.png)
Windows取证
未读
【Windows取证篇】Window日志分析基础知识(一)
本文介绍了Windows日志分析的基础知识,包括查看方法、记录类型、数据大小、储存位置及导出类型。文章指出,通过事件查看器可以访问系统、安全和应用程序三个核心日志文件,默认大小分别为20MB、20MB和1MB,超过容量后会覆盖旧日志。日志文件通常存储在`%SystemRoot%\System32\winevt\Logs`目录下。每个日志条目包含来源、时间、事件ID等九个元素。此外,文章还提供了多种日志导出格式(如evtx、xml、txt、csv)以及相关工具的下载链接。实验环境基于Windows 11专业工作站版。该文旨在为系统审计与取证分析提供基础指导。
Windows取证
未读
【Windows取证篇】Windows日志线索分析之设备名称痕迹
本文详细介绍了如何在Windows系统中查找和分析设备名称痕迹,这对于电子取证非常重要。首先,可以通过运行“winver”或“msinfo32”命令来查看系统信息。接着,通过注册表路径(计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion)可以找到系统版本等信息,并指出系统信息与注册表记录可能存在不一致的情况。此外,事件ID 6011表明系统名称发生了更改,如果发现设备名称不符,需重点检查此事件ID。实验验证部分展示了重启前后日志记录的变化。文章还提到了其他可能存储设备名称的位置,如凭证管理器和Windows工具中的系统配置。最后,提供了多种日志分析软件的下载链接。
