查人人中国名人网施一公演讲鬼魂:帮分析几个系统事件
来源:百度文库 编辑:查人人中国名人网 时间:2024/04/28 06:29:48
事件类型: 失败审核
事件来源: Security
事件种类: 详细追踪
事件 ID: 861
日期: 2006-6-12
事件: 23:18:44
用户: NT AUTHORITY\SYSTEM
计算机: CTRF5XCA-CF9
描述:
Windows 已经检测到一个应用程序正在侦听传入流量。
名称: -
路径: C:\WINDOWS\system32\svchost.exe
进程标识符: 884
用户帐户: SYSTEM
用户域: NT AUTHORITY
服务: 是
RPC 服务器: 否
IP 版本: IPv4
IP 协议: UDP
端口号: 68
允许的: 否
通知用户的: 否
事件类型: 成功审核
事件来源: Security
事件种类: 详细追踪
事件 ID: 861
日期: 2006-6-12
事件: 23:17:32
用户: CTRF5XCA-CF9\wmy
计算机: CTRF5XCA-CF9
描述:
Windows 已经检测到一个应用程序正在侦听传入流量。
名称: Windows Explorer
路径: C:\WINDOWS\explorer.exe
进程标识符: 2864
用户帐户: wmy
用户域: CTRF5XCA-CF9
服务: 否
RPC 服务器: 否
IP 版本: IPv4
IP 协议: UDP
端口号: 1170
允许的: 是
通知用户的: 否
事件类型: 成功审核
事件来源: Security
事件种类: 详细追踪
事件 ID: 592
日期: 2006-6-12
事件: 23:17:02
用户: NT AUTHORITY\SYSTEM
计算机: CTRF5XCA-CF9
描述:
已经创建新的过程:
新的过程 ID: 2676
映象文件名: C:\WINDOWS\system32\wbem\wmiadap.exe
创建者过程 ID: 884
用户名: CTRF5XCA-CF9$
域: WORKGROUP
登录 ID: (0x0,0x3E7)
事件类型: 失败审核
事件来源: Security
事件种类: 详细追踪
事件 ID: 861
日期: 2006-6-12
事件: 23:01:30
用户: NT AUTHORITY\SYSTEM
计算机: CTRF5XCA-CF9
描述:
Windows 已经检测到一个应用程序正在侦听传入流量。
名称: -
路径: C:\WINDOWS\system32\svchost.exe
进程标识符: 884
用户帐户: SYSTEM
用户域: NT AUTHORITY
服务: 是
RPC 服务器: 否
IP 版本: IPv4
IP 协议: UDP
端口号: 68
允许的: 否
通知用户的: 否
事件类型: 成功审核
事件来源: Security
事件种类: 详细追踪
事件 ID: 592
日期: 2006-6-12
事件: 22:57:52
用户: CTRF5XCA-CF9\wmy
计算机: CTRF5XCA-CF9
描述:
已经创建新的过程:
新的过程 ID: 1512
映象文件名: C:\WINDOWS\system32\VIPTray.exe
创建者过程 ID: 1960
用户名: wmy
域: CTRF5XCA-CF9
登录 ID: (0x0,0xDDC6)
事件类型: 成功审核
事件来源: Security
事件种类: 登录/注销
事件 ID: 528
日期: 2006-6-12
事件: 22:56:18
用户: NT AUTHORITY\LOCAL SERVICE
计算机: CTRF5XCA-CF9
描述:
登录成功:
用户名: LOCAL SERVICE
域: NT AUTHORITY
登录 ID: (0x0,0x3E5)
登录类型: 5
登录过程: Advapi
身份验证程序包: Negotiate
工作站名:
登录 GUID: {00000000-0000-0000-0000-000000000000}
事件来源: Security
事件种类: 详细追踪
事件 ID: 861
日期: 2006-6-12
事件: 23:18:44
用户: NT AUTHORITY\SYSTEM
计算机: CTRF5XCA-CF9
描述:
Windows 已经检测到一个应用程序正在侦听传入流量。
名称: -
路径: C:\WINDOWS\system32\svchost.exe
进程标识符: 884
用户帐户: SYSTEM
用户域: NT AUTHORITY
服务: 是
RPC 服务器: 否
IP 版本: IPv4
IP 协议: UDP
端口号: 68
允许的: 否
通知用户的: 否
事件类型: 成功审核
事件来源: Security
事件种类: 详细追踪
事件 ID: 861
日期: 2006-6-12
事件: 23:17:32
用户: CTRF5XCA-CF9\wmy
计算机: CTRF5XCA-CF9
描述:
Windows 已经检测到一个应用程序正在侦听传入流量。
名称: Windows Explorer
路径: C:\WINDOWS\explorer.exe
进程标识符: 2864
用户帐户: wmy
用户域: CTRF5XCA-CF9
服务: 否
RPC 服务器: 否
IP 版本: IPv4
IP 协议: UDP
端口号: 1170
允许的: 是
通知用户的: 否
事件类型: 成功审核
事件来源: Security
事件种类: 详细追踪
事件 ID: 592
日期: 2006-6-12
事件: 23:17:02
用户: NT AUTHORITY\SYSTEM
计算机: CTRF5XCA-CF9
描述:
已经创建新的过程:
新的过程 ID: 2676
映象文件名: C:\WINDOWS\system32\wbem\wmiadap.exe
创建者过程 ID: 884
用户名: CTRF5XCA-CF9$
域: WORKGROUP
登录 ID: (0x0,0x3E7)
事件类型: 失败审核
事件来源: Security
事件种类: 详细追踪
事件 ID: 861
日期: 2006-6-12
事件: 23:01:30
用户: NT AUTHORITY\SYSTEM
计算机: CTRF5XCA-CF9
描述:
Windows 已经检测到一个应用程序正在侦听传入流量。
名称: -
路径: C:\WINDOWS\system32\svchost.exe
进程标识符: 884
用户帐户: SYSTEM
用户域: NT AUTHORITY
服务: 是
RPC 服务器: 否
IP 版本: IPv4
IP 协议: UDP
端口号: 68
允许的: 否
通知用户的: 否
事件类型: 成功审核
事件来源: Security
事件种类: 详细追踪
事件 ID: 592
日期: 2006-6-12
事件: 22:57:52
用户: CTRF5XCA-CF9\wmy
计算机: CTRF5XCA-CF9
描述:
已经创建新的过程:
新的过程 ID: 1512
映象文件名: C:\WINDOWS\system32\VIPTray.exe
创建者过程 ID: 1960
用户名: wmy
域: CTRF5XCA-CF9
登录 ID: (0x0,0xDDC6)
事件类型: 成功审核
事件来源: Security
事件种类: 登录/注销
事件 ID: 528
日期: 2006-6-12
事件: 22:56:18
用户: NT AUTHORITY\LOCAL SERVICE
计算机: CTRF5XCA-CF9
描述:
登录成功:
用户名: LOCAL SERVICE
域: NT AUTHORITY
登录 ID: (0x0,0x3E5)
登录类型: 5
登录过程: Advapi
身份验证程序包: Negotiate
工作站名:
登录 GUID: {00000000-0000-0000-0000-000000000000}