【Windows】日志删除恢复

admin 2021年3月20日16:00:50评论2,452 views字数 1789阅读5分57秒阅读模式
【Windows】日志删除恢复
一、修改日志长度,伪删除
通过上次的介绍,大家已经知道windows日志真正的存储在数据块中的事件记录中,目前有一种删除方法是通过修改日志事件记录的长度,导致从系统看的话类似记录被删除。我们看以下这个例子,原日志有52条记录,通过修改第51条日志的记录,将第51条日志的记录长度覆盖第52条,并修改相应参数,让其通过Windows的校验即可 。
【Windows】日志删除恢复
(日志删除前 )
【Windows】日志删除恢复
【Windows】日志删除恢复
【Windows】日志删除恢复
(修改后51号日志的长度为624+904=1528,即0x05F8)【Windows】日志删除恢复
(日志删除后)
二、日志记录填充00字节,真正删除记录。
上面的方法我们称之为伪删除,只是掩盖了记录,这种方法则是将日志内容填充,直接覆盖,同样的需要修改参数,通过Windows的校验。
Windows日志恢复:
前面大家知道了日志的结构,今天又给大家介绍了删除的原理,这时候大家应该很容易可以想到恢复的方法了,针对不同的删除方法我们有不同的操作方式来进行恢复。
1、伪删除日志恢复-取证大师
这种伪删除的方法,虽然修改了日志的长度,在Windows系统下可以避开其他人的追溯,但是其真正的文件记录还在,这种方式的话取证大师就可以支持。
【Windows】日志删除恢复
大家可以看到第52条记录被恢复,并且被第52条记录标记为被删除。
2、伪删除日志恢复-danderspritz-evtx
fox-it公司旗下有一款danderspritz-evtx工具可以对删除的数据进行恢复,原理就是原因就是用删除数据的思路反向恢复就行,知道日志记录的文件头部、知道文件的长度,自然而然能够进行恢复,目前这款软件恢复的evtx格式的文件并不能被打开,只是将单条日志内容进行提取。接下来我们来看下具体如何操作
1、下载软件:https://github.com/fox-it/danderspritz-evtx,该程序为python编写的,可以用Python程序来运行它,或者下载编译好的exe文件,下载地址:https://github.com/fox-it/danderspritz-evtx/releases
2、运行该程序
【Windows】日志删除恢复
以上可以看到该软件的运行办法,使用办法也很简单,只要定义好输入、输入文件即可
3、运行以下命令:danderspritz_evtx.exe -i Security_Del.evtx -o Security_Fixed.evtx -e Security.xml
【Windows】日志删除恢复
可以发现恢复了一条记录,我们可以看看恢复的内容是什么?
【Windows】日志删除恢复
【Windows】日志删除恢复
可以发现恢复结果与原始数据一致。
3、填充删除恢复-取证大师
通过上面的学习,我们已经知道了windows7之后的日志文件的签名头部,这时候我们就可以通过定义好文件的签名头,然后进行签名恢复,接下来我们以取证大师为例给大家介绍。
在取证大师的文件类型中,添加evtx的文件类型,文件大小我们也默认设置20MB。
【Windows】日志删除恢复
之后,进行签名恢复,会发现恢复了一些日志文件。
【Windows】日志删除恢复
之后我们将恢复的日志文件,导出进行日志解析。
【Windows】日志删除恢复
通过这种情况我们就把日志进行恢复了。
4、填充删除恢复-EVTXtract
接下来给大家介绍另一种情况恢复方法,直接从原始的二进制数据(包括未分配空间和内存页)恢复EVTX日志,将其写在xml中。我们使用的是EVTXtract这个软件。
EVTX支持在windows、Linux和MACOS系统下运行,可以在Github找到相关软件。
我们以Windows系统给大家进行演示。
使用之前需要安装下EVTXtract,依赖于Python环境,python2.7或者之后都支持。
安装命令:pip install evtxtract,装完成之后,在Python安装目录将会生成EVTXtract.exe文件
【Windows】日志删除恢复
首先,我们把系统的安全日志删除,只剩下18条安全日志记录
【Windows】日志删除恢复
接下来利用EVTXtract进行日志恢复,命令也很简单,运行软件软件程序,定义需要恢复的镜像文件和输出的文件及路径
【Windows】日志删除恢复
等软件恢复完成,目录下会生成相应文件,我们在文件内搜索有关系统安全文件的话可以发现其他记录。
【Windows】日志删除恢复
【Windows】日志删除恢复
通过比对我们也可以发现,恢复了188条ID为4624的用户登录信息。
【Windows】日志删除恢复
以上就是今天给大家介绍的Windows日志删除恢复的原理和方法

来源:取证知道
【Windows】日志删除恢复
【技术实战】如何通过日志备份恢复SQL Server数据库删除数据?
【用binlog日志】恢复 MySQL 数据库删除数据
关于电子证据的干货文章汇编

本文始发于微信公众号(电子物证):【Windows】日志删除恢复

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年3月20日16:00:50
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【Windows】日志删除恢复http://cn-sec.com/archives/296575.html

发表评论

匿名网友 填写信息