Python取证技术(3): Windows 事件日志分析 – CoLaBug.com

Windows的事件日志都存放在 C:WindowsSystem32winevtLogs
目录下。以evtx后缀结尾。

事件日志是在windows上记录重要事件发生的特殊文件，当用户登录系统或者程序报错时，就会被记录。对 我的电脑右键菜单管理→事件查看器可以查看
。

安装python_Evtx

直接使用如下命令安装即可。

pip install python-evtx

如果没有安装pip，下载 get-pip.py
运行后，在python安装目录有个script目录，里面有安装好后的脚本，将该目录设为环境变量，就可以直接使用pip命令。

python_Evtx 解析日志文件

python_Evtx能够Evtx格式的日志文件解析成可读的XML文件

import mmap
import contextlib

from Evtx.Evtx import FileHeader
from Evtx.Views import evtx_file_xml_view

def MyFun():
    EvtxPath = "D:Application.evtx" #日志文件的路径

    with open(EvtxPath,'r') as f:
        with contextlib.closing(mmap.mmap(f.fileno(),0,access=mmap.ACCESS_READ)) as buf:
            fh = FileHeader(buf,0)
			# 构建一个xml文件，根元素是Events
            print ""
            print ""
			# 遍历事件
            for xml, record in evtx_file_xml_view(fh):
                print xml
            print ""

if __name__ == '__main__':
    MyFun()

输出的事件如下(只取了其中一个)，有很多节点:

4625
0
4
0
0
0x0080000000000000

1


Application
KEN-PC


86400
SuppressDuplicateDuration
SoftwareMicrosoftEventSystemEventLog

我们需要着重关注的是EventID、EventData、TimeCreated。

这段脚本运行完毕后会将该文件所有的事件日志信息输出，但我们并不需要如此对所有的事件分析，只分析我们感兴趣的部分。下面就是我改进后的代码：

import mmap
import contextlib

from Evtx.Evtx import FileHeader
from Evtx.Views import evtx_file_xml_view
from xml.dom import minidom

def MyFun():
    EvtxPath = "D:Application.evtx"

    with open(EvtxPath,'r') as f:
        with contextlib.closing(mmap.mmap(f.fileno(),0,access=mmap.ACCESS_READ)) as buf:
            fh = FileHeader(buf,0)
            print ""
            print ""
            for xml, record in evtx_file_xml_view(fh):
                #只输出事件ID为16384的内容
                InterestEvent(xml,16384)
            print ""

# 过滤掉不需要的事件，输出感兴趣的事件
def InterestEvent(xml,EventID):
    xmldoc = minidom.parseString(xml)
    # 获取EventID节点的事件ID
    eventID = xmldoc.getElementsByTagName('EventID')[0]
    if EventID == eventID:
        print xml

if __name__ == '__main__':
    MyFun()

常见的一些事件ID

WindowsEventLog

事件ID	名称	描述
20, 24, 25, 31, 34, 35	Windows-Update-Failure	windows更新失败
104, 1102	Microsoft-Windows-Eventlog	正常情况下是不可能被清除的，除非是攻击者为了清除痕迹。
106	Microsoft-Windows-TaskScheduler	显示最新注册的计划任务
1014	Microsoft-Windows-DNS-Client	DNS解析超时。这个也是非常有用的，恶意程序经常用来测试是否连接到目标网站。
2004, 2005, 2006, 2033	Firewall-Rule-Add/Change/Delete	正常用户一般不会修改防火墙规则
3004	Microsoft-Windows-Windows Defender	WD杀毒检测日志
4720, 4724, 4725, 4728, 4732, 4635,4740, 4748, 4756	Microsoft-Windows-Security-Auditing	能够找到远程登录信息，以及用户提权等相关信息
7030, 7045	Service-Control-Manager	监视服务是配置成与桌面交互还是安装在系统中。
8003, 8004, 8006, 8007	App-Locker-Block/Warning	记录被阻止运行或警告的程序信息

您可能也喜欢：

• Best Python Reference Ever
• Connecting multiple classes with the module name to the log
• #21 Python异常
• How to Render a Map of San Diego's Smart City Street Lights With HERE XYZ, Python, and Tangram
• Multiline lambdas
• Python: Open Outlook Composes Instance with Attachments

• 注意：文章来源网络/媒体，本站无法对本文内容的真实性、完整性、及时性、原创性提供任何保证，请您自行验证核实并承担相关的风险与后果！CoLaBug.com遵循[CC BY-SA 4.0]分享并保持客观立场，本站不承担此类作品侵权行为的直接责任及连带责任。如您有版权、意见、投诉等问题，请通过[eMail]联系我们处理，如需商业授权请联系原作者/原网站。