我正在对我想要的项目的可行性进行一些研究。它涉及对硬盘驱动器图像进行一些取证工作,并且我一直在寻找有关如何分析保存的 Windows 事件日志文件的信息。
我不需要监视当前事件的能力,我只是希望能够查看已创建的事件,并记录创建这些事件的时间和应用程序/进程。然而,我对 Windows 系统细节的内部工作原理没有太多经验,我想知道这是否可能?
计划是创建硬盘驱动器的镜像,然后在第二台机器上进行分析。理想情况下,这可以用 Java 或 Python 完成,因为它们是我最精通的语言。
我的主要担忧如下:
此信息是否已加密?
是否有任何现有的API可以直接解析这些数据?
是否有关于这些日志存储格式的信息,以及它与 Windows 版本有何不同?
这必须通过分析驱动器本身来实现,因为理想情况下,驱动器上的 Windows 安装不会运行(因为它将是另一个系统上的安装镜像)
我在搜索中能找到的最接近的东西是 http://www.j-interop.org/但这似乎是针对远程客户端的。理想情况下,无需在镜像驱动器上安装任何内容。似乎也出现的另一个解决方案是 JNI 库,但在监视正在运行的系统方面似乎更是如此。
非常感谢任何帮助。 :)
最佳答案
您可以使用 Microsoft 的 LogParser是一个命令行工具,用于将事件日志中的数据提取为 CSV 或各种其他格式。默认模式从正在运行的系统上的事件日志中提取,但根据文档,您也可以告诉它查询一组 EVT 文件。对于您的情况,您可以将其指向正在调查的系统中的 EVT 文件。
关于java - 解析Windows事件日志,可能吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/2907640/