Eventlog in der iX

Alexander Geschonneck verweist in seinem Blog auf den Artikel seines Mitarbeiters Sebastian Krause zu Windows Ereignisprotokollen in der iX 1/2007, S. 100 ff. Leider bin ich erst jetzt dazu gekommen, den Artikel zu lesen. Insgesamt gibt der Beitrag eine gute Einführung in die Materie. Als Ergänzung möchte ich auf ein Problem hinweisen, das zur fehlerhaften Verarbeitung oder Unterschlagung eines Ereigniseintrags führen kann und von dem einige der in dem Beitrag genannten Programme betroffen sind.

In dem Artikel heisst es:

Steht einem Windows-System kein Speicherplatz für weitere Protokolleinträge zur Verfügung, verwirft es je nach Konfiguration Ereignisprotokolle oder überschreibt ältere.
Sicherlich sind hier statt der Ereignisprotokolle, also der Dateien, die Protokolleinträge gemeint.

Genau in diesem Verhalten liegt auch die Ursache des Problems begründet. Die Protokolldateien sind logisch nicht als sequentielle Datei, sondern (abgesehen von ihrem Header) als Ringpuffer organisiert. Ein Protokolleintrag kann daher am Ende der Datei beginnen und an ihrem Anfang, gleich nach dem Header, fortgesetzt werden.

Verarbeitet ein Programm die Protokolldatei nun sequentiell vom Anfang zum Ende, so wird es den zweiten Teil des problematischen Eintrags überspringen, weil es die erwartete Längenangabe und die Zeichenfolge "LfLe" nicht finden kann. Erreicht das Programm dann das Dateiende, so gibt es bestenfalls den dort gefundenen Anfang des problematischen Datensatzes aus. Wichtige Informationen können so unberücksichtigt bleiben. Möglicherweise wird ein Auswerter aus dem unerwartet endenden Datensatz sogar fälschlich auf eine Manipulation der Protokolldatei schließen.

Viele Programme können einen geteilten Eintrag in einem Ereignisprotokoll nicht korrekt interpretieren. Als Beispiel dient hier EnCase 5

Von den im Artikel aufgeführten Programmen sind zumindest der fccuevtreader (Version 1.1) und EnCase (derzeit Version 6.1.0.17) betroffen. Wie die Abbildung zeigt, gibt EnCase nur die erste Hälfte eines geteilten Protokolleintrags wieder; der zweite Teil bleibt unberücksichtigt. Weitere der in dem Artikel genannten Programme habe ich nicht getestet.

Mit dem Autor von GrokEVT, Timothy Morgan, habe ich eine umfangreiche Korrespondenz geführt und ihm auch Testdaten zur Verfügung gestellt. Ich erwarte deshalb, dass GrokEVT seit der Version 0.3.0 auch geteilte Ereigniseinträge korrekt verarbeitet.

Damit jeder sein bevorzugtes Tool testen kann, stelle ich eine Testdatei bereit.

Archiv

Impressum

Dieses Blog ist ein Projekt von:
Andreas Schuster
Im Äuelchen 45
D-53177 Bonn
impressum@forensikblog.de

Copyright © 2005-2012 by
Andreas Schuster
Alle Rechte vorbehalten.
Powered by Movable Type 5.12