第三十一期 取证实战篇-Windows日志分析
编
者
按
Windows事件日志记录着Windows系统中发生的各类事件。通过事件日志,可以监控用户对系统的使用情况,掌握计算机在特定时间发生了什么事件,此外也可以了解用户的各种操作行为。因此,它可以为调查提供很多关键信息。
打击计算机网络犯罪的关键,是如何在计算机系统中提取和分析计算机犯罪分子留在计算机中的“痕迹”,使之成为能够追踪并抓获犯罪嫌疑人的重要手段和方法。遇到入侵的相关安全事件时,往往会需要分析Windows事件日志,提取出计算机犯罪案件的重要证据或线索。因此,高效分析Windows事件日志在电子数据取证调查过程中扮演越来越重要的作用。
2017年5月,由公安第三研究所主办的CCFC峰会上,来自厦门兴百邦翰林学院的徐志强先生在研习会上带来了Windows事件日志取证的主题分享。本期公众号,小编有幸获得了授权,就Windows事件日志进行探讨。
一
Windows事件日志简介
Windows事件日志文件本质上是数据库,其中包括有关系统、安全、应用程序的记录。记录的事件包含9个元素:日期/时间、事件类型、用户、计算机、事件ID、来源、类别、描述、数据等信息。
Windows事件日志共有五种事件类型,所有的事件必须只能拥有其中的一种事件类型。
1.信息(Information)
信息事件指应用程序、驱动程序或服务的成功操作的事件。
2.警告(Warning)
警告事件指不是直接的、主要的,但是会导致将来问题发生的问题。例如,当磁盘空间不足或未找到打印机时,都会记录一个“警告”事件。
3. 错误(Error)
错误事件指用户应该知道的重要的问题。错误事件通常指功能和数据的丢失。例如, 如果一个服务不能作为系统引导被加载,那么它会产生一个错误事件。
4. 成功审核(Success audit)
成功的审核安全访问尝试,主要是指安全性日志,这里记录着用户登录/注销、对象访问、特权使用、账户管理、策略更改、详细跟踪、目录服务访问、账户登录等事件,例如所有的成功登录系统都会被记录为“成功审核”事件
5.失败审核(Failure audit)
失败的审核安全登录尝试,例如用户试图访问网络驱动器失败,则该尝试会被作为失败审核事件记录下来。
早在1993年的Windows NT3.1,微软就开始使用事件日志来记录各种事件的信息。在NT的进化过程中,事件日志的文件名和文件存放位置一直保持不变,在Windows NT/Win2000/XP/Server 2003中, 日志文件的扩展名一直是evt,存储位置为“%systemroot%\System32\config”。 从Windows Vista和Server 2008开始,日志文件的文件名、结构和存储位置发生了巨大改变, 文件扩展名改为evtx (XML格式) ,存储位置改为“%systemroot%\System32\WinEvt\logs”。
1、系统日志
记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据。
默认位置:
- NT/Win2000/XP/Server 2003
C:\WINDOWS\system32\config\SysEvent.Evt
- Vista/Win7/Win8//Win10/Server 2008/Server 2012
C:\WINDOWS\system32\winevt\Logs\System.evtx
2.应用程序日志
包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件。
默认位置:
- NT/Win2000/XP/Server 2003
C:\WINDOWS\system32\config\AppEvent.Evt
- Vista/Win7/Win8//Win10/Server 2008/Server 2012
C:\WINDOWS\system32\winevt\Logs\Application.evtx
3.安全日志
记录系统的安全审计事件,包含各种类型的登录日志、对象访问日志、进程追踪日志、特权使用、帐号管理、策略变更、系统事件。安全日志也是调查取证中最常用到的日志。默认设置下,安全性日志是关闭的,管理员可以使用组策略来启动安全性日志,或者在注册表中设置审核策略,以便当安全性日志满后使系统停止响应。
默认位置:
- NT/Win2000/XP/Server 2003
C:\WINDOWS\system32\config\SecEvent.Evt
- Vista/Win7/Win8//Win10/Server 2008/Server 2012
C:\WINDOWS\system32\winevt\Logs\Security.evtx
虽然几乎所有事件记录在调查过程中都或多或少带来帮助,但是大多数的调查取证中,安全日志中找到线索的可能性最大。
系统和应用程序日志存储着故障排除信息,对于系统管理员更为有用。 安全日志记录着事件审计信息,包括用户验证(登录、远程访问等)和特定用户在认证后对系统做了什么,对于调查人员而言,更有帮助。
二
事件日志分析
对于Windows事件日志分析,我们可以根据自己的需要,根据EVENT ID迅速取出我们关心的信息。不同的EVENT ID代表了不同的意义,这些我们可以在网上很容易查到,小编在微软的官方网站上找到了“Windows Vista 和 Windows Server 2008 中的安全事件的说明”,这篇文章介绍了在 Windows Vista 和 Windows Server 2008 中的各种与安全和审核有关事件,还提供了有关如何解释这些事件的信息。该文档原文的链接地址为https://support.microsoft.com/en-us/help/947226/description-of-security-events-in-windows-vista-and-in-windows-server-2008,翻译后的地址为https://support.microsoft.com/zh-cn/help/947226/description-of-security-events-in-windows-vista-and-in-windows-server-2008。
三
事件日志分析技巧
除了使用“事件日志查看器”外,我们也可以使用其他日志工具查询事件日志。以下列举了一些我们经常用到的日志获取和分析工具:
四
案例分享
小编语录
本期公众号,小编带来的是来自厦门兴百邦翰林学院的徐志强先生在本次峰会的研习会上带来了《基于Windows事件日志分析的用户行为重构》的主题分享。为了写好,小编也是翻阅了SANS、CHFI、IFCI的相关教程。由于时间比较仓促,还有很多不足的地方,敬请谅解!
下期公众号,小编将向大家分享关于出庭质证的相关技巧。大家如果有好的技术文章,也欢迎给我投稿,共同促进取证事业的进步。更多精彩内容尽请关注“电子数据取证与鉴定”。
