1. Windows事件日志分析

1. 使用Windows事件日志查看器，打开实验文档“security01.evtx”。
2. 按“日期和时间”对日志进行分组统计；
3. 按“事件ID”对日志进行分组统计：
4. 问题：日志中是否有用户登录失败的记录。如果有，请按“登录用户”、“日期和时间”列出这些记录。   右键 添加列当中的用户名

参考链接：https://blog.csdn.net/NDASH/article/details/135660187

1. NTFS日志分析

（1）开启Win2008虚拟机。

（2）将取证工具压缩包XWaysForensics.rar复制到虚拟机中，进行解压，运行其中的setup.exe安装取证工具X-Ways Forensics。（由于该工具是测试版，其有效期至2021年12月31日，为了使用该工具的功能，请把虚拟机的日期改为2021年的某一天。）

注意：修改时间、把工具调为中文模式

（3）启动取证工具，打开C盘，$Extend里面的$UsnJrnl下 观察其中的＄J文件最后几条记录所展示的信息；

（4）在C盘中新建一个文本文件，将其重命名为111.txt，打开111.txt，在其中编辑一些内容，保存并关闭，再将111.txt重命名为22.txt，然后将22.txt删除。

（5）将打开的$J文件关闭，在取证工具中更新快照，观察$J新增的一些记录。

（6）将系统的日期提前两天，重复步骤（4）和（5），观察$J的记录变化。

（7）问题：上述的操作对取证有什么作用？

有助于验证取证工具的准确性和可靠性，以及对系统日期更改对取证结果的影响。

         3. 拓展内容（选看）：对X-Ways Forensics感兴趣的同学可参考一下链接加深认识：

1. 通过NTFS日志分析文件的时间属性是否被篡改 - WXjzc - 博客园 (cnblogs.com)
2. X-Ways取证快速入门 | CDF训练营（四） (qq.com)
3. X-Ways 必会的基本操作 | CDF训练营（六） (qq.com)