【Windows取证篇】Windows日志线索分析之设备名称痕迹

原创 于 2025-10-16 21:36:40 发布 · 1k 阅读 · 23 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#电子取证 #计算机取证 #Windows取证

Windows的设备名称是可以自定义修改的,而且可以随时修改,一般需要重启后才会生效。通常路由器、部分应用程序(网盘类、视频类、通讯软件类等)会记录这个设备名称。注意和Windows用户名区别!!!—【蘇小沐】

实验环境

系统环境
Windows 11 专业工作站版,[24H2,26100.6584]

图片

图片

1 查看Windows系统信息

运行框,输入"winver"或者输入"msinfo32"命令。

1.1 运行框输入"winver"命令

快捷键win+R,调出运行框,输入"winver"命令。

图片

图片

1.2 运行框输入"msinfo32"命令

快捷键win+R,调出运行框,输入"msinfo32"命令。

图片

图片

2 注册表信息

2.1 注册表的系统信息位置

注册表路径:计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion。

图片

2.2 系统信息中的版本信息和注册表记录不一致

对比:

未作任何修改的情况下,版本对应不上,系统信息里面显示的是Windows 11 专业工作站版,而注册表显示的是Windows 10 专业工作站版。

【所以在描述一些信息的时候,除非有其它日志等数据证明确实有被修改过,不然我们不能直接就下定义判断信息有被修改过,而是如实描述,发现xxx信息不一致】

【注册表这里还有一个系统安装时间记录,感兴趣的可以深入探索】

图片

图片

3 事件查看器-日志记录事件ID:6011

3.1 事件ID:6011

如果不清楚事件ID,可以根据设备名称来查找,越是特殊的自定义设备名称,越容易定位。

图片

设备名称信息改变:

事件ID:6011表示系统名称发生改变。电子取证分析中如果发现设备名称与现存信息不匹配,就要重点查找这个事件ID,看看是否存在更改记录。

图片

3.2 实验验证

图片

3.2.1 不重启电脑

不重启的事件查看器,无相关日志记录。

图片

修改用户名后,"安全"日志这里记录了很多事件ID,如4672、4627、4624、5739等ID,可以根据这些重点查看相关记录信息。

事件ID备注
4672为新登录分配了特殊权限。
4627组成员身份信息。
4624已成功登录帐户。
5379已读取凭据管理器凭据。

图片

3.2.2 重启电脑

有事件ID:6011记录,还有很多事件ID记录以及相关连续时间记录,可以继续验证。

图片

4 其它可能存在的位置

以下是可能有其他信息的存储位置。

4.1 凭证管理器

图片

系统信息

图片

4.1 Windows工具

路径(默认隐藏):C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools。

图片

系统配置

图片

图片

公众号回复关键词【Windows日志】自动获取资源合集。

书写片面,纯粹做个记录,有错漏之处欢迎指正!

【声明:欢迎转发收藏,个人创作不易,喜欢记得点点赞!!!转载引用请注明出处,著作所有权归 [蘇小沐] 所有】

【注:共享资源收集于官网或互联网公开材料,仅供学习研究,如有侵权请联系删除,谢谢!】

记录
开始编辑:2025年 09月 28日
最后编辑:2025年 10月 01日

END

往期精彩回顾

图片

[图片

本文转自 https://mp.weixin.qq.com/s/68GBAa25Do03mFUzIUhTrQ,如有侵权,请联系删除。

Windows取证——记录系统事件的日志
记录并分享学习安全的知识点..
12-14 1193
Windows取证——记录系统事件的日志
Windows系统介绍及常见的网络排查命令
嚴 帅的博客
06-22 5459
目录 Windows常见目录 注册表 系统启动项 设备管理器 任务管理器 进程 组策略&安全组 工作组 域 安全日志 常用的网络排查命令 Ping Arp Tracert Route Ipconfig Netstat Windows常见目录 Documents and Settings/用户 Windows7/10中的“用户”文件夹其实就是XP中的Documents and Settings文件夹,这里存储了用户的设置,包括用户文档、上网浏览信息、配置文件等.
Windows取证】Window日志分析基础知识(一)
蘇小沐的电子数据取证博客
01-17 6820
Windows系统审计是对系统中有关安全的活动进行记录、检查以及审核,一般是一个独立的过程。Window自带的事件查看器并没有提供删除特定日志的功能,我们在系统审计取证分析时,可以根据案情、特定的时间点、事件ID进行取证溯源分析—【蘇小沐】
Windows 取证之EVTX日志
kupePoem的专栏
08-30 3397
日志文件包含一个4KB的文件头加后面一定数量的64KB大小的块,一个块中记录一定数量(大约100条)的事件记录。每条事件记录包含其创建时间与事件 ID(可以用于确定事件的种类),因此可以反映某个特定的时间发生的特定的操作,取证人员可以根据日志文件来发现犯罪的过程。记录应用程序或系统程序运行方面的日志事件,比如数据库程序可以在应用程序日志记录文件错误,应用的崩溃记录等。文件的记录满了,日志服务会覆盖最开始的记录,从头开始写入新的记录。事件查看器可以查看当前主机的事件日志,也可以打开保存的。
iframe src更改事件检测?_windows安全事件id汇总
weixin_39842955的博客
11-06 755
EVENT_ID 安全事件信息 1100 ----- 事件记录服务已关闭 1101 ----- 审计事件已被运输中断。 1102 ----- 审核日志已清除 1104 ----- 安全日志现已满 1105 ----- 事件日志自动备份 1108 ----- 事件日志记录服务遇到错误 4608 ----- W...
转载windows的常见事件ID
热门推荐
董盼山的专栏
12-31 3万+
Windows  事件 ID Windows Vista 事件 ID 事件类型 描述 512, 513, 514, 515, 516, 518, 519, 520 4608, 4609, 4610, 4611, 4612, 4614, 4615, 4616 系统事件 本地系统进程,例如系统启动,关闭和系统时间的改变。
Windows取证分析日志与内存入侵痕迹探索
"Windows取证是针对Windows系统进行安全事件调查的技术,主要涉及日志分析、内存检查、注册表审查以及文件历史记录等。通过对这些方面的深入分析,可以揭示系统在遭受入侵或恶意活动后留下的线索。例如,Windows事件...
Windows与Linux取证分析
PICACHU+++的博客
07-18 4793
格式化HFS+文件系统时,生成文件系统卷头(2号扇区),类似FAT和NTFS的DBR,卷头偏移量0X10-0X1F处记录了创建、修改、备份、最后检查时间四个时间信息,创建时间以本地时间保存,其他时间以GMT/UTC时间保存。文件的属性时间是确定文件的创建 、修改和访问的重要标记。注册表被称为Windows操作系统的核心,它的工作原理实质是一个庞大的数据库,存放了关于计算机硬件的配置信息、系统和应用软件的初始化信息、应用软件和文档文件的关联关系、硬件设备的说明以及各种状态信息和数据。
10、数字取证中的文件系统与Windows取证分析
a2b3c4d5e的博客
08-29 109
本文深入探讨了数字取证中的关键内容,包括引导扇区分析、文件系统分析Windows取证以及相关工具的使用。重点介绍了MBR和GPT在取证中的作用,FAT与NTFS文件系统的特点,Autopsy工具的操作流程,Windows注册表分析方法,以及网络浏览器历史记录的提取和分析。通过掌握这些技术和方法,调查人员可以从计算机系统中提取和分析有价值的数字证据,为解决各种数字犯罪和安全事件提供有力支持。
22、Windows内存取证中的注册表与网络分析
qsc90123456的博客
06-29 61
本文深入探讨了Windows内存取证中的注册表与网络分析技术,涵盖注册表时间戳异常检测、密码哈希提取与破解、LSA秘密获取,以及Windows套接字和连接的分析方法。通过使用Volatility框架中的工具,如hashdump、lsadump、sockets、connscan等插件,帮助取证人员识别恶意网络活动、提取敏感信息并追踪攻击行为。文中还介绍了如何将内存中的网络证据与外部数据源进行关联,并提出了应对网络攻击的建议和实际操作流程,为数字调查和网络安全防护提供了实用指南。
15、Windows操作系统数字取证分析全解析
最新发布
3a9bq4r8t2y的博客
08-31 51
本文深入解析了Windows操作系统在数字取证分析中的关键领域,包括用户配置文件、注册表信息、账户使用情况、文件痕迹、物理位置识别、程序执行探索以及USB设备的使用分析。通过介绍相关痕迹信息及取证工具的使用方法,帮助调查人员全面了解系统活动,为数字取证工作提供有力支持。
Windows Server 2016-Windows安全日志ID汇总
awmqc66006的博客
03-04 1610
Windows常见安全事件日志ID汇总,供大家参考,希望可以帮到大家。 ID 安全事件信息 1100 事件记录服务已关闭 1101 审计事件已被运输中断。 1102 审核日志已清除 1104 安全日志现已满 1105 事件日志自动备份 1108 事件日志记录服务遇到错误 4608 ...
windows取证
hellodaoyan的博客
03-18 783
数据取证 xway 和 时间查看器的大概用法
windows安全事件查看及安全事件id汇总
xuexihao1234的博客
06-04 1万+
5466 ----- PAStore引擎轮询Active Directory IPsec策略的更改,确定无法访问Active Directory,并将使用Active Directory。5467 ----- PAStore引擎轮询Active Directory IPsec策略的更改,确定可以访问Active Directory,并且未找到对策略的更改。5464 ----- PAStore引擎轮询活动IPsec策略的更改,检测到更改并将其应用于IPsec服务。
windows安全事件ID编号解释大全
hanzhen668的博客
09-14 2万+
windows安全事件ID编号解释大全
电子数据取证技术,第四章,Windows操作系统取证技术
qq_34871944的博客
01-08 1148
预定义项,是代表注册表中的主要部分的项,指在注册表中以HKEY作为前缀的文件夹,位于注册表树状结构的最顶层。预定义项类似于硬盘上的根目录,Windows 2000/XP注册表编辑器中有五大预定义项,分别为 :HKEY_USERS在Windows 9x操作系统的注册表中,另外还有一个预定义项。
Windows安全日志分析(事件ID详解)
墨痕诉清风的博客
09-19 2万+
如果出现异常数量的此类日志,可能表明攻击者正在尝试暴力破解您的Kerberos服务。这对于识别潜在的暴力破解攻击或未经授权的访问尝试非常重要。如果短时间内出现大量此类事件,可能意味着有针对性的攻击或广泛的恶意软件感染。这有助于跟踪用户账户的变化并发现任何潜在的恶意删除行为。此事件记录了新进程的创建。这对于识别系统上运行的可疑或未经授权的应用程序很重要。此事件记录了用户被添加到具有提升权限的安全组的情况。这对于监控用户权限的变更和防止未经授权的权限提升非常重要。留意异常的访问模式,可能暗示未经授权的活动。
怎么查看电脑文件操作记录,本地操作和外发记录都能看的方法有吗?
信息安全小青的博客
08-24 2万+
通过系统自带的事件查看器和组策略审核功能,你可以查看大部分本地文件操作和外发记录。要查看电脑上的文件操作记录,包括本地文件操作记录和外发记录,你可以通过以下几种方法来实现。外发记录通常指的是文件通过电子邮件、USB设备、网络传输等方式从电脑中发送出去的记录。可以通过Windows组策略启用审核策略来记录文件外发的行为,特别是通过可移动存储设备(如USB)的文件传输。Windows系统自带的事件查看器可以记录系统和应用程序的日志,包括文件操作的一部分信息。一些第三方工具可以更详细地监控和记录文件的所有操作。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

DFIR蘇小沐

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值