文章总结: 本文深入剖析RDP活动取证,详述了登录、断开及注销场景下的关键事件ID与日志来源。通过关联Security.evtx等日志,防御者可重建攻击轨迹。文章提供检测暴力破解等可疑行为的实战用例,建议结合时间与IP上下文分析,对应急响应与威胁狩猎具有重要指导价值。 综合评分: 80 文章分类: 应急响应,安全运营,实战经验,终端安全
深入剖析 RDP 活动取证
sujay adkesar sujay adkesar
securitainment
2026年2月16日 13:37 中国香港
| 原文链接 | 作者 | | — | — | | https://thelocalh0st.com/posts/rdp/ | sujay adkesar |
“RDP 是一把双刃剑——它提供了无缝的远程访问能力,但一旦落入攻击者手中,就成了入侵的通道。在这篇文章中,我们将追踪 RDP 在事件日志中留下的每一个痕迹。”
🧠 RDP 取证分析
远程桌面协议(RDP)是 Windows 环境中最常见的入口点之一——无论是对系统管理员还是恶意攻击者而言。理解 RDP 相关事件 ID 的链路使防御者能够重建会话活动、识别未授权访问,并关联登录、重连和注销行为。
本文将拆解 关键 RDP 事件,并以时间线可视化的方式呈现 RDP 会话的完整生命周期。
🔐 成功登录:取证线索
当一个有效的 RDP 会话建立时,将触发以下事件 ID:
| 事件 ID | 描述 | 日志来源 |
| — | — | — |
| 1149 | 用户身份验证成功 | RemoteConnectionManager |
| 4624 (Type 10/7) | 登录成功 | Security.evtx |
| 21, 22 | Shell 启动 / 会话登录 | LocalSessionManager |
RDP 成功登录
🧠 提示:始终关联 1149 + 4624 来确认 RDP 登录。Type 10(RemoteInteractive)是最有力的证据。
🚫 登录失败尝试
攻击者偏好对 RDP 发起暴力破解攻击。使用以下事件追踪失败的登录尝试:
| 事件 ID | 描述 | 日志来源 |
| — | — | — |
| 1149 | 尝试已发起(仍会触发!) | RemoteConnectionManager |
| 4625 | 账户登录失败 | Security.evtx |
🔍 关注高频率的 4625 事件后紧跟一个成功的 4624——这是暴力破解成功的典型特征。
🔁 RDP 会话重连与断开
会话可能因空闲超时或网络中断而断开连接。以下是追踪方式:
| 事件 ID | 事件含义 | 来源 |
| — | — | — |
| 24, 40 | 会话已断开 | LocalSessionManager |
| 4634 | 账户已注销 | Security.evtx |
| 4779 | 会话已从 Window Station 断开 | Security.evtx |
| 25 | 会话重连成功 | LSM |
| 4778 | 会话已重连 | Security.evtx |
📌 事件 40 中的原因代码可以指示断开连接是手动操作、空闲超时还是网络丢失导致的。
RDP 会话断开(关闭窗口)
RDP 会话断开(通过开始菜单主动断开)
RDP 会话重连
🧾 RDP 注销与会话结束
RDP 会话的尾声会记录最终的清理操作:
| 事件 ID | 含义 | 来源 |
| — | — | — |
| 23 | 注销成功 | LSM |
| 4647 | 用户发起注销 | Security.evtx |
| 9009 | 桌面窗口管理器已退出 | System.evtx |
📎 使用事件 4647 来区分用户主动注销与强制注销。
RDP 会话注销
🔧 实战用例:检测可疑的 RDP 行为
假设你观察到以下事件序列:
- 针对用户
admin的大量4625失败事件 - 一条成功的
1149+4624(Type 10) - 随后快速出现
4634注销
这可能表明一次暴力破解攻击成功后,攻击者立即进行了侦察并随即注销。
结合以下上下文数据进一步分析:
- 登录时间在工作时间之外
- 非企业内部 IP 地址
- 异常的主机名或会话持续时间
🎨 RDP 时间线可视化
以下是一个概念性的时间线:
[00:00] -> Event 1149: Auth attempt
[00:01] -> Event 4624: Success login (Type 10)
[00:02] -> Event 21/22: Shell/session initiated
[00:30] -> Event 40: Disconnected
[00:31] -> Event 25: Reconnected
[01:00] -> Event 4647: Logoff initiated
[01:00] -> Event 9009: DWM closed
🧭 这样的可视化时间线有助于威胁狩猎和事后调查分析。
🔚 总结
RDP 事件取证不仅仅是检测暴力破解攻击——更重要的是从日志中构建完整的攻击叙事。通过关联 Security.evtx、System.evtx和 TerminalServices日志中的事件 ID,你可以高保真地重建攻击者的行为轨迹。
🔗 参考资料与致谢
- Ponder The Bits – RDP 事件日志指南
- 13Cubed – YouTube 取证教程
免责声明:本博客文章仅用于教育和研究目的。提供的所有技术和代码示例旨在帮助防御者理解攻击手法并提高安全态势。请勿使用此信息访问或干扰您不拥有或没有明确测试权限的系统。未经授权的使用可能违反法律和道德准则。作者对因应用所讨论概念而导致的任何误用或损害不承担任何责任。
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:securitainment sujay adkesar sujay adkesar《深入剖析 RDP 活动取证》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论