羅文華張 謙

（1 中國刑警學院 遼寧 沈陽 110035；2 長治市公安局刑事技術支隊 山西 長治 046000）

從破壞計算機信息系統(tǒng)案件看Windows系統(tǒng)日志取證實踐

羅文華1張 謙2

（1 中國刑警學院 遼寧 沈陽 110035；2 長治市公安局刑事技術支隊 山西 長治 046000）

Windows系統(tǒng)日志能夠記錄系統(tǒng)中發(fā)生的各類事件，為涉計算機犯罪案件的破獲提供重要證據(jù)或線索。本文以一起真實的破壞計算機信息系統(tǒng)案件為背景，通過Windows系統(tǒng)日志記錄具體格式的分析，詳細說明針對系統(tǒng)日志的電子數(shù)據(jù)取證步驟與方法。

Windows系統(tǒng)日志 SecEvent.Evt特征標識 事件ID 事件描述 IP地址

1 案件背景

2012年5月6日，某政府部門網站負責人周某報案稱，其部門網站（http://www.XXXXX.com.cn，為保密起見部分信息用字符X代替，下同）及公共服務業(yè)務無法正常運行，懷疑有人非法侵入該部門計算機系統(tǒng)并破壞其內部數(shù)據(jù)資料，從而導致政務運行受到嚴重影響。取證人員對該部門計算機系統(tǒng)進行了初步調查，發(fā)現(xiàn)該系統(tǒng)中的C盤安裝有Web服務器和MySQL數(shù)據(jù)庫，D盤則已被格式化。針對D盤執(zhí)行數(shù)據(jù)恢復操作后，恢復出大量網站文件、業(yè)務數(shù)據(jù)以及管理信息。上述信息由于格式化操作而遭到損壞，導致網站業(yè)務無法正常運營。同時根據(jù)D盤下NTFS文件系統(tǒng)元文件時間屬性信息判斷，獲知該分區(qū)于時間05/05/2012 23:15:14被格式化（圖1）。為獲取更為全面詳盡的案情信息，取證人員重點針對系統(tǒng)日志文件開展深入細致分析。

圖1 依據(jù)NTFS文件系統(tǒng)元文件時間屬性信息判斷分區(qū)格式化時間

2 Windows系統(tǒng)日志取證實踐

2.1 針對現(xiàn)存日志記錄的取證分析

在C盤下，取證人員發(fā)現(xiàn)一個Windows Server 2003系統(tǒng)安全日志（SecEvent.Evt）文件。圖2所示為該安全日志中的第1條記錄具體信息，表示05/05/2012 23:28:09有人使用系統(tǒng)賬戶“bXXXX2”登錄了該部門計算機系統(tǒng)（計算機名稱為“BXXXX-SRV”），并將該時間之前的安全日志記錄清除（事件ID517，日志描述為“The audit log was cleared”）。

圖2 安全日志信息被惡意清除

之后該人于05/05/2012 23:28:42登出了計算機系統(tǒng)。在緊接下來的05/05/2012 23:29:25，有人通過遠程方式（“Logon Type:10”表示登錄方式為RemoteInteractive），使用系統(tǒng)賬戶“bXXXX2”再一次成功登錄了該計算機系統(tǒng)(計算機名稱為“BXXXX-SRV”)，而調用方用戶名為“BXXXX-SRV”，所對應的遠程登錄IP地址為210.153.XXX.XXX，使用端口號1263（圖3）。

圖3 通過遠程交互方式登錄部門計算機系統(tǒng)

之后，該用戶于05/05/2012 23:30:05從部門系統(tǒng)登出（圖4）。事件ID551表示用戶登出成功；S-1-5-21-4096344289-2173091205-2588847971-XX X則為登錄用戶的 SID（安全標識符，Security Identifiers），表示標識符頒發(fā)機構和域內特定的賬戶及組等信息。

圖4 用戶bXXXX2從計算機系統(tǒng)登出

2.2 針對被刪除日志記錄的取證分析

由于部分關鍵日志信息已被刪除，因此取證人員決定針對未分配空間利用關鍵字搜索技術找尋殘余日志信息。依據(jù)微軟公司官方網站提供的資料，可知Windows XP/2003系統(tǒng)日志記錄采用如下表所示的結構格式。從記錄頭開始的4字節(jié)表示該日志記錄的長度，后接日志記錄特征標識“LfLe”；記錄號后則是日志記錄的生成與寫入時間信息，該信息采用“Unix/C日期+時間”方式表示，需解析后才能獲知具體時間；再后便是和具體記錄緊密相關的事件ID、事件類型、事件描述等信息。

若要獲知已被刪除的日志記錄信息，可利用特征標識“LfLe”（4C 66 4C 65）進行關鍵字搜索。為避免命中信息數(shù)量過多，還可配合已知線索作為組合關鍵字，圖5所示即為利用“LfLe”及已知的IP地址（210.153.XXX.XXX，Unicode編碼格式）命中的日志記錄信息。根據(jù)表所示記錄格式，可知該記錄長度為0x128字節(jié)，日志記錄的生成和寫入時間均為“4F A5 3F 32”，解析后可得05/05/2012 22:54:42；事件ID為540（0x21C），事件類型為8；String Offset為0x0000007C，表示該記錄頭部偏移124字節(jié)處為日志描述信息。從圖5可以看出，除了已知的IP地址信息外，該記錄還包含有用于遠端控制的計算機名稱信息“PC25”。

圖5 被刪除日志中出現(xiàn)有用于遠端控制的計算機名稱信息

表 Windows XP/2003系統(tǒng)日志記錄格式

在其他的殘余信息中，取證人員還發(fā)現(xiàn)有人于05/05/2012 22:55:38使用遠程控制軟件WinVNC4以匿名身份（anonymous）與該部門計算機系統(tǒng)建立連接，并于05/05/2012 22:55:47成功登錄了該計算機系統(tǒng)，遠程登錄IP地址均為210.153.XXX.XXX（圖6）。

圖6 被刪除日志中的遠程登錄信息

2.3 基于獲取到的日志信息展開后續(xù)偵查

經調查，日志中提取到的IP地址210.153.XXX. XXX為聯(lián)通網苑XXX網吧所擁有。在網吧業(yè)主協(xié)助下，偵查人員尋找到了名稱為“PC25”的計算機（經確認，此網吧內只有該臺計算機以此名稱命名）?；诰W吧上網歷史記錄，偵查人員確定家住沈陽市皇姑區(qū)的郝某某有重大作案嫌疑。通過對郝某某家中筆記本電腦的檢驗，發(fā)現(xiàn)該電腦F盤下有一名為“BXXXX”的RAR壓縮文件，該文件的生成時間為2012年5月7日09:55:51；對該壓縮文件解壓后，其內含有大量被入侵政府部門的政務文件與數(shù)據(jù)信息。在強大的證據(jù)鏈面前，郝某某供認了自己的犯罪事實。

3 結束語

對于檢材中完整的系統(tǒng)日志文件，可將其導入電子數(shù)據(jù)取證綜合平臺，利用系統(tǒng)自帶的“事件查看器”進行解析。而對于已徹底刪除日志文件，則需要利用關鍵字搜索技術才能夠發(fā)現(xiàn)殘留的痕跡。Windows XP/2003下可選擇日志記錄特征標識“LfLe”（4C 66 4C 65）作為關鍵字；Win7下日志文件可通過關鍵字“ElfFile”（45 6C 66 46 69 6C 65）定位，日志記錄則可利用“ElfChnk”（45 6C 66 43 68 6E 6B）搜尋。需要指出的是，Win7系統(tǒng)日志采用XML（Extensible Markup Language，可擴展標記語言）進行描述，需深入理解其格式規(guī)范才能正確解析記錄內容。另外，實際操作時可將已獲知的線索（如用戶名稱、時間信息、事件ID、域名、IP地址等，使用時需注意編碼格式）與特征標識作為組合關鍵字一并搜索，以減少命中項數(shù)量。

[1]秦景旺，張宇.淺析Windows系統(tǒng)中電子證據(jù)的發(fā)現(xiàn)和提取[J].警察技術，2010，（3）.

[2]鄒錦沛，羅越榮.NTFS文件系統(tǒng)的時間規(guī)則[J].警察技術，2012，（1）.

[3]張俊，麥永浩.網絡傳銷案件中電子證據(jù)的獲取與分析[J].信息網絡安全，2013，（8）.

（責任編輯：孟凡騫）

D918.2

A

2013-11-6

羅文華（1977-），男，遼寧沈陽人，中國刑警學院網絡犯罪偵查系副教授，碩士，主要從事電子數(shù)據(jù)取證研究。