《电子数据取证技术》课件）_第4章.pptx

;;4.1;IIS日志;4.1.1Windows事件日志;4.1.1Windows事件日志;4.1.1Windows事件日志;;;表4-1Windows日志;;一、事件日志文件内容查看方法

事件日志文件通常采用商业化计算机取证软件直接进行分析，如EnCase、FTK、X-WaysForensics、SafeAnalyzer、取证大师、取证神探等取证工具进行，操作简便快捷。多数取证软件均支持EVT和EVTX两种文件格式，可直接加载进行分析。

此外，也可以采用Windows系统自带的事件日志查看器或第三方免费的取证辅助工具（如EventLogExplorer[EventLogExplorer非商业用途免费申请：/free-personal.php]）来进行数据的查看与分析。Windows系统自带的事件日志查看器也能直接对EVTX文件进行打开，并可以通过过滤器加速分析效率。

;通过在Windows系统中运行eventvwr.exe即可调用系统自带的事件日志查看器。具体操作方式可以通过进入命令行然后输入eventvwr.exe，也可以同时按Win+R快捷键，然后运行输入框中输入eventvwr.exe或eventvwr（扩展名可省略）即可运行系统事件日志查看器。待分析的EVTX日志文件通过取证软件导出或其它方式复制到取证分析机，即可使用取证分析机系统自带的事件日志查看器来进行内容查看与分析，取证分析机的操作系统建议使用最新Windows10，以便能最佳兼容EVTX文件格式。

EventLogExplorer的亮点在于它支持EVT及EVTX两种格式，提供了丰富的过滤条件，此外可正确解析出日志中的计算机名、系统帐户或用户的SID等信息。;二、常见的Windows事件的分析方法

Windows事件日志中记录的信息中，关键的要素包含事件级别、记录时间、事件来源、事件ID、事件描述、涉及的用户、计算机、操作代码及任务类别等。常见Windows帐户及相关事件对照表见表4-2。

其中事件ID与操作系统版本有关，同类事件在不同操作系统中的事件ID不完全相同，最大的差异主要体现在第一版（EVT）和第二版(EVTX)的事件日志，因此在取证过程中需特别注意，在使用事件ID进行过滤搜索时，需要考虑到操作系统版本的差异。常见电子数据取证相关事件对照表（适用于Vista及以上系统）见表4-3。;表4-2常见Windows帐户及相关事件对照表;表4-3常见电子数据取证相关事件对照表（适用于Vista及以上系统）;???4-3常见电子数据取证相关事件对照表（适用于Vista及以上系统）;表4-3常见电子数据取证相关事件对照表（适用于Vista及以上系统）;表4-3常见电子数据取证相关事件对照表（适用于Vista及以上系统）;三、事件日志文件结构

事件日志(Evt)文件是一种二进制格式的文件，文件头部签名为十六进制300000004C664C65(LfLe)。全新的事件日志文件，默认情况下，事件日志记录均按顺序进行存储，每条记录均有自己的记录结构特征（LfLe）。然而当日志文件超出最大大小限制后，系统将会删除较早的日志记录，因此，日志记录也将出现不连续存储，同一个记录分散在不同的扇区位置。

当操作系统重新安装（如格式化后进行系统安装），通常可以先根据文件系统元数据信息进行数据恢复（如基于$MFT、目录项特征信息）。如文件系统元数据信息已被覆盖，那么还可以基于EVT事件日志记录的特征进行数据恢复。如基于Python编写的LfLe事件日志恢复工具(/williballenthin/LfLe)，可以基于镜像文件直接做事件日志记录的挖掘恢复。;四、Windows事件日志取证分析注意要点

Windows操作系统默认没有提供删除特定日志记录的功能，仅提供了删除所有日志的操作功能。在电子数据取证过程中，仍存在有人有意伪造事件日志记录的可能性。如遇到此类情况，建议对日志文件中的日志记录ID(EventRecordID)进行完整性检查，如检查记录ID的连续性。通过事件日志记录ID的连续性也可以发现操作系统记录的日志的先后顺序。

取证人员在使用Windows自带的事件查看器对日志文件进行分析时，需掌握查看事件日志记录详细数据内容的方法，默认使用“常规”标签页，然而有些特定的情况下，也时常需要使用“详细信息”标签页中的XML视图或友好视图来进行查看更多详细信息。通过该视图可以看到有些在事件日志记录列表中无法看到的信息，如事件日志记录编号（即EventRecordID）;Windows事件日志记录列表视图在用户没有对任何列进行排序操作前，默认是按其事件日志记录编号（即EventRecordID）来进行排序。以下是对事件日志记录编