windows日志溯源分析我们还有一个工具是日志分析工具，这个工具是微软自带的，然后的话安装完之后，我们怎么打开 LG搜索，把它搜索出来，它是命令行模式下的，而且它的语法是跟SQL语句很像，然后看他的帮助。-l是输入的格式，但我是输出的格式，它可以输出csvxml，很多种格式都可以。然后我们举个例子来查看一下系统安全的日志，然后系统安全的日志存放是在这条路径下面，上面我有说过了位置，有的存放是在这条路径下面，那它的日志在这里，把它找到之后，我们把它复制出来，我已经把它复制到了这里了。

然后就是我们的命令 a输入格式而输出格式，选择路径，再加上它的路径，就是这样，我们刚才说的事件的类别就是这里。在这里的8就是刚才我所说的8的类型说明就是网络铭文登录，还有这里的事件ID，每一个事件的ID都是不太一样的，到底有没有登录成功，还有等审核是什么情况，它都不太一样，这些到需要的时候可以查找一些资料，然后他的时间做了什么，Id，还有后面的一些信息，我查看具体是这样，这条命令，这个工具还可以利用，还可以看系统日志之后，除了看系统位置，还可以看我们之前所说到的是晚上的日志，就要把格式换一下就可以了，例如iis的日志，还有限制条件的查找，我们利用这条命令-I输入格式，-o输出格式，然后选择他 from然后再where查找条件，ID等于他，然后这就是利用了这条命令，然后它的命令格式也是跟SQL语句是一样的，然后到了工具排查，我这里有一款工具，挺好用的，就是SINEsafe工具，这个工具是一款很强大的系统安全信息查看的软件，在他的帮助下面，不仅可以可以深入的查看到系统各种的信息，还可以很方便的揪出电脑中的木马病毒，同时还可以在线修复各种的系统问题，然后在我的虚拟机里面打开有点慢，来说一下这款工具，它比较好的一点就是它把颜色区分出来了哪些程序，对我们小白来说是比较简单的。对黑色微软签名的驱动程序就是比较安全的。如果是蓝色就是没有微软签名的驱动程序，是可疑的。如果是红色非常可疑危险的程序了，然后我现在做的就是案例，某个远控密码的清除，跟最终我们利用这个工具来查看。

然后我这里是64位的直接打开，它这里黑色的话就是比较安全的，蓝色的是比较可疑的，然后如果遇到红色的话就是极度危险的。我们查看一下，像这些都是本机的系统的，然后看一下蓝色有什么可疑的，我们查看一下，看这个a有点可疑，然后它还有驱动模块，还有内核方面的层面上的工具，还有内核钩子，就是如果有一些木马病毒的话，它在更底层的层面下的话，它是在内核层面下的，有些病毒可以自己生成一个sys的system的文件，然后我们可以把在这里把它揪出来。