攻击取证之日志分析（二）

之前为大家介绍了攻击取证之日志分析（一）中的Web日志分析，现在将给大家带来系统的日志分析。众所周知，操作系统有很多，但是市面上一般比较主流的操作系统有Windows、Linux以及Mac。其中比较常见的还是Windows以及Linux，Mac毕竟价格有些高昂。在比赛中，系统日志分析的题目更是少之又少，但有时也会结合在一些其他的题目中，因此了解一下也是必要的。接下来，将从Linux和Windows的系统日志进行讲解。

 

Linux操作系统

Linux的系统日志一般存放在/var/log目录下，常见的日志（列举部分）有以下：

 

图1

●  /var/log/messages

用于记录系统相关信息，如执行程序、系统错误、启动信息等，一般我们会使用message进行查看可疑程序执行的可疑操作，系统在执行程序时出现错误等，具体日志信息如下：

图2

对应的格式：

日期 时间 主机 执行的程序[进程ID]：具体信息

●  /var/log/boot.log

用于记录系统启动信息的日志，一般用于查看在系统启动时所有相关信息，具体如下：

图3

不难发现，该日志记录的是系统启动时的启动信息，比如开启了哪些服务、做了什么操作都能一目了然。

●  /var/log/lastlog

用于记录了用户近期登陆情况，直接查看lastlog，可能信息不太明显，但是也可以使用lastlog命令进行查看，会比较详细：

图4

从上图中可以看出，root用户在5月26日23：23：42登陆到终端，IP为192.168.153.1。

●  /var/log/cron

Linux的计划任务相关信息的日志，我们也会使用它来找寻攻击者可能会写入的一些恶意计划任务，其中可能会带有一些恶意软件等相关信息。

图5

特意在计划中添加了一个flag，通过cron日志我们可以很明显的看到，有个flag，当然在真实环境或者是CTF比赛中，当然不会这么简单，但是基本上我们排查问题思路也是如此。

●  /var/log/secure

此日志是linux 的安全日志，被用于记录用户工作的安全相关问题以及登陆认证情况，如：

图6

不难发现，上面记录了一些服务如polkitd、login、sshd等，无论成功与否，均会被记录到此日志中，有时我们也可以通过它来判断服务器是否被攻击（如暴力破解、调用一些系统方法等），以下举个被爆破之后的日志：

图7

可以从上图中很容易发现该服务器正在被IP为192.168.153.167的攻击机在短时间内对root用户进行多次尝试ssh登录。

讲完Linux，就得讲一讲Windows了，Windows大家肯定比较熟悉，因为我们现在的笔记本也基本都是Windows操作系统，但是说起查日志，可能还是相对比较少，但在Windows服务器中，日志还是挺关键的，确切的说不管在什么操作系统中，日志都是很重要的。

话不多说，开始和大家一起分析分析Windows日志。

 

Windows操作系统

Windows日志一般在事件查看器中可以进行查看，通常分为五个：应用程序、安全、Setup、系统、转发事件。并且这五个中又以应用程序、安全以及系统日志较为常见，因此在本文中，将介绍这三个。

● 应用程序日志

此日志顾名思义便是记录了应用程序的运行情况，包括运行出错、甚至于出错的原因，如：

图8

它指出了错误应用程序名称、版本、具体时间，并且还指出了错误的模块以及异常代码，故而，我们可以通过这些信息，进行对应的故障排查，具体如何排查可通过适当的资料等进行，在此便不做过多说明，需要提的是它在Windows中保存在Application.evtx文件中，如果在CTF比赛中，看到这个文件，那么可能就是让你进行应用程序日志分析了。

● 安全日志

此处的安全日志和Linux的安全日志相似，但是它只记录用户登陆情况、用户访问时间以及访问是否授权等，通过它我们可以轻松的发现是否存在爆破风险（一般在短时间内发现大量登陆失败，即可认为该账号被爆破了）。

图9

上图显示的是正常的日志，并且它所给的信息也非常详细（以一个登陆失败为例）。

图10

它详细到可以发现使用者信息、登陆类型、登陆失败的账户、失败信息、进程信息、内网信息以及详细身份验证信息等，十分方便。它在操作系统中保存在Security.evtx文件下，我们也可以通过双击它打开安全日志。

● 系统日志

系统日志则是记录了操作系统安装的应用程序软件相关的事件。它包括了错误、警告及任何应用程序需要报告的信息等。

图11

相比于Linux 的日志，Windows对于系统日志的记录，也是挺详细的，我们可以通过它来进行一些分析判断，它存在于System.evtx文件中。

来源：FreeBuf.COM

---

关于我们：

北京路劲科技有限公司(Beijing Lujin Technology Co. , Ltd.)成立于2019年1月4日，是一家提供全面系统集成与信息安全解决方案的专业IT技术服务公司。公司秉承“为网络安全保驾护航”的企业愿景及“提升国家整体安全”的使命，依据风险评估模型和等级保护标准，采用大数据等技术手段，开展网络安全相关业务。公司致力于为各个行业的业务信息化提供软件和通用解决方案、系统架构，系统管理和数据安全服务、以及IT咨询规划、系统集成与系统服务等专业化服务。公司立足北京，走向全国，始终坚持“换位、细节、感恩”的核心价值观，以“共赢、共享、共成长”的经营理念为出发点，集合了一批敢于创新、充满活力、热衷于为IT行业服务的优秀人才，致力于成为您身边的网络安全专家。

 

关注路劲科技，关注网络安全！

公司：北京路劲科技有限公司

地址：北京市昌平区南邵镇双营西路78号院2号楼5层504

PS：如果觉得本篇文章对您有所帮助，欢迎关注！帮忙点个赞，转发一下 分享出去吧！

本文始发于微信公众号（LSCteam）：攻击取证之日志分析（二）