Dump Windows Event Log to Analyze Malicious Behavioral

嗯 ! 延續昨天那篇以及裡面所提到的

Detect & Compare if system files have modified by md5deep & ssdeep

過去我的作法都是採用 AIDE 或者是一度打算直接用 notify 等工具來 " 即時 " 監控 分析端
但是仔細的評估後 ... 似乎沒那麼大必要性 ... 會增加分析端的安裝問題 ...
因為那樣做就得要 server 端 安裝 samba 以及 開網芳等動作 !
就這樣找到了 " Windows 2000 資源套件工具的系統管理工作 " 這個頁面 ( http://support.microsoft.com/kb/927229 ) 裡所講的 傾印事件記錄檔 (dumpel.exe): 傾印事件記錄檔是一個命令列工具,將本機系統或遠端系統事件記錄檔傾印至 tab 分隔的文字檔。這個工具也可用來篩選或排除特定事件類型。PS: 裡面很多工具我想可以好好多加利用一下 !


下載後請安裝它 ... 安裝完之後就像 PSTools 一樣可以單獨拿出來使用 ....


主要會用到的就是

-f:指定匯出後的檔案名稱
-l:選擇要匯出那種 log ( system, application, security )
-s:指定電腦
-r:這個我不太會用,不過試了一下跟 -e 可搭配
-e:這可以指定 log ID

C:\>C:\dumpel.exe -f %USERDOMAIN%_%computername%.txt -l system

C:\>C:\dumpel.exe -f %USERDOMAIN%_%computername%_security.txt -l security
Dump successfully completed.

C:\>C:\dumpel.exe -f %USERDOMAIN%_%computername%_application.txt -l application
Dump successfully completed.


這邊還有一篇類似的文章:Windows eventlog 集中管理 (http://bigcandy.blog.ithome.com.tw/post/2158/158866)

最後就是一樣要再靠自己來好好 Parse 一下啦 !!!!