Rekonstruktion defekter Event Logs

Die Betrachtung eines gesicherten Event Logs auf einem anderen System kann sich unerwartet schwierig gestalten. Mitunter verweigert der Ereignisprotokolldienst die Datei zu öffnen, weil sie beschädigt sei. Erste Hilfe in dieser Situation bietet eine Prozedur von Stephan Bunting.

Microsoft Windows stellt eine Reihe von Funktionen für den Zugriff auf Event Logs bereit - und neben der Windows eigenen Ereignisanzeige greifen viele weitere Programme darauf zurück. Oftmals weigern sich die zentralen Funktionen jedoch, eine Datei zu öffnen, weil sie angeblich beschädigt sei. Dies ist regelmäßig der Fall, wenn ein Computer vor der Datensicherung nicht heruntergefahren, sondern einfach ausgeschaltet wird.

Zur Wiederherstellung der Datei hat Captain Stephan Bunting von der Polizei der University of Delaware eine Prozedur ausführlich illustriert beschrieben. Er verbessert dabei eine Prozedur, die Lance Mueller im Januar 2005 auf der Forensics-Mailingliste des SecurityFocus veröffentlichte.

Die Prozedur basiert auf der Erkenntnis, dass Header und Cursor eines Event Logs im Betrieb nicht im Gleichlauf sind. Diese Inkonsistenz wird durch das Dirty-Flag im Header signalisiert. Der Ereignisprotokolldienst weist die Datei in diesem Fall als beschädigt zurück.

Buntings Prozedur beschreibt, wie man mit Hilfe eines Hex-Editors gültige Werte für den Header herausfindet und wo man sie eintragen muss. Das Vorgehen wird dabei Schritt für Schritt erklärt und mit einer Reihe von Screenshots illustriert.

Archiv

Impressum

Dieses Blog ist ein Projekt von:
Andreas Schuster
Im Äuelchen 45
D-53177 Bonn
impressum@forensikblog.de

Copyright © 2005-2012 by
Andreas Schuster
Alle Rechte vorbehalten.
Powered by Movable Type 5.12