winhex下载(arpr选定的文件非rar压缩包)


* 本文作者:TomKing,本文属FreeBuf原创奖励计划,未经许可禁止

前言

最近遇到不少应急都提出一个需求,能不能溯源啊?这个事还真不好干,你把证据,犯案时间都确定的时候,要求翻看监控(日志)对应犯罪嫌疑人时,突然说监控(日志)没有记录。不过现在都要求保留至少6个月的日志,因此这种原因会少了很多,然而我对于Windows中系统日志不了解,在解读时经常摸不着头脑,所以就认真的分析了evtx格式的系统日志。这篇文章可能记录的不是很全面,师傅们多多指教。

Windows系统日志介绍

Windows操作系统在其运行生命周期中会记录大量的日志信息,包括Windows事件日志、Windows服务器系统的IIS日志、FTP日志、Exchange Server邮件服务、MS SQL Server数据库日志等。在处理紧急事件时,客户需要提供可追溯性,这些日志信息在证据收集和可追溯性方面起着重要作用。

Windows事件日志文件实际上将内容存储在特定的数据结构中,包括关于系统、安全和应用程序的记录。每个记录事件的数据结构包含九个元素(可以理解为数据库中的字段):日期/时间、事件类型、用户、计算机、事件ID、来源、类别、描述、数据等信息。应急工程师可以根据日志获取证据,在电脑上了解具体行为。