Windows高级事件日志分析

Windows中有许多没有默认开启的事件日志，比如进程创建、DNS查询、文件监控、网络连接等。开启这些高级事件的日志，有助于应急响应中狩猎更多的威胁。

上个月刚从俄罗斯回国，在莫斯科的图书馆翻阅了大量安全书籍，感叹毛子的黑客技术确实遥遥领先。这些安全技术书籍非常出色，我决定结合人工和GPT的方式对全文进行翻译。

阅读更多

阅读更多

去年在博客上分享过用Nginx反向代理实现的zsxq登录态网站，但是实际体验并不友好。

1. 第一次访问加载js时间非常长
2. 服务端接口故意返回报错，导致页面空白
3. 多人访问导致Nginx反向代理替换大文件字符串效率低下
4. Nginx部署在境外，国内访问速度很慢

而上面出现的问题，实际上都可以通过CDN缓存加速的方式解决。

YARA 是一款被广泛用于应急响应人员和恶意代码分析师的模式匹配与恶意软件识别工具。它的全称是 Yet Another Ridiculous Acronym。通过编写结构清晰、易读的规则，我们可以在文件或内存中快速定位攻击者留下的特征信息。

在应急响应流程中，YARA 类似于 Suricata 分析网络流量、Sigma 分析日志，而 YARA 则专注于对文件、内存、进程进行静态或半动态检测，是研判恶意样本与横向排查过程中最常用的“武器”。

在进行取证调查时，Windows 回收站被视为重要的证据来源，因为通过文件资源管理器和任何回收站感知程序删除的任何项目一开始都将放入回收站。回收站保留与已删除项目相关的有价值的信息，例如已删除项目的名称、删除前项目的原始位置、已删除项目的大小以及删除项目的日期和时间。