一种Windows事件日志文件的数据重构方法技术

本发明专利技术公开了一种Windows事件日志的完整数据重构方法，收集Windows操作系统的注册表文件和事件日志关联的资源文件，自动将嵌入在资源文件中的信息进行提取，建立Windows事件消息基础信息库；将EVTX事件日志文件转化为XML文件，通过关键属性从事件消息基础信息库进行检索相应的事件消息，解析事件参数、事件类别对应的信息，并将基础信息库中的变量与XML数据结构中的EventData数据项按次序进行消息重组，最终输出完整的事件日志信息记录，实现与Windows事件查看器解析事件日志完整内容一致的结果。本发明专利技术的优点：读取SYSTEM注册表文件中的相关配置，自动识别Windows系统的版本和语言设置；建立较为完整的多国语言的Windows事件消息基础信息库。Windows事件消息基础信息库。Windows事件消息基础信息库。

【技术实现步骤摘要】
一种Windows事件日志文件的数据重构方法


[0001]本专利技术涉及一种Windows事件日志文件的数据重构方法，属于信息安全、电子数据取证


技术介绍

[0002]Windows事件日志(Event Log)是Windows操作系统内置的一种日志记录系统，它记录了Windows操作系统自身运行过程产生的相关事件，也记录了使用者对操作系统进行的各种操作行为事件。不管计算机安装的是客户端操作系统(Windows 2000及后续版本Windows 11)还是服务器版操作系统(如Windows 2000Server、Windows 2016Server)，均内置了Windows事件日志系统。事件日志系统是以服务的形式自动启动，记录了系统从开机到关机期间所有的相关系统运行信息及用户操作行为。Windows事件日志通常是由多个数据文件组成，早期Windows版本事件日志以EVT格式进行保存，文件扩展名为EVT。Windows Vista和Windows Server 2008及后续版本采用了EVTX格式进行保存，文件扩展名为EVTX。
[0003]在涉及网络空间安全的事件应急响应调查(如黑客入侵、数据泄密等安全事件)以及电子数据类案件取证中，往往需要对Windows操作系统的事件日志进行提取和分析，从中检查发现可疑、异常的相关安全事件，并通过分析了解事件的发生的起源、过程及相关信息，梳理整个事件的来龙去脉，还原事件的相关客观事实。
[0004]现有技术存在以下缺点：
[0005]1、现有日志分析工具或计算机取证分析软件无法完整重构Windows事件日志内容，单独对EVTX日志文件进行数据解析，其解析出来的事件信息并不完整，导致事件信息不全，内容无法理解，且无法重现与Windows内置的事件查看器一样的信息内容。
[0006]2、Windows操作系统自身的事件日志查看器工具可以打开EVTX格式事件日志文件,可以较好地读取和解析内容，但通常低版本的Windows系统内置的事件查看器无法正常解析高版本的系统产生的EVTX事件日志。此外，Windows事件查看器也无法展示EVTX日志文件所记录的全部内容，如每条事件记录均有事件记录编号(Event Record ID)。因此Windows事件日志查看器在一些司法取证中也存在缺陷，难以满足电子数据取证分析的要求。

技术实现思路

[0007]本专利技术要解决的技术问题，在于提供一种Windows事件日志文件的数据重构方法，可准确重组Windows事件日志的完整信息，让事件日志记录内容可阅读，方便数据分析人员对完整数据进行查看和分析。
[0008]本专利技术通过下述方案实现：一种Windows事件日志文件的数据重构方法，其包括以下步骤：
[0009]步骤一、收集Windows操作系统注册表文件及事件日志关联的资源文件(DLL/MUI/EXE)；
[0010]步骤二、读取Windows系统注册表文件SYSTEM，自动判断操作系统的版本及语言，并解析出各事件类型对应的配置信息(即EventMessageFile、ParameterMessageFile和CategoryMessageFile键值对应的数据)；读取注册表文件SAM，解析出用户名及对应的SID信息；
[0011]步骤三、将嵌入在资源文件中的事件信息内容导出为csv文件或导入数据库，建立一个多国语言版本的事件消息基础信息库；
[0012]步骤四、将所有事件消息表按语言版本进行分类，并对消息表中的内容进行内容清洗；
[0013]步骤五、读取待分析计算机硬盘中的事件日志记录目录，遍历所有EVTX文件，转换为XML文件；
[0014]步骤六、逐一读取事件记录对应的XML文件内容，将共同的属性字段进行解析，并将事件类别、事件参数等数据属性进行映射转换；
[0015]步骤七、读取事件ID的数值，检索事件消息基础信息库中其对应的事件消息内容，并将其中的变量进行逐一替换为XML文件中的实际数据信息。
[0016]所述步骤一中的Windows操作系统包括客户端系统(Vista、Windows 7、Windows8/8.1、Windows 10及Windows 11)及服务端系统(Windows Server2008/2012/2016/2019/2022)。
[0017]所述步骤三中信息内容包含系统语言、操作系统版本、事件来源、事件编号(EventID)、事件类别、事件参数、事件消息内容在内的消息基础库，清洗后形成标准规范的csv文件或直接存储到本地数据库文件，并分别建立多国语言版本的事件类别和事件参数信息库。
[0018]所述步骤七中的变量为％1,％2,％3...％n，其中％1对应第一个变量,％2对应第二个变量,％3对应第三个变量...％n对应第n个变量。
[0019]所述步骤七中将XML文件中所嵌入的<System>...</System>和<UserData>...</UserData>区间包含的各个属性以及<EventData>...</EventData>区间包含的各个<Data Name>属性与变量(％1,％2,..％n)按顺序逐一映射。
[0020]事件记录的信息重组包括共同属性解析、事件类别解析、事件参数解析、安全标识符SID字符串及系统帐户名称映射、基础信息库中事件消息字符串提取、XML文件中数据属性值与变量按顺序逐一映射。
[0021]所述共同属性解析包括事件编号ID、来源、用户、任务类别、版本、级别、关键字、操作代码、事件记录创建时间和计算机名称，所述消息基础库可以根据事件类别及事件记录编号查询事件日志记录。
[0022]所述步骤一收集事件记录信息文件，并通过程序将嵌入在资源文件中的事件信息、事件类别、事件参数等信息进行数据提取和清洗，并建立事件消息基础信息库，所述事件记录信息文件EVTX抽取为独立XML文件。
[0023]所述步骤五还能够读取内存物理镜像文件或计算机硬盘的未分配空间，根据EVTX文件的内部结构特征对删除的EVTX数据片段进行恢复提取，并转化为XML文件。
[0024]所述步骤五、步骤六和步骤七还能够对计算机物理内存镜像、磁盘中已删除的Windows事件日志数据进行恢复提取，并自动进行事件日志信息重构。
[0025]本专利技术的有益效果为：
[0026]1、本专利技术一种Windows事件日志文件的数据重构方法可准确重组Windows事件日志的完整信息，让事件日志记录内容可阅读，方便数据分析人员对完整数据进行查看和分析；
[0027]2、本专利技术一种Windows事件日志文件的数据重构方法在无法获得Windows操作系统的系统盘数据，只提供事件日志记录文件本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种Windows事件日志文件的数据重构方法，其特征在于：其包括以下步骤：步骤一、收集Windows操作系统注册表文件及事件日志关联的资源文件；步骤二、读取Windows系统注册表文件SYSTEM，自动判断操作系统的版本及语言，并解析出各事件类型对应的配置信息；读取注册表文件SAM，解析出用户名及对应的SID信息；步骤三、将嵌入在资源文件中的事件信息内容导出为csv文件或导入数据库，建立一个多国语言版本的事件消息基础信息库；步骤四、将所有事件消息表按语言版本进行分类，并对消息表中的内容进行内容清洗；步骤五、读取待分析计算机硬盘中的事件日志记录目录，遍历所有EVTX文件，转换为XML文件；步骤六、逐一读取事件记录对应的XML文件内容，将共同的属性字段进行解析，并将事件类别、事件参数等数据属性进行映射转换；步骤七、读取事件ID的数值，检索事件消息基础信息库中其对应的事件消息内容，并将其中的变量进行逐一替换为XML文件中的实际数据信息。2.根据权利要求1所述的一种Windows事件日志文件的数据重构方法，其特征在于：所述步骤一中的Windows操作系统包括客户端系统及服务端系统。3.根据权利要求1所述的一种Windows事件日志文件的数据重构方法，其特征在于：所述步骤三中信息内容包含系统语言、操作系统版本、事件来源、事件编号、事件类别、事件参数、事件消息内容在内的基础信息库，清洗后形成标准规范的csv文件或直接存储到本地数据库，并分别建立多国语言版本的事件类别和事件参数信息库。4.根据权利要求1所述的一种Windows事件日志文件的数据重构方法，其特征在于：所述步骤七中的变量为％1,％2,％3...％n，其中％1对应第一个变量,％2对应第二个变量,％3对应第三个变量...％n对应第n个变量。5.根据权利要求4所述的一种Windows事件日志文件的数据重构方法，其特征在于：所述步骤七中将XML文件中所嵌入的<System>......

【专利技术属性】
技术研发人员：徐志强，胡壮，徐富达，刘景明，
申请(专利权)人：厦门市兴百邦科技有限公司，
类型：发明
国别省市：