Win10取证基础之系统日志分析1

发表于2022-11-26|更新于2022-11-26|记录

|浏览量:

这段代码需要在管理员权限下才能运行，不然没有权限访问系统日志文件。其实直接读取也不会有什么问题，只是我个人为了安全起见，拷贝了一份。

import ctypes, sys
import os
from evtx import PyEvtxParser
import shutil


def main():
    shutil.copy("C:/Windows/System32/winevt/Logs/System.evtx", "D:/项目/Windows取证/data_file/System.evtx")
    parser = PyEvtxParser("D:/项目/Windows取证/data_file/System.evtx")
    for record in parser.records():
        if record["event_record_id"] == 6005:
            print(f'Event Record ID: {record["event_record_id"]}')
            print(f'Event Timestamp: {record["timestamp"]}')
            print(record['data'])
            print(f'------------------------------------------')
            break
        else:
            print(f'Event Record ID: {record["event_record_id"]}')

def is_admin():
    try:
        return ctypes.windll.shell32.IsUserAnAdmin()
    except:
        return False

if __name__ == "__main__":
    main()

文章作者: 望

文章链接: https://m42-orion.github.io/2022/11/26/%E5%8F%96%E8%AF%81-%E7%B3%BB%E7%BB%9F%E6%97%A5%E5%BF%97%E5%88%86%E6%9E%901/

版权声明: 本博客所有文章除特别声明外，均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源念念不忘，必有回响！

python Win10取证日志分析

相关推荐

Win10取证基础之系统日志分析2

之前的时候为了解析系统的日志文件找库，找了之后又遇到不少问题，使用起来并不方便，然后就知道了原来是可以通过官方接口直接获取的，绝了…. 12345678910111213141516171819202122import win32evtlog hand = win32evtlog.OpenEventLog("localhost","System")flags = win32evtlog.EVENTLOG_SEQUENTIAL_READ|win32evtlog.EVENTLOG_FORWARDS_READwhile True: events = win32evtlog.ReadEventLog(hand, flags,0) if events: for event in events: EventID = event.EventID & 0x1FFFFFFF print('Event ID:', event.EventID &...

Win10取证基础之剪切板

win10其实自己有一个比较好用的剪切板功能就是win+v,可以查看历史多条记录，但是剪切板里面其实只有一条，并且可以存文本与图片流，如果是文件，就会存文件的路径，因此图片可以存路径或者流。代码如下： 1234567891011121314151617181920import win32clipboardfrom PIL import Image, ImageGrabdef paste_pic(): res = ImageGrab.grabclipboard() if isinstance(res, Image.Image): print("图片") res.save(r'pic.png') elif isinstance(res,list): print("文件",res)try: win32clipboard.OpenClipboard() text =...

Win10取证基础之历史打开文档记录编码

最近在win10上做取证相关的东西，记录一下一些有意思的东西，比如想要获取电脑的历史打开文档。这里有两个办法： win+r输入recent查看注册表编辑器输入路径：计算机\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs 在处理注册表编辑器的时候，发现这个路径下的数据是编码，但是找了很久也没找到怎么去解码，有幸在别人的项目中找到了一段代码： 123456789101112131415161718192021def decode_recent_docs_mru(value): """ Decodes recent docs MRU list Returns an array with 1st element being the filename, the second element being the symbolic link name """ value_decoded...

windows取证基础之命名管道获取

“命名管道”又名“命名管线”（Named Pipes），是一种简单的进程间通信（IPC）机制，Microsoft Windows大都提供了对它的支持（但不包括Windows CE）。命名管道可在同一台计算机的不同进程之间或在跨越一个网络的不同计算机的不同进程之间，支持可靠的、单向或双向的数据通信。推荐用命名管道作为进程通信方案的一项重要的原因是它们充分利用了Windows内建的安全特性（ACL等）。 12345678910111213141516171819import osimport globdef look_for_files(dir_to_look): """Looks for windows in a given directory. Supports the * wildcard character""" found_files = [] if "*" in dir_to_look: found_files +=...

Win10取证基础之浏览器记录

在win10当中，浏览器无论安装在那里其历史记录的存放点都是一样的，且内核一样的浏览器其历史记录格式也是一样的。因此可以轻松查询浏览器历史记录。浏览器正在使用当中的时候不能够进行历史记录获取操作 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061import osimport globimport sqlite3class bro_history: def __init__(self): self.systemroot = os.environ["SYSTEMROOT"] def _firefox_history(self, path): path = os.path.join(self.systemroot, path) for p in glob.glob(path): p_tokens =...

RAG-什么是chunking

什么是 Chunking？在自然语言处理（NLP）和文本分析领域，Chunking（分块）是一种将文本分割成有意义的、可管理的片段的技术。这些片段通常被称为“块”（chunks），可以是短语、句子、段落或其他有意义的语言单元。Chunking 的目标是从文本中提取出结构化的信息，以便更好地理解和处理语言数据。 Chunking 的基本概念Chunking 的核心思想是将连续的文本分割成更小的、有意义的单元。与简单的分词（tokenization）不同，Chunking 不仅仅是把文本拆分成单词，而是将这些单词组合成更大的语义单元。例如，在句子“The quick brown fox jumps over the lazy dog”中，Chunking 可能会将“The quick brown fox”识别为一个名词短语（NP），而“jumps over the lazy dog”识别为一个动词短语（VP）。 Chunking 的应用场景信息提取：Chunking 可以帮助从文本中提取出关键信息，如人名、地名、日期、组织机构等。例如，在新闻文章中，Chunking...