基于Windows日志的电子证据获取与分析方法研究

doi:10.3969/j.issn.1000-436x.2012.z2.016

摘要/Abstract

摘要：

为解决Windows日志的实时获取问题，针对2种日志文件格式，分别提出了相应的日志实时获取方法。在实时获取日志的基础上，提出了将日志文件与原子攻击功能关联的方法，将对日志文件的分析转换成对原子攻击功能的分析，大大减少了日志文件分析的时间。提出了一种基于时间的日志关联分析和事件重构方法，实现对计算机犯罪场景的还原。实验结果表明，提出的方法可以有效获取日志证据，重构犯罪过程。

关键词: 计算机取证, Windows日志, 获取, 分析, 事件重构

Abstract:

In order to collect logs in real time,two methods to acquire Windows logs in real time were proposed respectively according to the two types of log file formats.Based on acquiring logs,an approach for correlating log files with atomic attack functions was proposed.After the correlation,atomic attack functions can be analyzed instead of log files,which can greatly decrease the time of analysis.A time based log correlation and event reconstruction method was proposed to reconstruct the computer criminal scenarios.Experimental results show that log evidences can be acquired and the crime process can be reconstructed effectively.

Key words: computer forensics, Windows logs, acquisition, analysis, event reconstruction

董晓梅,刘旭东,李晓华,费雅洁. 基于Windows日志的电子证据获取与分析方法研究[J]. 通信学报, 2012, 33(Z2): 125-134.

Xiao-mei DONG,Xu-dong LIU,Xiao-hua LI,Ya-jie FEI. Study on electronic evidence acquisition and analysis method over Windows logs[J]. Journal on Communications, 2012, 33(Z2): 125-134.

图/表 15

图1

表1

表2

表3

表4

图2

图3

图4

表5

图5

图6

图7

图8

图10

图11

参考文献 11

[1]	SAHOO R K , OLINER A J , RISH I ,et al. Critical event prediction for proactive management in large scale computer clusters[A]. Proceedings of KDD 2003[C]. Washington,DC,USA, 2003. 426-435.
[2]	FU S , XU C . Exploring event correlation for event prediction in coalitions of clusters[A]. Proceedings of the International Conference for High Performance Computing,Networking,Storage,and Analysis[C]. Reno,USA, 2007. 1-12.
[3]	FU S , XU C . Quantifying temporal and spatial correlation of failure events for proactive management[A]. Proceedings of 26th IEEE International Symposium on Reliable Distributed Systems (SRDS2007)[C]. Beijing,China, 2007. 175-184.
[4]	SALFNER F , TSCHIRPKE S . Error log processing for accurate event prediction[A]. Proceedings of the USENIX Workshop on the Analysis of System Logs(WASL)[C]. San Diego,USA, 2008.
[5]	LOU J G , FU Q , WANG Y ,et al. Mining dependency in distributed systems through unstructured logs analysis[J]. ACM SIGOPS Operating Systems Review archive, 2010,44(1): 91-96.
[6]	OLINER A , STEARLEY J . What supercomputers say:a study of five system logs[A]. Proceedings of the 37th Annual IEEE/IFIP International Conference on Dependable Systems and Networks (DSN'07)[C]. Edinburgh,UK, 2007. 575-584.
[7]	ROUILLARD J P . Real-time log file analysis using the simple event correlator (SEC)[A]. Proceedings of LISA '04:Eighteenth Systems Administration Conference[C]. Atlanta,USA, 2004. 233-150.
[8]	TANG D , IYER R K . Analysis and modeling of correlated failures in multicomputer systems[J]. IEEE Transactions on Computers, 1992,41(5): 567-577.
[9]	OLINER A J , AIKEN A , STEARLEY J . Alert Detection in Logs[A]. Proceedings of Eighth IEEE International Conference on Data Mining (ICDM'08)[C]. Pisa,Italy, 2008. 959-964.
[10]	张有东, 曾庆凯, 王建东 . 网络协同取证计算研究[J]. 计算机学报, 2010,33(3): 504-513. ZHANG Y D , ZENG Q K , WANG J D . Studies of network coordinative forensics computing[J]. Chinese Journal of Computers, 2010,33(3): 504-513.
[11]	伏晓, 石进, 谢立 . 用于自动证据分析的层次化入侵场景重构方法[J]. 软件学报, 2011,22(5): 996-1008. FU X , SHI J , XIE L . Layered intrusion scenario reconstruction method for automated evidence analysis[J]. Journal of Software, 2011,22(5): 996-1008.

记录头	事件描述	附加数据
日期、时间、主体标识、计算机名、事件编号、事件来源、事件等级、事件类别	事件所描述的内容，取决于该事件的名称、对事件的说明、事件产生的原因、对该事件提供的建议	可选数据区，通常包括能用十六进制方式显示的二进制数，具体内容由相应的应用程序的记录格式来决定

日志	日志文件默认位置
系统日志	%systemroot%\system32\config\SysEvent.evt
应用日志	%systemroot%\system32\config\AppEvent.evt
安全日志	%systemroot%\system32\config\SecEvent.evt
DNS日志	%systemroot%\system32\config
文件目录日志	%systemroot%\system32\config
FTP日志	%systemroot%\system32\logfiles\msftpsvc1\
WWW日志	%systemroot%\system32\logfiles\w3svc1\
防火墙日志	%systemroot%\
Scheduler服务日志	%systemroot%\schedlgu.txt
…	…

API	功能
EventLog.Exists	判断指定的日志是否存在
EventLog.clear	把事件日志中的所有项全部清除
EventLog.CreateEventSource	建立一个能够将事件写入到日志中的事件源
EventLog.WriteEntry	将有关事件记录写入日志
EventLog.SourceExists	判断是否存在某个事件源
EventLog.GetEventLogs	获取某一个事件的日志数组
…	…

方法	功能
FileSystemWatcher	对FileSystemWatcher类初始化为对指定目录的指定文件类型进行监控
OnChanged	引发Changed事件，即目录文件发生改变时调用该方法
OnRenamed	引发Renamed事件，当文件目录或者文件重命名时调用该方法
OnDeleted	引发Deleted事件，当文件目录或者文件发生被删除时调用该方法
WaitForChanged	返回包含有关所发生更改的特定信息的结构
…	…

攻击类别	提取的相关原子攻击功能
目标探测	Ping扫描、端口扫描、操作系统识别
隐藏踪迹	修改日志、文件隐藏
预留后门	远程控制、特洛伊木马
权限提升	缓冲区溢出、字符串格式化
权限获取	口令破解、会话劫持
…	…