网络取证与Windows日志分析|计算机毕业论文|计算机毕业设计|免费范文下载网站

中文摘要

摘要：从网络取证的角度研究了系统日志的分析技术、反清除技术、日志的保全技术和IP地理位置调查技术。在对日志文件和日志格式进行研究和分析的基础上，总结出用事件查看器查看分析日志，导入导出日志文件的方法。并在最后对一个DNS日志实例进行分析，列出可疑IP地址。

关键词网络取证日志日志分析DNS

外文摘要

TitleNetworkForensicsandResearchingWindowsLog

Abstract

Thispaperexplorestheanalyzingtechnology,theanti-clearancetechnology,thetechnologyofpreservingsystemlogandthetechnologyofIPinvestigationofthesystemlog.ItsummarizesthemethodsofcheckingtheanalyzinglogwithEventViewerandinputandoutputlogfiles.AndinthelastpartitanalyzesacaseofDNSlogandliststhesuspiciousIPaddress.

KeywordsNetworkevidencecollectionLogfilesLogAnalysisDNS

1概述1
1.1问题的提出1
1.2研究内容和目的1
2网络取证的相关概念1
2.1网络取证的定义1
2.2网络取证的证据的来源2
2.3日志的概念2
2.4计算机系统日志的特点4
2.5计算机系统日志的作用5
3计算机网络取证日志的相关技术6
3.1日志分析技术6
3.1.1Windows2000日志文件格式6
3.1.2用“事件查看器”分析日志7
3.2日志的反清除技术11
3.2.1修改日志文件存放目录11
3.2.2设置文件访问权限13
3.3日志的保全13
3.4IP地理位置调查技术13
4执行一次DNS服务器入侵日志分析16
4.1用事件查看器查看DNS日志16
4.2事件日志的缺点16
4.3用事件查看器导出DNS日志17
4.4分析DNS日志18
4.4.1调查IP地址的需要和困难18
4.4.2DNS日志中的各个事件ID18
4.4.3分析DNS日志中的IP信息19
结论24
致谢25
参考文献26

2.1网络取证的定义

网络取证（networkforensics）一词，通常用于描述对网络行为信息的收集，分析，监控，审计。它常用于描述事后调查的手段以及提供接近实时响应的方法。DigitalForensicResearchWorkshop(DFRWS)2001的会议上讨论并给出了网络取证的定义：使用科学的证明方法来收集、融合、发现、检查、关联、分析以及存档数字证据，这些证据涉及多层次的主动处理过程以及数据源的传递过程，其目的是发现有预谋的破坏行为或已经成功的非授权的攻击行为，并为应急事件的响应和系统恢复提供有用的信息。[9]

网络取证应该包含计算机取证，是广义的计算机取证，是网络环境中的计算机取证。随着网络应用的不断深入，网络取证的重要性也越来越强。

2.2网络取证的证据的来源

网络证据主要来自以下三个方面：

(1)来自于主机的证据：系统事件记录和记录系统应用事件的系统日志文件、文件的电子特征(如MAC时间)、可恢复的数据、系统时间、加密及隐藏的文件、文件Slack空间、未分配的空间(ErasedFiles)、交换文件（SwapFile）、系统恢复文件（RecoveryFile）、入侵者残留物——如程序、脚本、进程、内存映像、系统缓冲区、系统内存、Cookies、历史文件、临时文件、系统数据区、硬盘上的坏簇、注册表、打印机及其它设备的内存等。

(2)来自于网络通信数据包的证据：在基于网络的取证中，采集在网络段上传输的网络通信数据包作为证据的来源。这种方式可以发现对主机系统来说不易发现的某种攻击的证据。

(3)来自于其他安全产品的证据：防火墙、IDS系统、访问控制系统、路由器、网卡、PDA以及其他安全设备、网络设备、网络取证分析系统产生的日志信息。

2.3日志的概念

所谓日志（Log），是指系统所指定对象的某些操作和其操作结果按时间有序的集合。每个日志文件由日志记录组成，每条日志记录描述了一次单独的系统事件。通常情况下，Windows系统日志中的日志用户可以直接用事件查看器查看，其中包含了一个时间戳和一个消息，或者子系统所特有的其他信息。日志记录系统这些日常时间或者误操作警报的日期及时间戳信息对计算机犯罪调查人员非常有用。日志文件为服务器、工作站、防火墙和应用软件等IT资源相关活动记录必要的、有价值的信息。

在Windows操作系统中，有三个相互独立的日志文件：系统日志、应用程序日志、安全日志。

(1)系统日志(SysEvent.evt)：记录系统进程和设备驱动程序的活动。它审核的系统事件包括启动失败的设备驱动程序、硬件错误、重复的IP地址，以及服务的启动、暂停和停止。系统日志包含由系统组件记录的事情。例如，在系统日志中记录启动期间要加载的驱动程序或其他系统组件的故障，比如启动时某个驱动程序加载失败等。

(2)应用程序日志(AppEvent.evt)：包括关于用户程序和商业通用应用程序的运行方面的错误活动，它审核的应用程序事件包括所有错误或应用程序需要报告的信息。比如失败登录的次数、硬盘使用的情况和其它重要的指针等。

(3)安全日志(SecEvent.evt)：安全日志通常是在应急响应调查阶段最有用的日志。任何用户都可以浏览应用程序日志和系统日志，但是只有管理员才可以查看安全日志。调查员必须仔细浏览和过滤这些日志的输出，以识别它们包含的证据。安全日志主要用于管理员记载用户登录上网的情况。在安全日志中可以找到它使用的系统审核和安全处理。它审核的安全事件包括用户特权的变化、文件和目录访问、打印以及系统登录和注销。安全日志可以记录诸如有效的登录尝试等安全事件以及与资源使用有关的事件，例如创建、打开或删除应用文件。管理员可以指定在安全日志中记录的事件。

Windows的日志文件大小默认为512KB，当达到日志文件设置的最大上限时，系统则会修改久于7天的日志，图2.1为应用程序日志的默认情况：