系统EVT日志碎片恢复的方法、终端设备及存储介质技术方案

本发明专利技术公开一种操作系统EVT日志碎片恢复的方法，包括如下步骤，S1：设置操作系统EVT日志采用的存储结构，进入S2步骤；S2：通过记录签名搜索记录头，若有搜索到，则进入S3步骤；若未搜索到，则进入S6步骤；S3：判断记录头结构是否完整，若是，则进入S4步骤；若否，返回S2步骤；S4：判断日志记录信息块结构是否完整，若是，则进入S5步骤；若否，返回S2步骤；S5：解析并恢复日志记录，返回S2步骤；S6：对已恢复的日志记录进行排序以还原原始日志记录的顺序及内容：对S5中所有已恢复的单条日志记录，按日志记录信息块中记录头的记录编号大小进行排序，还原出原始日志记录的顺序及内容。

System EVT log fragment recovery method, terminal equipment and storage medium

The invention discloses a method of operating system EVT log debris recovery, which comprises the following steps: setting the S1 storage structure of EVT operating system using the log into S2, S2: search steps; recording head by recording the signature, if you have to search, enter the S3 step; if not to search, enter the S6 step; S3 judge: the recording head structure is complete, if so, enter the S4 step; if not, return to the S2 step; S4: determine the log message block structure is complete, if so, enter the S5 step; if not, return to the S2 step; S5: analysis and recovery log records, return S2 steps; S6: order and contents the recovery log record is ordered to restore the original log records: the S5 all recovered single log records, according to the log information block in the recording head record number are sequenced, also The order and content of original log records.

【技术实现步骤摘要】
系统EVT日志碎片恢复的方法、终端设备及存储介质
本专利技术涉及系统安全
，具体是一种操作系统EVT日志碎片恢复的方法、终端设备及存储介质。
技术介绍
Windows操作系统的日志记录着从开机到关机之间的各种系统事件及用户事件的发生时间、描述和结果等信息，从中可以提炼出如开关机时间、系统登录时间、远程/被远程连接记录等有用数据，日志分析是取证人员经常来分析用户行为的一种重要方法。在WindowsXP、2000、2003系统上，操作系统日志以EVT文件格式进行存储，默认存储在系统分区下的Windows\system32\config目录下，目录下包括系统日志SysEvent.evt、安全日志SecEvent.evt、应用程序日志AppEvent.Evt以及其他程序的日志，利用事件查看器可以对日志文件执行打开、另存、过滤、清除等操作。传统的分析方式包括使用事件查看器查看和工具提取日志记录，但都仅限在正常日志文件范围内进行查看和分析。目前，市面上大部分取证软件对日志文件的分析取证都仅限在正常日志文件中，若嫌疑人懂得一些反取证技术，对日志进行清理或者格式化磁盘，则会使取证人员丢失很大一本文档来自技高网...

【技术保护点】
一种操作系统EVT日志碎片恢复的方法，其特征在于：包括如下步骤：S1：设置操作系统EVT日志采用的存储结构：设置操作系统EVT日志采用的存储结构，存储结构包括头部块、日志记录信息块和尾部块，日志记录信息块包括记录头、事件描述块和数据块，记录头至少包括记录签名、记录编号、记录时间、记录长度和事件相关信息，数据块至少包括记录长度和数据相关信息，进入S2步骤；S2：通过记录签名搜索记录头：通过搜索记录头中记录签名的存储位置，进行记录头的搜索，并判断是否搜索到记录头，若有搜索到，则进入S3步骤；若未搜索到，则进入S6步骤；S3：判断记录头结构是否完整：判断搜索到的记录头是否结构完整的记录头，若是，则进...

【技术特征摘要】
1.一种操作系统EVT日志碎片恢复的方法，其特征在于：包括如下步骤：S1：设置操作系统EVT日志采用的存储结构：设置操作系统EVT日志采用的存储结构，存储结构包括头部块、日志记录信息块和尾部块，日志记录信息块包括记录头、事件描述块和数据块，记录头至少包括记录签名、记录编号、记录时间、记录长度和事件相关信息，数据块至少包括记录长度和数据相关信息，进入S2步骤；S2：通过记录签名搜索记录头：通过搜索记录头中记录签名的存储位置，进行记录头的搜索，并判断是否搜索到记录头，若有搜索到，则进入S3步骤；若未搜索到，则进入S6步骤；S3：判断记录头结构是否完整：判断搜索到的记录头是否结构完整的记录头，若是，则进入S4步骤；若否，返回S2步骤；S4：判断日志记录信息块结构是否完整：判断搜索到的记录头所在的日志记录信息块是否结构完整的日志记录信息块，若是，则进入S5步骤；若否，返回S2步骤；S5：解析并恢复日志记录：解析搜索到的日志记录信息块，若符合S1中设置的日志记录信息块的存储格式，则将其进行保存，以恢复日志记录，若不符合，则不保存，返回S2步骤；S6：对已恢复的日志记录进行排序以还原原始日志记录的顺序及内容：对S5中所有已恢复的单条日志记录，按日志记录信息块中记录头的记录编号大小进行排序，还原出原始日志记录的顺序及内容。2.如权利要求1所述的操作系统EVT日志碎片恢复的方法，其特征在于：所述操作系统为Windows操作系统。3.如权利要求1或2任一所述的操作系统EVT日志碎片恢复的方法，其特征在于：S1中，记录头的存储结构...

【专利技术属性】
技术研发人员：施志明，吴少华，江汉祥，苏再添，
申请(专利权)人：厦门市美亚柏科信息股份有限公司，
类型：发明
国别省市：福建,35