电子数据取证技术PPT课件（共12章）第4章Windows操作系统取证技术.pptxVIP

第4章 Windows操作系统取证技术;4.1 ?Windows日志取证技术;　　事件日志可以为取证人员提供丰富的信息，还可将系统发生的各种事件关联起来。事件日志通常可以为取证人员提供以下信息：　　(1) 发生什么：Windows内部的事件日志记录了丰富的历史事件信息。　　(2) 发生时间：事件日志中记录了丰富的时间信息，也常称为时间戳，它记录了各种事件发生的具体时间。　　(3) 涉及的用户：在Windows操作系统中，几乎每一个事件都与相关的系统账号或用户账号有关。;　　(4) 涉及的系统：在联网环境中，单纯记录主机名对于取证人员来说比较难以进一步追踪回溯访问请求的来源信息。　　(5) 资源访问：事件日志服务可以记录细致的事件信息。;　　1. ?Windows事件日志版本划分　　Windows事件日志最早始于Windows NT 3.1版本，自1993年起便开始使用。Windows事件日志文件的存储位置和文件格式经历了一些变动，其基本可以分为两大版本：第一版(V1)以Vista操作系统以前的事件日志为代表，它是一种二进制格式，默认使用?.evt文件扩展名；第二版(V2)以Vista操作系统开始直到必威体育精装版的Windows 10及Windows Server 1803版本，它们均采用新一代事件日志格式，默认使用.evtx文件扩展名。;　　2. ?Windows事件日志数据存储及相关特征　　Windows事件日志第一版 (V1)，即Windows Vista之前的版本(含Windows NT 3.1至Windows XP或Windows 2003之间的各个版本)默认的事件日志存储位置为%System Root%\System32\Config。　　Windows事件日志类别主要包括系统(System)、安全性(Security)、应用程序 (Application)及部分自定义日志。系统内置的3个事件日志文件大小均默认为512 KB，如当系统存储的事件日志数据大于512?KB时，默认系统将覆盖超过7天的日志记录。事件日志记录了错误、失败、成功、信息及警告事件。;　　Windows事件日志第二版(V2)，即Vista及以上版本(含Vista、Windows 7、Windows 8、Windows 8.1、Windows 10、Windows Server 2008/2012/2016等)采用了新的文件格式，文件扩展名为?.evtx，如表4-1所示。新版本事件日志的文件结构、日志类型及日志存储位置均发生了较大的变化，默认的事件日志存储位置为%System Root%\System32\ winevt\Logs(默认安装的Windows?10操作系统已经约有290个文件)。;;　　1) 常见取证和分析方法　　(1) 事件日志文件内容查看方法。　　通常采用商业化计算机取证软件直接分析事件日志文件，如EnCase、FTK、X-Ways Forensics、Safe Analyzer、取证大师、取证神探等，操作简便快捷。;　　通过在Windows操作系统中运行eventvwr.exe，即可调用系统自带的事件日志查看器。其具体操作方式如下：在命令行中89输入eventvwr.exe，也可以同时按Win+R组合键，然后在运行输入框中输入eventvwr.exe或eventvwr(扩展名可省略)，即可运行系统事件日志查看器。将待分析的?.evtx日志文件通过取证软件导出或用其他方式复制到取证分析机中，即可使用取证分析机系统自带的事件日志查看器来查看与分析内容。取证分析机的操作系统建议使用必威体育精装版的Windows 10，以便能最佳兼容?.evtx文件格式。;　　Event Log Explorer的亮点在于它支持?.evt及?.evtx两种格式，提供了丰富的过滤条件，此外可正确解析出日志中的计算机名、系统账户或用户的SID(Security Identifiers，安全标识符)等信息。;　　(2) 常见的Windows事件日志的分析方法。　　Windows事件日志中记录的信息中，关键要素包含事件级别、记录时间、事件来源、事件ID、事件描述、涉及的用户、计算机、操作代码及任务类别等。常见Windows账户及相关事件对照表如表4-2所示，其中事件ID与操作系统版本有关，同类事件在不同操作系统中的事件ID不完全相同，最大的差异主要体现在第一版和第二版的事件日志中。因此，在取证过程中需特别注意，当使用事件ID进行过滤有哪些信誉好的足球投注网站时，需要考虑操作系统版本的差异。常见电子数据取证相关事件对照表(适用于Vista及以上操作系统)如表4-3所示。;;;;;;　　(3) 事件日志文件结构。　　事件日志文件是一种二进制格式的文件，文件头