域内日志分析技术详解<\/h1>

一、日志文件基础<\/h2>

日志文件格式<\/strong>：域内日志一般以.evtx<\/code>结尾<\/li>

搜索日志文件命令<\/strong>： dir<\/span> \/s\/b *.evtx <\/span><\/span><\/code><\/pre> \/s<\/code>：递归搜索，包括子目录<\/li> \/b<\/code>：简洁模式，只显示文件路径<\/li> <\/ul> <\/li> <\/ol> 二、日志分析工具LogParser使用<\/h2> 基本语法<\/h3> LogParser.exe -i:evt -o:csv "SELECT RecordNumber,TimeWritten,EventID,Strings,Message into C:\log5.csv FROM Security where EventID='4624' and Strings LIKE '<\/span>%|Kerberos|%|<\/span>%.%.<\/span>%.%|<\/span>%' and Strings not LIKE '%|<\/span>%$|%'"<\/span> <\/span><\/span><\/code><\/pre> -i<\/code>: 输入文件类型<\/li> -o<\/code>: 输出文件类型<\/li> <\/ul> 常用查询示例<\/h3> 导出域内用户登录行为： SELECT RecordNumber,TimeWritten,EventID,Strings,Message INTO C:\log5.csv <\/span><\/span>FROM Security <\/span><\/span>WHERE EventID='4624' <\/span><\/span> AND Strings LIKE '%|Kerberos|%|%.%.%.%|%' <\/span><\/span> AND Strings not LIKE '%|%$|%' <\/span><\/span><\/code><\/pre><\/li> <\/ol> 三、日志导出方法<\/h2> 1. VPN方式<\/h3> 获取域控日志位置<\/strong>： dir<\/span> \/s\/b \\10.10.10.10\c$\security.evtx <\/span><\/span><\/code><\/pre><\/li> 复制日志到本地<\/strong>： copy<\/span> \\10.10.10.10\c$\Windows\System32\winevt\Logs\ C:\Users\admins\Desktop\log <\/span><\/span><\/code><\/pre><\/li> 远程导出日志<\/strong>： LogParser.exe -i:EVT -o:CSV "SELECT * INTO C:\1.csv FROM \\10.10.10.10\Security"<\/span> <\/span><\/span><\/code><\/pre><\/li> <\/ul> 2. Socks代理方式<\/h3> 操作与VPN方式类似，但受限于DNS解析问题，通常只能使用IP操作，走NTLM认证<\/li> <\/ul> 3. 远程木马方式<\/h3> 未详细描述具体实现方法<\/li> <\/ul> 四、认证方式与日志分析<\/h2> 1. NTLM认证<\/h3> 特征<\/strong>：使用IP地址进行远程主机定位<\/li> 日志特征<\/strong>： S-1-0-0|-|-|0x0|S-1-5-21-3315874494-179465980-3412869843-1115|admins|VVVV1|0x889d1b|3|NtLmSsp |NTLM|WEB-2003|{00000000-0000-0000-0000-000000000000}|-|NTLM V1|128|0x0|-|10.10.10.3|1280|%%1833|-|-|-|%%1843|0x0|%%1842 <\/code><\/pre> <\/li> 查询命令<\/strong>： SELECT * INTO C:\1.csv FROM \\10.10.10.10\Security where strings like '%|NTLM|%|%.%.%.%|%' <\/span><\/span><\/code><\/pre><\/li> <\/ul> 2. Kerberos认证<\/h3> 特征<\/strong>：使用域名或机器名进行定位<\/li> 日志特征<\/strong>： S-1-0-0|-|-|0x0|S-1-5-21-3315874494-179465980-3412869843-500|Administrator|VVVV1.COM|0x7c3dbeb9|3|Kerberos|Kerberos||{CE15C23A-E7E3-3FC1-4A75-FDF339BEC822}|-|-|0|0x0|-|10.10.10.12|50364|%%1840|-|-|-|%%1843|0x0|%%1842 <\/code><\/pre> <\/li> 查询命令<\/strong>： SELECT * INTO C:\1.csv FROM \\10.10.10.10\Security where strings like '%|Kerberos|%|%.%.%.%|%' and strings not like '%|%$|%' <\/span><\/span><\/code><\/pre><\/li> <\/ul> 五、常见操作日志分析<\/h2> 1. net use连接<\/h3> NTLM认证<\/strong>：使用IP地址连接<\/li> Kerberos认证<\/strong>：使用机器名或域名连接<\/li> <\/ul> 2. dir连接<\/h3> 日志特征与net use类似<\/li> <\/ul> 3. 成员主机连接<\/h3> 使用NTLM认证时，主要在目标主机日志中体现<\/li> 使用Kerberos认证时，会在域控留下请求TGT和ST日志<\/li> <\/ul> 4. 成员主机登录<\/h3> 域内用户登录会在域控留下Kerberos认证日志<\/li> 本地账户登录只在本机日志中体现<\/li> <\/ul> 六、PowerShell日志分析<\/h2> 日志特点<\/strong>：<\/p> 正常配置下只记录PowerShell打开(ID:600)和关闭(ID:403)事件<\/li> 交互式shell中执行的命令不会被记录<\/li> WebShell等非交互式执行的命令会被记录<\/li> <\/ul> <\/li> PowerShell脚本使用技巧<\/strong>：<\/p> Powershell -ExecutionPolicy Bypass <\/span><\/span><\/code><\/pre> 绕过执行策略限制<\/li> 常用命令： Import-Module .\/SharpHound.ps1 <\/span><\/span>Get-Module <\/span><\/span>Get-Command -Module SharpHound <\/span><\/span>Get-Help SharpHound <\/span><\/span>get-help Invoke-BloodHound -full <\/span><\/span><\/code><\/pre><\/li> <\/ul> <\/li> <\/ol> 七、日志清除技术<\/h2> 注意事项<\/strong>：<\/p> 删除所有日志会暴露痕迹<\/li> Windows不提供删除单条日志的功能<\/li> <\/ul> <\/li> 工具推荐<\/strong>：<\/p> Eventlogedit-evtx--Evolution<\/a><\/li> EventCleaner<\/a><\/li> <\/ul> <\/li> 清除RDP登录痕迹<\/strong>：<\/p> 事件ID 1149：记录成功RDP登录的源IP<\/li> 注册表位置： HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers\ <\/code><\/pre> <\/li> 事件ID 5156：记录本机访问其他服务器3389端口的情况<\/li> <\/ul> <\/li> <\/ol> 八、关键事件ID<\/h2> 4624 —— 帐户已成功登录<\/li> 4625 —— 帐户无法登录<\/li> 1149 —— 用户认证成功<\/li> <\/ul> 九、防御建议<\/h2> 监控关键事件ID<\/li> 定期审计域控日志<\/li> 限制PowerShell执行策略<\/li> 监控日志删除行为<\/li> 对RDP连接进行详细记录和分析<\/li> <\/ol>