4-1 Основи цифрової криміналістики / ЛБ - 04 АНАЛІЗ WINDOWS EVENTLOGS

Міністерство освіти і науки України

Харківський національний університет радіоелектроніки

Факультет Інфокомунікацій .

Кафедра Інфокомунікаційної інженерії імені В.В. Поповського .

ЗВІТ

з лабораторного заняття 4

з дисципліни

Основи цифрової криміналістики

Тема заняття: аналіз windows eventlogs

Харків 2020 р.

МЕТА РОБОТИ

Метою роботи є дослідження структури Windows Eventlogs, отримання практичних навичок у дослідженні подій у системі Windows.

ХІД ВИКОНАННЯ

Події у системі Windows поділяються на три основних підрозділи які записують події зха замовченням:

1. Aplication logs – події виникають у програмному забезпеченні.

2. System logs – системні події, такі як помилка драйверів.

3. Security logs – події безпеки, такі як успішний та неуспішний вхід у систему.

Рисунок 1 – Критична системна помилка

На рис. 1 показано вимкнення мого ПК після відключення електроенергії. Для того, щоб зрозуміти як саме виглядають задані події, було обрано для прикладу події вимкнення системи. Наприклад якщо відфільтрувати події за помилками, попередженнями та критичними помилками можна виявити нештатні виключення комп’ютера.

Місце зберігання журналів можна змінити за допомогою реєстру, змінивши значення HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\eventlog. В журналі безпеки будуть відображені всі процеси входу користувачів (якщо налаштувати), процеси зміни привілеїв та дозволів, а також створення нових адміністраторів, з чого потім і починаються атаки. Також, у цьому журналі відображаються такі дані як кількість невдалих спроб входу в систему, заблоковані користувачі та зміни налаштувань фаєрволу.

Рисунок 2 – Вигляд налаштувань політики аудиту системи

На рис. 2 показані налаштування редактора локальної групової політики. Для того, щоб користувач сам міг налаштувати які саме події потрібно заносити до журналу подій, потрібно перейти до «gpedit.msc», далі обрати «Конфігурація комп’ютеру» – конфігурація Windows – параметри Безпеки – конфігурація розширеної політики аудиту – Політика аудиту системи – об’єкт локальної групової політики.

Рисунок 3 – Помилки програмах

На рис. 3 показано перегляд подій, що можна також використовувати для отримання більш детальної інформації про помилки які виникають у програмному забезпеченні. Наприклад при адміністрування сервера, та відстеження помилок та їх причин виникнення.

ВИСНОВКИ

На даній лабораторній роботі було досліджено процес ведення та перегляду журналу подій у системі Windows 10. Було досліджено можливості журналу подій, у адмініструванні систем та експертних дослідженнях у сфері цифрової криміналістики.

Журнал подій можна налаштовувати шляхом використання локальної політики аудиту. Також для обов’язково потрібно робити бэкап цього журналу адже зловмисник перш за все відключить ведення запису подій та видалить всі дії, що були проведені ним. Копію журналу треба робити на іншому носію, тому що при виходу зі строю системи чи системного диску таким чином ми можемо отримати інформацію, що стало його причиною.

Завдання виконано в повному обсязі.