<?xml version="1.0" encoding="utf-8" standalone="yes"?><rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom"><channel><title>Powershell on Roduygo | Blog</title><link>/tags/powershell/</link><description>Recent content in Powershell on Roduygo | Blog</description><generator>Hugo -- gohugo.io</generator><language>en</language><lastBuildDate>Fri, 08 May 2026 16:40:00 +0700</lastBuildDate><atom:link href="/tags/powershell/index.xml" rel="self" type="application/rss+xml"/><item><title>Săn lùng Malware trong Registry</title><link>/post/san-lung-malware-registry/</link><pubDate>Fri, 08 May 2026 16:40:00 +0700</pubDate><guid>/post/san-lung-malware-registry/</guid><description>&lt;p&gt;Chào mừng các bạn tiếp tục với Series Giải phẫu Windows OS &amp;amp; SOC Analytics! Ở bài viết trước, chúng ta đã hiểu cơ chế hoạt động của Registry. Hôm nay, chúng ta sẽ bước vào một cuộc chiến thực sự: Săn lùng Malware. Một trong những mục tiêu tối thượng của mã độc sau khi xâm nhập thành công là Duy trì sự hiện diện (Persistence) - đảm bảo rằng dù người dùng có tắt máy hay khởi động lại, mã độc vẫn sẽ tự động kích hoạt. Nơi ẩn nấp lý tưởng nhất chính là Registry. Hãy cùng trang bị &amp;ldquo;vũ khí&amp;rdquo; PowerShell Autoruns để bóc trần những điểm neo này!&lt;/p&gt;
&lt;h2 id="1-kỹ-thuật-cắm-chốt-kinh-điển-auto-run-keys"&gt;1. Kỹ thuật &amp;ldquo;Cắm chốt&amp;rdquo; kinh điển: Auto Run Keys
&lt;/h2&gt;&lt;p&gt;Hầu hết các phần mềm độc hại, từ cơ bản đến phức tạp, đều lợi dụng các khóa tự khởi động (Auto Run) do Microsoft thiết kế để kích hoạt cùng hệ thống. Các khóa này được chia theo cấp độ phân quyền:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;Mức độ người dùng (User Level):&lt;/strong&gt; &lt;code&gt;HKCU\Software\Microsoft\Windows\CurrentVersion\Run&lt;/code&gt;. Khóa này chỉ chạy mã độc khi người dùng hiện tại đăng nhập và không yêu cầu quyền Admin để ghi dữ liệu.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Mức độ hệ thống (Machine Level):&lt;/strong&gt; &lt;code&gt;HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run&lt;/code&gt;. Khóa này chạy cho mọi người dùng trên máy nhưng bắt buộc mã độc phải có quyền Administrator hoặc SYSTEM mới có thể ghi vào đây. Việc mã độc ghi thành công vào khóa này chứng tỏ hệ thống đã bị leo thang đặc quyền.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Khóa &amp;ldquo;Dùng một lần&amp;rdquo; (RunOnce):&lt;/strong&gt; Tương tự như Run, nhưng hệ điều hành sẽ tự động xóa giá trị này ngay sau khi thực thi. Malware tinh vi thường dùng RunOnce để thực hiện các tập lệnh dọn dẹp dấu vết hoặc cài đặt sâu hơn vào hệ thống.&lt;/li&gt;
&lt;/ul&gt;

 &lt;blockquote&gt;
 &lt;p&gt;&lt;strong&gt;Góc nhìn SOC:&lt;/strong&gt; Khi mã độc ghi đè hoặc tạo mới giá trị thông qua các API như &lt;code&gt;RegSetValueEx&lt;/code&gt;, Windows sẽ ghi nhận sự kiện với Event ID 4657 (A registry value was modified), trong khi Sysmon sẽ ghi nhận Event ID 13 (Registry Value Set). Riêng với khóa RunOnce, bạn sẽ thấy log nổ ra 2 lần (một lần lúc tạo và một lần lúc Windows tự xóa), tương ứng với Sysmon ID 13 và Sysmon ID 12 (Object Deleted).&lt;/p&gt;

 &lt;/blockquote&gt;
&lt;h2 id="2-kỹ-thuật-ăn-bám-tiến-trình-hệ-thống-winlogon--userinit"&gt;2. Kỹ thuật ăn bám tiến trình hệ thống: Winlogon &amp;amp; Userinit
&lt;/h2&gt;&lt;p&gt;Thay vì tạo ra một khóa Registry mới dễ bị phát hiện, những kẻ tấn công khôn ngoan hơn sẽ &amp;ldquo;ký sinh&amp;rdquo; vào các tiến trình đăng nhập cốt lõi của Windows là Winlogon.&lt;/p&gt;
&lt;p&gt;Hacker thường nhắm vào hai đường dẫn sau tại &lt;code&gt;HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon&lt;/code&gt;:&lt;/p&gt;
&lt;h3 id="21-ký-sinh-qua-userinit"&gt;2.1 Ký sinh qua Userinit
&lt;/h3&gt;&lt;p&gt;Mặc định, giá trị của khóa Userinit chỉ đơn giản là &lt;code&gt;userinit.exe&lt;/code&gt;. Tuy nhiên, khóa này có một tính năng đặc biệt (Comma-separated) cho phép nối nhiều đường dẫn với nhau bằng dấu phẩy. Hacker chỉ cần âm thầm chèn thêm một đoạn như &lt;code&gt;userinit.exe, C:\Users\Administrator\AppData\Local\Temp\789a.bat&lt;/code&gt;. Kết quả là hệ thống sẽ tự động &amp;ldquo;rước&amp;rdquo; mã độc vào máy một cách hoàn toàn hợp lệ ngay sau khi người dùng nhập mật khẩu.&lt;/p&gt;
&lt;h3 id="22-đánh-tráo-giao-diện-shell"&gt;2.2 Đánh tráo giao diện (Shell)
&lt;/h3&gt;&lt;p&gt;Khóa Shell có nhiệm vụ gọi giao diện màn hình làm việc (mặc định là &lt;code&gt;explorer.exe&lt;/code&gt;). Kẻ tấn công có thể thay thế hoàn toàn &lt;code&gt;explorer.exe&lt;/code&gt; bằng mã độc của chúng, hoặc nối thêm như &lt;code&gt;explorer.exe, C:\windows\temp\malware.exe&lt;/code&gt;.&lt;/p&gt;
&lt;h2 id="3-bóng-ma-cửa-sau-image-file-execution-options-ifeo"&gt;3. Bóng ma &amp;ldquo;Cửa sau&amp;rdquo;: Image File Execution Options (IFEO)
&lt;/h2&gt;&lt;p&gt;IFEO (&lt;code&gt;HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\&lt;/code&gt;) vốn là một tính năng được Microsoft thiết kế để các nhà phát triển gỡ lỗi (debug) ứng dụng của họ. Nhưng trong tay Hacker, IFEO biến thành công cụ leo thang đặc quyền và duy trì sự hiện diện cực kỳ đáng sợ.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Kịch bản tấn công Sticky Keys khét tiếng:&lt;/strong&gt; Hacker sẽ tạo một khóa con mang tên &lt;code&gt;sethc.exe&lt;/code&gt; (chương trình phím dính - Sticky Keys hiện lên khi bạn bấm Shift 5 lần) bên trong IFEO. Tại đây, chúng thêm một giá trị &lt;code&gt;Debugger&lt;/code&gt; trỏ thẳng tới &lt;code&gt;cmd.exe&lt;/code&gt;.&lt;/p&gt;
&lt;p&gt;Kết quả? Ngay tại màn hình khóa Windows (khi chưa cần đăng nhập), hacker chỉ cần bấm phím Shift 5 lần. Thay vì hiện ra bảng Sticky Keys, hệ thống sẽ mở ra một cửa sổ Command Prompt với quyền lực tối cao là SYSTEM, cho phép hacker kiểm soát hoàn toàn máy tính!&lt;/p&gt;
&lt;h2 id="4-thực-chiến-săn-lùng-malware-với-powershell-autoruns"&gt;4. Thực chiến: Săn lùng Malware với PowerShell Autoruns
&lt;/h2&gt;&lt;p&gt;Việc mở &lt;code&gt;regedit.exe&lt;/code&gt; lên và kiểm tra bằng tay từng khóa là điều không tưởng đối với một SOC Analyst. Đó là lúc chúng ta cần đến Autoruns - một công cụ cực mạnh giúp soi quét mọi ngóc ngách tự khởi động của hệ thống.&lt;/p&gt;
&lt;p&gt;Trong môi trường PowerShell, bạn có thể gọi module &lt;code&gt;Get-PSAutorun&lt;/code&gt; kết hợp với tham số kiểm tra chữ ký số và xuất ra dạng bảng (GridView) để dễ theo dõi:&lt;/p&gt;
&lt;div class="highlight"&gt;&lt;pre tabindex="0" style="color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;"&gt;&lt;code class="language-powershell" data-lang="powershell"&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;Get-PSAutorun -VerifyDigitalSignature | Out-GridView
&lt;/span&gt;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/div&gt;&lt;p&gt;&lt;img alt="autoruns đang quan sát các ứng dụng được ghi vào registry" class="gallery-image" data-flex-basis="462px" data-flex-grow="192" height="370" loading="lazy" sizes="(max-width: 767px) calc(100vw - 30px), (max-width: 1023px) 700px, (max-width: 1279px) 950px, 1232px" src="/post/san-lung-malware-registry/autoruns.png" width="713"&gt;&lt;/p&gt;
&lt;p&gt;Khi bảng dữ liệu hiện lên, bạn cần &amp;ldquo;lia mắt&amp;rdquo; ngay đến các cột sinh tử sau:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;Signed (Đã ký số):&lt;/strong&gt; Nếu giá trị là False, hãy báo động đỏ! Mã độc hiếm khi có chữ ký số hợp lệ của các nhà phát hành uy tín.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;IsOSBinary:&lt;/strong&gt; Nếu là True, Windows xác nhận đây là tệp tin lõi của hệ điều hành.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Publisher:&lt;/strong&gt; Thông thường các tệp an toàn sẽ ghi là &lt;code&gt;CN=Microsoft Windows, O=Microsoft Corporation&lt;/code&gt;. Nếu cột này bị để trống hoặc ghi một cái tên mờ ám, đó là mục tiêu cần điều tra ngay.&lt;/li&gt;
&lt;/ul&gt;
&lt;h3 id="41-kỹ-thuật-so-sánh-baseline-điểm-chuẩn"&gt;4.1 Kỹ thuật so sánh Baseline (Điểm chuẩn)
&lt;/h3&gt;&lt;p&gt;Một kỹ năng cao cấp của Blue Team là so sánh Registry hiện tại với một bản sao lưu (Baseline) khi máy tính còn &amp;ldquo;sạch&amp;rdquo;.&lt;/p&gt;
&lt;div class="highlight"&gt;&lt;pre tabindex="0" style="color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;"&gt;&lt;code class="language-powershell" data-lang="powershell"&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;&lt;span style="color:#75715e"&gt;# Bỏ qua các file chuẩn của OS và tạo bản Baseline&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;Get-PSAutorun -VerifyDigitalSignature | Where { &lt;span style="color:#f92672"&gt;-not&lt;/span&gt;($_.isOSbinary)} | New-AutoRunsBaseLine -Verbose
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;&lt;span style="color:#75715e"&gt;# So sánh hệ thống hiện tại với bản Baseline cũ&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;Compare-AutoRunsBaseLine -Verbose | Out-GridView
&lt;/span&gt;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/div&gt;&lt;p&gt;Bằng lệnh so sánh này, mọi khóa Userinit bị chèn thêm mã độc (như file &lt;code&gt;.bat&lt;/code&gt; hay &lt;code&gt;.ps1&lt;/code&gt;) hoặc các khóa Run mới mọc lên sẽ bị phơi bày lập tức trong một cửa sổ GridView tách biệt, giúp bạn chẩn đoán hệ thống chỉ trong vài giây.&lt;/p&gt;
&lt;hr&gt;
&lt;p&gt;&lt;em&gt;Windows Registry là một bãi mìn thực sự, nơi mã độc và hệ thống cài răng lược vào nhau. Việc làm chủ các điểm neo Persistence và thành thạo PowerShell Autoruns sẽ giúp bạn bóc tách được những vỏ bọc tinh vi nhất. Ở bài viết tiếp theo, chúng ta sẽ tìm hiểu cách mã độc vượt rào bảo mật bằng kỹ thuật UAC Bypass. Hãy cùng đón chờ!&lt;/em&gt;&lt;/p&gt;</description></item><item><title>Tổng quan Windows Event Logs và kỹ năng lọc log bằng PowerShell XML</title><link>/post/windows-event-logs-xml/</link><pubDate>Fri, 08 May 2026 12:00:00 +0700</pubDate><guid>/post/windows-event-logs-xml/</guid><description>&lt;p&gt;Chào mừng các bạn quay trở lại với Series Giải phẫu Windows OS &amp;amp; SOC Analytics! Bất kỳ một tên trộm nào khi đột nhập cũng sẽ cố gắng xóa dấu vết, trốn tránh camera. Trong hệ điều hành Windows, &amp;ldquo;camera an ninh&amp;rdquo; đó chính là Event Logs (Nhật ký sự kiện). Mã độc có thể ẩn mình dưới lớp vỏ bọc &lt;code&gt;svchost.exe&lt;/code&gt; hay lách qua UAC, nhưng mọi hành động của chúng đều để lại những &amp;ldquo;gợn sóng&amp;rdquo; trong nhật ký hệ thống. Hôm nay, chúng ta sẽ học cách đọc hiểu các Event ID sinh tử và sử dụng PowerShell kết hợp XML để truy vết hacker với tốc độ ánh sáng!&lt;/p&gt;
&lt;h2 id="1-tổng-quan-về-windows-event-logs"&gt;1. Tổng quan về Windows Event Logs
&lt;/h2&gt;&lt;p&gt;Event Logs là nơi lưu trữ mọi &amp;ldquo;nhịp đập&amp;rdquo; của máy tính. Bất kể là bạn cắm một chiếc USB, cài một phần mềm, khởi động dịch vụ hay gõ sai mật khẩu, Windows đều ghi chép lại một cách tỉ mỉ.&lt;/p&gt;
&lt;h3 id="11-phân-loại-nhật-ký-log-types"&gt;1.1 Phân loại Nhật ký (Log Types)
&lt;/h3&gt;&lt;p&gt;Hệ thống phân chia nhật ký thành nhiều nhánh để dễ quản lý:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;System (Hệ thống):&lt;/strong&gt; Ghi lại các sự kiện liên quan đến hệ điều hành, thay đổi phần cứng, khởi động/tắt máy và hoạt động của trình điều khiển (Driver).&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Security (Bảo mật):&lt;/strong&gt; Đây là mỏ vàng của SOC. Ghi lại các sự kiện Đăng nhập/Đăng xuất (Logon/Logoff), thay đổi quyền hạn và quản lý người dùng.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Application (Ứng dụng):&lt;/strong&gt; Ghi lại lỗi phần mềm (crash), cảnh báo từ các ứng dụng cài đặt trên máy.&lt;/li&gt;
&lt;/ul&gt;
&lt;h3 id="12-mức-độ-sự-kiện-event-levels"&gt;1.2 Mức độ Sự kiện (Event Levels)
&lt;/h3&gt;&lt;p&gt;Mỗi sự kiện được gắn một mức độ nghiêm trọng:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;Information:&lt;/strong&gt; Hoạt động bình thường, thành công.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Warning:&lt;/strong&gt; Có vấn đề tiềm tàng nhưng chưa làm sập chức năng (ví dụ: ổ đĩa sắp đầy).&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Error:&lt;/strong&gt; Vấn đề nghiêm trọng (mất dữ liệu, phần mềm bị crash).&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Success/Failure Audit:&lt;/strong&gt; Cực kỳ quan trọng trong nhánh Security, ghi nhận các nỗ lực truy cập tài nguyên (đăng nhập đúng hoặc sai pass).&lt;/li&gt;
&lt;/ul&gt;

 &lt;blockquote&gt;
 &lt;p&gt;&lt;strong&gt;Góc nhìn SOC - Cấu hình dung lượng Log:&lt;/strong&gt; Mặc định, file log (như &lt;code&gt;Security.evtx&lt;/code&gt;) bị giới hạn dung lượng (thường là 20MB) và được cấu hình ghi đè sự kiện cũ nhất (Overwrite events as needed). Hacker hiểu điều này, chúng có thể &amp;ldquo;xả rác&amp;rdquo; (Spam logs) để đẩy các log độc hại trôi đi mất. Do đó, trên các máy chủ quan trọng, quản trị viên thường phải chỉnh thành cấu hình &lt;strong&gt;Archive the log when full&lt;/strong&gt; (Nén lại khi đầy) để không mất dấu vết lịch sử.&lt;/p&gt;

 &lt;/blockquote&gt;
&lt;h2 id="2-từ-điển-event-id-gối-đầu-giường-của-soc"&gt;2. Từ điển Event ID &amp;ldquo;Gối đầu giường&amp;rdquo; của SOC
&lt;/h2&gt;&lt;p&gt;Để săn tìm mã độc, bạn không thể đọc từng dòng log một. Bạn phải thuộc lòng những Event ID (EID) mang tính &amp;ldquo;chỉ điểm&amp;rdquo; sau đây:&lt;/p&gt;
&lt;h3 id="21-nhóm-application-ứng-dụng"&gt;2.1 Nhóm Application (Ứng dụng)
&lt;/h3&gt;&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;EID 1000 (Application Error):&lt;/strong&gt; Phần mềm bị treo cứng và tự đóng. Nếu một dịch vụ quan trọng (như &lt;code&gt;lsass.exe&lt;/code&gt;) liên tục báo lỗi 1000, có thể hacker đang dùng tool dump bộ nhớ bị lỗi.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;EID 11724 (MsiInstaller):&lt;/strong&gt; Thông báo một phần mềm vừa bị gỡ bỏ. Nếu phần mềm bị gỡ là Antivirus, đây là báo động đỏ cực độ (Red Flag)!&lt;/li&gt;
&lt;/ul&gt;
&lt;h3 id="22-nhóm-system-hệ-thống"&gt;2.2 Nhóm System (Hệ thống)
&lt;/h3&gt;&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;EID 12 / 13:&lt;/strong&gt; Máy tính bắt đầu Boot (12) và Tắt máy bình thường (13).&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;EID 7040:&lt;/strong&gt; Thay đổi loại khởi động của một dịch vụ (ví dụ: bật lại một dịch vụ từ Disable sang Auto).&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;EID 7045:&lt;/strong&gt; Một dịch vụ (Service) mới vừa được cài đặt. Hacker cực kỳ thích cài &amp;ldquo;Backdoor&amp;rdquo; dưới dạng một Service để tự chạy ngầm cùng quyền LocalSystem.&lt;/li&gt;
&lt;/ul&gt;
&lt;h3 id="23-nhóm-security-bảo-mật---trái-tim-của-soc"&gt;2.3 Nhóm Security (Bảo mật) - Trái tim của SOC
&lt;/h3&gt;&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;EID 4624 (Logon Success):&lt;/strong&gt; Đăng nhập thành công. Cần soi kỹ Logon Type (Type 2 là ngồi gõ trực tiếp, Type 3 là qua mạng/Share, Type 10 là Remote Desktop).&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;EID 4625 (Logon Failure):&lt;/strong&gt; Gõ sai pass. Nếu EID này xuất hiện dồn dập hàng loạt với nhiều user khác nhau, bạn đang đối mặt với tấn công Password Spraying hoặc Brute Force.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;EID 4672 (Special Logon):&lt;/strong&gt; Phiên đăng nhập được gán đặc quyền Admin (SYSTEM). Nếu một tài khoản người dùng thường (như nhân viên lễ tân) có log này, họ đã leo quyền (Privilege Escalation) thành công.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;EID 4720 (User Created) &amp;amp; 4732 (Added to Group):&lt;/strong&gt; Hacker tạo tài khoản Backdoor mới và nhét nó vào nhóm Administrators. Mọi sự kiện 4732 tác động vào nhóm Admin đều phải được điều tra lập tức.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;EID 4688 (Process Creation):&lt;/strong&gt; Ghi nhận một tiến trình/câu lệnh mới vừa chạy. Kết hợp dòng log này, ta biết chính xác mã độc đã gõ lệnh gì trên CMD/PowerShell.&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;EID 1102 (Log Cleared):&lt;/strong&gt; Nhật ký an ninh đã bị xóa trắng. Dấu vết lẩn trốn rõ ràng nhất.&lt;/li&gt;
&lt;/ul&gt;
&lt;h2 id="3-giải-phẫu-cấu-trúc-xml-của-một-sự-kiện"&gt;3. Giải phẫu cấu trúc XML của một Sự kiện
&lt;/h2&gt;&lt;p&gt;Mở giao diện Event Viewer (Friendly View) và bấm xem bằng mắt thường rất dễ hiểu, nhưng lại quá chậm để tự động hóa. Thực chất, giao diện này chỉ là bản &amp;ldquo;dịch&amp;rdquo; lại từ ngôn ngữ lưu trữ gốc của Windows: XML.&lt;/p&gt;
&lt;p&gt;Chuyển sang tab &lt;strong&gt;XML View&lt;/strong&gt;, bạn sẽ thấy một sự kiện luôn chia làm 2 khối chính:&lt;/p&gt;
&lt;div class="highlight"&gt;&lt;pre tabindex="0" style="color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;"&gt;&lt;code class="language-xml" data-lang="xml"&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;&lt;span style="color:#f92672"&gt;&amp;lt;Event&lt;/span&gt; &lt;span style="color:#a6e22e"&gt;xmlns=&lt;/span&gt;&lt;span style="color:#e6db74"&gt;&amp;#34;http://schemas.microsoft.com/win/2004/08/events/event&amp;#34;&lt;/span&gt;&lt;span style="color:#f92672"&gt;&amp;gt;&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt; &lt;span style="color:#75715e"&gt;&amp;lt;!-- KHỐI SYSTEM: Chứa siêu dữ liệu chung --&amp;gt;&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt; &lt;span style="color:#f92672"&gt;&amp;lt;System&amp;gt;&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt; &lt;span style="color:#f92672"&gt;&amp;lt;Provider&lt;/span&gt; &lt;span style="color:#a6e22e"&gt;Name=&lt;/span&gt;&lt;span style="color:#e6db74"&gt;&amp;#34;Microsoft-Windows-Security-Auditing&amp;#34;&lt;/span&gt; &lt;span style="color:#960050;background-color:#1e0010"&gt;...&lt;/span&gt; &lt;span style="color:#f92672"&gt;/&amp;gt;&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt; &lt;span style="color:#f92672"&gt;&amp;lt;EventID&amp;gt;&lt;/span&gt;4672&lt;span style="color:#f92672"&gt;&amp;lt;/EventID&amp;gt;&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt; &lt;span style="color:#f92672"&gt;&amp;lt;Level&amp;gt;&lt;/span&gt;0&lt;span style="color:#f92672"&gt;&amp;lt;/Level&amp;gt;&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt; &lt;span style="color:#f92672"&gt;&amp;lt;TimeCreated&lt;/span&gt; &lt;span style="color:#a6e22e"&gt;SystemTime=&lt;/span&gt;&lt;span style="color:#e6db74"&gt;&amp;#34;2026-02-02T17:22:57.0339579Z&amp;#34;&lt;/span&gt; &lt;span style="color:#f92672"&gt;/&amp;gt;&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt; &lt;span style="color:#f92672"&gt;&amp;lt;Execution&lt;/span&gt; &lt;span style="color:#a6e22e"&gt;ProcessID=&lt;/span&gt;&lt;span style="color:#e6db74"&gt;&amp;#34;1504&amp;#34;&lt;/span&gt; &lt;span style="color:#a6e22e"&gt;ThreadID=&lt;/span&gt;&lt;span style="color:#e6db74"&gt;&amp;#34;1600&amp;#34;&lt;/span&gt; &lt;span style="color:#f92672"&gt;/&amp;gt;&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt; &lt;span style="color:#f92672"&gt;&amp;lt;Computer&amp;gt;&lt;/span&gt;NguyenDuy&lt;span style="color:#f92672"&gt;&amp;lt;/Computer&amp;gt;&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt; &lt;span style="color:#f92672"&gt;&amp;lt;/System&amp;gt;&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt; 
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt; &lt;span style="color:#75715e"&gt;&amp;lt;!-- KHỐI EVENT DATA: Phần &amp;#34;thịt&amp;#34; chứa thông tin điều tra --&amp;gt;&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt; &lt;span style="color:#f92672"&gt;&amp;lt;EventData&amp;gt;&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt; &lt;span style="color:#f92672"&gt;&amp;lt;Data&lt;/span&gt; &lt;span style="color:#a6e22e"&gt;Name=&lt;/span&gt;&lt;span style="color:#e6db74"&gt;&amp;#34;SubjectUserSid&amp;#34;&lt;/span&gt;&lt;span style="color:#f92672"&gt;&amp;gt;&lt;/span&gt;S-1-5-18&lt;span style="color:#f92672"&gt;&amp;lt;/Data&amp;gt;&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt; &lt;span style="color:#f92672"&gt;&amp;lt;Data&lt;/span&gt; &lt;span style="color:#a6e22e"&gt;Name=&lt;/span&gt;&lt;span style="color:#e6db74"&gt;&amp;#34;SubjectUserName&amp;#34;&lt;/span&gt;&lt;span style="color:#f92672"&gt;&amp;gt;&lt;/span&gt;SYSTEM&lt;span style="color:#f92672"&gt;&amp;lt;/Data&amp;gt;&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt; &lt;span style="color:#f92672"&gt;&amp;lt;Data&lt;/span&gt; &lt;span style="color:#a6e22e"&gt;Name=&lt;/span&gt;&lt;span style="color:#e6db74"&gt;&amp;#34;PrivilegeList&amp;#34;&lt;/span&gt;&lt;span style="color:#f92672"&gt;&amp;gt;&lt;/span&gt;SeAssignPrimaryTokenPrivilege
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt; SeSecurityPrivilege
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt; SeTakeOwnershipPrivilege
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt; SeDebugPrivilege
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt; SeImpersonatePrivilege&lt;span style="color:#f92672"&gt;&amp;lt;/Data&amp;gt;&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt; &lt;span style="color:#f92672"&gt;&amp;lt;/EventData&amp;gt;&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;&lt;span style="color:#f92672"&gt;&amp;lt;/Event&amp;gt;&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/div&gt;&lt;p&gt;&lt;strong&gt;Tại sao phải quan tâm XML?&lt;/strong&gt; Bởi vì những thông tin sinh tử như Tên tài khoản (&lt;code&gt;SubjectUserName&lt;/code&gt;) hay Đặc quyền (&lt;code&gt;PrivilegeList&lt;/code&gt;) được giấu sâu bên trong các node &lt;code&gt;&amp;lt;Data&amp;gt;&lt;/code&gt;. Nếu bạn hiểu cấu trúc này, bạn có thể viết script lọc ra chính xác các đăng nhập mờ ám có đặc quyền &lt;code&gt;SeDebugPrivilege&lt;/code&gt; (đặc quyền cho phép can thiệp bộ nhớ, cực kỳ nguy hiểm, thường dùng để dump mật khẩu &lt;code&gt;lsass.exe&lt;/code&gt;).&lt;/p&gt;
&lt;h2 id="4-kỹ-năng-lọc-log-thực-chiến-bằng-powershell-xpath"&gt;4. Kỹ năng lọc log thực chiến bằng PowerShell (XPath)
&lt;/h2&gt;&lt;p&gt;Event Viewer rất nặng và chậm khi load hàng chục GB logs. Thay vào đó, SOC Analyst sử dụng PowerShell với Cmdlet &lt;code&gt;Get-WinEvent&lt;/code&gt; kết hợp cú pháp truy vấn XPath để quét logs trong chớp mắt.&lt;/p&gt;
&lt;h3 id="41-thống-kê-nhanh-bằng-wevtutil"&gt;4.1 Thống kê nhanh bằng Wevtutil
&lt;/h3&gt;&lt;p&gt;Để đếm tổng số tệp nhật ký trên máy mà không cần mở giao diện đồ họa, bạn có thể dùng lệnh:&lt;/p&gt;
&lt;div class="highlight"&gt;&lt;pre tabindex="0" style="color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;"&gt;&lt;code class="language-cmd" data-lang="cmd"&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;wevtutil.exe el | find /c /v &lt;span style="color:#e6db74"&gt;&amp;#34;&amp;#34;&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/div&gt;&lt;p&gt;&lt;em&gt;(Lệnh này liệt kê tất cả các log &lt;code&gt;el&lt;/code&gt; và đếm tổng số dòng)&lt;/em&gt;&lt;/p&gt;
&lt;h3 id="42-săn-tìm-mã-độc-với-get-winevent--xpath"&gt;4.2 Săn tìm mã độc với Get-WinEvent &amp;amp; XPath
&lt;/h3&gt;&lt;p&gt;Giả sử bạn nghi ngờ có kẻ đang liệt kê danh sách nhóm cục bộ (Event ID 4798) để tìm nhóm Admin. Thay vì cuộn chuột thủ công, hãy ném cú pháp XPath này vào PowerShell:&lt;/p&gt;
&lt;div class="highlight"&gt;&lt;pre tabindex="0" style="color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;"&gt;&lt;code class="language-powershell" data-lang="powershell"&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;&lt;span style="color:#75715e"&gt;# Lọc toàn bộ Log Security, chỉ lấy các sự kiện có Event ID = 4798&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;Get-WinEvent -LogName Security -FilterXPath &lt;span style="color:#e6db74"&gt;&amp;#34;*[System[(EventID=4798)]]&amp;#34;&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/div&gt;&lt;p&gt;&lt;strong&gt;Nâng cao hơn: Lọc dựa trên EventData (Dữ liệu bên trong)&lt;/strong&gt;
Nếu bạn muốn tìm đích danh Log Logon thất bại (EID 4625) nhưng chỉ lọc các lần thất bại có mã lỗi &lt;code&gt;0xC0000064&lt;/code&gt; (Tên người dùng không tồn tại - Dấu hiệu của việc dò quét tài khoản), bạn có thể viết Rule XPath truy vấn thẳng vào lớp &lt;code&gt;&amp;lt;EventData&amp;gt;&lt;/code&gt;:&lt;/p&gt;
&lt;div class="highlight"&gt;&lt;pre tabindex="0" style="color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;"&gt;&lt;code class="language-powershell" data-lang="powershell"&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;&lt;span style="color:#75715e"&gt;# Tìm các log đăng nhập sai (4625) với mã lỗi (Status) là 0xC0000064&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;$Query = &lt;span style="color:#e6db74"&gt;&amp;#34;*[System[EventID=4625] and EventData[Data[@Name=&amp;#39;Status&amp;#39;]=&amp;#39;0xc0000064&amp;#39;]]&amp;#34;&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;Get-WinEvent -LogName Security -FilterXPath $Query | Select-Object TimeCreated, Message
&lt;/span&gt;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/div&gt;&lt;p&gt;Sức mạnh của XPath cho phép các nhà phân tích SOC trích xuất hàng triệu sự kiện (Events) chỉ trong vài giây, và đây cũng chính là cơ sở cốt lõi để xây dựng các tập luật (Rules) tự động cho hệ thống SIEM (như Wazuh hay Splunk).&lt;/p&gt;
&lt;hr&gt;
&lt;p&gt;&lt;em&gt;Như vậy, chúng ta đã nắm trong tay cách hệ điều hành &amp;ldquo;ghi sổ&amp;rdquo; mọi biến động. Bằng cách làm chủ các mã Event ID và kỹ thuật lọc XML bằng PowerShell, bạn đã biến mình từ một người bị động trở thành một &amp;ldquo;thợ săn&amp;rdquo; (Threat Hunter) chủ động đi tìm những bất thường trên hệ thống. Ở bài viết tới, chúng ta sẽ tìm hiểu về cách kết hợp Event Logs với Sysmon (System Monitor) – một công cụ biến nhật ký Windows thành hệ thống giám sát cấp độ quân sự. Đừng bỏ lỡ nhé!&lt;/em&gt;&lt;/p&gt;</description></item></channel></rss>