介：因工作中要對數(shù)據(jù)打包，順便研究了下RAR的命令行模式，并結(jié)合一些例子，介紹基本用法。

測試壓縮文件準(zhǔn)備：文件夾test_data，內(nèi)部包含子文件夾，分別存放了一些*.log和*.txt文件。

rem 壓縮全部文件，按類型壓縮,rar打包

RAR.exe a num_all.rar .\test_data\

RAR.exe a num_txt.rar .\test_data\num*.txt

RAR.exe a num_log.rar .\test_data\num*.log

本文主要通過實例介紹RAR命令的使用方法，詳細(xì)內(nèi)容請參考下文。

一、RAR基本語法

命令格式：RAR.exe <命令參數(shù)> -<命令開關(guān) 1> -<命令開關(guān) N> <壓縮文件> <文件...><@列表文件...> <解壓路徑>

二、命令參數(shù)

1、a 添加文件到壓縮文件中

執(zhí)行指令> rar a help *.hlp 從當(dāng)前目錄添加所有的 *.hlp 文件到 help.rar 壓縮文件。

2、d 從壓縮文件中刪除文件。

請注意，如果這個命令導(dǎo)致壓縮文件中所有文件全部刪除，這個空的壓縮文件將被刪除。

3、e 解壓文件到當(dāng)前目錄。

4、f 更新壓縮文件中的文件。 更新打包到壓縮文件后被改變的文件。這個命令不向壓縮文件中添加新文件。

5、k 鎖定壓縮文件。

6、m[f] 移動到壓縮文件中[只用于文件]。移動文件和目錄會使壓縮操作完成后它們被刪除。如果使用變量'f'和/或應(yīng)用開關(guān)'-ed'，則不刪除目錄。

7、r 修復(fù)壓縮文件。

8、v[t,b] 詳細(xì)列出壓縮文件內(nèi)容[Tech]。文件列出所使用的格式:絕對路徑名，文件注釋，原始和壓縮后的大小，壓縮率，最近更新日期和時間，屬性，CRC，壓縮方式和解壓所需的最小RAR版本。當(dāng)使用't'變量時可選技術(shù)信息(主操作系統(tǒng)，固實標(biāo)志和老的文件版本標(biāo)記)顯示。變量 'b' 強制 RAR 只輸出單純的文件名，而沒有其他任何的附加信息。列出所有壓縮卷的內(nèi)容，使用星號('*')代替壓縮文件擴展名或使用'-v'開關(guān)。

例子:

（1）、列出 system.rar 壓縮文件的內(nèi)容并使用重定向符輸出到文件 techlist.lst 中rar vt system >techlist.lst

（2）、列出 tutorial.rar 壓縮文件的內(nèi)容rar vb tutorial

9、x 帶絕對路徑解壓。

例子:

rar x test.rar testDir\

注意，目錄名后面要跟\符號，如果沒有testDir這個文件夾，會先自動創(chuàng)建。如果文件已存在，若要解壓后覆蓋文件，則使用-o+開關(guān)，或者用-y開關(guān)。若不覆蓋則用-o-開關(guān)。

三、常用開關(guān)

1、- 停止參數(shù)掃描。

2、-ag[格式] 使用當(dāng)前的日期和時間生成壓縮文件名。

當(dāng)創(chuàng)建壓縮文件時附加當(dāng)前日期字符串到壓縮文件名上。用于每日備份。附加的字符串格式有幾種可選的格式參數(shù)定義或使用"YYYYMMDDHHMMSS"。

字符串的格式可以包含下列字符:

Y - 年

M - 月

MMM - 使用文本字符串作為月名(Jan，F(xiàn)eb，等.)

W - 年的第幾周 (每星期從星期一開始)

A - 星期幾 (星期一 -1，星期日 - 7)

D - 月的第幾天

E - 年的第幾天

H - 小時

M - 分 (如果在小時后，被作為分鐘對待)

S - 秒

N - 壓縮文件數(shù)。RAR 搜索要生成的名字的文件是否存在，如果發(fā)現(xiàn)它已經(jīng)存在，將遞增一個壓縮文件數(shù)字，直到生成一個唯一的名字。

'N' 格式化字符在創(chuàng)建卷時不被支持。

上面列出的每個字符串僅表示添加到壓縮文件名中的一個字符。例如,

使用WW 表示 2 數(shù)字的星期或 YYYY 定義 4 數(shù)字的年。

如果在格式化字符串的第一個字符是'+'，日期字符串和基本壓縮文件名位置交換，所以日期將在壓縮文件名之前。

格式化字符串可以包含在 '{' 和 '}' 包含的可選字符。此文本插入到壓縮文件名中。

所有其它字符被不變地添加到文件名上。

如果你需要更新已經(jīng)存在的壓縮文件，小心使用 -ag 開關(guān)。依賴于以前使用的 -ag 傳送的格式化字符串和時間，生成的和現(xiàn)有的壓縮文件名可能不匹配。在這種情況下 RAR 會創(chuàng)建一個新的壓縮文件，而不是更新現(xiàn)有文件。

例子:

（1）、使用默認(rèn) YYYYMMDDHHMMSS 格式

>rar a -ag backup

（2）、使用 DD-MMM-YY 格式

>rar a -agDD-MMM-YY backup

（3）、使用 YYYYMMDDHHMM 格式，替換'backup'之前的日期

>rar a -ag+YYYYMMDDHHMM backup

（4）、使用 YYYY-WW-A 格式，包含區(qū)段描述

>rar a -agYYYY{year}-WW{week}-A{wday} backup

（5）、使用YYYYMMDD和壓縮文件數(shù)。允許你在同一天使用-agyymmdd-nn數(shù)次，每一個新的壓縮文件名都將包含一個新的遞增數(shù)字。

>rar a -agYYYYMMDD-NN backup

注意：以上命令會生成文件名為backup{日期字符串}.rar的壓縮包，backup也可以是別的自定義名字。

若想文件名中只保留日期，只需不寫backup只寫.rar即可：rar.exe a –agYYYY-MM-dd .rar

3、-ed 不添加空目錄。

這個開關(guān)指出空目錄不被存儲到被創(chuàng)建的壓縮文件中。當(dāng)解壓這樣一個壓縮文件時, RAR 會基于他們內(nèi)部的文件路徑創(chuàng)建非空的目錄。關(guān)于空目錄的信息丟失。非空目錄除了名字外(訪問權(quán)限等)其他所有屬性全部丟失, 所以只有在你不需要保留這樣的信息時使用此開關(guān)。

如果 -ed 和 'm' 命令或 -df 開關(guān)一起被使用，RAR 將不能移除空的目錄。

4、-hp[p] 加密文件數(shù)據(jù)和頭。

這個開關(guān)和 -p[p] 類似，但是開關(guān) -p 只加密文件數(shù)據(jù)，而使文件名等其它信息可見。這個開關(guān)加密所有包括文件數(shù)據(jù)、文件名、大小、屬性、注釋和其它塊等所有可感知壓縮文件區(qū)域，所以它提供了更高的安全等級。在壓縮文件中使用-hp 加密，沒有密碼甚至不可能查看文件列表。

例子:

rar a -hpfGzq5yKw secret report.txt

將添加文件 report.txt 到加密的壓縮文件secret.rar中，使用密碼'fGzq5yKw'

5、-k 鎖定壓縮文件。

6、-m<n> 設(shè)置壓縮模式。

-m0 存儲 添加到壓縮文件時不壓縮文件。

-m1 最快 使用最快方式(低壓縮)

-m2 較快 使用快速壓縮方式

-m3 標(biāo)準(zhǔn) 使用標(biāo)準(zhǔn)(默認(rèn))壓縮方式

-m4 較好 使用較好壓縮方式(較好壓縮，但是慢)

-m5 最好 使用最大壓縮方式(最好的壓縮，但是最慢)

如果沒有指定這個開關(guān)，RAR使用-m3方式(標(biāo)準(zhǔn)壓縮)。

默認(rèn)情況下，RAR 在 -m1 和 -m2 模式中只使用常規(guī)壓縮算法，高級算法像聲音和真彩處理只有在 -m3..-m5 模式下才啟用，提升的文本壓縮只有在 -m4..-m5 中才被激活。默認(rèn)值可以使用 -mc 開關(guān)替代。

7、-ms[列表] 指定存儲文件類型。

指定不壓縮而直接存貯的文件類型。這個開關(guān)被用來存儲已經(jīng)壓縮的文件，這將幫助增加壓縮速度，而不會顯著的減小壓縮率。

可選參數(shù) <列表> 參數(shù)定義使用分號隔開的文件擴展名列表。例如，

-msrar;zip;jpg 將強制RAR不壓縮直接存儲所有的RAR和ZIP壓縮文件和JPG 圖像。它也允許在列表中指定通配符文件掩碼，所以 -ms*.rar;*.zip;*.jpg 也可以工作。

如果 <列表> 沒有被指定，-ms 開關(guān)將使用默認(rèn)的包含下列文件類型的擴展設(shè)置:

7z, ace, arj, bz2, cab, gz, jpeg, jpg, lha, lzh, mp3, rar, taz, tgz, z, zip

8、-mt<線程> 設(shè)置線程數(shù)。

<線程> 參數(shù)可以是從 0 到 16 的值。它定義對于壓縮算法活動線程的推薦數(shù)。如果它大于 0，RAR 會使用多線程版本的壓縮算法，在多處理器系統(tǒng)上提供更高的速度。真實的活動線程數(shù)可能和指定的不同。如果 <線程> 是 0，RAR 會使用單線程壓縮算法。改變 <線程> 參數(shù)輕微影響壓縮率，所以如果所有其它壓縮參數(shù)相等而使用不同的 -mt 開關(guān)創(chuàng)建的壓縮文件不會解壓得一樣連貫。如果沒有指定 -mt 開關(guān)，RAR 會嘗試檢測可用的處理器的數(shù)量并自動選擇優(yōu)化的線程數(shù)。

9、-or 如果相同名字的文件已經(jīng)存在則自動重命名解壓的文件。重命名文件將得到象 'filename(N).txt' 的名字，'filename.txt' 的位置是原始的文件名，如果文件存在 'N' 是從 1 增加數(shù)字。

10、-o[+|-] 設(shè)置覆蓋模式。可以在解壓或更新文件時使用。下列模式可用:

-o 覆蓋前詢問 (默認(rèn)用于解壓文件)；

-o+ 覆蓋已存在的文件；

-o- 不覆蓋已存在的文件。

11、-p[p] 壓縮時，使用字符串<p>作為密碼加密文件。密碼大小寫敏感。如果你在命令行忽略密碼，你會看到一個輸入密碼的提示。

例子:

rar a -pmyhoney secret1 *.txt

添加 *.txt文件并用密碼"myhoney"加密。

12、r 遞歸子目錄。

13、s 創(chuàng)建固實壓縮文件。

14、-ta<日期> 只處理指定日期之后修改的文件。

日期字符串的格式是 YYYYMMDDHHMMSS。它允許在日期字符串中插入'-'或 ':'的分隔符，并忽略后部區(qū)域。例如，下列開關(guān)是正確的:

-ta2001-11-20在內(nèi)部它被轉(zhuǎn)換成 -ta20011120000000 并作為"從2001年11月20日0時0分0秒后修改的區(qū)域"對待。

15、-tb<日期> 只處理指定日期之前修改的文件。開關(guān)的格式和 -ta<日期> 相同。

16、-tn<時間> 處理指定時間以后的新文件。時間字符串格式時：

[<ndays>d][<nhours>h][<nminutes>m][<nseconds>s]

例如，使用開關(guān) -tn15d 來處理更新了15天的文件，-tn2h30m 來處理更新了2小時30分的文件。

17、-to<時間> 處理指定時間以前的舊文件。開關(guān)的格式和 -tn<時間> 相同。

18、-x<f> 排除指定的文件<f>，通配符可以用在名稱和文件掩碼的文件部分。你可以數(shù)次指定開關(guān)'-x'。如果掩碼包含通配符，它應(yīng)用到當(dāng)前目錄和它的子目錄。沒有通配符它不遞歸，所以如果你要在所有文件夾中排除某些“文件名”，你需要指定兩個掩碼:用于當(dāng)前目錄的“文件名”和用于子目錄的“*\filename”。如果你知道一個文件的確切路徑，你可以是使用“路徑\文件名”語法來僅排除“文件名”的此副本。如果你在解壓一個壓縮文件時使用 -x路徑\文件名語法，“路徑”必須是一個壓縮文件內(nèi)的路徑，而不是在解壓后的磁盤上

的文件路徑。

例子:

（1）、rar a -r -x*.bak -x*.rar rawfiles

*.bak 和 *.rar 不會添加到 rawfiles 中

（2）、rar a -r -x*\temp -x*\temp\* savec c:\*

壓縮 C: 上除了 Temp 文件夾中的臨時目錄和文件外的所有文件

（3）、rar x -x*.txt docs

從 docs.rar 解壓除了 *.txt 外的所有文件

19、-y 對于所有詢問全部回答是。

20、-? 顯示命令和開關(guān)的幫助。

四、返回值

RAR成功操作后返回0。非0返回碼意味著操作由于某種錯誤被取消：

五、舉例

說明：項目需要，先使用xcopy命令將本機的share文件夾拷貝到ftp服務(wù)器上，然后執(zhí)行rar.exe命令進(jìn)行壓縮，壓縮命令用rar.exe a參數(shù)，命令開關(guān)則使用 -k -r -s -m1。

0x0、概述

evtx文件是微軟從 Windows NT 6.0(Windows Vista 和 Server 2008) 開始采用的一種全新的日志文件格式。在此之前的格式是 evt 。evtx由Windows事件查看器創(chuàng)建，包含Windows記錄的事件列表，以專有的二進(jìn)制XML格式保存。

0x1、EVTX文件結(jié)構(gòu)

evtx文件主要由三部分組成：

• file header （文件頭）
• chunks （數(shù)據(jù)塊）
• trailing empty values （尾部填充空值）

File Header（文件頭）：

文件頭長度為4KB（4096bytes），其結(jié)構(gòu)如下：

我們可以使用Hex編輯器打開一個evtx文件查看一下：

Chunk(塊)：

每個塊的大小是 65536 bytes（64KB），主要由三部分組成：

• chunk header 塊頭
• array of event records 事件記錄組
• unused space 未使用的空間

chunk頭長度為512bytes，其結(jié)構(gòu)如下：

Event record(事件記錄)：

事件記錄的長度非固定長度，其結(jié)構(gòu)如下：

由上面的信息，可知evtx日志文件包含一個4KB的文件頭加后面一定數(shù)量的64KB大小的塊，一個塊中記錄一定數(shù)量（大約100條）的事件記錄。每個塊是獨立的，不受其他塊影響。不會出現(xiàn)一條事件記錄的數(shù)據(jù)存在于兩個塊中。每條記錄包含一個基于二進(jìn)制XML編碼的信息。每條事件記錄包含其創(chuàng)建時間與事件 ID（可以用于確定事件的種類），因此可以反映某個特定的時間發(fā)生的特定的操作，取證人員可以根據(jù)日志文件來發(fā)現(xiàn)犯罪的過程。

evtx日志文件大概的結(jié)構(gòu)如下所示：

在windows事件查看器中查看：

0x2、EVTX文件的存儲

Windows事件日志文件保存在%SystemRoot%\System32\Winevt\Logs路徑中。

常見日志文件主要有三個，分別是：System.evtx 、Application.evtx 和Security.evtx。分別是系統(tǒng)日志、應(yīng)用程序日志和安全日志。

• System.evtx記錄操作系統(tǒng)自身組件產(chǎn)生的日志事件，比如驅(qū)動、系統(tǒng)組件和應(yīng)用軟件的崩潰以及數(shù)據(jù)丟失錯誤等等。
• Application.evtx記錄應(yīng)用程序或系統(tǒng)程序運行方面的日志事件，比如數(shù)據(jù)庫程序可以在應(yīng)用程序日志中記錄文件錯誤，應(yīng)用的崩潰記錄等。
• Security.evtx記錄系統(tǒng)的安全審計日志事件，比如登錄事件、對象訪問、進(jìn)程追蹤、特權(quán)調(diào)用、帳號管理、策略變更等。Security.evtx也是取證中最常用到的。

默認(rèn)情況下，當(dāng)一個evtx文件的記錄滿了，日志服務(wù)會覆蓋最開始的記錄，從頭開始寫入新的記錄。也就是相當(dāng)于一個循環(huán)記錄的緩存文件。

0x3、Evtx日志分析

Windows 用 Event ID來標(biāo)識事件的不同含義，拿Security日志來說，一些常見的Event ID 如下：

1、通過Windows事件查看器分析日志

通過Windows事件查看器可以查看當(dāng)前主機的事件日志，也可以打開保存的 evtx文件。

可以通過點擊、篩選、查找等多種方式查看事件日志

篩選器提供了豐富的篩選方式：

2、通過工具分析Evtx

Log Parser

Log Parser（是微軟公司自己開發(fā)的日志分析工具，它功能強大，使用簡單，可以分析基于文本的日志文件、XML 文件、CSV（逗號分隔符）文件，以及操作系統(tǒng)的事件日志、注冊表、文件系統(tǒng)、Active Directory。它使用類似 SQL 語句一樣查詢分析這些數(shù)據(jù)，還可以把分析結(jié)果以圖表的形式展現(xiàn)出來。

Log Parser下載地址：https://www.microsoft.com/en-us/download/details.aspx?id=24659

使用方法:

logparser -i:輸入文件的格式 -o:輸出文件的格式 "查詢語句 和文件路徑"

例子：

查詢登錄成功的事件：

LogParser.exe -i:EVT -o:DATAGRID  "SELECT *  FROM E:\Security.evtx where EventID=4624"

還有其他的語法，具體可以查看其幫助信息

>LogParser.exe

Microsoft (R) Log Parser Version 2.2.10
Copyright (C) 2004 Microsoft Corporation. All rights reserved.

Usage:   LogParser [-i:<input_format>] [-o:<output_format>] <SQL query> |
                  file:<query_filename>[?param1=value1+...]
                  [<input_format_options>] [<output_format_options>]
                  [-q[:ON|OFF]] [-e:<max_errors>] [-iw[:ON|OFF]]
                  [-stats[:ON|OFF]] [-saveDefaults] [-queryInfo]

        LogParser -c -i:<input_format> -o:<output_format> <from_entity>
                  <into_entity> [<where_clause>] [<input_format_options>]
                  [<output_format_options>] [-multiSite[:ON|OFF]]
                  [-q[:ON|OFF]] [-e:<max_errors>] [-iw[:ON|OFF]]
                  [-stats[:ON|OFF]] [-queryInfo]

-i:<input_format>   :  one of IISW3C, NCSA, IIS, IISODBC, BIN, IISMSID,
                       HTTPERR, URLSCAN, CSV, TSV, W3C, XML, EVT, ETW,
                       NETMON, REG, ADS, TEXTLINE, TEXTWORD, FS, COM (if
                       omitted, will guess from the FROM clause)
-o:<output_format>  :  one of CSV, TSV, XML, DATAGRID, CHART, SYSLOG,
                       NEUROVIEW, NAT, W3C, IIS, SQL, TPL, NULL (if omitted,
                       will guess from the INTO clause)
-q[:ON|OFF]         :  quiet mode; default is OFF
-e:<max_errors>     :  max # of parse errors before aborting; default is -1
                       (ignore all)
-iw[:ON|OFF]        :  ignore warnings; default is OFF
-stats[:ON|OFF]     :  display statistics after executing query; default is
                       ON
-c                  :  use built-in conversion query
-multiSite[:ON|OFF] :  send BIN conversion output to multiple files
                       depending on the SiteID value; default is OFF
-saveDefaults       :  save specified options as default values
-restoreDefaults    :  restore factory defaults
-queryInfo          :  display query processing information (does not
                       execute the query)


Examples:
LogParser "SELECT date, REVERSEDNS(c-ip) AS Client, COUNT(*) FROM file.log
           WHERE sc-status<>200 GROUP BY date, Client" -e:10
LogParser file:myQuery.sql?myInput=C:\temp\ex*.log+myOutput=results.csv
LogParser -c -i:BIN -o:W3C file1.log file2.log "ComputerName IS NOT NULL"

Help:
-h GRAMMAR                  : SQL Language Grammar
-h FUNCTIONS [ <function> ] : Functions Syntax
-h EXAMPLES                 : Example queries and commands
-h -i:<input_format>        : Help on <input_format>
-h -o:<output_format>       : Help on <output_format>
-h -c                       : Conversion help

Log Parser Studio

logparser的GUI版本。

下載地址：https://techcommunity.microsoft.com/t5/exchange-team-blog/log-parser-studio-2-0-is-now-available/ba-p/593266

其界面如下：

Event Log Explorer

Event Log Explorer 是一個非常好用的Windows 日志分析工具，下載地址：https://eventlogxp.com/

LogParser Lizard

LogParser Lizard 是一個功能豐富的Windows 日志分析軟件，可以通過類似SQL查詢語句對日志篩選查詢進(jìn)行分析。

下載地址：https://lizard-labs.com/log_parser_lizard.aspx

Evtx Explorer/EvtxECmd

具有標(biāo)準(zhǔn)化CSV、XML和json輸出的事件日志(Evtx)解析器！

下載地址：https://ericzimmerman.github.io/#!index.md

使用方法：

EvtxECmd.exe -f 日志文件 --xml 輸出路徑

解析的xml文件結(jié)構(gòu)如下：

0x4、Evtx取證實戰(zhàn)

題目來源：Cynet應(yīng)急響應(yīng)挑戰(zhàn)賽

描述：GOT Ltd 的人力資源主管King-Slayer認(rèn)為他的電腦上有可疑活動。

2020 年 2 月 8 日，15:00 左右，他發(fā)現(xiàn)桌面上出現(xiàn)了一個帶有 kiwi標(biāo)志的文件。據(jù)他描述，該文件首次出現(xiàn)在他的桌面后不久就突然消失了。那天晚些時候，他開始收到消息告訴他需要重新激活 Windows Defender。他激活了 Windows Defender，幾個小時后又收到了同樣的消息。

他決定將這件事告訴他在 IT 部門的朋友——Chris。Chris立即將此事報告給了 GOT 的網(wǎng)絡(luò)安全部門。

該公司的 CISO 立即打電話求助我們，GOT有限公司總部設(shè)在瑞士，CISO 向我們發(fā)送了來自 King-Slayer的 PC 和域控制器的所有事件日志文件。他希望我們查出異常：

提示：

• 用戶帳戶 (KingSlayer) 是他電腦上的本地管理員。
• 域名 -> GOT.Com
• DC 服務(wù)器名稱 -> WIN-IL7M7CC6UVU
• Jaime(King Slayer)的主機名->DESKTOP-HUB666E(172.16.44.135)

提交攻擊者使用的域用戶帳戶(King-Slayer除外)以及他使用此用戶帳戶訪問的主機的IP地址。

我們拿到的文件包括DC服務(wù)的日志和主機日志文件：

給出的文件還有一個提示就是PassTheHash ,表明攻擊者使用了該技術(shù)。

傳遞哈希是一種黑客技術(shù)，它允許攻擊者使用用戶密碼的基礎(chǔ)NTLM或LanMan哈希對遠(yuǎn)程服務(wù)器或服務(wù)進(jìn)行身份驗證，而不是像通常情況下那樣要求使用關(guān)聯(lián)的明文密碼。它取代了僅竊取哈希值并使用該哈希值進(jìn)行身份驗證而竊取明文密碼的需要。--via 維基百科

通過日志交叉比對和篩選查找，我們確定了在2020-2-9 21:59左右，有異常登錄行為

注意：Windows EVTX 的FILETIME 是 UTC時間，注意轉(zhuǎn)化為瑞士當(dāng)?shù)貢r間。

我們發(fā)現(xiàn)用戶Daenerys在2020年2月9日21:59 (當(dāng)?shù)貢r間15：59)通過SMB協(xié)議登錄到WIN-IL7M7CC6UVU(域控制器)，而且使用了PSExec.exe 利用Deanerys用戶登錄了域控服務(wù)器。攻擊者可能使用了Mimikatz拿到了Daenerys用戶的哈希，然后用于橫向移動滲透到DC。