上期为大家介绍了攻击取证之日志分析(一)中的Web日志分析,因此本期将给大家带来系统的日志分析。众所周知,操作系统有很多,但是市面上一般比较主流的操作系统有Windows、Linux以及Mac。其中比较常见的还是Windows以及Linux,Mac毕竟价格有些高昂。在比赛中,系统日志分析的题目更是少之又少,但有时也会结合在一些其他的题目中,因此了解一下也是必要的。接下来,斗哥将从Linux和Windows的系统日志进行讲解。
Linux操作系统
Linux的系统日志一般存放在/var/log目录下,常见的日志(列举部分)有以下:
● /var/log/messages
用于记录系统相关信息,如执行程序、系统错误、启动信息等,一般我们会使用message进行查看可疑程序执行的可疑操作,系统在执行程序时出现错误等,具体日志信息如下:
对应的格式:
日期 时间 主机 执行的程序[进程ID]:具体信息
● /var/log/boot.log
用于记录系统启动信息的日志,一般用于查看在系统启动时所有相关信息,具体如下:
不难发现,该日志记录的是系统启动时的启动信息,比如开启了哪些服务、做了什么操作都能一目了然。
● /var/log/lastlog
用于记录了用户近期登陆情况,直接查看lastlog,可能信息不太明显,但是也可以使用lastlog命令进行查看,会比较详细:
从上图中可以看出,root用户在5月26日23:23:42登陆到终端,IP为192.168.153.1。
● /var/log/cron
Linux的计划任务相关信息的日志,我们也会使用它来找寻攻击者可能会写入的一些恶意计划任务,其中可能会带有一些恶意软件等相关信息。
斗哥特意在计划中添加了一个flag,通过cron日志我们可以很明显的看到,有个flag,当然在真实环境或者是CTF比赛中,当然不会这么简单,但是基本上我们排查问题思路也是如此。
● /var/log/secure
此日志是linux 的安全日志,被用于记录用户工作的安全相关问题以及登陆认证情况,如:
不难发现,上面记录了一些服务如polkitd、login、sshd等,无论成功与否,均会被记录到此日志中,有时我们也可以通过它来判断服务器是否被攻击(如暴力破解、调用一些系统方法等),以下举个被爆破之后的日志:
可以从上图中很容易发现该服务器正在被IP为192.168.153.167的攻击机在短时间内对root用户进行多次尝试ssh登录。
讲完Linux,就得讲一讲Windows了,Windows大家肯定比较熟悉,因为我们现在的笔记本也基本都是Windows操作系统,但是说起查日志,可能还是相对比较少,但在Windows服务器中,日志还是挺关键的,确切的说不管在什么操作系统中,日志都是很重要的。
话不多说,开始和大家一起分析分析Windows日志。
Windows操作系统
Windows日志一般在事件查看器中可以进行查看,通常分为五个:应用程序、安全、Setup、系统、转发事件。并且这五个中又以应用程序、安全以及系统日志较为常见,因此在本期中,将介绍这三个。
● 应用程序日志
此日志顾名思义便是记录了应用程序的运行情况,包括运行出错、甚至于出错的原因,如:
它指出了错误应用程序名称、版本、具体时间错,并且还指出了错误的模块以及异常代码,故而,我们可以通过这些信息,进行对应的故障排查,具体如何排查可通过适当的资料等进行,斗哥在此便不做过多说明,需要提的是它在Windows中保存在Application.evtx文件中,如果在CTF比赛中,看到这个文件,那么可能就是让你进行应用程序日志分析了。
● 安全日志
此处的安全日志和Linux的安全日志相似,但是它只记录用户登陆情况、用户访问时间以及访问是否授权等,通过它我们可以轻松的发现是否存在爆破风险(一般在短时间内发现大量登陆失败,即可认为该账号被爆破了)。
上图显示的是正常的日志,并且它所给的信息也非常详细(以一个登陆失败为例)。
它详细到可以发现使用者信息、登陆类型、登陆失败的账户、失败信息、进程信息、内网信息以及详细身份验证信息等,十分方便。它在操作系统中保存在Security.evtx文件下,我们也可以通过双击它打开安全日志。
● 系统日志
系统日志则是记录了操作系统安装的应用程序软件相关的事件。它包括了错误、警告及任何应用程序需要报告的信息等。
相比于Linux 的日志,Windows对于系统日志的记录,也是挺详细的,我们可以通过它来进行一些分析判断,它存在于System.evtx文件中。
本期小结
本期的日志分析就介绍到此,主要为系统日志分析,这在分析取证中还是蛮重要的,也欢迎大家把自己对系统日志的分析相关题目发给斗哥,斗哥在此非常期待大家的分享。下期预告,下期将会针对日志分析的工具使用进行介绍,希望大家持续关注。
来源:freebuf.com 2019-06-19 17:01:19 by: 漏斗社区
请登录后发表评论
注册