常见 Windows 事件 ID

1. 安全事件日志(Security Log)中常见的事件 ID

安全日志是我们进行应急响应和入侵分析时,最需要关注的。以下是一些常见的安全事件 ID 及其含义:

  • ID 4624成功登录。这表示用户成功登录到系统。在排查入侵时,我们会特别关注登录的来源(网络登录、远程桌面等)和登录的用户
  • ID 4625登录失败。这是入侵者进行暴力破解或密码猜解的常见痕迹。当看到大量连续的 4625 事件时,通常意味着有恶意登录尝试
  • ID 4648使用显式凭据登录。这通常表示某个服务或进程使用与当前登录用户不同的凭据来运行,在排查横向移动和特权滥用时很有用
  • ID 4672分配了管理员特权。当一个用户通过提权(如 Runas)获得管理员权限时,会产生此事件
  • ID 4720创建用户账户。攻击者为了持久化控制,通常会创建新的用户。这个事件 ID 是检测账户异常创建的关键
  • ID 4724重置密码。管理员或拥有相应权限的用户重置了另一个用户的密码
  • ID 4732 / 4733用户被添加到安全组 / 从安全组中移除。攻击者可能会将自己的账户添加到管理员组(如 Administrators),以获取更高权限
  • ID 4768 / 4769Kerberos 票证请求。这些事件与 Kerberos 身份验证有关,在排查域环境下的哈希传递、黄金票据等攻击时非常重要

2. 系统事件日志(System Log)中常见的事件 ID

系统日志可以帮助我们了解系统运行状态和是否存在异常

  • ID 1074系统关机或重启。如果系统意外重启,这个事件会提供关机的原因
  • ID 6005系统启动。表示事件日志服务已启动,通常在系统开机后记录
  • ID 6006系统关机。表示事件日志服务已停止,通常在系统关机前记录

3. 应用事件日志(Application Log)中常见的事件 ID

应用日志帮助我们了解特定程序运行中出现的问题。

  • ID 1000应用程序崩溃或错误。这是一个非常通用的事件 ID,表示某个应用程序遇到了错误并停止运行
  • ID 1001Windows 错误报告。记录了应用程序崩溃的详细信息,这对于定位恶意软件或服务异常终止非常有用
Copyright © 版权信息 all right reserved,powered by Gitbook该文件修订时间: 2025-09-25 03:13:24

results matching ""

    No results matching ""