我昨天看抖音,发现鼠标动了下,感觉怕是被入侵了,然后重装了系统,重装后的系统也出现4672,4627,4624的事件已成功登录帐户。使用者: 安全 ID: SYSTEM 帐户名称: DESKTOP-32DTIMB$ 帐户域: WORKGROUP 登录 ID: 0x3E7登录信息: 登录类型: 5 受限制的管理员模式: - 虚拟帐户: 否 提升的令牌: 是模拟级别: 模拟新登录: 安全 ID: SYSTEM 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3E7 链接的登录 ID: 0x0 网络帐户名称: - 网络帐户域: - 登录 GUID: {00000000-0000-0000-0000-000000000000}进程信息: 进程 ID: 0x2e4 进程名称: C:\Windows\System32\services.exe网络信息: 工作站名称: - 源网络地址: - 源端口: -详细的身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递的服务: - 数据包名(仅限 NTLM): - 密钥长度: 0创建登录会话时,将在被访问的计算机上生成此事件。“使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。“登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。“新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。“网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。“模拟级别”字段指示登录会话中的进程可以模拟到的程度。“身份验证信息”字段提供有关此特定登录请求的详细信息。 - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。 -“传递的服务”指示哪些中间服务参与了此登录请求。 -“数据包名”指示在 NTLM 协议中使用了哪些子协议。 -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。帐户登录失败。使用者: 安全 ID: DESKTOP-32DTIMB\mg 帐户名: mg 帐户域: DESKTOP-32DTIMB 登录 ID: 0x3643A登录类型: 3登录失败的帐户: 安全 ID: NULL SID 帐户名: Guest 帐户域: DESKTOP-32DTIMB失败信息: 失败原因: 帐户当前已禁用。 状态: 0xC000006E 子状态: 0xC0000072进程信息: 调用方进程 ID: 0xf70 调用方进程名: C:\Windows\explorer.exe网络信息: 工作站名: DESKTOP-32DTIMB 源网络地址: - 源端口: -详细身份验证信息: 登录进程: Advapi 身份验证数据包: Negotiate 传递服务: - 数据包名(仅限 NTLM): - 密钥长度: 0登录请求失败时在尝试访问的计算机上生成此事件。“使用者”字段指明本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。“登录类型”字段指明发生的登录的种类。最常见的类型是 2 (交互式)和 3 (网络)。“进程信息”字段表明系统上的哪个帐户和进程请求了登录。“网络信息”字段指明远程登录请求来自哪里。“工作站名”并非总是可用,而且在某些情况下可能会留为空白。“身份验证信息”字段提供关于此特定登录请求的详细信息。 -“传递服务”指明哪些直接服务参与了此登录请求。 -“数据包名”指明在 NTLM 协议之间使用了哪些子协议。 -“密钥长度”指明生成的会话密钥的长度。如果没有请求会话密钥,则此字段为 0。组成员身份信息。使用者: 安全 ID: SYSTEM 帐户名称: DESKTOP-32DTIMB$ 帐户域: WORKGROUP 登录 ID: 0x3E7登录类型: 5新登录: 安全 ID: SYSTEM 帐户名称: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3E7事件顺序: 1/1组成员身份: BUILTIN\Administrators Everyone NT AUTHORITY\Authenticated Users Mandatory Label\System Mandatory Level“使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。“登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。“新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。配置审计组成员身份子类别时,将生成此事件。可以使用“登录 ID”字段,将此事件与相应的用户登录事件以及在此登录会话期间生成的任何其他安全审核事件相关联。为新登录分配了特殊权限。使用者: 安全 ID: SYSTEM 帐户名: SYSTEM 帐户域: NT AUTHORITY 登录 ID: 0x3E7特权: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege帐户登录失败。使用者: 安全 ID: DESKTOP-32DTIMB\mg 帐户名: mg 帐户域: DESKTOP-32DTIMB 登录 ID: 0x36402登录类型: 2登录失败的帐户: 安全 ID: NULL SID 帐户名: mg 帐户域: 失败信息: 失败原因: 未知用户名或密码错误。 状态: 0xC000006D 子状态: 0xC000006A进程信息: 调用方进程 ID: 0x174c 调用方进程名: C:\Program Files (x86)\360\360Safe\Utils\360HImmu.exe网络信息: 工作站名: DESKTOP-32DTIMB 源网络地址: - 源端口: -详细身份验证信息: 登录进程: Advapi 身份验证数据包: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 传递服务: - 数据包名(仅限 NTLM): - 密钥长度: 0登录请求失败时在尝试访问的计算机上生成此事件。“使用者”字段指明本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。“登录类型”字段指明发生的登录的种类。最常见的类型是 2 (交互式)和 3 (网络)。“进程信息”字段表明系统上的哪个帐户和进程请求了登录。“网络信息”字段指明远程登录请求来自哪里。“工作站名”并非总是可用,而且在某些情况下可能会留为空白。“身份验证信息”字段提供关于此特定登录请求的详细信息。 -“传递服务”指明哪些直接服务参与了此登录请求。 -“数据包名”指明在 NTLM 协议之间使用了哪些子协议。 -“密钥长度”指明生成的会话密钥的长度。如果没有请求会话密钥,则此字段为 0。已更改域策略。更改类型: 锁定策略 已更改使用者: 安全 ID: DESKTOP-32DTIMB\mg 帐户名: mg 帐户域: DESKTOP-32DTIMB 登录 ID: 0x36402域: 域名: DESKTOP-32DTIMB 域 ID: DESKTOP-32DTIMB\已更改的属性: 密码最小存留期: - 密码最大存留期: - 强制注销: - 锁定阈值: 5 锁定观察窗口: 锁定持续时间: 密码属性: 密码最小长度: 密码历史长度: 计算机帐户配额: 混合域模式: 域行为版本: OEM 信息: -附加信息: 特权: -试图使用显式凭据登录。使用者: 安全 ID: DESKTOP-32DTIMB\mg 帐户名: mg 帐户域: DESKTOP-32DTIMB 登录 ID: 0x3643A 登录 GUID: {00000000-0000-0000-0000-000000000000}使用了哪个帐户的凭据: 帐户名: admin 帐户域: DESKTOP-32DTIMB 登录 GUID: {00000000-0000-0000-0000-000000000000}目标服务器: 目标服务器名: nas 附加信息: nas进程信息: 进程 ID: 0x4 进程名: 网络信息: 网络地址: 192.168.50.6 端口: 445在进程尝试通过显式指定帐户的凭据来登录该帐户时生成此事件。这通常发生在批量类型的配置中(例如计划任务) 或者使用 RUNAS 命令时。
查看了下4625是360系统安全防护的扫描,但是4624不间断出现,这是什么原因呢此是否有帮助?是否抱歉,这没有帮助。太棒了!感谢你的反馈。你对此的满意度如何?感谢你的反馈,它能帮助改进网站。你对此的满意度如何?感谢你的反馈。
