玄机蓝队靶场_应急响应_71:实战evtx-文件分析

windows日志排查工具：
https://www.cnblogs.com/starrys/p/17129993.html

windows日志事件ID，参考文章:https://peterpan.blog.csdn.net/article/details/139887217


下载日志分析工具FullEventLogView.exe
https://www.nirsoft.net/utils/fulleventlogview-x64.zip
分别打开三个日志文件分析

EventID 为4624表示登录成功，LogonType 为 10 表示远程登录
EventID 为4624表示登录成功，LogonType 为 10 本地登录
EventID 为4625表示登录失败


多翻几个4624日志，发现了远程登录的ip为192.168.36.188
或者筛选4625日志

筛选条件：包含字符串旧
然后发现修改的账户名：Adnimistartro

试了SamSs、lsass、svchost都不对，看WP
4663是访问文件成功的日志ID，筛选4663即可：SCHEMA
文件用途

    系统管理接口 (SMI)：
        SMI 是 Windows 用于管理系统的一个框架，它提供了一种与系统管理数据交互的方式。SMI 主要用于处理与硬件和软件的管理信息。

    SCHEMA.DAT 文件：
        SCHEMA.DAT 文件包含了系统管理接口的数据模式和结构定义。这些模式用于定义如何存储和检索系统管理信息。
        它保存了有关计算机配置、策略、设备和其他系统设置的信息，通常在系统启动或设备连接时进行访问。

安全性和完整性

    重要性：
        SCHEMA.DAT 文件对于系统管理和配置的正常运行至关重要。如果这个文件损坏或丢失，可能会导致系统管理功能受限或无法正常工作。

    备份和恢复：
        由于 SCHEMA.DAT 是一个关键文件，建议定期备份此文件，尤其是在进行系统配置更改或更新之前。

位置

    该文件位于 C:\Windows\System32\SMI\Store\Machine\ 目录下。这个位置通常是系统文件夹的一部分，通常不建议用户直接修改或删除该文件。

结论

SCHEMA.DAT 是 Windows 系统中一个重要的管理文件，负责定义和存储系统管理相关的数据结构。保持该文件的完整性对于确保系统正常运行和管理非常重要。

Windows默认自带的查看器里，过滤事件ID100，按时间排序，发现：8820
看不出12/26的和10/8的有什么区别，只是试到8820可以。
用FullEventLogView可以找到对应的重启事件，但是进程ID看不到
服务重启相关日志ID是7035和7036
7035是请求启动服务
7036是服务已启动/停止

事件ID 6xxx 的含义

    Event ID 6000：事件日志服务初始化失败。
    Event ID 6001：事件日志服务成功初始化。
    Event ID 6002：事件日志服务关闭。
    Event ID 6003：事件日志服务开始。
    Event ID 6004：事件日志服务正在执行。
    Event ID 6005：事件日志服务已启动（系统启动时记录）。
    Event ID 6006：事件日志服务已关闭（系统关闭时记录）。
    Event ID 6007：事件日志服务在关闭过程中遇到问题。

计算机重启相关的事件ID

与计算机重启更直接相关的事件ID包括：

    Event ID 6008：表示上次关机发生错误，通常与非正常关机有关。
    Event ID 41：表示系统重新启动，通常与意外重启或电源故障有关。

因为计算机开关机时默认日志服务跟随开关机，所以看到6开头的日志事件是3次，直接就是flag{3}

另外，系统.evtx中，1074/1075代表系统开关机，直接过滤查找重新启动即可。