(1)不输入登录类型和IP时,默认查看所有4624登录日志
(2)可指定查看登录类型,例如查看登录类型:3
(3)可指定登录源地址查看,例如指定源地址为:192.168.1.4
(4)可同时指定登录类型和源地址
查看rdp登录记录,并且会判断是否通过代理软件登录的情况,
日志ID说明:
1149:远程桌面认证成功
21:RDP连接成功
25:RDP重连成功
RDP连接记录,查看当前主机,rdp登录过哪些机器
1102:当前主机使用RDP登录过哪些机器
1024:当前主机使用RDP尝试登录过哪些机器(不一定成功)
查看服务创建记录,在横向渗透过程中或者病毒横向传播过程中均可能会创建恶意服务项,目前程序对sys相关的驱动服务进行了过滤
查看SQLServer数据库,爆破记录和配置修改记录支持筛选IP
查看用户,主要分为两个方面:
系统日志方面:创建用户记录i、启动用户记录、修改密码记录、修改所属组记录
主机信息方面:当前用户信息,包括:存在的所有用户、所在域、用户SID、是否禁用、用户信息描述
查看全部计划任务,显示计划任务名称、创建人、执行动作、是否启动、创建时间、描述
根据文件名称检索计划任务
查看进程信息,目前支持查看进程外联地址,启动时间,执行路径,执行用户,PID
查看当前主机外联地址是否存在恶意IP,需要微步有对应接口权限,我现在没有有 有的大哥可以自己测试下,之前测试是没有问题的
向日葵被控记录,可查看远程连接时间和 对方内外网IP地址,以及远控时上传的文件
todesk被控记录
批量计算指定文件目录所有文件MD5值,并判断是否为恶意
kerberos协议分析,判断是否存在利用kerberos协议进行用户名枚举和爆破,可筛选源地址和登录状态
默认查看所有
筛选IP和登录失败的记录
查看是否存在利用某个用户进行DCSync攻击的记录
注意:机器账号的日志 情况为正常
通过SID历史记录,判断是否存在SID后门
攻击者查看所有域用户时会触发该记录
