信息安全铁人三项赛

铁人三项赛"/>

信息安全铁人三项赛

信息安全铁人三项赛学习第一天

信息安全数据分析对抗赛（数据分析赛）

一.系统日志分析

1.理解 window 系统日志与分析方法

2.理解 windows 安全日志与分析方法

3.理解 windows 应用程序日志与分析方法

4.理解 linux 系统日志与分析方法

1.理解window安全日志与分析方法
对于我们经常使用的操作系统来说，系统日志与分析方法是比较陌生的，我打算先百度看一看怎么查看系统日志，百度经验：（.html）给出了两种方法：
1.通过控制面板（我是win10直接打开了设置）
2.点击系统和安全
3.找到管理工具下的系统日志
4.点击打开
这是第一种方法，比较繁琐，但是对于小白来说这是一个挺简单的操作
那么第二种方法是什么呢？
第二种方法是通过命令的方式打开
1.win+R打开运行窗口，输入eventvwr.exe，然后回车
是不是很简单，一步就搞定了，eventvwr也有事件查看器的意思。

学完怎么查看window系统日志之后，我们来学一学分析方法

首先我们打开前面的界面，也就是事件查看器，点开window日志-安全

里面存放一些东西，我们一个一个来分析是什么
首先是关键字

上图是我正常物理机的日志回显
下面给你们看看不正常虚拟机是怎么记录的

这里有两个失败审核，也就是说这个事件没有通过审核，不会发生，如果遇到这样的情况，那么就得小心了，我们尝试点开看看是什么情况

原因写得很清楚了，用户名未知或密码错误，
而且，登录类型是3，说明是用网络登录的window，在看看登录过程使用的是NtLmSsp，NtLmSsp是什么呢
NtLmSsp（NT LM安全性支持提供者服务）的进程名是lsass.exe，WinXP Home/PRO默认安装的启动类型是手动，它不依赖于其他服务。NT LM的意思即NT LanManger，是NT下提供的认证方法之一，使用了64位的加密手段。NtLmSsp这个服务主要针对RPC（远程过程调用），通常RPC可以选择基于两种通信方式，一种是传输协议，比如TCP/IP、UDP、IPX等，另一种为命名管道（Pipeline）。通常情况下Windows默认选择都是传输协议，而由于RPC是采用非加密传输的，通信数据安全无法得到保证，而NtLmSsp就可向这一类RPC提供安全服务。WinXP中已知的这类RPC应用就是Telnet服务（Telnet也依赖于NtLmSsp），因此无需Telnet服务的单机用户可将NtLmSsp其关闭。
这一长串是不是看得头疼？没关系你要注意的是里面有一个词，叫做‘命名管道’记住这个词，接下来会用到。
那么这能证明什么呢？这是一台winxp系统的pc机，我们都知道微软已经停止对xp提供安全补丁，那么如果出现这样的情况就说明，这台电脑很有可能被入侵了，当然这只是我们的一个猜测。
那么想要进一步确认的话呢，我们就得从多方面去排查
那么剩下来还有
时间和日期还有来源，应该都明白是什么意思，那么事件ID是什么呢？我百度查了一些资料，window安全日志对应ID会有对应的事件发生，我们说几个常用的

4624  --登录成功   
4625  --登录失败  
4634 -- 注销成功
4647 -- 用户启动的注销   
4672 -- 使用超级用户（如管理员）进行登录

比如说
我在同一时间内的事件ID为4672，4624 什么意思呢，两个都是登录，那么意思就是看谁先成功，从下往上看，就是4624-4672 这个意思就是说登录成功-使用超级用户进行登录。
为什么我XP系统ID就不一样我就不太清楚了
最后说一说任务类别，如果看不懂可以去翻译，翻译出来的意思和事件ID对应的意思差不多。

现在学习系统日志

还是熟悉的界面
但是点开的是“系统”
这里我发现有许多的黄色感叹号，警告！
首先看到这样的情况不要慌，我们点开来看看

这是我打开VM发生的一个系统事件，ID为1，那么这个ID是什么意思呢？意思就是“函数不正确”
那我们看看不正常的XP是什么样子的


事件ID是8032 这个意思就是说
此事件可能是由于暂时丢失网络连接造成的。如果此消息再次出现，请确认服务器仍然与网络连接。返回码在数据文本框中。

现在呢，我们来看看应用程序日志

还是熟悉的界面！

这一次我们打开的是应用程序，在这里我们可以看到此系统什么时间什么时候了从哪里安装了什么，运行了什么运用

现在我们来看一看linux操作系统怎么查看日志文件的，这里我选择使用kali作为实验对象

Linux系统常见的日志文件
基本上都在/var/log/目录下
路径1：/var/log/messages：记录 Linux 内核消息及各种应用程序的公共日志信息

有一堆东西，看得我头疼，毕竟是关于内核的东西，比较深奥
路径2：/var/log/cron：记录 crond 计划任务产生的事件信息

路径3：/var/log/dmesg：记录 Linux 操作系统在引导过程中的各种事件信息

路径4：/var/log/maillog：记录进入或发出系统的电子邮件活动

路径5：/var/log/lastlog：记录每个用户最近的登录事件

路径6：/var/log/secure：记录用户认证相关的安全事件信息

路径7：/var/log/wtmp：记录每个用户登录、注销及系统启动和停机事件

路径8：/var/log/btmp：记录失败的、错误的登录尝试及验证事件