方法一:使用windows触发器记录系统日志
打开windows事件查看器
手动触发事件
在windows事件触发器中找到想要添加触发器的事件
点击右下方,将任务附加到此事件
方法二:任务计划程序
打开windows任务计划程序
创建任务
设置名称,位置
选中触发器细节(当任何用户登陆时候)
根据需求调整其他选项(可以打开脚本实现读写和新建文件等操作)
实际应用
当后台有新用户建立的时候,系统日志触发器被触发,运行事先预设的程序或者脚本
脚本源码:
backup.bat 当后台建立3389连接的时候,将连接信息记录在D盘的data.txt文件中
for /F %%i in ('date /t') do ( set tt=%%i)echo %tt:~0,10% >> D:\data.txtecho %tt:~0,10% >> C:\phpStudy\PHPTutorial\WWW\data.txttime /t >> D:\data.txttime /t >> C:\phpStudy\PHPTutorial\WWW\data.txtnetstat -n -p tcp | find ":3389" >> D:\data.txtnetstat -n -p tcp | find ":3389" >> C:\phpStudy\PHPTutorial\WWW\data.txtcopy /y C:\Windows\System32\winevt\Logs\Security.evtx D:\backuplogs\copy /y C:\Windows\System32\winevt\Logs\Security.evtx C:\phpStudy\PHPTutorial\WWW\
pop.bat 当后台新建用户的时候,记录并弹窗提醒
msg %username% /time:60 "WARNING:a backdoor account is created"time /t >> D:\data.txttime /t >> C:\phpStudy\PHPTutorial\WWW\data.txtecho USER CREATED >> D:\data.txtecho USER CREATED >> C:\phpStudy\PHPTutorial\WWW\data.txt
double.bat 将应用程序和脚本绑定在一起,启动程序的同时记录日志
cd D:\start V15.lnktime /t >> D:\data.txtecho Siemens TIA Portal V15 has been opend >>D:\data.txt
检测shell反弹的脚本正在进一步完善
如果觉得《Windows事件触发器及日志记录》对你有帮助,请点赞、收藏,并留下你的观点哦!
