• 21
•
计算机犯罪现象越来越多,预防与遏制它们成为当前社会的技术难题,任何人在计算机中的操作都会在日志文件中留下痕迹。日志文件种类很多,需要关注各种类型的日志文件进行合并取证分析。首先介绍了Windows 日志,包括系统日志、安全日志、应用程序日志, 然后说明了Windows 日志中事件类型,然后从web 日志的分析入手,剖析不同的日志文件我们分析时所要注意的重点内容。 日志分析对计算机取证有重要作用。某一个日志会记录它所在系统或应用程序的各种信息。在进行计算机取证分析时,我们要全面的分析多个日志文件,如果仅对单一日志文件分析那么我们可能会漏掉许多信息。我们需要做的就是把所有获取的日志文件进行比对、整合、关联使得他们能够为我们形成一个较为完整的犯罪场景,为我们的进一步工作提供支持。
1 日志
1.1 日志的概念
日志(Log)起源于航海日志。航海日志就是我们航海归来之后我们可以对在海上的工作进行分析,总的来说就是一个海上的日记。日志(Log)表示在时间上连续地设置有由系统指定的对象的动作及其动作结果。为了保持计算机系统资源的运行状态,系统会将任何活动和在操作中出现的一系列情况进行详细记录,并保存它们。这些信息对于电脑犯罪取证人员来说是非常有用的。1.2 Windows日志
日志文件不同于我们系统中的其他文件,它有着不一样的用处与作用。目前计算机中使用最多的Windows 操作系统,如今越来越多的Windows 操作系统日志以二进制形式保存,他们有着自己的存储方式,就是循环覆盖缓存。它们记录了用户在系统里面完成了什么操
作,还有做出了什么样的错误指令以及其他的一些记录。我们通过查看系统的这些文件,不仅可以回看用户正确操作,同时也可以去搜索那些的错误操作以及不是系统用户本人做出的操作。因此,无论是系统管理者还是黑客,都非常重视这些文件。管理员可以通过这些文件查看系统的安全状态,并且到入侵者的IP 地址或各种入侵证据。
Windows 操作系统在其运行的生命周期中记录的大量日志信息包括:Windows 事件日志,Windows
服务器系统的IIS 日志,FTP 日志,MS SQL Server 数据库日志等。计算机取证人员可以根据日志取证,了解计算机上上发生的具体行为。Windows 事件日志文件实际上是以特定的数据结构的方式存储内容,其中包括系统、安全、应用程序的记录。
(1)应用程序日志:它包括普通的用户程序和一些商用的程序在运行过程中出现的事件,它会输出自己记录的所有报错和需要用户所要知晓的信息。
(2)系统日志:系统日志记录系统进程和设备的驱动程序的活动。它输出的记录包括设备驱动程序是否启动失败,硬件是否自检出错,还有系统服务的开启、关闭、暂停。
(3)安全日志:这是处理入侵事件的重要武
器。分析者需要查看和筛选这些文件中的信息从而发现蛛丝马迹。它记录着各种活动的审核和事件的安全处理,包括审核用户的权限变化、对文件和目录的访问。比如一些有效的登录事件,和我们计算机资源的利用情况,这些都是安全日志所要记录下来的内容。我们的管理员也可以对我们所要记录的重点内容进行指定设置。
2 基于Windows日志取证分析
Windows 系统中会输出大量的日志文件,包括系统日志、数据库日志、网络日志、应用程序日志等。
日志取证分析就是对这些文件中的信息进行分析取证。基于Windows 系统的日志分析,就是从这些日志文件中去发现系统中是否已经被入侵或者一些不正常的来访记录、文件系统的新建删除等操作,更多的比如占据资源、停止任务、创建和删除帐户、访问权限,系统的启动和关闭等信息,一定程度上能搞清楚这些信息,也就能还原计算机系统被入侵的过程。2.1 Windows日志取证分析方法
日志分析方法主要包括对特征字符的分析,访问
甘肃政法大学证据科学学院 王春兰 张小英
Windows 系统日志取证分析简述摩托罗拉l2
• 22
•
频率的分析,关联分析等整合日志信息,另外,还有数据挖掘、信息转换等。
Windows 系统中自带了一个叫做事件查看器的工具,它可以用来查看分析所有的Windows 系统日志。打开事件查看器方法:开始->运行->输入eventvwr->回车的方式快速打开该工具,可以看到Windows 日志。早期版本的Windows 日志有应用程序、安全、系统和Setup ,新的Windows 版本中增加了设置及转发事件日志(默认禁用)。系统内置的三个核心日志文件(System ,Security 和Ap-plication )默认大小均为20480KB (20MB ),当记录事件数据超过20MB 时,系统将优先覆盖过期的日志记录。2.2 Windows日志分析内容
系统日志文件:
金雪松Windows 事件日志记录的信息中,关键要素包含事件级别、记录时间、事件来源、事件ID 、事件描述、涉及的用户、计算机、操作代码及任务类别等。事件日志ID 会随着系统版本变化,下面均以win7为例。其中的常见事件ID 如表1所示。
表1 常见Windows账户和事件ID对应
事件ID 备注1102清理审计日志4624账号成功登录4625账号登录失败
4768Kerberos身份验证(TGT请求)
熊文丹4769Kerberos服务票证请求
4776NTLM身份验证4672授予特殊权限4720创建用户4726删除用户
4728将成员添加到启用安全的全局组中4729将成员从安全的全局组中移除4732将成员添加到启用安全的本地组中4733将成员从启用安全的本地组中移除4756将成员添加到启用安全的通用组中4757将成员从启用安全的通用组中移除
4719
铁路技术管理规程
系统审计策略修改
事件日志的文件通常以*.evtx ,*.xml ,*.txt ,*.csv 几种格式存在。以.evtx 格式文件为例,evtx 文件结构包含三部分:文件头,数据块,结尾空值。我们通过对数据块的大小组成,分析其对应的内容,比对事件ID 从而追踪所发生的事件。通过对Windows 系统日志的取证分析,取证人员可以对操纵系统、应用程序、服务、设备等操作行为记录通过关键的时间点进行回溯。
安全日志分析:谓语助者
安全日志主要针对登录事件进行分析:首先是4648(尝试登录)这种事件一般出现在尝试远程连接主
qbz95b
机,无论是否连接成功都会记录下来。然后4624(登陆成功)事件一般出现在被成功连接之后。登录类型一般分为2(交互的)3(网络)。4634(注销)事件详情里面我们能看到被注销的用户名。
应用程序日志分析:
Windows 的应用程序种类很多,所以应用程序日志也是日志文件中最大的一类。每一种程序日志都可能拥有自己的事件ID ,取证人员要针对特定的应用程序去学习它所特有的事件ID 信息,从而在日志文件中识别出来。同时也可采用特定的日志分析工具更为直观的分析特定的应用程序,来达到相同的目的。例如Log Parser 是微软出品的一种功能强大的日志分析工具,它能帮助我们查询分析这些数据。
IIS 日志分析:
IIS 的日志文件都是文本文件,可以使用任何文本编辑器打开,例如记事本程序。打开文件之后,开头的四行都是对日志文件的说明信息。后续主要内容是一条一条的请求信息所组成的。字段信息一般包括data (日期)、time (时间)、cs-method (请求方法)、cs-uri-stem (请求文件)、cs-uri-query (请求参数)、cs-username (客户端用户名)、c-ip (客户端)、IPcs-version (客户端协议版本)、cs(User-Agent)、(客户端浏览器)、cs(Referer)(引用页)。如果入侵者有着比较高的入侵水平,可能会檫去自己留下的尾巴,这时可以到事件查看器看来自W3SVC 的警告信息,往往能
到一些线索。当然,对于访问量特别大的Web 服务器,单纯的利用手工分析不太现实。这时可以借助第三方日志分析工具,如Faststs Analyzer 、Logs2Intru-sions v.1.0等。
在计算机取证研究中,Windows 日志分析主要集中在关联分析,从上面几个方面的日志文件去到跟案件相关的痕迹,关联比对,出相关线索,还原案件过程。
甘肃政法学院教改项目(GZJG2016-A08)。
作者简介:王春兰,甘肃政法大学证据科学学院副教授,研究方向:电子取证。
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议