LogonTracer是一個通過可視化和分析Windows Active Directory事件日志來調(diào)查惡意登錄的工具。該工具將登錄相關事件中發(fā)現(xiàn)的主機名(或IP地址)和賬戶名聯(lián)系起來,并以圖表形式顯示。這樣,就可以看到哪個賬戶發(fā)生了登錄嘗試,哪個主機被使用。
功能介紹
根據(jù)這項研究,這個工具可以將以下與Windows登錄有關的事件ID可視化。
4624: 登錄成功
4625: 登錄失敗
4768: Kerberos認證(TGT請求)。
4769: Kerberos服務票(ST請求
4776: NTLM認證
4672: 分配特殊權限