【Day27】清除轨迹 ─ Windows篇

哈罗～
铁人赛终於接近尾声啦(๑´∀ˋ๑)
在 Day14 & Day15 我们介绍了系统入侵流程，
今天要开始介绍系统入侵的最後一步骤，清除轨迹。

在清除轨迹前，我们先来了解Windows Event ID。
在Windows中发生重要事件，如使用这登入失败、应用程序执行错误等，
都会被记录下来，我们称之为的事件纪录(Event log)，
而每个事件纪录也会有各自的事件编码(Event ID)，
我们可以透过观察这些纪录，来监控Windows系统是否有被入侵的徵兆。
要查看这些东西，可以去哪看呢? 就在事件检视器 Event Viewer罗。

常见Event ID：

延伸阅读：微软建议需监控的事件

事件检视器 Event Viewer

从开始→搜寻→事件检视器

这里可以看到Window的log纪录，
有分为五种：

• 应用程序事件 ─ 描述各个应用程序(e.g 驱动程序、服务)的资讯或错误讯息
• 安全性事件 ─ 可疑的用户活动(e.g 如登入成功/失败事件)
• Setup(设定)事件
• 系统事件
• Forwarded Events(需转送的事件)
  

假如我们今天要搜寻登入事件，
可直接点选筛选，并输入事件id(4624登入失败,4625登入成功)。

点开事件可以看到详细的资讯，
如登入类型(Logon type)，可以查看是甚麽方式登入的。
最常见的type为2(本地登录)跟3(网路登录)。
详细登入类型可参考：Event 4624 - 登入类型和描述

走罗！ 高歌离席～