本发明涉及一种windows事件日志文件的数据重构方法,属于信息安全、电子数据取证。
背景技术:
::1、windows事件日志(event log)是windows操作系统内置的一种日志记录系统,它记录了windows操作系统自身运行过程产生的相关事件,也记录了使用者对操作系统进行的各种操作行为事件。不管计算机安装的是客户端操作系统(windows 2000及后续版本windows 11)还是服务器版操作系统(如windows 2000server、windows 2016server),均内置了windows事件日志系统。事件日志系统是以服务的形式自动启动,记录了系统从开机到关机期间所有的相关系统运行信息及用户操作行为。windows事件日志通常是由多个数据文件组成,早期windows版本事件日志以evt格式进行保存,文件扩展名为evt。windowsvista和windows server 2008及后续版本采用了evtx格式进行保存,文件扩展名为evtx。2、在涉及网络空间安全的事件应急响应调查(如黑客入侵、数据泄密等安全事件)以及电子数据类案件取证中,往往需要对windows操作系统的事件日志进行提取和分析,从中检查发现可疑、异常的相关安全事件,并通过分析了解事件的发生的起源、过程及相关信息,梳理整个事件的来龙去脉,还原事件的相关客观事实。3、现有技术存在以下缺点:4、1、现有日志分析工具或计算机取证分析软件无法完整重构windows事件日志内容,单独对evtx日志文件进行数据解析,其解析出来的事件信息并不完整,导致事件信息不全,内容无法理解,且无法重现与windows内置的事件查看器一样的信息内容。5、2、windows操作系统自身的事件日志查看器工具可以打开evtx格式事件日志文件,可以较好地读取和解析内容,但通常低版本的windows系统内置的事件查看器无法正常解析高版本的系统产生的evtx事件日志。此外,windows事件查看器也无法展示evtx日志文件所记录的全部内容,如每条事件记录均有事件记录编号(event record id)。因此windows事件日志查看器在一些司法取证中也存在缺陷,难以满足电子数据取证分析的要求。技术实现思路1、本发明要解决的技术问题,在于提供一种windows事件日志文件的数据重构方法,可准确重组windows事件日志的完整信息,让事件日志记录内容可阅读,方便数据分析人员对完整数据进行查看和分析。2、本发明通过下述方案实现:一种windows事件日志文件的数据重构方法,其包括以下步骤:3、步骤一、收集windows操作系统注册表文件及事件日志关联的资源文件(dll/mui/exe);4、步骤二、读取windows系统注册表文件system,自动判断操作系统的版本及语言,并解析出各事件类型对应的配置信息(即eventmessagefile、parametermessagefile和categorymessagefile键值对应的数据);读取注册表文件sam,解析出用户名及对应的sid信息;5、步骤三、将嵌入在资源文件中的事件信息内容导出为csv文件或导入数据库,建立一个多国语言版本的事件消息基础信息库;6、步骤四、将所有事件消息表按语言版本进行分类,并对消息表中的内容进行内容清洗;7、步骤五、读取待分析计算机硬盘中的事件日志记录目录,遍历所有evtx文件,转换为xml文件;8、步骤六、逐一读取事件记录对应的xml文件内容,将共同的属性字段进行解析,并将事件类别、事件参数等数据属性进行映射转换;9、步骤七、读取事件id的数值,检索事件消息基础信息库中其对应的事件消息内容,并将其中的变量进行逐一替换为xml文件中的实际数据信息。10、所述步骤一中的windows操作系统包括客户端系统(vista、windows 7、windows8/8.1、windows 10及windows 11)及服务端系统(windows server2008/2012/2016/2019/2022)。11、所述步骤三中信息内容包含系统语言、操作系统版本、事件来源、事件编号(eventid)、事件类别、事件参数、事件消息内容在内的消息基础库,清洗后形成标准规范的csv文件或直接存储到本地数据库文件,并分别建立多国语言版本的事件类别和事件参数信息库。12、所述步骤七中的变量为%1,%2,%3...%n,其中%1对应第一个变量,%2对应第二个变量,%3对应第三个变量...%n对应第n个变量。13、所述步骤七中将xml文件中所嵌入的<system>...</system>和<userdata>...</userdata>区间包含的各个属性以及<eventdata>...</eventdata>区间包含的各个<dataname>属性与变量(%1,%2,..%n)按顺序逐一映射。14、事件记录的信息重组包括共同属性解析、事件类别解析、事件参数解析、安全标识符sid字符串及系统帐户名称映射、基础信息库中事件消息字符串提取、xml文件中数据属性值与变量按顺序逐一映射。15、所述共同属性解析包括事件编号id、来源、用户、任务类别、版本、级别、关键字、操作代码、事件记录创建时间和计算机名称,所述消息基础库可以根据事件类别及事件记录编号查询事件日志记录。16、所述步骤一收集事件记录信息文件,并通过程序将嵌入在资源文件中的事件信息、事件类别、事件参数等信息进行数据提取和清洗,并建立事件消息基础信息库,所述事件记录信息文件evtx抽取为独立xml文件。17、所述步骤五还能够读取内存物理镜像文件或计算机硬盘的未分配空间,根据evtx文件的内部结构特征对删除的evtx数据片段进行恢复提取,并转化为xml文件。18、所述步骤五、步骤六和步骤七还能够对计算机物理内存镜像、磁盘中已删除的windows事件日志数据进行恢复提取,并自动进行事件日志信息重构。19、本发明的有益效果为:20、1、本发明一种windows事件日志文件的数据重构方法可准确重组windows事件日志的完整信息,让事件日志记录内容可阅读,方便数据分析人员对完整数据进行查看和分析;21、2、本发明一种windows事件日志文件的数据重构方法在无法获得windows操作系统的系统盘数据,只提供事件日志记录文件的情况下,也可以选择语言版本后,自动通过基础数据库中的事件日志来源及记录编号(id)准确解析事件日志内容信息;22、3、本发明一种windows事件日志文件的数据重构方法通过读取windows操作系统注册表配置,获取操作系统语言版本(如中文、英文等),并自动对指向的资源文件(dll/mui/exe)中的事件消息、事件类别、事件参数等内容的进行提取,形成一个较为完整的多国语言事件消息基础信息库;23、4、本发明一种windows事件日志文件的数据重构方法实现了windows事件日志evtx格式文件的完整数据内容重组,最关键的是将事件日志中的<system>和<eventdata>包含的各个数据属性及内容,从无法理解的信息转换为可阅读的事件记录内容,并补充了windows事件日志查看器或其它现有事件日志分析工具没有解析的部分属性;24、5、本发明一种windows事件日志文件的数据重构方法还可以实现对计算机物理内存镜像及磁盘未分配空间的evtx删除记录恢复,并对完整或残缺的windows事件日志数据进行事件日志数据重构;25、6、本发明一种windows事件日志文件的数据重构方法通过对资源文件(dll/mui/exe)中的messagetable中存储数据的研究和测试,对其中包含的变量和标记符合进行解析,完全重现与windows事件查看器事件记录属性信息及事件内容的展示效果,方便数据分析人员进行查看和分析。当前第1页12当前第1页12