电⼦数据取证技术应⽤--系统日志取证.docVIP

系统日志取证

【实验目的】

1)了解日志取证的内容

【实验原理】

1)Windows系统在跟踪记录各种系统活动和软件功能时，会产生大量的数据文件，这种实时记录系统运行状态的文件被称为日志。日志文件的取证在Windows取证方面起着重要的作用

2)事件日志是Windows系统中最基本的日志。它记录了操作系统、计算机软硬件甚至是安全方面的大量信息，事件日志主要包含系统日志、应用程序日志和安全日志三种

3)系统日志主要跟踪各种各样的系统事件，包括Windows系统组件出现的问题，比如跟踪系统启动过程中的事件、硬件和控制器的故障、启动时某个驱动程序加载失败等

4)应用程序日志主要跟踪应用程序关联的事件，比如应用程序产生的装载DLL（动态链接库）失败的信息将出现在日志中

5)安全日志主要记录系统中与安全相关的事件信息，如登录上网、改变访问权限以及系统的启动与关闭

6)Windows系统中还有一类日志是专为跟踪某项服务而记录的，如Web日志、FTP日志、vpn日志等，其所产生的日志文件往往是纯文本文件且是格式化的

【实验环境】

WindowsServer2008（实验结果以环境为准，截图仅供参考）

【实验步骤】

一、事件日志

1.1依次点击“开始”-“管理工具”-“事件查看器”，展开“Windows日志”可以看到五种类型的日志记录，在此界面中可以对各类日志进行筛选、分析（事