In der Ausgabe 16 des kostenlosen Magazins (IN)SECURE beschreibt Rob Faber die Funktionsweise und die Möglichkeiten des Ereignisprotokolls von Microsoft Windows. Er betrachtet dabei sowohl das alte Protokoll der NT-Familie und den für Vista und den Windows Server 2008 überarbeiteten Dienst.
Kennen Sie die Bedeutung der Ereignis-Codes im Sicherheitsprotokoll von Windows NT, 2000, XP und 2003? Einen Spickzettel mit diesen in der forensischen Analyse oftmals benötigten Werten hält das "Digital Forensics Institute" zum Download bereit. (via e-evidence.info)
Bill Tydeman berichtete in der Windows Forensic Analysis Gruppe von Yahoo! und in seinem neuen Blog über ein Event Log für den Microsoft Internet Explorer 7. Sonderbar ist, dass das Log anscheinend nicht korrekt konfiguriert und die Datei verstümmelt ist.
GrokEVT ist eine Sammlung von Python-Skripten, mit deren Hilfe sich Windows Eventlog-Dateien (.evt) auch unter Unix lesen lassen. Neu in der Version 0.4.0 ist das Skript grokevt-findlogs, das Ereignismeldungen aus einem Datenstrom wie zum Beispiel freien Zuordnungseinheiten eines Dateisystems oder einem Abbild des Arbeitsspeichers extrahiert.
Alexander Geschonneck verweist in seinem Blog auf den Artikel seines Mitarbeiters Sebastian Krause zu Windows Ereignisprotokollen in der iX 1/2007, S. 100 ff. Leider bin ich erst jetzt dazu gekommen, den Artikel zu lesen. Insgesamt gibt der Beitrag eine gute Einführung in die Materie. Als Ergänzung möchte ich auf ein Problem hinweisen, das zur fehlerhaften Verarbeitung oder Unterschlagung eines Ereigniseintrags führen kann und von dem einige der in dem Beitrag genannten Programme betroffen sind.
Die Betrachtung eines gesicherten Event Logs auf einem anderen System kann sich unerwartet schwierig gestalten. Mitunter verweigert der Ereignisprotokolldienst die Datei zu öffnen, weil sie beschädigt sei. Erste Hilfe in dieser Situation bietet eine Prozedur von Stephan Bunting.
Das Ereignisprotokoll von Windows NT ist als Dienst realisiert. Wie jeder andere Dienst wird auch das Eventlog durch den Dienstkontrollmanager (Service Control Manager, SCM) gesteuert. Dieser Artikel beschreibt die hierfür in der Registry notwendigen Eintragungen.
Eric Fitz hat sich die Mühe gemacht, im Sourcecode die Standardzugriffsrechte für Event Logs nachzuschlagen. Seine Auflistungen für Windows 2000, XP mit Service Pack 2 und Windows Server 2003 sind im Blog des Windows Auditing Teams veröffentlicht.
Bislang habe ich für die Logdateien des Eventlog-Dienstes von Windows NT den Header und den Cursor beschrieben. Für den wichtigsten Satztyp, nämlich den Ereigniseintrag, gibt es bekanntlich eine nahezu vollständige Beschreibung im Microsoft Developer Network. Um die tägliche Arbeit etwas zu erleichtern, habe ich diese Strukturen in Templates für den 010 Editor von Sweetscape und die Produkte von X-Ways umgesetzt. Die Templates stehen auf den angegebenen Webseiten der Hersteller zum Download bereit. Über Verbesserungsvorschläge und Erfahrungen im Einsatz der Templates würde ich mich freuen.
Sinn des Eventlog-Dienstes und seiner Dateien ist es natürlich, Ereignisse zu protokollieren. Dass ich die wichtigste aller Datensatzarten, nämlich den Ereignis-Satz, erst jetzt beschreibe, liegt einfach daran, dass Microsoft die Struktur EVENTLOGRECORD ausführlich beschrieben hat. Zu verdanken ist dieser Umstand wohl der Tatsache, dass ReadEventLog() Ereignis-Sätze aus einer Protokolldatei unverändert durchreicht.
Dieses Blog ist ein Projekt von:
Andreas Schuster
Im Äuelchen 45
D-53177 Bonn
impressum@forensikblog.de
Copyright © 2005-2009 by
Andreas Schuster
Alle Rechte vorbehalten.