0x01 Windows应急日志常用的几个事件ID
- 4624:这个事件ID表示成功登陆的用户,用来筛选该系统的用户登陆成功情况。
- 4625:这个事件ID表示登陆失败的用户。
- 4768:这个事件ID表示Kerberos身份验证票证请求(TGT请求)
- 4769:这个事件ID表示已发出Kerberos服务票证请求(ST请求)
- 4776:这个事件ID表示计算机尝试验证账户凭据(NTLM)
0x02 LogonTracer
LogonTracer是一款用于可视化分析Windows安全事件日志寻找恶意登录的工具。它会将登录相关事件中找到的主机名(或IP地址)和帐户名称关联起来,并将其以图形化的方式展现出来。通过这种方式,可以看到哪个帐户中发生过登录尝试以及哪个主机被使用。基于此研究,该工具可以可视化与Windows登录相关的上述事件ID。
0x03 github地址
https://github.com/TheKingOfDuck/logonTracer
这里有LogonTracer的安装方式
0x04 坑点
安装好之后,打开页面可能会没有反应,并且点击“Upload Event Log”按钮没反应,这是因为js是引用了远程js,而这些js在国内是无法访问的。
解决方法:
1、修改hosts文件,增加一行内容
151.139.237.11 cdn.rawgit.com
2、编辑网站文件index.html
将
https://ajax.googleapis.com/ajax/libs/jquery/3.2.1/jquery.min.js
替换为 https://ajax.loli.net/ajax/libs/jquery/3.2.1/jquery.min.js
0x05 使用
若neo4j数据库中存在节点信息,需要手动删除
MATCH (n)
OPTIONAL MATCH (n)-[r]-()
手动导入日志文件方法:
python3 logontracer.py -e 日志文件 -z 8 -u neo4j用户名 -p neo4j密码 -s 本机ip地址
启动LogonTracer
python3 logontracer.py -r -o 8080 -u neo4j用户名 -p neo4j密码 -s 本机ip地址