Windows SMB/RDP日志溯源总结在以往涉及到Windows安全事件处理的时候，经常需要分析windows日志。对日志进行分析溯源的时候SMB/RDP日志是非常重要的一部分。比如：RDP入侵植入勒索病毒，drivelife等利用SMB暴力破解传播的病毒。注：本文举例均为win7系统。日志提取使用“eventvwr.exe”直接打开事件管理器，可以直接查看和筛选日志。直接访问日志文件路径也可

Sysmon工具使用一、Sysmon简介日常的应急响应中，经常会遇到一些情况。比如远程上去的时候已经没有了现象，又或是恶意流量每隔几个小时就发一两个包，失分头疼。Sysmon作为强大轻便的监视和记录工具，可以记录系统的各种活动。通过收集系统上发现的事件，可以了解到恶意程序再操作系统上进行了哪些操作。可选择记录网络连接，包括每个连接的源进程、IP 地址、端口号、主机名和端口名。记录注册表和文件的操作