0x00 简介

chainsaw是一款分析windows日志的工具,主要提取日志文件evtx的内容进行分析

0x00 使用

1、项目地址

下载windows版本

https://github.com/countercept/chainsaw

2、使用方法

详情看github文档,但是基本上只要用以下命令就够了,日志文件基本在C:\Windows\System32\winevt\Logs\

chainsaw.exe hunt C:\Windows\System32\winevt\Logs\ —rules sigma_rules/ —mapping mapping_files/sigma-mapping.yml —full

image.png
可以查看到一些比如4624登录,创建用户等信息,甚至可以查看到日志里记录的powershell、cmd命令,协助溯源。