第三十一期 取證實戰篇-Windows日誌分析

編

者

按

Windows事件日誌記錄著Windows系統中發生的各類事件。通過事件日誌，可以監控用戶對系統的使用情況，掌握計算機在特定時間發生了什麼事件，此外也可以了解用戶的各種操作行為。因此，它可以為調查提供很多關鍵信息。

打擊計算機網路犯罪的關鍵，是如何在計算機系統中提取和分析計算機犯罪分子留在計算機中的「痕迹」，使之成為能夠追蹤並抓獲犯罪嫌疑人的重要手段和方法。遇到入侵的相關安全事件時，往往會需要分析Windows事件日誌，提取出計算機犯罪案件的重要證據或線索。因此，高效分析Windows事件日誌在電子數據取證調查過程中扮演越來越重要的作用。

2017年5月，由公安第三研究所主辦的CCFC峰會上，來自廈門興百邦翰林學院的徐志強先生在研習會上帶來了Windows事件日誌取證的主題分享。本期公眾號，小編有幸獲得了授權，就Windows事件日誌進行探討。

一

Windows事件日誌簡介

Windows事件日誌文件本質上是資料庫，其中包括有關係統、安全、應用程序的記錄。記錄的事件包含9個元素：日期/時間、事件類型、用戶、計算機、事件ID、來源、類別、描述、數據等信息。

Windows事件日誌共有五種事件類型，所有的事件必須只能擁有其中的一種事件類型。

1．信息（Information）

信息事件指應用程序、驅動程序或服務的成功操作的事件。

2．警告（Warning）

警告事件指不是直接的、主要的，但是會導致將來問題發生的問題。例如，當磁碟空間不足或未找到印表機時，都會記錄一個「警告」事件。

3． 錯誤（Error）

錯誤事件指用戶應該知道的重要的問題。錯誤事件通常指功能和數據的丟失。例如, 如果一個服務不能作為系統引導被載入，那麼它會產生一個錯誤事件。

4． 成功審核（Success audit）

成功的審核安全訪問嘗試，主要是指安全性日誌，這裡記錄著用戶登錄/註銷、對象訪問、特權使用、賬戶管理、策略更改、詳細跟蹤、目錄服務訪問、賬戶登錄等事件，例如所有的成功登錄系統都會被記錄為「成功審核」事件

5．失敗審核（Failure audit）

失敗的審核安全登錄嘗試，例如用戶試圖訪問網路驅動器失敗，則該嘗試會被作為失敗審核事件記錄下來。

早在1993年的Windows NT3.1，微軟就開始使用事件日誌來記錄各種事件的信息。在NT的進化過程中，事件日誌的文件名和文件存放位置一直保持不變，在Windows NT/Win2000/XP/Server 2003中， 日誌文件的擴展名一直是evt，存儲位置為「%systemroot%\System32\config」。 從Windows Vista和Server 2008開始，日誌文件的文件名、結構和存儲位置發生了巨大改變， 文件擴展名改為evtx (XML格式) ，存儲位置改為「%systemroot%\System32\WinEvt\logs」。

1、系統日誌

記錄操作系統組件產生的事件，主要包括驅動程序、系統組件和應用軟體的崩潰以及數據。

默認位置：

• NT/Win2000/XP/Server 2003

C:\WINDOWS\system32\config\SysEvent.Evt

• Vista/Win7/Win8//Win10/Server 2008/Server 2012

C:\WINDOWS\system32\winevt\Logs\System.evtx

2.應用程序日誌

包含由應用程序或系統程序記錄的事件，主要記錄程序運行方面的事件。

默認位置：

C:\WINDOWS\system32\config\AppEvent.Evt

C:\WINDOWS\system32\winevt\Logs\Application.evtx

3.安全日誌

記錄系統的安全審計事件，包含各種類型的登錄日誌、對象訪問日誌、進程追蹤日誌、特權使用、帳號管理、策略變更、系統事件。安全日誌也是調查取證中最常用到的日誌。默認設置下，安全性日誌是關閉的，管理員可以使用組策略來啟動安全性日誌，或者在註冊表中設置審核策略，以便當安全性日誌滿后使系統停止響應。

默認位置：

C:\WINDOWS\system32\config\SecEvent.Evt

C:\WINDOWS\system32\winevt\Logs\Security.evtx

雖然幾乎所有事件記錄在調查過程中都或多或少帶來幫助，但是大多數的調查取證中，安全日誌中找到線索的可能性最大。

系統和應用程序日誌存儲著故障排除信息，對於系統管理員更為有用。 安全日誌記錄著事件審計信息，包括用戶驗證（登錄、遠程訪問等）和特定用戶在認證后對系統做了什麼，對於調查人員而言，更有幫助。

二

事件日誌分析

對於Windows事件日誌分析，我們可以根據自己的需要，根據EVENT ID迅速取出我們關心的信息。不同的EVENT ID代表了不同的意義，這些我們可以在網上很容易查到，小編在微軟的官方網站上找到了「Windows Vista 和 Windows Server 2008 中的安全事件的說明」，這篇文章介紹了在 Windows Vista 和 Windows Server 2008 中的各種與安全和審核有關事件，還提供了有關如何解釋這些事件的信息。該文檔原文的鏈接地址為https://support.microsoft.com/en-us/help/947226/description-of-security-events-in-windows-vista-and-in-windows-server-2008，翻譯后的地址為https://support.microsoft.com/zh-cn/help/947226/description-of-security-events-in-windows-vista-and-in-windows-server-2008。

三

事件日誌分析技巧

除了使用「事件日誌查看器」外，我們也可以使用其他日誌工具查詢事件日誌。以下列舉了一些我們經常用到的日誌獲取和分析工具：

四

案例分享

小編語錄

本期公眾號，小編帶來的是來自廈門興百邦翰林學院的徐志強先生在本次峰會的研習會上帶來了《基於Windows事件日誌分析的用戶行為重構》的主題分享。為了寫好，小編也是翻閱了SANS、CHFI、IFCI的相關教程。由於時間比較倉促，還有很多不足的地方，敬請諒解！

下期公眾號，小編將向大家分享關於出庭質證的相關技巧。大家如果有好的技術文章，也歡迎給我投稿，共同促進取證事業的進步。更多精彩內容盡請關注「電子數據取證與鑒定」。