#رمضان_DFIR
12 رمضان - Windows Event Logs 📒
ال Windows Event Logs أو WEL هو artifact في جميع الأصدارات لل Microsoft Windows. ال WEL يحتوي على ملايين السجلات الخاصة بالعمليات الي تصير على النظام, مثل عمليات تسجيل الدخول, معلومات عن حالة الخدمات, إلخ
#DFIR #BlueTeam
12 رمضان - Windows Event Logs 📒
ال Windows Event Logs أو WEL هو artifact في جميع الأصدارات لل Microsoft Windows. ال WEL يحتوي على ملايين السجلات الخاصة بالعمليات الي تصير على النظام, مثل عمليات تسجيل الدخول, معلومات عن حالة الخدمات, إلخ
#DFIR #BlueTeam
ملفات ال WEL موجودة في المجلد C:\Windows\System32\winevt\Logs. هذا المجلد يحتوي على ما يزيد عن 150 ملف خاص ب WEL artifact.
ال WEL من أهم ال artifact في ال windows. هذا ال artifact يحتوي على معلومات كثيرة جدا بشكل أفتراضي, بس تقدر تسجل معلومات أضافية بستخدام ال Audit Policy من Windows او بستخدام sysmon.
- learn.microsoft.com
- learn.microsoft.com
- learn.microsoft.com
- learn.microsoft.com
لو بنتكلم عن ال WEL في رمضان كامل, بيخلص رمضان و أحنا ما خلصنا 😅
فبعطيكم مصادر عن هذا ال artifact فيه كل شي تحتاجة عشان تفهم أهم المعلومات:
- ultimatewindowssecurity.com
- #event-id-databases" target="_blank" rel="noopener" onclick="event.stopPropagation()">github.com
- github.com
فبعطيكم مصادر عن هذا ال artifact فيه كل شي تحتاجة عشان تفهم أهم المعلومات:
- ultimatewindowssecurity.com
- #event-id-databases" target="_blank" rel="noopener" onclick="event.stopPropagation()">github.com
- github.com
بنسبه لكيف أقدر أسوي تحليل لهذا ال artifact, فيه طرق كثيرة بأذكر بعضها
Event Viewer: موجود في كل أنظمة windows
winlogbeat: تقدر تقرأ كل السجلات و ترسلها ل ELK stack للتحليل
Kuiper: نظام مفتوح المصدر لل DFIR Specialist
Event Viewer: موجود في كل أنظمة windows
winlogbeat: تقدر تقرأ كل السجلات و ترسلها ل ELK stack للتحليل
Kuiper: نظام مفتوح المصدر لل DFIR Specialist
مرة جاتني لقافة أعرف ليش الملفات الخاصة بال WEL تكون 68KB على الأقل. مستحيل تلقاها 0 bytes حتى لو مافيه سجلات
ملفات ال WEL تكون بصيغة evtx. هذي الملفات تحتوي على header و بعدين السجلات تكون موجودة في شي يقولون له chunk. ملف ال evtx لازم يحتوي على header و على الأقل chunk واحد. مساحة ال header دائما تكون 4096 و ال chunk دائما تكون 65536 bytes, لو نجمعها بتكون 68KB.
ال windows بيضيف chunk كامل اذا معد فيه مساحة في ال chunk الي قبله. ممكن ماتكون مهمة بالنسبة لك, بس اذا كنت ملقوف زيي
Well, now you know 😁
Well, now you know 😁
هذي الثريد نقطة في بحر, ال WEL موضوع طويل جدا بس فيه مشاريع كثيرة تساعدك في تحليله, هذي بعضها:
Rhaegal - github.com
Chainsaw - github.com
Logon Tracer - github.com
Rhaegal - github.com
Chainsaw - github.com
Logon Tracer - github.com
جاري تحميل الاقتراحات...