前言介紹：

在應(yīng)急響應(yīng)工作中，分析Windows日志是一項(xiàng)關(guān)鍵任務(wù)。然而，Windows自帶的事件查看器存在諸多限制：每次只能查看一條日志詳細(xì)信息，復(fù)雜的事件ID和日志路徑讓非專(zhuān)業(yè)人員感到困惑。這些問(wèn)題嚴(yán)重影響了應(yīng)急溯源的效率。

基于多年在Windows應(yīng)急響應(yīng)中的經(jīng)驗(yàn)，小編介紹了一款基于go語(yǔ)言開(kāi)發(fā)的日志分析工具。這款工具通過(guò)調(diào)用Windows API來(lái)獲取原始日志，并將xml格式的日志信息映射到專(zhuān)門(mén)設(shè)計(jì)的結(jié)構(gòu)體中。所有提取的數(shù)據(jù)被存儲(chǔ)在sqlite數(shù)據(jù)庫(kù)的不同表中，以實(shí)現(xiàn)高效的SQL查詢(xún)。

兼容性與功能特點(diǎn)：

該工具兼容從Windows 7到Windows 11的個(gè)人版本，以及從Server 2008到Server 2016的服務(wù)器版本。其核心功能包括：

1、登錄行為分析

詳細(xì)記錄成功/失敗的登錄事件（事件ID: 4624/4625），支持SMB、RDP等多種登錄類(lèi)型，并完整展示認(rèn)證協(xié)議和進(jìn)程信息。

2、遠(yuǎn)程桌面連接追蹤

全面記錄RDP會(huì)話（事件ID: 21/25/1149），支持橫向移動(dòng)軌跡分析（事件ID: 1024/1102）。

3、系統(tǒng)行為監(jiān)控

記錄服務(wù)創(chuàng)建、用戶賬號(hào)變更、進(jìn)程創(chuàng)建、sqlserver行為以及PowerShell命令。

威脅檢測(cè)與分析：

該工具還集成了多種威脅檢測(cè)功能：

內(nèi)存字符串檢索：快速定位惡意進(jìn)程；微步云API集成：實(shí)現(xiàn)文件威脅評(píng)估；文件同步功能：支持企業(yè)微信機(jī)器人；系統(tǒng)信息收集：覆蓋進(jìn)程、服務(wù)、計(jì)劃任務(wù)等。

下載鏈接：

https://www.php.cn/link/51c66183db882de9d51dac0dabec5323

請(qǐng)注意：本工具僅供安全研究使用，使用者需承擔(dān)相關(guān)法律責(zé)任。