介绍
很多病毒木马操作一般都会在事件查看器中留下痕迹,windows中的事件查看器包括关于硬件、软件、系统、安全事件等问题的信息。直接运行输入eventvwr即可打开。
打开后,定位到windows日志栏下,可以看到有三种类型的日志,分别是应用程序日志、安全日志和系统日志,如下图。
应用程序日志
应用程序日志记录了系统程序运行时的事件,例如错误、崩溃等情况,包括安装的程序及系统自带的程序。
安全日志
安全日志记录了一些用户登录事件、文件的创建打开删除事件等。
系统日志
系统日志记录了windows系统组件的一些事件,例如启动过程中加载的驱动程序失败。当计算机为域控制器时还包括目录服务日志,文件复制服务日志。当计算机为dns服务器时还包括dns服务器日志。
所有的用户都可以查看应用程序日志和系统日志,只有管理员才能查看安全日志。
日志级别
事件查看器包含了5种级别,分别是错误、警告、信息、成功审核、失败审核。可根据图标和常规信息查看,例如以下的信息级别。
错误:指重大问题,包括数据丢失,功能损失等。例如服务启动期间无法加载。
警告:潜在问题,例如磁盘空间低,则会记录一个警告。
信息:描述程序和服务是否操作成功的事件,例如网络驱动成功加载。
成功审核:接受审核且取得成功的安全访问尝试,例如用户成功登录系统。
失败审核:接受审核且取得失败的安全访问尝试,例如用户尝试访问网络驱动但失败。
同时事件查看器也提供了相应的查找、筛选等功能,例如我们需要关注错误类型的事件,则可以直接进行筛选,如下图。
随后我们便可以看筛选出来的事件,看常规说明、来源等信息,以及选中事件右键查看详细的属性信息等,来判断是否是恶意的攻击事件。
同时,我们也可以将事件的id和事件的来源去网上搜索相关信息,或者通过https://support.microsoft.com 和 http://www.eventid.net 去搜索。