evtx分析
主要是通过事件ID查找分析
黑客成功登录:4624查找
修改用户名:4738记录账户的修改
关键位置文件:4663记录对象访问尝试的安全审计事件(文件或目录);结合SCHEMA.DAT、SubjectUserName administrator、AccessMask 0x20000
重启数据库的进程ID号:应用程序日志 Mysql
修改后的用户重启电脑次数:1074重启、关闭电源的事件ID,审查,排除一个其他用户的
玄机——第五章 Windows 实战-evtx 文件分析 wp_evtx文件-CSDN博客
黑链
1、找到黑链添加在哪个文件 flag 格式 flag{xxx.xxx}
2、webshell的绝对路径 flag{xxxx/xxx/xxx/xxx/}
3、黑客注入黑链文件的 md5 md5sum file flag{md5}
4、攻击入口是哪里?url请求路径,最后面加/ flag{/xxxx.xxx/xxxx/x/}
1 全局搜索,关键词黑链(只是做题目这样)
2 打包分析
3