一、日志取证基本原理
1、 Windows系统在跟踪记录各种系统活动和软件功能时,会产生大量的数据文件,这种实时记录系统运行状态的文件被称为日志。日志文件的取证在Windows取证方面起着重要的作用
2、事件日志是Windows系统中最基本的日志。它记录了操作系统、计算机软硬件甚至是安全方面的大量信息,事件日志主要包含系统日志、应用程序日志和安全日志三种
3、系统日志主要跟踪各种各样的系统事件,包括Windows系统组件出现的问题,比如跟踪系统启动过程中的事件、硬件和控制器的故障、启动时某个驱动程序加载失败等
4、应用程序日志主要跟踪应用程序关联的事件,比如应用程序产生的装载DLL(动态链接库)失败的信息将出现在日志中
5、 安全日志主要记录系统中与安全相关的事件信息,如登录上网、改变访问权限以及系统的启动与关闭
6、Windows系统中还有一类日志是专为跟踪某项服务而记录的,如Web日志、FTP日志、vpn日志等,其所产生的日志文件往往是纯文本文件且是格式化的
二、实验步骤
(一)事件日志
1.1 依次点击“开始”->“管理工具”->“事件查看器”,展开“Windows日志”可以看到五种类型的日志记录,在此界面中可以对各类日志进行筛选、分析(事件ID对照可在微软官方网站查阅)。如图所示
1.2 事件日志在磁盘上的存放位置为“C:\Windows\System32\winevt\Logs”,该文件夹中存储了所有的事件查看器可见的各类型日志。如图所示
1.3 将“System.evtx”文件复制到其他文件夹,用WinHex打开(权限问题)。如图所示
1.4 该日志文件头大小为4KB,目前仅适用前128字节保存日志文件的一些基本信息。前8个字节是evtx文件的魔数字符串“ElfFile”即日志文件的文件签名。详细文件头结构如图所示
二、Web格式化日志
2.1 依次点击“开始”->“管理菜单”->“Internet 信息服务(IIS)管理器”,左侧“连接”栏中选择服务器,双击“主页”中“IIS”操作栏的“日志”。如图所示
2.2 在“日志”页面可以看到IIS服务器的日志存储格式、存储位置、编码方式。如图所示
2.3 在资源管理器中打开日志所在文件夹,可见其中有一日志文件夹为“W3SVC1”,此文件夹为该服务器上的IIS日志文件夹。如图所示
2.4 打开文件夹可见其中存在的以一定格式命名的日志文件。如图所示
2.5 打开其中一个日志文件查看内容。如图所示
2.6 在日志内容上,每一条访问日志包括:访问时间、客户端IP、数据包提交方式、客户端访问URL、服务器响应状态码等信息。
三、恶意代码取证基本原理
1、对恶意代码进行取证,实际就是对恶意代码进行分析,了解代码的行为意图,掌握其特征信息,为下一步的恶意代码检测、预防和清除提供依据
2、Autoruns:查看哪些程序被配置为在系统启动和用户登录时自动启动,该程序也可显示注册表和文件位置的完整列表,应用程序可在此配置自动启动设置
3、Process Monitor(Procmon.exe):实时监视文件系统、注册表、进程、线程和DLL活动
4、 tcpView:查看端口及线程
四、实验步骤
(一)感染木马之前
1.1 打开软件“Autoruns”查看当前系统原始启动项。如图所示
(二)木马分析
2.1 双击运行木马程序“Server.exe”,打开“Procmon.exe”软件查看当前系统进程,木马程序进程名称为“Hacker.com.cn.exe”(蓝色标记条目),PID为“3828”。如图所示
2.2 选择菜单栏中的“过滤”->“过滤…”,在“Process Monitor过滤”对话框中添加匹配项(pid以当前为准)。如图所示
2.3 点击确定后过滤器成功执行,仅显示木马程序的进程(字体太小看不清时可以选择菜单栏中的“选项”->“字体”进行调整)。如图所示
2.4 从上图可以看出,木马运行时,首先开启线程,线程ID为2104,紧接着尝试两次TCP重连接,由本机的随机端口49777到目标机的监听端口8000,两次尝试连接之后退出线程2104,之后继续尝试连接木马客户端。
2.5 打开软件“TCPview_CHS.exe”查看系统TCP连接,刚打开时未发现木马程序的连接活动(实验环境为局域网环境,病毒无法实现tcp连接)。如图所示
2.6 稍微等待片刻便发现有一个进程名为“hacker.com.cn.exe”的TCP连接进行三次握手操作。如图所示
2.7 打开软件“Autoruns”查看启动项,发现多出一个注册表内容。如图所示
,