巧妙收集入侵Windows系统的证据

随着网络规模的不断扩大，网络安全将成为人们关注的焦点，同时也将成为在更深、更广领域进一步投入的基石。当然，网络安全也是一个动态的概念。世界上没有绝对安全的网络，只有相对安全的网络。通过不断完善系统程序(及时修补系统漏洞和升级系统)，安装防火墙，同时对那些敢于扰乱秩序和在网络上实施不公正行为的人给予适当的处理，可以实现一个相对安全的环境。这必然涉及到证据的收集，本文针对Windows系统进行这方面的研究。

一.视窗系统的特点

Windows操作系统维护三个独立的日志文件:系统日志、应用程序日志和安全日志。

1.系统记录

系统日志记录系统进程和设备驱动程序的活动。它审核的系统事件包括失败的设备驱动程序、硬件错误、重复的IP地址以及服务的启动、暂停和停止。系统日志包含系统组件记录的东西。例如，在系统日志中记录启动期间要加载的驱动程序或其他系统组件的故障。系统组件记录的事件类型是预先确定的。系统日志还包括系统组件的问题，例如启动时无法加载驱动程序。

2.应用程序日志

应用程序日志包括与用户程序和商业通用应用程序的操作相关的错误活动，其审计的应用程序事件包括应用程序需要报告的所有错误或信息。应用程序日志可以包括性能监控审计的事件和应用程序或一般程序记录的事件，如登录失败次数、硬盘使用情况等重要指针；例如，数据库程序使用应用程序日志来记录文件错误；例如，开发人员决定记录哪些事件。

3.安全日志

安全日志通常是应急响应调查阶段最有用的日志。调查人员必须仔细浏览和过滤这些日志的输出，以识别其中包含的证据。安全日志主要是管理员用来记录用户登录互联网的情况。它所使用的系统审计和安全处理可以在安全日志中找到。它审核的安全事件包括用户权限、文件和目录访问、打印以及系统登录和注销的更改。安全日志可以记录安全事件，如有效的登录尝试和与资源使用相关的事件，如创建、打开或删除应用程序文件。管理员可以指定安全日志中记录的事件。例如，如果启用登录审核，系统登录尝试将被记录在安全日志中。

第二，寻找“明确的”证据

该工具提供了对系统的进一步监视，并且可以在性能监视器中看到它的图形变化。计数器日志、跟踪日志和报警提供本地或远程系统的监控记录，可以根据预先设置进行特定的跟踪和报警。您还可以使用不同的组件服务工具来配置和管理COM组件和应用程序，以记录或查找相关信息。

1.检查三个日志。

维护计算机上应用程序和安全系统事件的日志，您可以使用事件查看器查看和管理事件日志。它用于收集计算机硬件、软件和系统整体的错误信息，也用于监控一些安全问题。它可以根据应用程序日志、安全日志和系统日志的来源将记录分为三类。

事件查看器显示以下事件类型:错误是指严重的问题，通常是数据丢失或功能丢失。例如，如果服务在启动期间加载失败，将会记录一个错误。Warning给出的警告表示情况暂时不严重，但以后可能会造成错误，比如磁盘太少空等。描述应用程序、驱动程序或服务成功运行的事件。例如，当成功加载网络驱动程序时，将记录一个信息事件。成功审核审核访问尝试成功。例如，用户成功登录系统的尝试将被记录为成功的审核事件。失败审核未能审核安全尝试。例如，如果用户无法访问网络驱动器，该尝试将被记录为失败的审核事件。

请注意，当系统启动时，事件日志服务将自动启动。所有用户都可以查看应用程序日志和系统日志，但只有管理员可以访问安全日志。默认情况下，安全日志是关闭的，所以管理员应该记得打开它。管理员可以使用组策略来启用安全日志，或者在注册表中设置策略，使系统在安全日志已满时停止运行。

基于主机的检测器可以检测系统类库的更改或敏感位置文件的添加。当所有基于网络的现有证据片段结合起来，就有可能重构特定的网络事件，比如文件传输、缓冲区溢出攻击，或者在网络中使用窃取的用户账号和密码。

在调查计算机犯罪时，我们会发现许多潜在的证据来源，不仅包括基于主机的日志记录，还包括网络日志记录和其他传统形式，如指纹、证词和证人。大多数网络流量都会在其路径上留下审计线索。路由器、防火墙、服务器、IDS检测器和其他网络设备将保留日志来记录基于网络的紧急情况。当PC请求IP租用时，DHCP服务器记录网络访问。现代防火墙允许管理员在创建审计日志时有不同的粒度。IDS检测器可以根据特征识别或异常检测过滤器来捕获部分攻击。基于网络的日志记录以各种形式存储，它们可能来自不同的操作系统，并且可能需要特殊的软件来访问和读取它们。这些日志在地理上是分散的，并且经常对当前系统时间有严重的错误解释。调查人员面临的挑战是找到所有日志并将它们关联起来。从不同系统获取地理上分散的日志、维护每个日志的监管链以及重建基于网络的紧急情况都需要大量时间和大量资源。