EventLog: Tüm Kullanıcı İşlemleri Analizi (Powershell)

Saldırı altında bulunan bir sistemde ilk olarak kontrol edilecek yerlerin başında olay denetim (EventLog) kayıtları gelmektedir. Fakat çok hızlı sonuçlar alabilmek için öncelikle bu olay  kayıtlarının analiz edilmesi gerekmektedir.

Tek tek analiz edilen tüm kullanıcı olay kayıtlarını (EventLog) yazdığımız Powershell script ile sabit genişlikli bir csv dosyaya aktarıyoruz. Bu kullanıcı işlemleri olay kayıt (Event ID) numaralarını bir tabloya dönüştürdük.

EventID 4625: Tracking User Logon Failed Activity Using Logon Events

Saldırı altındaki makinelerin ve adli analiz amacıyla kullanıcıların makinelerde oturum açma deneme işlemleri analizi çok önemlidir.

Powershell script ile yerel makineler üzerinde oturum açma deneme aktivitelerini kolay anlaşılır tablo biçiminde alan scripti paylaşacağım.

4625_User_Logon_Failed_Analysis.ps1

# =========================================================== # NAME: 4625_User_Logon_Failed_Analysis.ps1 # AUTHOR: Bekir Yalçın # DATE: 29/12/2012 # COMMENT: Oturum açma denemesi olayları analizi - EventID: 4625 # VERSION: 1 # =========================================================== # Clear #Log dosya adı $LogFileName="4625_User_Logon_Failed_Reports_" + (Get-Date –f "yyyyMMdd_HHmmss_").tostring() + (hostname).tostring() + ".csv" write-host ((0..48)|%{if (($_+1)%3 -eq 0){[char][int]

How to encrypt (Microsoft Outlook) .pst file?

Pst dosyasını (Microsoft Outlook) şifreleme:

Adım1: Denetim Masasından Posta (32 bit) simgesine çift tıklayın.



Adım2: Gelen pencereden Profilleri Göster... butonuna tıklayın.

EventID 4771: Active Directory Kerberos Authentication Failure with Powershell

Etki alanında kullanıcı hesaplarından ve makine hesaplarından hatalı giriş denemeleri EventID 4771 Kerberos pre-authentication failed. olarak kaydedilmektedir. Bu event incelenerek şifre denemesi yapan kullanıcılar ve virüsler tespit edilebilir.

Powershell script ile DC üzerinden ön kimlik doğrulaması başarısız olan aktiviteleri kolay anlaşılır tablo (Sabit genişlikli csv dosya ) biçiminde alan scripti paylaşacağım.

How to Remove “Ease of Access” (Accessibility) Button from Windows 7 Login Screens?

Ease of Access özelliği bir güvenlik zaafiyeti olarak kullanılabilmektedir. Bu yazımızda Windows açılış ekranında sol alt köşede bulunan bu butonu kaldırmayı anlatacağım.

Butonu kaldırmak için %windir%\system32\authui.dll dosyasında düzenleme yapmamız gerekmektedir. Bu işlem için öncelikle yardımcı programa ihtiyacımız olacaktır. Kullanabileceğimiz programlar ResHacker, XN Resource Hacker, XVI hex editor... programlarında bir tanesini temin etmemiz gerekmektedir. Yalnız dikkat etmemiz gereken husus bu programlar düzenleyeceği exe, dll vb. dosyalarda 32 bit ve 64 bit ayrımı yapabilmektedir. Biz anlatımımızda Resource Hacker programını kullanacağız. Dileyen ücretsiz olarak aşağıdaki linkten indirilebilir.

Resource Hacker download: 

EventID 4624: Tracking User Logon Activity Using Logon Events

Saldırı altındaki makinelerin ve adli analiz amacıyla kullanıcıların makinelerde oturum açma işlemleri analizi çok önemlidir.

Powershell script ile yerel makineler üzerinde oturum açma aktivitelerini kolay anlaşılır tablo biçiminde alan scripti paylaşacağım.