电子数据检验Windows操作系统日志分析57课件.pptxVIP

Windows操作系统日志分析电子数据检验

目标Objectives要求了解Windows操作系统日志的基本概念；了解Windows操作系统日志的分析方法；

Windows操作系统日志分析一、什么是Windows系统日志Windows系统日志是指操作系统在运行生命周期内，以特定数据结构方式存储、记录操作系统运行过程的日志信息。用户可以通过它来检查错误发生的原因，或者寻找受到攻击时攻击者留下的痕迹。Windows主要有以下三类日志记录系统事件：应用程序日志、系统日志和安全日志。默认存放路径应用程序日志：%SystemRoot%\System32\Winevt\Logs\Application.evtx系统日志：%SystemRoot%\System32\Winevt\Logs\System.evtx安全日志：%SystemRoot%\System32\Winevt\Logs\Security.evtx第3章电子数据检验

Windows操作系统日志分析应用程序日志包含由应用程序或系统程序记录的事件，主要记录程序运行方面的事件。第3章电子数据检验

Windows操作系统日志分析系统日志记录操作系统组件产生的事件，主要包括驱动程序、系统组件和应用程序软件的崩溃以及数据丢失错误等。第3章电子数据检验

Windows操作系统日志分析安全日志记录系统的安全审计事件，包含各种类型的登录日志、对象访问日志、进程追踪日志、特权使用、账号管理、策略变更、系统事件。第3章电子数据检验

Windows操作系统日志分析二、Windows事件ID事件ID（事件标识符）唯一标识特定事件。每个事件源可以定义自己的编号事件以及在其消息文件中映射到的描述字符串。事件查看器可向用户提供这些字符串。常见的Windows事件ID：4624：账户登录成功4625：账户登录失败4720：创建用户4726：删除用户4634/4647:账户已注销104：日志清除4672：用户使用超级用户权限登录（Administrator）6005：事件日志服务已启动（开机）6006：事件日志服务已停止（关机）6009：电脑异常关机如断电第3章电子数据检验

Windows操作系统日志分析三、日志分析Windows操作系统默认没有提供删除特定日志记录的功能，仅提供了删除所有日志的操作功能。也就意味着日志记录ID应该是连续的，默认的排序方式应该是从大到小往下排列。通过Windows事件日志的取证分析，取证人员可以对操作系统、应用程序、服务、设备等操作行为记录，通过关键的时间点进行回溯。查看日志的重点内容：1.查看用户在本地进行登录的日志痕迹；2.查看网络连接进行登录的日志痕迹；3.查看远程桌面进行登录的日志痕迹。第3章电子数据检验

Windows操作系统日志分析当我们分析用户登录记录的时候就会发现，在Windows系统的安全日志中，有一个“登录类型”的说明。其实这个登录类型就是记录了用户登录到Windows系统的方式。第3章电子数据检验

Windows操作系统日志分析（1）查看用户在本地进行登录的日志痕迹如下图为Administrator用户通过键盘输入密码正常登录到Windows的日志，登录类型为2。第3章电子数据检验

Windows操作系统日志分析（2）查看网络连接进行登录的日志痕迹这里使用192.168.64.1IPC连接192.168.64.140。第3章电子数据检验

Windows操作系统日志分析（3）查看远程桌面进行登录的日志痕迹通过Win10电脑（IP地址为192.168.64.1）使用safefox账户对Win2008电脑进行远程桌面连接（IP地址为192.168.64.140）。第3章电子数据检验

Windows操作系统日志分析知识点内容小结：1、Windows系统日志的概念及种类；2、Windows事件ID的概念及常见的事件ID；3、Windows系统日志的分析。第3章电子数据检验

谢谢观看