随着网络的不断扩大，网络安全更加会成为人们的一个焦点，同时同样成 为是不是 能进一步投入到更深更广领域的一个基石。固然 网络的安全也是一个动态的概念，世界上没有绝对安全的网络，只有相对安全的网络。相对安全环境的获得 可以通过不断地完善系统程序(及时给系统漏洞打上不同的补丁 和给系统升级)、装上防火墙，同时对那些胆敢在网络上破坏秩序做出不义行动 的人给予恰如其分的处理。这必定 要牵涉到证据的搜集 ，本文正是对这一方面的内容针对Windows系统进行研究。

　　1、 Windows系统特性

　　Windows操作系统保护 三个相互独立的日志文件：系统日志、利用 程序日志、安全日志。

　　1.系统日志

　　系统日志记录系统进程和设备 驱动程序的活动。它审核的系统事件包括启动失败的设备 驱动程序、硬件毛病 、重复的IP地址，和 服务的启动、暂停和停止。系统日志包括 由系统组件记录的事情。例如在系统日志中记录启动期间要加载的驱动程序或其他系统组件的故障。由系统组件记录的事件类型是预先肯定 的。系统日志还包括了系统组件出现的问题，比如启动时某个驱动程序加载失败等。

　　2.利用 程序日志

　　利用 程序日志包括关于用户程序和商业通用利用 程序的运行方面的毛病 活动，它审核的利用 程序事件包括所有毛病 或利用 程序需要报告的信息。利用 程序日志可以包括性能监视审核的事件和 由利用 程序或一般程序记录的事件，比如失败登录的次数、硬盘使用的情况和其它重要的指针;比如数据库程序用利用 程序日志来记录文件毛病 ;比如开发人员决定所要记录的事件。

　　3.安全日志

　　安全日志通常是在应急响应调查阶段最有用的日志。调查员必须仔细浏览 和过滤这些日志的输出，以辨认 它们包括 的证据。安全日志主要用于管理员记载用户登录上网的情况。在安全日志中可以找到它使用的系统审核和安全处理。它审核的安全事件包括用户特权的变化、文件和目录访问、打印和 系统登录和注销。安全日志可以记录诸如有效的登录尝试等安全事件和 与资源使用有关的事件，例如创建、打开或删除利用 文件。管理员可以指定在安全日志中记录的事件。例如如果你启用了登录审核，那么 系统登录尝试就记录在安全日志中。

　　2、 寻觅 “显形”证据

　　系统工具提供了对系统进一步的监视，在性能监视器中可以看到其图形化的变化情况。而计数器日志、跟踪日志和警报则提供了对本地或远端系统的监视记录，并可根据预定的设定进行特定的跟踪和报警。还可利用不同的用于配置、管理COM组件及利用 的组件服务工具记录或查找相干 信息。

　　1.查看三大日志

　　在计算机上保护 有关利用 程序、安全性系统事件的日志，可使 用事件查看器查看并管理事件日志。它用于搜集 计算机硬件、软件和系统整体方面的毛病 信息，也用来监视一些安全方面的问题。它可根据利用 程序日志、安全日志和系统日志来源将记录分成3类。

　　事件查看器显示以下几种事件类型：error是指比较严重的问题，通常是出现了数据丢失或功能丢失。例如如果在启动期间服务加载失败，则会记录毛病 。Warning给出警告 则表明情况暂时不严重，但可能会在将来引发 毛病 ，比如磁盘空间太少等。Information描述 利用 程序、驱动程序或服务的成功操作的事件。例如成功地加载网络驱动程序时会记录一个信息事件。Success audit审核访问尝试成功。例如将用户成功登录到系统上的尝试作为成功审核事件记录下来。Failure audit审核安全尝试失败。例如如果用户试图访问网络驱动器失败，该尝试就会作为失败审核事件记录下来。

　　注意启动系统时事件日志服务会自动启动，所有用户都可以查看利用 程序日志和系统日志，但是只有管理员才能访问安全日志。默许 情况下会关闭安全日志，所以管理员要记住设定启用。管理员既可使 用组策略启用安全日志记录，也能够 在注册表中设置策略使系统在安全日志装满时停止运行。

　　基于主机的检测器可以检测到系统类库的改变或敏感位置文件的添加。当结合所有现有的基于网络的证据片断时，就有可能重建特定的网络事件，诸如文件传输、缓冲区溢出攻击，或在网络中使用被盗的用户帐号和密码等。

　　当调查计算机犯法 时，会发现很多潜伏 证据的来源，不但 包括基于主机的日志记录，而且还包括网络的日志记录和 其它的传统情势 ，如指纹、证词和证人。大多数的网络流量在它经过的路径上都留下了监查踪迹 。路由器、防火墙、服务器、IDS检测器及其它的网络设备 都会保存日志，记录基于网络的突发事件。DHCP服务器会在PC要求 IP租用时记录网络访问。现代的防火墙允许管理员在创建监查日志时有很多种粒度。IDS检测器可以根据签名辨认 或异常的检测过滤器来捕获一个攻击的一部分 。基于网络的日志记录以多种情势 存储，可能源自不同的操作系统，可能需要特殊的软件才能访问和读取，这些日志在地理上是分散的，而且常常对当前系统时间有严重毛病 的解释。调查人员的挑战就在于查找所有的日志，并使之关联起来。从不同系统获得 地理上分散的日志、为每 个 日志保护 保管链、重建基于网络的突发事件，这一切都需要消耗大量的时间和密集的资源。

　　2.检查相干 文件、履行 关键词搜索

　　Windows系统同时进行对很多文件的输入和输出，所以几近 所有产生 在系统上的活动都会留下一些产生 的痕迹。它有许多临时文件、高速缓存文件、一个跟踪最近使用文件的注册文件、一个保存 删除文件的回收站和无数的存储运行时间资料的其它位置。

　　在调查知识产权或所有权、信息的所有权、性骚扰和 任何实际上包括 基于文本通讯 的问题上，对目标硬盘驱动器履行 字符串搜索是非常重要的。很多不同的关键词可能对调查非常重要，这些关键词包括用户ID、密码、敏感资料(代码字)、已知的文件名和具体的主题词 。字符串搜索可以在逻辑文件结构上履行 ，也能够 在物理层次上履行 。

　　3.鉴定未授权的用户帐号或组、“流氓”进程

　　检查用户管理器，寻觅 未授权的用户帐号;使用usrstat浏览 域控制器中的域帐号，寻觅 可疑的项目;使用Event Viecser检查安全日志，挑选 失事 件为添加新帐号、启用用户帐号、改变帐号组和改变用户帐号的项目。

　　鉴定检查一个运行系统时，鉴定“流氓”进程是非常简单的。由于 大部分 “流氓”进程都要监听网络连接或探测网络以获得 纯文本的用户ID和密码，这些进程很容易在履行 进程 中被发现。plist命令将列出正在运行的进程，listdlls将提供每 个 运行中进程的完全 的命令行参数，fport将显示监听的进程和 他们所监听得到端口。对 未运行的系统上“流氓”进程，方法是在证据的全部 逻辑卷内使用最新的病毒扫描程序进行扫描。如果选择在还原映象的文件系统上运行病毒检查工具，必须保证这个卷是只读的。