哈罗~
铁人赛终於接近尾声啦(๑´∀ˋ๑)
在 Day14 & Day15 我们介绍了系统入侵流程,
今天要开始介绍系统入侵的最後一步骤,清除轨迹。
在清除轨迹前,我们先来了解Windows Event ID。
在Windows中发生重要事件,如使用这登入失败、应用程序执行错误等,
都会被记录下来,我们称之为的事件纪录(Event log),
而每个事件纪录也会有各自的事件编码(Event ID),
我们可以透过观察这些纪录,来监控Windows系统是否有被入侵的徵兆。
要查看这些东西,可以去哪看呢? 就在事件检视器 Event Viewer罗。
常见Event ID:
Event ID | 说明 |
---|---|
4624 | 登入成功 |
4625 | 登入失败 |
4740 | 帐户已锁定 |
4720 | 建立帐户 |
4726 | 删除帐户 |
4700 | 执行排程 |
4699 | 删除排程 |
4698 | 建立排程 |
4728 | 群组成员新增 |
4771 | Kerberos 预先验证失败 |
4697 | 尝试安装服务 |
延伸阅读:微软建议需监控的事件
从开始→搜寻→事件检视器
这里可以看到Window的log纪录,
有分为五种:
假如我们今天要搜寻登入事件,
可直接点选筛选,并输入事件id(4624登入失败,4625登入成功)。
点开事件可以看到详细的资讯,
如登入类型(Logon type),可以查看是甚麽方式登入的。
最常见的type为2(本地登录)跟3(网路登录)。
详细登入类型可参考:Event 4624 - 登入类型和描述
走罗! 高歌离席~
<<: Day27 Redis架构实战-Redis丛集Slot分流机制
https://leetcode.com/problems/add-two-numbers/des...
路由架构 Breeze 已经架构好利用 inertia.js 取得 Login 等画面的路由,不过为...
Outline Characters C strings C string processing f...
前言 该系列是为了让看过Vue官方文件或学过Vue但是却不知道怎麽下手去重构现在有的网站而去规画的系...
昨天是想说,把购物车的内容先处理加工後加到新建立的订单资料表,这样之後就很好处理订单问题。 不过那时...