羅文華張 謙
(1 中國(guó)刑警學(xué)院 遼寧 沈陽 110035;2 長(zhǎng)治市公安局刑事技術(shù)支隊(duì) 山西 長(zhǎng)治 046000)
從破壞計(jì)算機(jī)信息系統(tǒng)案件看Windows系統(tǒng)日志取證實(shí)踐
羅文華1張 謙2
(1 中國(guó)刑警學(xué)院 遼寧 沈陽 110035;2 長(zhǎng)治市公安局刑事技術(shù)支隊(duì) 山西 長(zhǎng)治 046000)
Windows系統(tǒng)日志能夠記錄系統(tǒng)中發(fā)生的各類事件,為涉計(jì)算機(jī)犯罪案件的破獲提供重要證據(jù)或線索。本文以一起真實(shí)的破壞計(jì)算機(jī)信息系統(tǒng)案件為背景,通過Windows系統(tǒng)日志記錄具體格式的分析,詳細(xì)說明針對(duì)系統(tǒng)日志的電子數(shù)據(jù)取證步驟與方法。
Windows系統(tǒng)日志 SecEvent.Evt特征標(biāo)識(shí) 事件ID 事件描述 IP地址
2012年5月6日,某政府部門網(wǎng)站負(fù)責(zé)人周某報(bào)案稱,其部門網(wǎng)站(http://www.XXXXX.com.cn,為保密起見部分信息用字符X代替,下同)及公共服務(wù)業(yè)務(wù)無法正常運(yùn)行,懷疑有人非法侵入該部門計(jì)算機(jī)系統(tǒng)并破壞其內(nèi)部數(shù)據(jù)資料,從而導(dǎo)致政務(wù)運(yùn)行受到嚴(yán)重影響。取證人員對(duì)該部門計(jì)算機(jī)系統(tǒng)進(jìn)行了初步調(diào)查,發(fā)現(xiàn)該系統(tǒng)中的C盤安裝有Web服務(wù)器和MySQL數(shù)據(jù)庫(kù),D盤則已被格式化。針對(duì)D盤執(zhí)行數(shù)據(jù)恢復(fù)操作后,恢復(fù)出大量網(wǎng)站文件、業(yè)務(wù)數(shù)據(jù)以及管理信息。上述信息由于格式化操作而遭到損壞,導(dǎo)致網(wǎng)站業(yè)務(wù)無法正常運(yùn)營(yíng)。同時(shí)根據(jù)D盤下NTFS文件系統(tǒng)元文件時(shí)間屬性信息判斷,獲知該分區(qū)于時(shí)間05/05/2012 23:15:14被格式化(圖1)。為獲取更為全面詳盡的案情信息,取證人員重點(diǎn)針對(duì)系統(tǒng)日志文件開展深入細(xì)致分析。
圖1 依據(jù)NTFS文件系統(tǒng)元文件時(shí)間屬性信息判斷分區(qū)格式化時(shí)間
2.1 針對(duì)現(xiàn)存日志記錄的取證分析
在C盤下,取證人員發(fā)現(xiàn)一個(gè)Windows Server 2003系統(tǒng)安全日志(SecEvent.Evt)文件。圖2所示為該安全日志中的第1條記錄具體信息,表示05/05/2012 23:28:09有人使用系統(tǒng)賬戶“bXXXX2”登錄了該部門計(jì)算機(jī)系統(tǒng)(計(jì)算機(jī)名稱為“BXXXX-SRV”),并將該時(shí)間之前的安全日志記錄清除(事件ID517,日志描述為“The audit log was cleared”)。
圖2 安全日志信息被惡意清除
之后該人于05/05/2012 23:28:42登出了計(jì)算機(jī)系統(tǒng)。在緊接下來的05/05/2012 23:29:25,有人通過遠(yuǎn)程方式(“Logon Type:10”表示登錄方式為RemoteInteractive),使用系統(tǒng)賬戶“bXXXX2”再一次成功登錄了該計(jì)算機(jī)系統(tǒng)(計(jì)算機(jī)名稱為“BXXXX-SRV”),而調(diào)用方用戶名為“BXXXX-SRV”,所對(duì)應(yīng)的遠(yuǎn)程登錄IP地址為210.153.XXX.XXX,使用端口號(hào)1263(圖3)。
圖3 通過遠(yuǎn)程交互方式登錄部門計(jì)算機(jī)系統(tǒng)
之后,該用戶于05/05/2012 23:30:05從部門系統(tǒng)登出(圖4)。事件ID551表示用戶登出成功;S-1-5-21-4096344289-2173091205-2588847971-XX X則為登錄用戶的 SID(安全標(biāo)識(shí)符,Security Identifiers),表示標(biāo)識(shí)符頒發(fā)機(jī)構(gòu)和域內(nèi)特定的賬戶及組等信息。
圖4 用戶bXXXX2從計(jì)算機(jī)系統(tǒng)登出
2.2 針對(duì)被刪除日志記錄的取證分析
由于部分關(guān)鍵日志信息已被刪除,因此取證人員決定針對(duì)未分配空間利用關(guān)鍵字搜索技術(shù)找尋殘余日志信息。依據(jù)微軟公司官方網(wǎng)站提供的資料,可知Windows XP/2003系統(tǒng)日志記錄采用如下表所示的結(jié)構(gòu)格式。從記錄頭開始的4字節(jié)表示該日志記錄的長(zhǎng)度,后接日志記錄特征標(biāo)識(shí)“LfLe”;記錄號(hào)后則是日志記錄的生成與寫入時(shí)間信息,該信息采用“Unix/C日期+時(shí)間”方式表示,需解析后才能獲知具體時(shí)間;再后便是和具體記錄緊密相關(guān)的事件ID、事件類型、事件描述等信息。
若要獲知已被刪除的日志記錄信息,可利用特征標(biāo)識(shí)“LfLe”(4C 66 4C 65)進(jìn)行關(guān)鍵字搜索。為避免命中信息數(shù)量過多,還可配合已知線索作為組合關(guān)鍵字,圖5所示即為利用“LfLe”及已知的IP地址(210.153.XXX.XXX,Unicode編碼格式)命中的日志記錄信息。根據(jù)表所示記錄格式,可知該記錄長(zhǎng)度為0x128字節(jié),日志記錄的生成和寫入時(shí)間均為“4F A5 3F 32”,解析后可得05/05/2012 22:54:42;事件ID為540(0x21C),事件類型為8;String Offset為0x0000007C,表示該記錄頭部偏移124字節(jié)處為日志描述信息。從圖5可以看出,除了已知的IP地址信息外,該記錄還包含有用于遠(yuǎn)端控制的計(jì)算機(jī)名稱信息“PC25”。
圖5 被刪除日志中出現(xiàn)有用于遠(yuǎn)端控制的計(jì)算機(jī)名稱信息
表 Windows XP/2003系統(tǒng)日志記錄格式
在其他的殘余信息中,取證人員還發(fā)現(xiàn)有人于05/05/2012 22:55:38使用遠(yuǎn)程控制軟件WinVNC4以匿名身份(anonymous)與該部門計(jì)算機(jī)系統(tǒng)建立連接,并于05/05/2012 22:55:47成功登錄了該計(jì)算機(jī)系統(tǒng),遠(yuǎn)程登錄IP地址均為210.153.XXX.XXX(圖6)。
圖6 被刪除日志中的遠(yuǎn)程登錄信息
2.3 基于獲取到的日志信息展開后續(xù)偵查
經(jīng)調(diào)查,日志中提取到的IP地址210.153.XXX. XXX為聯(lián)通網(wǎng)苑XXX網(wǎng)吧所擁有。在網(wǎng)吧業(yè)主協(xié)助下,偵查人員尋找到了名稱為“PC25”的計(jì)算機(jī)(經(jīng)確認(rèn),此網(wǎng)吧內(nèi)只有該臺(tái)計(jì)算機(jī)以此名稱命名)?;诰W(wǎng)吧上網(wǎng)歷史記錄,偵查人員確定家住沈陽市皇姑區(qū)的郝某某有重大作案嫌疑。通過對(duì)郝某某家中筆記本電腦的檢驗(yàn),發(fā)現(xiàn)該電腦F盤下有一名為“BXXXX”的RAR壓縮文件,該文件的生成時(shí)間為2012年5月7日09:55:51;對(duì)該壓縮文件解壓后,其內(nèi)含有大量被入侵政府部門的政務(wù)文件與數(shù)據(jù)信息。在強(qiáng)大的證據(jù)鏈面前,郝某某供認(rèn)了自己的犯罪事實(shí)。
對(duì)于檢材中完整的系統(tǒng)日志文件,可將其導(dǎo)入電子數(shù)據(jù)取證綜合平臺(tái),利用系統(tǒng)自帶的“事件查看器”進(jìn)行解析。而對(duì)于已徹底刪除日志文件,則需要利用關(guān)鍵字搜索技術(shù)才能夠發(fā)現(xiàn)殘留的痕跡。Windows XP/2003下可選擇日志記錄特征標(biāo)識(shí)“LfLe”(4C 66 4C 65)作為關(guān)鍵字;Win7下日志文件可通過關(guān)鍵字“ElfFile”(45 6C 66 46 69 6C 65)定位,日志記錄則可利用“ElfChnk”(45 6C 66 43 68 6E 6B)搜尋。需要指出的是,Win7系統(tǒng)日志采用XML(Extensible Markup Language,可擴(kuò)展標(biāo)記語言)進(jìn)行描述,需深入理解其格式規(guī)范才能正確解析記錄內(nèi)容。另外,實(shí)際操作時(shí)可將已獲知的線索(如用戶名稱、時(shí)間信息、事件ID、域名、IP地址等,使用時(shí)需注意編碼格式)與特征標(biāo)識(shí)作為組合關(guān)鍵字一并搜索,以減少命中項(xiàng)數(shù)量。
[1]秦景旺,張宇.淺析Windows系統(tǒng)中電子證據(jù)的發(fā)現(xiàn)和提取[J].警察技術(shù),2010,(3).
[2]鄒錦沛,羅越榮.NTFS文件系統(tǒng)的時(shí)間規(guī)則[J].警察技術(shù),2012,(1).
[3]張俊,麥永浩.網(wǎng)絡(luò)傳銷案件中電子證據(jù)的獲取與分析[J].信息網(wǎng)絡(luò)安全,2013,(8).
(責(zé)任編輯:孟凡騫)
D918.2
A
2013-11-6
羅文華(1977-),男,遼寧沈陽人,中國(guó)刑警學(xué)院網(wǎng)絡(luò)犯罪偵查系副教授,碩士,主要從事電子數(shù)據(jù)取證研究。