经济与法　

基于ＷＩＮＤＯＷＳ日志　的计算机取证技术的研究　

河北北方学院王文亮　

随着计算机技术的发展，计算机已经深入到社会的各行各业，　

成为社会经济中必不可少的一个分支。但是它在为人们的生活和　工作带来便利的同时，也为某些犯罪分子提供了新的犯罪手段和　

空间。大量的计算机犯罪——如计算机诈骗、各种政府、军事、商业　

机密信息的窃取和破坏、色情网站的泛滥等等。给我们的工作和生　活造成了极大的影响。而要侦破这些案件就必须要用到计算机取　证技术．用来搜寻罪犯及犯罪证据，并据此提起诉讼。因此，计算机　

取证成为目前计算机技术的一大分支。　

从技术角度看．计算机取证就是对计算机存储介质中的数据　及信息进行保护、确认、提取和归档的过程。而在实际操作的过程　

中．这些数据主要包含在犯罪分子使用的计算机的硬盘、光盘、软　

盘、Ｚｉｐ磁盘、Ｕ盘、内存缓冲和其他形式的储存介质中。而这些证　

据的产生、储存和传输。都必须借助于计算机技术，也就是我们需　

要使用相应的软件和工具，按照一些预先定义的程序，全面地检查　计算机系统，以提取和保护有关计算机犯罪的证据。同时计算机取　

证的另一重要特征是这些证据除了要依赖于计算机技术进行提取　

以外．还要受到技术设备的限制．离开了这些设备．相应的证据就　无法保存和传输。同时这些证据是极易被不留任何痕迹地篡改和　

删除的。因此为了保证证据的可信、准确、完整．我们就必须对计算　

机取证技术进行深入的研究和透彻的分析。　计算机取证要解决的重要问题是电子物证的收集、保护、分析　

和展示。而在我们的计算机系统当中可以用来作为计算机取证的　

信息源主要有以下几种：　１）操作系统的文件和各种操作系统日志：　

２）在个人计算机或服务器上安装的各种防火墙和入侵检测　

系统的工作记录、各种防病毒软件的日志及记录；　

３）系统的审计记录、网络监控流量记录、各种往来电子邮件、　计算机或服务器当中的数据库文件和数据库管理系统日志中存在　

的操作记录；　

４）硬盘交换分区、软件设置的参数和文件、完成特定功能的　脚本文件：　

５）在个人计算机中的ｗｅｂ浏览器中的数据缓冲、书签、历史　

记录、会话日志以及实时聊天的记录等。　在以上罗列的众多证据中，系统的日志文件是一种公安机关　

或计算机取证爱好者经常会使用的方法．因此．加强对系统日志文　

件的认识和研究就成为了研究计算机取证技术的必要手段。　日志文件是Ｗｉｎｄｏｗｓ系统中记录系统所发生的一切事件的　文件，如各种硬件、软件和系统问题的信息；各种系统服务的启动、　

运行、关闭等信息；也可以监视操作系统的安全事件。Ｗｉｎｄｏｗｓ日　

志包括应用程序日志、安全日志、系统日志、目录服务日志、文件复　制服务日志、ＤＮＳ服务器日志等等。这些文件受到“Ｅｖｅｎｔ　Ｌｏｇ（事　

件记录）”服务的保护不能被删除，但可以被清空。当启动Ｗｉｎ．　

ｄｏｗｓ时。“事件日志”服务自动启动。所有用户都能查看应用程序　

和系统日志。而安全性日志在默认情况下是关闭的。可以使用组策　略来启用安全性日志，但这需要系统管理员才能实现，同时管理员　

也可在注册表中设置审核策略。以便当安全性日志满后使系统停　

止响应。　当我们在计算机上进行操作时，Ｗｉｎｄｏｗｓ系统的日志文件会　记录下来我们进行的所有操作内容，如果这些操作内容涉及相应　

的计算机安全性问题．那么在系统的安全日志中就会有清淅的记　

录，而这些记录对系统安全工作人员相当有用。比如说当有人对系　统进行ＩＰＣ探测的时候，系统就会在安全日志里迅速地记下探测　

者所用的ＩＰ、时间、用户名等，而系统管理员在安全日志用ＦＩ＇Ｐ探　

测后．就会在ｎ１Ｐ日志中记下ＩＰ、时间、探测所用的用户名等。因　此Ｗｉｎｄｏｗｓ网络操作系统日志文件就成为了计算机取证的主要　

方法之一。　

在ＷｉｎｄｏｗＳ系统中查看日志文件很简单。具体过程为：“开　

始一控制面板一管理工具一事件查看器”，在事件查看器窗口左栏　中列出本机中所包含的日志类型，如应用程序、安全、系统等（如图　

１所示）。而在右边窗口列出在在左栏中选中的日志类型所对应的　

该类型日志的所有记录，双击其中某个记录，弹出“事件属性”对话　

框。显示出该记录的详细信息，这样我们就能准确的掌握系统中到　

ｊ肿　■　‘‘）｝Ｉ睹∞　●Ｉｂ啦　．－一童　蕾　■　、　一　

暇　●■涨Ｈ）　｝Ｉ　一　：：圜慧　｝｛牲　一　日＿　响　穗　懒　

：酉孽　一　ｉｌ塞嚣　：　：ｔ　ｆｉ：　２１：。０６。器　耋一　一　。　ｆ｝ａ

ｌＩ■　∞１ｏ－＂　ｌ・・＂：∞ｍ　羌　”ｏ●●　∞Ｉ　ｓ一５　１４：　∞ｍ　（Ｄ值●　２ｔｔ１０－ｑ；－￣　１４：柏：０６　ｓ…・ｃ６ｈ　．工●　无　ｌ　●峭　２口１０州　ｌ‘Ｉｓ∞　ｓ・　ｔｃ・ｃ…・ｌ－　无　ｌＩ④信■　￣１０－５－Ｓ　１４：１４：５口　ｓ…ｃ・ｃ口￣ｔｒｄ．■　无　¨回僵■　∞ｌＯ・‘＿５　Ｉｔ。１４∞　Ｓｓａｒｖ／ｅ・ｃ吨ｔｒ．１●　无　｝｛（Ｄ艉●ＬＭ￣１０－－Ｓ－Ｓ　ｌｔ・１４瞽　ｓ・ｒｔｌｃ・ｃ酶ｔｒｄ■　无　固信●　２ｏＩｏ．５　Ｉ・：Ｉ．：筠　ｓ…ｃ・ｃ蛆Ｌｒ　■　无　ｌｉ（Ｄ擅一　曲Ｉｏ・¨　ｌ｜．１４：瞄　ｓ＿　¨ｃ　ｌ●　无　｝｛（Ｄ僵■　２口ＩＯ—ｓ－Ｓ　ｌ・１４。５‘　Ｓ＊ｍｃ－Ｇ￣￣ｔ．ｒｏｌ－　茏　国僵●　２ｏｔ　．ｓ　ｌ‘１４　ｓＩ　ｓ．ｒ　¨ｃ吨ｔｆ．１■　无　“（Ｄ僵■　∞ＩＯ－５　Ｌ—ｌ‘：艟　ｓ…ｃ　ｔｒ　●　无　”（Ｄ僵●　∞１ｏ—５—５　Ｉ・＋１４驶　ｓ…・ｃ・ｎｒ－ｌ■　无　Ｈ④瞎■　拍ＩＯ—＇－５　Ｉ＾“：０６　ｓ・ｎｉｃ・ｃ・ｈｔｒｏｌ■　无　｛Ｃ　藕■　柏＇ｎ—　＇・＇‘带　ｓ…　・　＾　・ｒ　・　ｌ馕瓣蘸赫蒜　瓣鼢黼潮鹱驻辫戮茹鲫　系　

一　一。　…一　…　，．　一　ｊ　ｆ　

图Ｉ系统日志图　为了防止被侦查到。具备高科技作案技能犯罪嫌疑人，往往在　犯罪活动结束后利用数据擦除、数据隐藏、数据加密等技术将自己　

残留在受害方系统中的“痕迹”擦除掉．所以利用系统日志来防止　非法入侵光靠系统日志还有所欠缺。要想取证工作顺利进行，还应　

利用一些计算机取证常用工具。如ＥＮＣＡＳＥ　Ｘ—ＷＡＹＳ　ＦＴＫ效率　

源ＤＡＴＡＣＯＭＰＡＳＳ等，同时，还应改变计算机存放日志文件的位　置并且进一步修改注册表，以防外来入侵者能够轻易修改犯罪证　

据。同时还应当结合其他的取证技术．才能发挥出更大的效能。如　

数据保护技术、数据恢复技术、数据加密技术、数据挖掘及数据分　

析技术、ＩＰ地址追踪与定位技术等　计算机理论和技术的发展使得目前计算机取证技术呈现出领　

域扩大化、学科融合化、标准化、智能化等发展趋势。因此仅仅通过　

现有的网络安全技术打击计算机犯罪已经不能够适应当前的形　

势。发挥社会道德的引导作用、完善法律的约束力量去对付形形色　色的计算机犯罪才是解决问题的根本途径。　

参考文献：　［１】王玲，钱华林．计算机取证技术及其发展趋势．软件学报，　

２００３，１４ｆ９）：１６３５　１６４４　［２】赵小敏，陈庆章．计算机取证的研究现状和展望．计算机安　

全．２００３年．第１０期　『３１苏成．计算机安全．２０ｏ６年．第０１期　（责任编辑：张彬）　

Ｉ匝