yulong-hids-archived icon indicating copy to clipboard operation
yulong-hids-archived copied to clipboard

Published 20 hours ago verified publisher icon ysrc

首先给这个方案点赞,其次写一些问题

Open caidongyun opened this issue 6 years ago • 7 comments

windows: 如下

caidongyun avatar Apr 08 '18 08:04 caidongyun

loginlog_windows.go

没有实际event日志被删掉的记录行为,这些内容都可能被删掉。

caidongyun avatar Apr 08 '18 08:04 caidongyun

嗯,这边暂时没有考虑有对抗的场景,win下的驱动目前只实现了执行的命令监控。

ihacku avatar Apr 08 '18 09:04 ihacku

@caidongyun 是指eventlog被删除的情况吗?

neargle avatar Apr 08 '18 11:04 neargle

对啊,对应也有日志。

caidongyun avatar Apr 09 '18 03:04 caidongyun

暂时不知道调用 wevtapi.dll 能不能实时监控到日志删除的记录行为。 @caidongyun 请问有什么较为优雅的监控日志删除的方法吗?

neargle avatar Apr 09 '18 23:04 neargle

系统eventlog有的,你怎么删除,都会遗留一条记录

caidongyun avatar Apr 10 '18 06:04 caidongyun

如果是不是借助事件查看器删除的,那么你要监控对应的系统etl文件 删除记录

caidongyun avatar Apr 10 '18 06:04 caidongyun