专业文章

Windows日志中隐藏的线索丨反舞弊中的电子数据取证(十三)

2018-12-19
分享到

Windows系统在使用中会记录大量日志信息,主要分为两大类:一是Windows事件日志;二是应用程序和服务日志。 

对于调查人员来说,日志是非常有价值的电子数据,通过细节分析,可以倒推追查特定用户在系统中做了什么,或者系统自动做了什么,还可以显示远程活动曾经尝试或成功执行的操作。 

在案件调查的日常中,可以有机地结合外围排查,对涉案人员的行为作出更为全面的侧写,能够发现隐藏的线索,还能成为应对涉案人员抗辩的有力支撑,成为破案的关键环节。 

一、Windows事件日志留存了哪些信息? 

事件日志留存了Windows系统中关键日志事件的详细资料,事件日志文件(evt文件)以特定数据结构方式存储内容,每条记录事件中包含9个组成部分,分别是:日期和时间、事件类型、用户、计算机、事件ID、来源、类别、描述、数据。 事件日志分为3大类: 

1、系统日志,记录系统进程、设备磁盘活动等系统事件的详细资料,包括设备驱动无法正常启动或停止、硬件失败、IP地址重复、系统进程启动、停止及暂停等; 

2、安全日志,记录登录、退出和其他安全活动信息,包括安全性相关的事件,如用户权限变更、登录和注销、文件及文件夹访问、打印等; 

3、应用程序日志,记录应用程序、软件相关事件,包括错误、警告及任何应用程序需要报告的信息。 

根据日志取证,调查人员可以追根溯源地了解到计算机上曾经发生过哪些具体事件,是非常重要的取证对象。 

二、如何查看事件日志? 

查看系统日志的标准方法是使用Windows系统自带的“事件查看器”(可以通过运行“eventvwr”来启动),如下图: 

WX20210430-112757@2x.png

在事件查看器中,系统日志被分为成Windows日志和应用程序和服务日志两大类,其中Windows日志包括了应用程序、安全、Setup、系统和forwarded events(转发事件)。 

事件查看器可以将日志文件导出为evt、evtx、xml、txt和csv等格式,并导入其他系统的事件查看器进行浏览。因为日志文件格式在各个WinNT版本中通用,所以调查人员也可以利用本地计算机的事件查看器远程连接其他计算机,以管理员权限查看浏览日志文件。一般来说,为防止打开的文件受损,原则上都会对源数据进行全盘镜像复制后对镜像文件进行操作,以防原始证据失效。 

调查人员可以利用事件查看器“筛选”功能,显示特定时间类型和时间段的相关内容。 

三、了解事件日志的核心文件 

事件日志记录在系统内置的三个核心日志文件中,应用程序日志为AppEvent.evt或Application.evtx,系统日志为SysEvent.evt或System.evtx,安全日志为SecEvent.evt或Security.evtx,该三个文件的默认大小均为20MB,当事件数据超过20MB时,新的日志将优先覆盖最早的记录。应用程序及服务日志文件的默认大小为10MB,超过该限制也会优先覆盖最早期的记录。 

四、事件日志的类型 

Windows事件日志共有5种事件类型,所有事件必须且只能属于其中的一种类型。 

1、Information(信息事件):指应用程序、驱动程序或服务的成功操作的事件。 

2、Warning(警告事件):指非直接、主要的,会导致将来问题发生的事件,如磁盘空间不足或未找到打印机时,会记录一个“警告事件”。 

3、Error(错误事件):指用户应知道的重要问题,通常指功能和数据的丢失,如某个服务不能作为系统引导被加载,就会产生一个错误事件。 

4、Success audit(成功审核):记录用户登录和注销、对象访问、特权使用、账户管理、策略更改、详细跟踪、目录服务访问、账户登录等事件,如所有成功的系统登录都会记录为“成功审核事件”。 

5、Failure audit(失败审核):用户访问失败会被作为失败审核事件记录。 

五、调查取证中常用的日志事件 

(一)应用程序日志 

应用程序日志由应用程序使用,Windows允许第三方软件通过API记录应用程序事件,防病毒软件和安装程序通常会使用这样的功能,在调查中经常使用到的有:

1、确认软件安装。使用微软安装程序的情况下,通过事件ID11707(成功)、事件ID11708(失败)和事件ID11724(卸载)来记录软件包的运行,查看这些ID可以发现特定软件的安装、试图安装和卸载的时间。 

2、确认和排除病毒感染。大多数防病毒软件在检测到病毒时,会产生一个ID5事件。案件调查中,涉案人员有时会辩解称系统问题是病毒引起,通过查看这个事件,可以显示和排除其声称的时间内是否有病毒发作。 

3、启动和关闭防火墙。记录了用户主动打开或关闭系统防火墙的行为。 

4、检查黑客攻击企图。ID为1000~1004的事件记录有错误的应用程序,可以提供应用程序漏洞被利用的线索,事件ID4097也有可能代表类似活动。 

应用程序日志事件常依赖于特定系统中安装的具体应用程序,以及是否独立使用事件日志服务,或者利用本地私有日志对系统日志进行补充,所以调查人员在检查应用程序日志之外,通常还必须检查应用程序是否使用了本地私有日志记录。 

(二)系统日志 

系统日志可以捕获由系统自身产生的事件。任何自动执行的操作,或直接利用OS功能的用户驱动操作都会记入日志,包括软硬件安装、打印作业和网络层事件等。取证人员关注的系统事件常与案件的性质和被调查者的抗辩有关,常见的有: 

1、事件日志启动和停止。事件ID6005和6006代表日志服务的启动和停止,主动关闭日志服务的行为往往值得深入追查。 

2、系统关系和重启。事件ID6008表示系统的一次意外关闭,6009则和系统重启相关。当发现ID6006后不久紧跟6009事件,通常可以认为是系统原因。事件ID1074显示引起系统关闭的进程,ID1076显示系统关闭的原因。 

3、登录失败。事件ID100表示一个已知账户的验证失败,调查中发现的这类事件,有可能是特定用户通过猜测密码或使用穷举等破解工具的线索。 

4、机器信息改变。事件ID6011表示系统名称改变,如果发现名称与现存信息不匹配,就要重点查找这个事件ID。 

5、打印。ID10显示的是打印作业和来源,以打印请求者用户名的方式显示。 

(三)安全日志 

安全日志是所有日志的基础,登录、注销、尝试连接和改变系统策略等关键事件,都会在安全日志中反映出来。企业为了支持安全事件调查和溯源,通常会在本地或组策略下的审核策略中要求计算机系统激活如审核账户登录事件、账户管理、登录、策略改变、特权使用等。其中,登录和注销对于证实什么人在什么时间执行了什么操作尤为重要,而其他安全事件则根据案件不同,会对某些特定的调查有帮助。 

1、成功登录和注销事件。交互式的登录事件通过事件ID528来描述,是登录类型的一个子类,调查人员比较关注的登录类型有ID2(本地)、ID3(网络)、ID7(Ctrl+Alt+Del或屏幕解锁)、ID10(远程桌面)、ID11(缓存的用户凭证登录)。 另外,注销事件显示了某用户连接的时间段,以ID551为用户启动注销的开始,ID538为结束。远程桌面连接中,ID683表示断开连接,ID682表示重新连接。 

2、登录失败事件。登录失败是判定是否有人进行密码猜测或暴力攻击的有力证据之一,日志会记录失败尝试的不同原因:ID529(用户名或密码错误)、ID531(账户不可用)、ID532(账户到期)、ID539(账户被锁)、ID533(越权访问资源)等。 

3、对象访问。在一个特定对象属性的“安全”选项卡上点击“高级”按钮,可对待定的NTFS文件和文件夹进行审核。激活对象审核可以记录从试图读取对象到成功删除对象的任何操作,如果系统开启这个级别的审核,就能显示某个特定实体在何时被访问、被谁访问、特定文件和目录的改变和删除,或者突出显示对关键对象的非法访问企图。相关事件有:ID560(打开对象,试图打开一个文件或文件夹)、ID564(删除对象,成功删除一个文件或文件夹)。 

4、日志清除。事件ID517表示安全事件日志被清楚。在没有合理原因将旧文件存储到一个新文件之前,安全日志几乎是不会被清楚的,一旦有该时间发生,很有可能表明使用者或入侵者在故意掩盖痕迹。

作者:星瀚内控与反舞弊法律中心 周晓鸣