Windows EVTX日志恢复与取证技术研究

摘要

Microsoft Windows操作系统的EVTX日志文件记录了系统和应用程序的操作过程和痕迹。EVTX日志文件内的信息对取证调查人员有着非常重要的意义，因此Windows日志取证自然也成为计算机取证领域的研究热点之一。恢复已删除的日志文件更是日志取证的重要组成部分，然而已有的研究很少关注已删除的EVTX日志文件。本文借用文件雕复的思想，在文件系统元信息缺失与文件分片的情况下，对如何有效恢复EVTX日志文件与日志记录展开研究。 首先，在微软公司并未公开其日志服务源码与相关详细说明文档的情况下，对EVTX日志文件进行了分析和研究。本文详细地解析了日志文件的逻辑结构与各字段含义，利用字段之间的关系找出文件分片之间的关系，为日志文件在磁盘上的恢复工作做好了技术上的铺垫。 其次，为了解决对文件系统元信息依赖的问题，本文先提出了两种基于文件头的EVTX日志文件恢复算法，但两种算法无法恢复出分片的日志文件。为了进一步解决文件分片的问题，随后提出了一种基于EVTX文件结构特征的恢复算法。该算法利用日志文件中数据的特征来定位磁盘镜像中所有日志文件分片，随后根据判别器和重组算法将文件分片重组为完整块，再将完整块重组为一个完整的日志文件。实验结果表明，基于EVTX文件结构特征的恢复算法同时在文件系统元信息缺失与文件分片的情况下，可以成功恢复出已删除的日志文件，并且在准确率100%的情况下，能保持85%以上的召回率。 最后，提出了一种针对破损 EVTX日志文件记录的恢复方法。本文分析了Windows操作系统专用的二进制XML编码技术，利用XML模板与替换数组的特征来提取日志记录中的信息；再结合标签与XML对象之间的关系，提出一种二进制XML可视化算法，将信息展示给取证调查人员。实验结果表明，恢复出破损日志文件中的日志记录可以达到更好的恢复效果，在准确率在98%以上的情况下，能将召回率提升到95%以上。并且当日志文件部分被覆写时，未被覆写的部分也能被该方法尽可能地恢复，其中召回率与覆写率的和始终接近100%。 综上所述，本文利用EVTX日志文件的结构特征可以很好地解决恢复过程中依赖文件系统元信息与文件分片的问题。除此之外，还考虑到日志文件会出现部分覆写的情况，因此通过对二进制XML编码技术的解析来对日志记录进行尽可能的恢复。

目录

声明

第一章 绪论

1.1 研究背景及意义

1.2 国内外相关研究现状

1.3 存在的问题

1.4 论文研究内容与方法

1.5论文组织结构

第二章 相关研究综述

2.1 文件恢复技术研究

2.2 计算机取证相关概念

2.3 本章小结

第三章 基于结构特征的EVTX日志文件恢复方法

3.1 EVTX日志服务介绍

3.2 EVTX日志文件结构解析

3.3 基于文件头的EVTX日志文件恢复算法

3.4 基于块数量的EVTX日志文件恢复算法

3.5 基于结构特征的EVTX日志文件恢复算法

3.6 实验设计与结果分析

3.7 本章小结

第四章 基于XML模板匹配的EVTX日志记录恢复方法

4.1 二进制XML编码技术解析

4.2 基于XML模板匹配的EVTX日志记录恢复算法

4.3 实验设计与结果分析

4.4 本章小结

第五章 总结与展望

5.1 研究工作总结

5.2 未来工作展望

致谢

参考文献

附录