我发现了一系列这样的Windows登录事件4624:
An account was successfully logged on.
Subject:
Security ID: SYSTEM
Account Name: mycomputername$
Account Domain: WORKGROUP
Logon ID: 0x3E7
Logon Information:
Logon Type: 5
Restricted Admin Mode: -
Virtual Account: No
Elevated Token: Yes
Impersonation Level: Impersonation
New Logon:
Security ID: SYSTEM
Account Name: SYSTEM
Account Domain: NT AUTHORITY
Logon ID: 0x3E7
Linked Logon ID: 0x0
Network Account Name: -
Network Account Domain: -
Logon GUID: {00000000-0000-0000-0000-000000000000}
Process Information:
Process ID: 0x3cc
Process Name: C:\Windows\System32\services.exe
Network Information:
Workstation Name: -
Source Network Address: -
Source Port: -
Detailed Authentication Information:
Logon Process: Advapi
Authentication Package: Negotiate
Transited Services: -
Package Name (NTLM only): -
Key Length: 0
每个事件之后都会有另一个 4672 事件
Special privileges assigned to new logon.
Subject:
Security ID: SYSTEM
Account Name: SYSTEM
Account Domain: NT AUTHORITY
Logon ID: 0x3E7
Privileges: SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege
SeDelegateSessionUserImpersonatePrivilege
从表面上看,似乎是某些服务或计划任务导致了这些登录。我尝试查看Windows Logs\Application
,Windows Logs\System
但没有发现在这些登录的同时发生的事件。我不知道如何找到导致这些登录的服务或任务。欢迎提供任何建议或提示。提前致谢!
答案1
第一个事件由微软在文章中记录 4624:帐户已成功登录4624(S): An account was successful login on。
登录类型为5
,表示“服务由服务控制管理器启动”。根据记录,事件由服务控制管理器生成C:\Windows\System32\services.exe
,服务控制管理器负责运行、结束和与系统服务交互。
主题系统服务是用 SYSTEM 帐户启动的,这赋予了它基本上无限的权限,这导致发出 4672 (S):分配给新登录的特殊权限。
登录过程被标记为“advapi”,这可能意味着登录是通过 IIS Web 服务器和进程进行的基于 Web 的登录advapi
。但是,这仅适用于网络源的登录类型 3。您的登录类型是 5,它是计算机内部的。
您的计算机可能并未受到感染。
参考 第 5 章 登录/注销事件。
更多信息 :
文章中描述了此事件 4624:帐户已成功登录4624(S): An account was successful login on. 任何类型的登录都会被记录。
您可以从现场看到该事件的出处LogonType
:
登录类型 | 登录标题 | 描述 |
---|---|---|
0 | 系统 | 仅由系统帐户使用,例如在系统启动时。 |
2 | 交互的 | 有用户登录到此计算机。 |
3 | 网络 | 从网络登录到此计算机的用户或计算机。 |
4 | 批 | 批处理登录类型由批处理服务器使用,其中进程可以代表用户执行,而无需用户的直接干预。 |
5 | 服务 | 服务已由服务控制管理器启动。 |
7 | 开锁 | 该工作站已解锁。 |
8 | 网络明文 | 用户从网络登录到此计算机。用户的密码以非哈希形式传递给身份验证包。内置身份验证会将所有哈希凭据打包,然后再通过网络发送。凭据不会以纯文本(也称为明文)的形式在网络中传输。 |
9 | 新凭证 | 调用方克隆了其当前令牌并为出站连接指定了新凭据。新的登录会话具有相同的本地身份,但对其他网络连接使用不同的凭据。 |
10 | 远程互动 | 用户使用终端服务或远程桌面远程登录到此计算机。 |
11 | 缓存互动 | 用户使用存储在本地计算机上的网络凭据登录到此计算机。未联系域控制器来验证凭据。 |
12 | 缓存远程交互 | 与 RemoteInteractive 相同。用于内部审计。 |
十三 | 缓存解锁 | 工作站登录。 |