使用DeepBlueCLI对Windows日志进行取证（小记）

什么是Windows日志取证

Windows日志取证是指通过分析和收集Windows操作系统生成的日志信息，以获取关于系统活动、用户行为、安全事件等方面的数据

工具使用

工具介绍

DeepBlueCLI 是一个用于检测 Windows 系统中的安全事件和威胁的 PowerShell 脚本工具

工具下载

https://github.com/sans-blue-team/DeepBlueCLI/tree/master

日志分析

解压文件后，进入工具的文件夹，右击以管理员权限在当前文件夹打开PowerShell

输入Set-ExecutionPolicy unrestricted，保证文件能正常运行 ，此命令的 Unrestricted 参数会允许在系统上执行任意脚本，而不受签名限制，注意运行此命令需要管理员权限

分析本机日志

分析本机安全日志

.\DeepBlue.ps1 -log security

可以看到，程序输出了当前登录的用户

分析本机系统日志

.\DeepBlue.ps1 -log system

程序会输出一些可疑操作

分析第三方日志

如果要分析从网上下载的第三方日志，可以直接在程序后面加上日志文件的目录

.\DeepBlue.ps1 .\evtx\new-user-security.evtx

可以看到，在这个日志文件中，IEUser用户被加入了administrators组

总结

如果遇到了日志取证的题目，这个工具可以输出windows日志中可疑的操作