news 2026/7/13 2:47:20

Windows 安全日志 SMB/RDP 溯源:3个关键事件ID与5个日志路径实战解析

作者头像

张小明

前端开发工程师

1.2k 24
文章封面图
Windows 安全日志 SMB/RDP 溯源:3个关键事件ID与5个日志路径实战解析

Windows 安全日志 SMB/RDP 溯源:3个关键事件ID与5个日志路径实战解析

当企业网络遭遇安全事件时,Windows 系统的安全日志往往是最重要的取证来源之一。特别是涉及 SMB(服务器消息块)和 RDP(远程桌面协议)的日志记录,它们能清晰还原攻击者的横向移动路径。本文将深入剖析 3 个关键事件 ID 和 5 个常被忽视的日志存储位置,帮助安全团队快速定位入侵痕迹。

1. 核心事件ID的三维分析

Windows 安全日志中与认证相关的事件 ID 多达数十种,但以下三个 ID 在 SMB/RDP 溯源中具有决定性作用:

1.1 事件ID 4624(登录成功)

这是攻击者成功获取访问权限的铁证。通过解析其日志结构,可获取以下关键字段:

<EventData> <Data Name="TargetUserName">Administrator</Data> <Data Name="TargetDomainName">CORP</Data> <Data Name="LogonType">3</Data> <Data Name="IpAddress">192.168.1.100</Data> <Data Name="ProcessName">C:\Windows\System32\svchost.exe</Data> </EventData>

登录类型(LogonType)的实战意义

  • 类型3(网络登录):通常对应 SMB/NFS 等网络共享访问
  • 类型10(远程交互):RDP 登录的典型特征
  • 类型2(本地交互):控制台直接登录

注意:高级攻击者会通过传递哈希(PtH)技术使 RDP 登录显示为类型3,此时需结合其他日志交叉验证。

1.2 事件ID 4625(登录失败)

暴力破解攻击的典型特征,其日志包含攻击者IP、尝试的账号等关键信息:

# 使用PowerShell提取最近24小时的失败登录记录 Get-WinEvent -FilterHashtable @{ LogName='Security' ID=4625 StartTime=(Get-Date).AddHours(-24) } | Select-Object TimeCreated, @{n='User';e={$_.Properties[5].Value}}, @{n='SourceIP';e={$_.Properties[19].Value}}, @{n='LogonType';e={$_.Properties[10].Value}}

暴力破解的特征模式

  • 同一IP短时间内高频次失败尝试
  • 使用常见用户名列表(admin/administrator/guest等)
  • 登录类型呈现规律性变化(如从类型3切换到类型10)

1.3 事件ID 5156(网络连接过滤)

当攻击者通过 SMB 横向移动时,Windows 过滤平台会记录网络连接详情:

字段名描述取证价值
Application进程路径确定恶意进程位置
SourceAddress源IP攻击源定位
DestPort目标端口445(SMB)或3389(RDP)
Protocol协议类型6(TCP)或17(UDP)

2. 五大日志存储路径的深度挖掘

2.1 安全日志主文件(默认路径)

C:\Windows\System32\winevt\Logs\Security.evtx

取证技巧

  • 使用wevtutil导出被清除的日志:
    wevtutil epl Security C:\backup\security_backup.evtx /q:"*[System[(EventID=4624 or EventID=4625)]]"

2.2 终端服务专用日志

Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational

关键事件

  • 事件ID 1149:RDP 会话断开时的用户注销记录
  • 事件ID 21/22:会话创建/销毁的精确时间戳

2.3 RDP 客户端缓存

注册表路径记录历史连接信息:

HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers\

每个连接过的服务器会生成子项,包含:

  • UsernameHint:最后使用的用户名
  • CertHash:服务器证书指纹(用于识别中间人攻击)

2.4 SMB 客户端诊断日志

Microsoft-Windows-SmbClient/Operational

关键事件ID

  • 306:SMB 连接建立
  • 308:文件操作记录(攻击者下载恶意工具时产生)

2.5 防火墙日志(非默认开启)

C:\Windows\System32\LogFiles\Firewall\pfirewall.log

配置方法

# 启用防火墙日志记录 Set-NetFirewallProfile -Profile Domain,Public,Private -LogFileName %systemroot%\system32\logfiles\firewall\pfirewall.log -LogMaxSizeKilobytes 4096 -LogAllowed True -LogBlocked True

3. 自动化分析工具链

3.1 LogParser 实战脚本

-- 提取RDP成功登录记录 SELECT TO_LOCALTIME(TimeGenerated) as LoginTime, EXTRACT_TOKEN(Strings, 5, '|') as User, EXTRACT_TOKEN(Strings, 18, '|') as SourceIP, EXTRACT_TOKEN(Strings, 8, '|') as LogonType INTO rdp_success.csv FROM Security.evtx WHERE EventID = 4624 AND (LogonType = '10' OR LogonType = '3')

3.2 时间线重建技巧

# 使用Python合并多日志源的时间戳 import pandas as pd security_log = pd.read_csv('security_4624.csv') rdp_log = pd.read_csv('terminal_services.csv') merged_timeline = pd.concat([ security_log[['Time', 'User', 'IP']], rdp_log[['Time', 'User', 'Source']] ]).sort_values('Time') merged_timeline.to_csv('attack_timeline.csv', index=False)

4. 高级对抗场景处置

4.1 日志被清除后的取证

当发现Security.evtx被清空时,可尝试以下恢复手段:

  1. 卷影副本提取

    vssadmin list shadows copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\System32\winevt\Logs\Security.evtx C:\forensics\
  2. 内存分析

    volatility -f memory.dump --profile=Win10x64 evtlogs -D output/

4.2 无日志情况下的痕迹追踪

通过系统 artifacts 寻找蛛丝马迹:

  • Prefetch 文件
    C:\Windows\Prefetch\RDP*.pf
  • Jump Lists
    C:\Users\%username%\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations\

4.3 企业级监控方案

部署 Sysmon 增强日志记录能力:

<!-- 监控RDP/SMB相关进程创建 --> <Sysmon> <EventFiltering> <RuleGroup name="RDP Activity"> <ProcessCreate onmatch="include"> <Image condition="contains">mstsc.exe</Image> <Image condition="contains">rdpclip.exe</Image> </ProcessCreate> </RuleGroup> </EventFiltering> </Sysmon>
版权声明: 本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若内容造成侵权/违法违规/事实不符,请联系邮箱:809451989@qq.com进行投诉反馈,一经查实,立即删除!
网站建设 2026/7/13 2:45:59

动作捕捉与音乐可视化技术:从原理到创意内容生成实践

这次我们来看一个名为"夏日流萤 醋意摇 Ready Go❤️"的项目&#xff0c;从标题和关键词来看&#xff0c;这应该是一个与舞蹈动作、音乐节奏或创意表达相关的技术项目。这类项目通常涉及动作捕捉、音乐可视化或创意内容生成等技术领域。从项目名称中的"夏日流萤…

作者头像 李华
网站建设 2026/7/13 2:45:38

【SpringCloud合集-04】Sentinel 流量控制与熔断降级 学习笔记

目录 一、核心定位与整体架构 1.1 什么是 Sentinel 1.2 Sentinel 与 Hystrix 核心对比 1.3 核心架构 二、Spring Cloud Alibaba 整合实战 2.1 基础整合三步法 第一步&#xff1a;引入依赖 第二步&#xff1a;配置控制台地址 第三步&#xff1a;启动类与基础使用 2.2 …

作者头像 李华
网站建设 2026/7/13 2:45:38

从芯片到生态:爱芯元智以边端AI规模化落地拥抱Physical AI时代

2026 年&#xff0c;AI 的重心正在从云端海量计算&#xff0c;转向边缘与端侧的实时感知、智能决策与自主执行。在新思科技&#xff08;Synopsys&#xff09;联合台积公司举办的 C-Node IP 产品组合发布会上&#xff0c;爱芯元智创始人、董事长仇肖莘博士把这种趋势概括为 Phys…

作者头像 李华
网站建设 2026/7/13 2:45:15

C++17 filesystem权限操作全解析:跨平台文件安全控制实战指南

1. 项目概述&#xff1a;为什么我们需要关注filesystem的权限操作&#xff1f;如果你用C写过文件操作&#xff0c;大概率用过<fstream>或者古老的C风格<cstdio>。这些接口能帮你读写文件&#xff0c;但一旦涉及到“这个文件能不能被删除&#xff1f;”、“这个目录…

作者头像 李华
网站建设 2026/7/13 2:45:01

C++ ODBC编程实战:从环境配置到高性能数据库操作

1. 项目概述&#xff1a;为什么C程序员需要掌握ODBC&#xff1f;在当今这个数据驱动的时代&#xff0c;无论是开发桌面应用、服务器后端&#xff0c;还是嵌入式系统&#xff0c;与数据库打交道几乎是每个C程序员绕不开的课题。你可能听说过ORM框架、NoSQL&#xff0c;但在很多需…

作者头像 李华
网站建设 2026/7/13 2:43:20

TS2007FC与PIC32MZ2048EFH100音频系统设计与优化

1. TS2007FC与PIC32MZ2048EFH100音频系统架构解析在嵌入式音频系统设计中&#xff0c;TS2007FC D类放大器与PIC32MZ2048EFH100微控制器的组合堪称黄金搭档。这套方案的核心优势在于&#xff1a;TS2007FC提供了高达90dB信噪比的无滤波D类放大&#xff0c;而PIC32MZ2048EFH100的2…

作者头像 李华