基于WINDOWS日志的计算机取证技术的研究
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
经 济 与 法
基于 WI NDOW S日志 的计算机取证 技术 的研 究
河北北方学院 王 文 亮
随 着计 算 机 技 术 的发 展 , 计算 机 已 经深 入到 社 会 的各 行 各 业 , 成 为 社 会 经济 中必 不 可 少 的一 个 分 支 。但 是 它 在 为 人 们 的 生 活 和 工 作带 来 便 利 的 同时 ,也 为 某 些 犯 罪 分 子 提 供 了 新 的 犯 罪 手 段 和 空 间 。 量 的计 算 机 犯 罪— — 如计 算机 诈骗 、 种 政 府 、 事 、 大 各 军 商业 机 密信 息 的窃 取 和 破 坏 、 色情 网站 的泛 滥 等 等 。 我 们 的 工 作 和 生 给 活 造成 了极 大 的影 响 。而 要 侦 破 这 些 案 件 就 必 须 要 用 到 计算 机取 证 技 术 . 来 搜 寻 罪 犯及 犯 罪 证 据 , 据 此 提 起 诉讼 。 用 并 因此 , 算 机 计 取 证 成 为 目前 计 算 机 技 术 的 一 大 分 支 。 从 技 术 角 度 看 .计 算 机 取 证 就 是 对 计 算 机 存储 介 质 中 的 数 据 及 信 息进 行 保 护 、 确认 、 取 和 归 档 的 过 程 。 而 在 实 际 操 作 的 过 程 提 中 . 些 数 据 主 要 包 含在 犯 罪 分 子 使 用 的 计 算 机 的 硬 盘 、 盘 、 这 光 软 盘 、i 盘 、 Zp磁 U盘 、 内存 缓 冲 和其 他 形 式 的储 存 介 质 中 。 而这 些 证 据 的产 生 、 存 和 传 输 。 必 须 借 助 于 计 算 机 技 术 , 就 是 我 们 需 储 都 也 要 使 用 相 应 的 软 件 和 工 具 , 照 一 些 预 先 定 义 的 程 序 , 面地 检 查 按 全 计算机系统 , 以提 取 和保 护 有 关 计 算 机 犯 罪 的证 据 。 时 计算 机取 同 证 的另 一 重 要 特 征 是 这 些 证 据 除 了要 依 赖 于计 算 机 技 术 进 行 提 取 以 外 . 要 受 到 技 术 设 备 的 限 制 . 开 了这 些 设 备 . 应 的证 据 就 还 离 相 无 法 保 存 和 传 输 。同 时 这些 证 据 是极 易被 不 留任 何 痕迹 地 篡 改 和 删 除 的 。 此 为 了保 证 证 据 的可 信 、 确 、 整 . 因 准 完 我们 就必 须对 计算 机 取 证 技 术 进 行 深 入 的研 究 和透 彻 的分 析 。 计 算 机 取 证 要 解决 的重 要 问题 是 电子 物 证 的收 集 、 护 、 析 保 分 和展 示 。而 在 我 们 的计 算 机 系统 当 中可 以用 来 作 为 计 算 机 取 证 的 信息源主要有以下几种 : 1 )操 作 系 统 的文 件 和各 种 操 作 系统 日志 : 2 )在 个 人 计 算 机 或 服 务 器 上 安 装 的 各 种 防 火 墙 和 入 侵 检 测 系统 的 工 作 记 录 、 种 防 病 毒 软 件 的 日志 及 记 录 ; 各 3 )系 统 的 审计 记 录 、 络 监 控 流 量 记 录 、 种 往 来 电 子 邮 件 、 网 各 计 算 机 或 服务 器 当 中 的数 据 库 文 件 和 数 据 库 管 理 系 统 日志 中 存 在 的操作记录 ; 4 )硬 盘 交 换 分 区 、 件 设 置 的 参 数 和 文 件 、 成 特 定 功 能 的 软 完 脚本文件: 5 )在 个 人计 算 机 中 的 we b浏 览 器 中 的数 据 缓 冲 、 签 、 史 书 历 记 录 、 话 日志 以 及 实 时 聊 天 的记 录等 。 会 在 以 上罗 列 的众 多 证 据 中 ,系 统 的 日志 文 件 是 一 种 公 安 机 关 或 计 算 机 取证 爱 好 者 经 常 会 使 用 的 方 法 . 因此 . 强 对 系 统 日志 文 加 件 的认 识 和研 究 就 成 为 了研 究计 算机 取证 技 术 的必 要 手 段 。 日志 文 件 是 Wi o s 统 中 记 录 系 统 所 发 生 的 一 切 事 件 的 n w 系 d 文件 , 如各 种硬 件 、 件 和 系 统 问题 的信 息 ; 种 系 统 服 务 的 启 动 、 软 各 运行 、 闭 等信 息 ; 可 以监 视 操 作 系 统 的 安全 事 件 。 Wi o s日 关 也 n w d 志包 括 应 用 程 序 日志 、 全 日志 、 安 系统 日志 、 目录 服 务 日志 、 件 复 文 制 服 务 日志 、 N D S服 务 器 日志 等 等 。 这 些 文 件 受 到 “ vn o ( E e t g 事 L 件记 录 ) 服务 的保 护 不 能 被 删 除 ,但 可 以被 清 空 。 当 启 动 Wi. ” n dw o s时 。事 件 日志 ” 务 自动 启 动 。 有 用 户 都 能 查 看 应 用 程 序 “ 服 所 和系 统 日志 。 安全 性 日志 在 默 认 情 况 下 是 关 闭 的 。 以使 用 组 策 而 可 略来 启 用 安 全 性 日志 , 这 需 要 系 统 管 理 员 才 能 实 现 , 但 同时 管 理 员 也可 在 注 册 表 中设 置 审 核 策 略 。以便 当安 全 性 日志 满 后 使 系 统 停
参考文献 :
[ 1 玲 , 华林. 算机取 证技 术及其 发展 趋势. 件 学报, 】王 钱 计 软
2 0 ,4 9:6 5 1 4 0 3 1 f) 3 6 4 1
当我 们 在 计 算 机 上 进 行 操 作 时 , n o s系 统 的 日志 文 件 会 Widw 记 录下 来 我 们 进行 的所 有操 作 内容 , 如果 这 些 操 作 内容 涉 及 相 应 的计 算 机 安 全 性 问 题 .那 么在 系统 的安 全 日志 中就 会 有 清 淅 的记 录 , 这 些记 录对 系 统 安 全 工 作 人 员 相 当 有 用 。 如说 当有 人 对 系 而 比
∞ 1- o"
耋 一
羌
” ● o ●
( D值●
∞I s5 一
2 1-; t 0q ̄ t -
1: ∞ 4
m
・c h 工● 6 . 无
1: : s 4柏 0 6 …
l 峭 ● l④ 信■ I
¨回 僵■ }( {D艉●
2 1州 口0  ̄1- - 05 S
图 I 系 统 日志 图
为 了 防 止被 侦查 到 。 备 高 科技 作 案 技 能 犯 罪 嫌 疑 人 , 具 往往 在 犯 罪 活 动结 束 后 利 用 数 据 擦 除 、 据 隐藏 、 据 加 密 等 技术 将 自己 数 数 残 留 在 受 害 方 系 统 中 的 “ 迹 ” 除 掉 . 以利 用 系 统 日志 来 防止 痕 擦 所 非 法入 侵 光 靠 系 统 日志还 有 所 欠 缺 。 想 取 证 工 作 顺 利 进 行 , 应 要 还 利 用 一 些 计 算 机 取 证 常 用 工 具 。如 E C S WA SF K 效 率 N A EX— Y T 源 D T O A S等 , 时 , 应 改 变 计 算 机 存 放 日志 文 件 的 位 A AC MP S 同 还 置 并 且 进 一 步 修 改注 册 表 , 以防 外 来 入 侵者 能 够轻 易 修 改 犯 罪 证 据 。同时 还 应 当 结 合 其 他 的 取 证 技术 . 能 发 挥 出更 大 的效 能 。 才 如 数 据 保 护技 术 、 据 恢 复 技 术 、 据 加 密 技 术 、 据 挖 掘及 数 据 分 数 数 数 析技术 、 I P地 址 追 踪 与 定位 技 术 等 计 算 机 理 论 和 技 术 的 发 展 使 得 目前 计 算 机 取 证 技 术 呈 现 出领 域扩大化 、 学科 融 合 化 、 准 化 、 能 化 等 发 展 趋 势 。 标 智 因此 仅 仅 通 过 现 有 的 网络 安 全 技 术 打 击 计 算 机 犯 罪 已 经 不 能 够 适 应 当前 的 形 势 。 挥 社 会 道 德 的 引 导作 用 、 善 法 律 的 约 束力 量 去对 付 形 形 色 发 完 色 的计 算 机 犯 罪 才 是 解 决 问 题 的 根本 途 径 。
无 无
无 无
固 信● l( iD擅一
}( {D僵■
2 I. o o5 曲I・ Biblioteka Baidu¨
2 I— - 口 Os S
I: .筠 s c 蛆L ■ ・I: … ・c r l. 4瞄 s |1: _ ¨ c l●
l 45 S m c  ̄ t o ・1 。‘ * -G  ̄r l- .
j 肿
■ ‘ } 睹 ∞ ●b啦 ‘ I ) I
. 童 -一
暇
蕾
} I
■
一
、 一
: : 圜慧
●■涨 H)
} 一 _ { 牲 日
l I ■
响
l・ : ・" ∞
穗
m
懒
: 。 f嚣 : t: 一 酉 孽 一 i } l a 塞 。 : f0 i6 :。器 2 1
[】 2 赵小敏 , 陈庆 章. 计算机取 证的研 究现状和 展望. 计算机安
s …
・c nr l■ ・ -
无
无
s ni ・c hr l■ ・ c ・to
l 藕■ 馕瓣蘸赫蒜 瓣鼢黼潮鹱驻辫戮茹 { C 柏' n — ' ‘鲫 s ^・ ・ ・' 带 … ・ r
一 一 。 … 一 … , . 一
系
f
j
∞l・ _ O‘ 5 L 1- - M 0S S  ̄ -
l s∞ s t ・c ・ ‘I ・ c … l- 1 :45 s c 口 t d ■ 4 1 :口 … ・c  ̄r .
I 。4∞ Save 吨t . t1 s / ・c r 1● r l・ 4瞽 s r l ・c r ■ t1 ・t c 酶t d
止 响应 。
统进 行 I C探 测 的 时 候 ,系 统 就 会 在 安 全 日志 里 迅 速 地记 下 探 测 P 者所 用 的 I 、 间 、 户 名 等 , 系 统 管 理 员 在 安 全 日志用 F' P时 用 而 I P探 测 后 . 会 在 n 1 日志 中 记 下 I 时 间 、 测 所 用 的用 户 名 等 。 因 就 P P、 探 此 Wid w n o s网 络 操 作 系 统 日志 文 件 就 成 为 了 计 算 机 取 证 的 主 要 方法之一 。 在 Wid w n o S系 统 中查 看 日志 文 件 很 简 单 。 具 体 过 程 为 : 开 “
始 一 控 制 面 板一 管 理 工 具一 事 件 查 看 器 ”在 事 件 查看 器 窗 口左 栏 , 中列 出本 机 中所 包 含 的 日志 类 型 , 应 用 程 序 、 全 、 统 等 ( 图 如 安 系 如 1 示) 所 。而在 右 边 窗 口列 出在 在 左 栏 中选 中的 日志 类 型所 对应 的 该 类 型 日志 的所 有 记 录 , 双击 其 中某 个 记 录 , 出 “ 件 属 性 ” 话 弹 事 对 框。 显示 出 该 记 录 的 详 细信 息 , 这样 我 们 就 能 准 确 的掌 握 系 统 中 到
无 无
茏
国 僵●
“( D僵■
2 t . o s
∞I- O5
l 4s s r ‘1 I . ¨ c f 1■ 吨t .
L ‘艟 s —l : … c r ● t
无
无
”( D僵●
H④ 瞎■
∞1— — o55
拍I— - O' 5
I+ 4驶 ・1
I ^“: 6 0
基于 WI NDOW S日志 的计算机取证 技术 的研 究
河北北方学院 王 文 亮
随 着计 算 机 技 术 的发 展 , 计算 机 已 经深 入到 社 会 的各 行 各 业 , 成 为 社 会 经济 中必 不 可 少 的一 个 分 支 。但 是 它 在 为 人 们 的 生 活 和 工 作带 来 便 利 的 同时 ,也 为 某 些 犯 罪 分 子 提 供 了 新 的 犯 罪 手 段 和 空 间 。 量 的计 算 机 犯 罪— — 如计 算机 诈骗 、 种 政 府 、 事 、 大 各 军 商业 机 密信 息 的窃 取 和 破 坏 、 色情 网站 的泛 滥 等 等 。 我 们 的 工 作 和 生 给 活 造成 了极 大 的影 响 。而 要 侦 破 这 些 案 件 就 必 须 要 用 到 计算 机取 证 技 术 . 来 搜 寻 罪 犯及 犯 罪 证 据 , 据 此 提 起 诉讼 。 用 并 因此 , 算 机 计 取 证 成 为 目前 计 算 机 技 术 的 一 大 分 支 。 从 技 术 角 度 看 .计 算 机 取 证 就 是 对 计 算 机 存储 介 质 中 的 数 据 及 信 息进 行 保 护 、 确认 、 取 和 归 档 的 过 程 。 而 在 实 际 操 作 的 过 程 提 中 . 些 数 据 主 要 包 含在 犯 罪 分 子 使 用 的 计 算 机 的 硬 盘 、 盘 、 这 光 软 盘 、i 盘 、 Zp磁 U盘 、 内存 缓 冲 和其 他 形 式 的储 存 介 质 中 。 而这 些 证 据 的产 生 、 存 和 传 输 。 必 须 借 助 于 计 算 机 技 术 , 就 是 我 们 需 储 都 也 要 使 用 相 应 的 软 件 和 工 具 , 照 一 些 预 先 定 义 的 程 序 , 面地 检 查 按 全 计算机系统 , 以提 取 和保 护 有 关 计 算 机 犯 罪 的证 据 。 时 计算 机取 同 证 的另 一 重 要 特 征 是 这 些 证 据 除 了要 依 赖 于计 算 机 技 术 进 行 提 取 以 外 . 要 受 到 技 术 设 备 的 限 制 . 开 了这 些 设 备 . 应 的证 据 就 还 离 相 无 法 保 存 和 传 输 。同 时 这些 证 据 是极 易被 不 留任 何 痕迹 地 篡 改 和 删 除 的 。 此 为 了保 证 证 据 的可 信 、 确 、 整 . 因 准 完 我们 就必 须对 计算 机 取 证 技 术 进 行 深 入 的研 究 和透 彻 的分 析 。 计 算 机 取 证 要 解决 的重 要 问题 是 电子 物 证 的收 集 、 护 、 析 保 分 和展 示 。而 在 我 们 的计 算 机 系统 当 中可 以用 来 作 为 计 算 机 取 证 的 信息源主要有以下几种 : 1 )操 作 系 统 的文 件 和各 种 操 作 系统 日志 : 2 )在 个 人 计 算 机 或 服 务 器 上 安 装 的 各 种 防 火 墙 和 入 侵 检 测 系统 的 工 作 记 录 、 种 防 病 毒 软 件 的 日志 及 记 录 ; 各 3 )系 统 的 审计 记 录 、 络 监 控 流 量 记 录 、 种 往 来 电 子 邮 件 、 网 各 计 算 机 或 服务 器 当 中 的数 据 库 文 件 和 数 据 库 管 理 系 统 日志 中 存 在 的操作记录 ; 4 )硬 盘 交 换 分 区 、 件 设 置 的 参 数 和 文 件 、 成 特 定 功 能 的 软 完 脚本文件: 5 )在 个 人计 算 机 中 的 we b浏 览 器 中 的数 据 缓 冲 、 签 、 史 书 历 记 录 、 话 日志 以 及 实 时 聊 天 的记 录等 。 会 在 以 上罗 列 的众 多 证 据 中 ,系 统 的 日志 文 件 是 一 种 公 安 机 关 或 计 算 机 取证 爱 好 者 经 常 会 使 用 的 方 法 . 因此 . 强 对 系 统 日志 文 加 件 的认 识 和研 究 就 成 为 了研 究计 算机 取证 技 术 的必 要 手 段 。 日志 文 件 是 Wi o s 统 中 记 录 系 统 所 发 生 的 一 切 事 件 的 n w 系 d 文件 , 如各 种硬 件 、 件 和 系 统 问题 的信 息 ; 种 系 统 服 务 的 启 动 、 软 各 运行 、 闭 等信 息 ; 可 以监 视 操 作 系 统 的 安全 事 件 。 Wi o s日 关 也 n w d 志包 括 应 用 程 序 日志 、 全 日志 、 安 系统 日志 、 目录 服 务 日志 、 件 复 文 制 服 务 日志 、 N D S服 务 器 日志 等 等 。 这 些 文 件 受 到 “ vn o ( E e t g 事 L 件记 录 ) 服务 的保 护 不 能 被 删 除 ,但 可 以被 清 空 。 当 启 动 Wi. ” n dw o s时 。事 件 日志 ” 务 自动 启 动 。 有 用 户 都 能 查 看 应 用 程 序 “ 服 所 和系 统 日志 。 安全 性 日志 在 默 认 情 况 下 是 关 闭 的 。 以使 用 组 策 而 可 略来 启 用 安 全 性 日志 , 这 需 要 系 统 管 理 员 才 能 实 现 , 但 同时 管 理 员 也可 在 注 册 表 中设 置 审 核 策 略 。以便 当安 全 性 日志 满 后 使 系 统 停
参考文献 :
[ 1 玲 , 华林. 算机取 证技 术及其 发展 趋势. 件 学报, 】王 钱 计 软
2 0 ,4 9:6 5 1 4 0 3 1 f) 3 6 4 1
当我 们 在 计 算 机 上 进 行 操 作 时 , n o s系 统 的 日志 文 件 会 Widw 记 录下 来 我 们 进行 的所 有操 作 内容 , 如果 这 些 操 作 内容 涉 及 相 应 的计 算 机 安 全 性 问 题 .那 么在 系统 的安 全 日志 中就 会 有 清 淅 的记 录 , 这 些记 录对 系 统 安 全 工 作 人 员 相 当 有 用 。 如说 当有 人 对 系 而 比
∞ 1- o"
耋 一
羌
” ● o ●
( D值●
∞I s5 一
2 1-; t 0q ̄ t -
1: ∞ 4
m
・c h 工● 6 . 无
1: : s 4柏 0 6 …
l 峭 ● l④ 信■ I
¨回 僵■ }( {D艉●
2 1州 口0  ̄1- - 05 S
图 I 系 统 日志 图
为 了 防 止被 侦查 到 。 备 高 科技 作 案 技 能 犯 罪 嫌 疑 人 , 具 往往 在 犯 罪 活 动结 束 后 利 用 数 据 擦 除 、 据 隐藏 、 据 加 密 等 技术 将 自己 数 数 残 留 在 受 害 方 系 统 中 的 “ 迹 ” 除 掉 . 以利 用 系 统 日志 来 防止 痕 擦 所 非 法入 侵 光 靠 系 统 日志还 有 所 欠 缺 。 想 取 证 工 作 顺 利 进 行 , 应 要 还 利 用 一 些 计 算 机 取 证 常 用 工 具 。如 E C S WA SF K 效 率 N A EX— Y T 源 D T O A S等 , 时 , 应 改 变 计 算 机 存 放 日志 文 件 的 位 A AC MP S 同 还 置 并 且 进 一 步 修 改注 册 表 , 以防 外 来 入 侵者 能 够轻 易 修 改 犯 罪 证 据 。同时 还 应 当 结 合 其 他 的 取 证 技术 . 能 发 挥 出更 大 的效 能 。 才 如 数 据 保 护技 术 、 据 恢 复 技 术 、 据 加 密 技 术 、 据 挖 掘及 数 据 分 数 数 数 析技术 、 I P地 址 追 踪 与 定位 技 术 等 计 算 机 理 论 和 技 术 的 发 展 使 得 目前 计 算 机 取 证 技 术 呈 现 出领 域扩大化 、 学科 融 合 化 、 准 化 、 能 化 等 发 展 趋 势 。 标 智 因此 仅 仅 通 过 现 有 的 网络 安 全 技 术 打 击 计 算 机 犯 罪 已 经 不 能 够 适 应 当前 的 形 势 。 挥 社 会 道 德 的 引 导作 用 、 善 法 律 的 约 束力 量 去对 付 形 形 色 发 完 色 的计 算 机 犯 罪 才 是 解 决 问 题 的 根本 途 径 。
无 无
无 无
固 信● l( iD擅一
}( {D僵■
2 I. o o5 曲I・ Biblioteka Baidu¨
2 I— - 口 Os S
I: .筠 s c 蛆L ■ ・I: … ・c r l. 4瞄 s |1: _ ¨ c l●
l 45 S m c  ̄ t o ・1 。‘ * -G  ̄r l- .
j 肿
■ ‘ } 睹 ∞ ●b啦 ‘ I ) I
. 童 -一
暇
蕾
} I
■
一
、 一
: : 圜慧
●■涨 H)
} 一 _ { 牲 日
l I ■
响
l・ : ・" ∞
穗
m
懒
: 。 f嚣 : t: 一 酉 孽 一 i } l a 塞 。 : f0 i6 :。器 2 1
[】 2 赵小敏 , 陈庆 章. 计算机取 证的研 究现状和 展望. 计算机安
s …
・c nr l■ ・ -
无
无
s ni ・c hr l■ ・ c ・to
l 藕■ 馕瓣蘸赫蒜 瓣鼢黼潮鹱驻辫戮茹 { C 柏' n — ' ‘鲫 s ^・ ・ ・' 带 … ・ r
一 一 。 … 一 … , . 一
系
f
j
∞l・ _ O‘ 5 L 1- - M 0S S  ̄ -
l s∞ s t ・c ・ ‘I ・ c … l- 1 :45 s c 口 t d ■ 4 1 :口 … ・c  ̄r .
I 。4∞ Save 吨t . t1 s / ・c r 1● r l・ 4瞽 s r l ・c r ■ t1 ・t c 酶t d
止 响应 。
统进 行 I C探 测 的 时 候 ,系 统 就 会 在 安 全 日志 里 迅 速 地记 下 探 测 P 者所 用 的 I 、 间 、 户 名 等 , 系 统 管 理 员 在 安 全 日志用 F' P时 用 而 I P探 测 后 . 会 在 n 1 日志 中 记 下 I 时 间 、 测 所 用 的用 户 名 等 。 因 就 P P、 探 此 Wid w n o s网 络 操 作 系 统 日志 文 件 就 成 为 了 计 算 机 取 证 的 主 要 方法之一 。 在 Wid w n o S系 统 中查 看 日志 文 件 很 简 单 。 具 体 过 程 为 : 开 “
始 一 控 制 面 板一 管 理 工 具一 事 件 查 看 器 ”在 事 件 查看 器 窗 口左 栏 , 中列 出本 机 中所 包 含 的 日志 类 型 , 应 用 程 序 、 全 、 统 等 ( 图 如 安 系 如 1 示) 所 。而在 右 边 窗 口列 出在 在 左 栏 中选 中的 日志 类 型所 对应 的 该 类 型 日志 的所 有 记 录 , 双击 其 中某 个 记 录 , 出 “ 件 属 性 ” 话 弹 事 对 框。 显示 出 该 记 录 的 详 细信 息 , 这样 我 们 就 能 准 确 的掌 握 系 统 中 到
无 无
茏
国 僵●
“( D僵■
2 t . o s
∞I- O5
l 4s s r ‘1 I . ¨ c f 1■ 吨t .
L ‘艟 s —l : … c r ● t
无
无
”( D僵●
H④ 瞎■
∞1— — o55
拍I— - O' 5
I+ 4驶 ・1
I ^“: 6 0