في مقالات سابقة تعرفنا على اكثر من طريقة لعمل timeline للملفات والاحداث الخاصة بالدليل سواء بالطريقة التقليديه او عن طريق اداة  log2timeline اتمنى قراءة المقالات قبل البدء بقراءة هذا المقال .

في هذه المقالة سوف يتم التركيز على تحليل Windows Event Logs والتي تعتبر مصدر مهم لمعرفة الاحداث التي تحصل للنظام ويمكن ان تخبر اذا ما كان هناك احتمال هجوم على النظام . السجلات تضم كل ما يتم انشاءة نتيجه لـ auditing policy المعدة على النظام , يمكن عرض السياسات عن طريق تسغيل الامر MMC .

Auditing Policy ببساطة هي عباره عن بعض السياسات التي يمكن اعدادها في النظام لمتابعة حدث معين لتناسب احتياجات الامن في النظام .

 

 

يمكن ايضا استخدام اداة auditpol لعرض وتعديل السياسات

 

لانظمه فيستا windows event logs موجوده في المسار

في المسار يوجد ملف بامتداد EVTX. وهذا الامتداد الجديد بخلاف القديم EVT الذي كان لوندوز اكس بي , بالنسبة لانظمه Windows 7/2008 السجلات ليست فقط مقصوره على سجلات النظام فقط بل البرمجيات والخدمات ايضا يمكن ان يتم تسجيل احداثها فعلى سبيل المثال برنامج Symantec Endpoint ملف “Symantec Endpoint Protection Client.evtx” يحتوي على سجلات خاصة به . تصنيفات السجلات بحسب شركة Microsoft موصوفه هنا .

سوف نركز على ثلاث ملفات مهمه :

1- Application.evtx

يحتوى على سجلات احداث للبرمجيات مثل برنامج ادارة قواعد البيانات

2- System.evtx

يحتوى على سجلات خاصة بالمحاولات الناجحه والفاشلة للدخول الى النظام ايضا اضافة , حذف , تعديل ملفات او عناصر ادارة في النظام

3- Security.evtx

يحتوى على سجلات خاصة بالعناصر الخاصة بنظام التشغيل مثل  فشل في القرص الصلب او فشل في تحميل احد عناصر النظام اثناء التشغيل

 

لتحليل هذه السجلات هناك ادوات مجانيه ومفتوحه المصدر متوفره مثل Plaso engine ايضا اداة Python-evtx من تطوير Willi Ballenthin هذه الاداة لديها القدره على قراءة ملفات EVTX , الاداه لها modules كثيره منها evtxdump.py .

الصوره التاليه توضح طريقة استخدام الاداة في SIFT .

 

 

ايضا يمكن استخدام ادوات اخرى مثل Windows Event Log Parser او ايضا يمكن استخدام Event Viewer الافتراضي الخاص بوندوز , خيار اخر يمكن استخدام اداة wevtutil.exe

الصورة التاليه توضح طريقة استخدام اداة wevutil.exe لفتح واستعلام EVENT LOGS , المثال الاول لايقوم بفلتره اي شي اما المثال الثاني تم استخدام XML filter لفتره الاستعلام

 

يجب الانتباه الى ان الجهاز ليس جزء من domain لذلك الاحداث يتم تسجيلها في Security.evtx محليا ,اذا كان الجهاز  جزء من domain سوف يتم تسجيلها في domain controller .

الان سوف نلقي نظره على Audit Policy Settings لمعرفة الاحداث التي يتم تسجيلها في النظام , حتى نتمكن من قراءة السياسات يجب ان نستخرجها من ملف موجود في المسار

اداة RegRipper تمكنا من تحليل واستخراج المحتوى الخاص بالملف ولكن توجد بعض المشاكل في حالة استخدمتها مع وندوز 7 .

الباحث Teru Yamazaki قام بنشر ورقه عن البنية الخاصة بالملف الذي يحتوي على السياسات قد تكون مفيده ايضا .

الصوره التاليه توضح الاعدادات المحتمله للسياسات التي يمكن تسجيلها

 

Teru Yamazaki قام ببرمجه online tool  تمكنا من تحليل المعلومات بشكل تلقائي , يمكنك اخذ المعلومات من سجل security باستخدام اداة RegRipper ووضعها في الموقع وسوف يتم عرض النتائج .

النتائج باللغه اليابانيه ولكن يمكن استخدام مترجم جوجل .

ترجمة لمقال : DIGITAL FORENSICS – SUPERTIMELINE & EVENT LOGS

 

Share on FacebookShare on Google+Tweet about this on TwitterShare on LinkedIn