如何巧妙收集入侵Windows系统的证据

核心提示：随着网络的不断扩大，网络安全更加会成为人们的一个焦点，如何巧妙收集入侵Windows系统的证据，同时也成为是否能进一步投入到更深更广领域的一个基石，当然网络的安全也是一个动态的概念，管理员可以指定在安全日志中记录的事件，例如如果你启用了登录审核，世界上没有绝对安全的网络，只有相对安全的网络

随着网络的不断扩大，网络安全更加会成为人们的一个焦点，同时也成为是否能进一步投入到更深更广领域的一个基石。当然网络的安全也是一个动态的概念，世界上没有绝对安全的网络，只有相对安全的网络。相对安全环境的取得可以通过不断地完善系统程序(及时给系统漏洞打上不同的补丁和给系统升级)、装上防火墙，同时对那些胆敢在网络上破坏秩序做出不义行为的人给予恰如其分的处理。这必然要牵涉到证据的收集，本文正是对这一方面的内容针对Windows系统进行研究。

一、Windows系统特性

Windows操作系统维护三个相互独立的日志文件：系统日志、应用程序日志、安全日志。

1.系统日志

系统日志记录系统进程和设备驱动程序的活动。它审核的系统事件包括启动失败的设备驱动程序、硬件错误、重复的IP地址，以及服务的启动、暂停和停止。系统日志包含由系统组件记录的事情。例如在系统日志中记录启动期间要加载的驱动程序或其他系统组件的故障。由系统组件记录的事件类型是预先确定的。系统日志还包括了系统组件出现的问题，比如启动时某个驱动程序加载失败等。

2.应用程序日志

应用程序日志包括关于用户程序和商业通用应用程序的运行方面的错误活动，它审核的应用程序事件包括所有错误或应用程序需要报告的信息。应用程序日志可以包括性能监视审核的事件以及由应用程序或一般程序记录的事件，比如失败登录的次数、硬盘使用的情况和其它重要的指针;比如数据库程序用应用程序日志来记录文件错误;比如开发人员决定所要记录的事件。

3.安全日志

安全日志通常是在应急响应调查阶段最有用的日志。调查员必须仔细浏览和过滤这些日志的输出，以识别它们包含的证据。安全日志主要用于管理员记载用户登录上网的情况。在安全日志中可以找到它使用的系统审核和安全处理。它审核的安全事件包括用户特权的变化、文件和目录访问、打印以及系统登录和注销。安全日志可以记录诸如有效的登录尝试等安全事件以及与资源使用有关的事件，例如创建、打开或删除应用文件。管理员可以指定在安全日志中记录的事件。例如如果你启用了登录审核，那么系统登录尝试就记录在安全日志中。