.png)
Windows取证
未读
【Windows取证篇】Window日志分析基础知识(一)
本文介绍了Windows日志分析的基础知识,适用于Windows 11专业工作站版。主要内容包括:Windows日志的查看方法、记录类型(系统、安全、应用程序)、数据大小限制(核心日志20MB,其他日志1MB)、存储位置(默认在C:\Windows\System32\winevt\Logs)以及导出类型(evtx、xml、txt、csv)。通过事件查看器可以访问这些日志,并根据特定的时间点、事件ID进行取证分析。文章还提供了详细的图示和路径说明,便于理解和操作。
Windows取证
未读
【Windows取证篇】Windows日志线索分析之设备名称痕迹
本文介绍了如何在Windows 11专业工作站版中进行设备名称痕迹的取证分析。文章首先指出设备名称可以自定义修改,并且需要重启后生效,同时强调了设备名称与Windows用户名的区别。接着,通过运行“winver”和“msinfo32”命令来查看系统信息,展示了如何获取和对比注册表中的系统信息。文章还详细说明了事件ID 6011在事件查看器中的作用,该事件ID表示系统名称发生改变,可以通过它来追踪设备名称的更改记录。此外,文章探讨了其他可能存储设备名称信息的位置,如凭证管理器和系统配置工具。最后,提供了实验验证的结果,包括不重启电脑和重启电脑两种情况下的日志记录差异。
