一款Windows日志分析工具

WindowsLog_Check

此工具主要实现对windows日志进行分析，主要分为以下功能，

针对常规 登录成功、登录失败、RDP登录、用户创建、服务创建等日志进行分析，判断是否存在爆破、是否有代理登录行为；

针对SQLServer数据库，可分析是否存在爆破，以及开启Xp_cmdshell等记录；

针对域控主机日志分析，是否存在漏洞利用，密码抓取，后门用户等情况，前提为域控主机开启高级策略配置，否则主机不会有日志记录；

分析主机进程，外联，文件是否存在已知恶意的文件或者IP；

分析常用远控软件被控记录，可定位IP和动作；

目前支持离线分析，若针对win2008和win7版本操作系统，只能使用离线分析，因为低版本系统无法运行，winserver 2012也建议使用离线分析，便于查看日志信息，高版本 winserver2016 2019 win10 win11 均可以在主机直接进行分析；

免责声明：此工具仅限于安全研究，用户承担因使用此工具而导致的所有法律和相关责任！作者不承担任何法律责任。

工具运行界面

功能1&2：登录成功和登录失败日志分析

（1）不输入登录类型和IP时，默认查看所有4624登录日志

（2）可指定查看登录类型，例如查看登录类型：3

(3)可指定登录源地址查看，例如指定源地址为：192.168.1.4

（4）可同时指定登录类型和源地址

功能3：RDP登录记录

查看rdp登录记录，并且会判断是否通过代理软件登录的情况，日志ID说明：1149：远程桌面认证成功21：RDP连接成功25：RDP重连成功

功能4：RDP连接记录

RDP连接记录，查看当前主机，rdp登录过哪些机器1102：当前主机使用RDP登录过哪些机器1024：当前主机使用RDP尝试登录过哪些机器（不一定成功）

功能5：服务创建记录

查看服务创建记录，在横向渗透过程中或者病毒横向传播过程中均可能会创建恶意服务项，目前程序对sys相关的驱动服务进行了过滤

功能6：SQLServer 数据库爆破和配置修改

查看SQLServer数据库，爆破记录和配置修改记录支持筛选IP

功能7：用户相关日志

查看用户，主要分为两个方面：系统日志方面：创建用户记录i、启动用户记录、修改密码记录、修改所属组记录主机信息方面：当前用户信息，包括：存在的所有用户、所在域、用户SID、是否禁用、用户信息描述

功能8：计划任务

查看计划任务 排版有点问题 后续调整  暂不展示

功能9：主机进程分析

查看进程信息，目前支持查看进程外联地址，启动时间，执行路径，执行用户，PID

功能10：主机外联地址研判

查看当前主机外联地址是否存在恶意IP，需要微步有对应接口权限，我现在没有有 有的大哥可以自己测试下，之前测试是没有问题的

功能11：向日葵和todesk被控日志分析

向日葵被控记录，可查看远程连接时间和 对方内外网IP地址，以及远控时上传的文件

todesk被控记录

功能12：批量分析文件MD5

批量计算指定文件目录所有文件MD5值，并判断是否为恶意

功能13：kerberos协议分析

kerberos协议分析，判断是否存在利用kerberos协议进行用户名枚举和爆破，可筛选源地址和登录状态默认查看所有

筛选IP和登录失败的记录

功能14：DCSync 攻击分析

查看是否存在利用某个用户进行DCSync攻击的记录注意：机器账号的日志 情况为正常

功能15：SID后门分析

通过SID历史记录，判断是否存在SID后门

功能16：Lsass内存读取记录

功能17：域内信息收集记录

攻击者查看所有域用户时会触发该记录

功能18：ZeroLogon漏洞利用记录

欢迎关注