Ｗｉｎｄｏｗｓ日志取證系統(tǒng)設(shè)計(jì)

摘要：日志文件分析是系統(tǒng)安全檢測的重要內(nèi)容，同時(shí)日志文件也是計(jì)算機(jī)取證的重要依據(jù)。文章設(shè)計(jì)了第三方的Windows日志取證系統(tǒng)，并討論了今后的研究方向。

關(guān)鍵詞：日志文件；網(wǎng)絡(luò)取證；審計(jì)跟蹤；IRP

0 引言

當(dāng)前網(wǎng)絡(luò)應(yīng)用非常廣泛，網(wǎng)絡(luò)涉及了各種各樣的信息，由此產(chǎn)生各種攻擊事件非常多，有些已經(jīng)構(gòu)成網(wǎng)絡(luò)犯罪。我們除了對(duì)攻擊進(jìn)行防范外，還要記錄下犯罪現(xiàn)場的信息，得到黑客入侵證據(jù)，以便分析入侵者的企圖和事后追究責(zé)任。這需要記錄網(wǎng)絡(luò)狀態(tài)、系統(tǒng)狀態(tài)等一系列的數(shù)據(jù)和信息。整個(gè)記錄系統(tǒng)中有一個(gè)重要的環(huán)節(jié)是系統(tǒng)日志的獲取，但系統(tǒng)中的任何日志文件都可能被入侵者改動(dòng)過，因此必須要獲得原始的系統(tǒng)日志，尤其對(duì)于存儲(chǔ)了敏感信息的服務(wù)器，或者是安全需求大的部門，不僅在系統(tǒng)受到威脅時(shí)需要備份出原始的系統(tǒng)日志，平時(shí)也需要備份出原始的系統(tǒng)日志。本文就是設(shè)計(jì)一個(gè)基于Windows的用于計(jì)算機(jī)取證的日志系統(tǒng)。該系統(tǒng)有相對(duì)獨(dú)立的取證計(jì)算機(jī)，不影響原系統(tǒng)，在實(shí)時(shí)取證中，不會(huì)破壞原始的系統(tǒng)狀態(tài)，不會(huì)驚擾攻擊者，可以跟蹤攻擊過程，以便分析入侵者的企圖和攻擊技術(shù)。有了全面完整的日志，也便于事后的分析和追究責(zé)任。

1 取證日志

1．1 Windows日志

Windows日志的默認(rèn)存放路徑是％SystemRoot％\\system32\\config\\，其中應(yīng)用日志為AppEvent.Evt，系統(tǒng)日志為SysEvent.Evt，安全日志為SecEvent.Evt。其文件格式為Windows日志文件專用的格式。日志文件中包含了一定的信息，但還有一些信息是在另外的dll文件中。……