玄机——第五章 Windows 实战-evtx 文件分析

第五章 Windows 实战-evtx 文件分析

切勿在本地运行

1.将黑客成功登录系统所使用的IP地址作为Flag值提交；

拿到文件后传入虚拟机打开

第一个是安全日志，在日志中过滤编号为4625(登录失败)，4624(登录成功)的事件

从下往上翻阅可以看到14:54左右在一堆4625中间的4624，猜测是黑客ip

提交后确实是

(时间不写也可以)

(这个有点对不上，复现的时候又发现几个4624点开有的是127，有的是这个，偷懒直接截图这个了)

flag{192.168.36.133}

2.黑客成功登录系统后修改了登录用户的用户名，将修改后的用户名作为Flag值提交；

查看事件ID4738(修改用户名)

登录时间为14:54那么只需要查看最上面两个

flag{Adnimistartro}

3.黑客成功登录系统后成功访问了一个关键位置的文件，将该文件名称（文件名称不包含后缀）作为Flag值提交；

查看事件ID4663(文件操作)

打开后就可以看到黑客企图修改一个文件

flag{SCHEMA}

4.黑客成功登录系统后重启过几次数据库服务，将最后一次重启数据库服务后数据库服务的进程ID号作为Flag值提交；

数据库服务在应用程序中查看

先筛选事件ID为100(服务启动)

找到最晚的事件点后向前翻找到启动进程号

flag{8820}

5.黑客成功登录系统后修改了登录用户的用户名并对系统执行了多次重启操作，将黑客使用修改后的用户重启系统的次数作为Flag值提交。

查照事件ID1074(重启或关机)

找到后注意是修改后的用户Adnimistartro重新启动的

(不知道是眼盲还是什么，我数出来只有2个,但是答案有3个)

flag{3}