При расследовании инцидентов, связанных с популярными в настоящее время шифровальщиками ("вымогателями"), приходится сталкиваться с проблемой удаления записей из системных журналов операционной системы Microsoft Windows (т.н. "очистка" журналов), которое делается для того, чтобы увеличить время расследования инцидента, а также для "заметания" следов (такая ситуация возможна в тех случаях, когда злоумышленники используют RDP для подключения к операционной системе жертвы).
Как показывает практика, довольно неплохо удаленные записи из системных журналов Microsoft Windows восстанавливает Magnet AXIOM (
однако, не у всех есть возможность пользоваться данным коммерческим программным обеспечением и поэтому хотел бы обратить внимание на инструмент evtxtract (williballenthin/EVTXtract), для работы с которым необходим
Python (
Данный инструмент довольно прост в использовании и работает на всех распространённых платформах. Для работы с данным инструментом на вход требуется подать образ исследуемого накопителя, а также указать файл, в который будут записываться результаты (т.е. восстановленные записи системных журналов).
Помимо этого, с помощью данного инструмента возможно получить записи из поврежденных ("битых") системных журналов, указав вместо образа диска, полный путь до поврежденного файла системного журнала.
Кроме того, для поиска удаленных записей системных журналов, можно воспользоваться обычным hex-редактором и выполнять контекстный поиск по необходимому событию,
однако, это достаточно трудоемкий способ, который занимает длительное время.
P.S.: данный способ не работает для операционных систем до Microsoft Windows XP включительно из-за иного формата хранения данных в системных журналах.
Как показывает практика, довольно неплохо удаленные записи из системных журналов Microsoft Windows восстанавливает Magnet AXIOM (
Ссылка скрыта от гостей
), однако, не у всех есть возможность пользоваться данным коммерческим программным обеспечением и поэтому хотел бы обратить внимание на инструмент evtxtract (williballenthin/EVTXtract), для работы с которым необходим
Python (
Ссылка скрыта от гостей
). Данный инструмент довольно прост в использовании и работает на всех распространённых платформах. Для работы с данным инструментом на вход требуется подать образ исследуемого накопителя, а также указать файл, в который будут записываться результаты (т.е. восстановленные записи системных журналов).
Помимо этого, с помощью данного инструмента возможно получить записи из поврежденных ("битых") системных журналов, указав вместо образа диска, полный путь до поврежденного файла системного журнала.
Кроме того, для поиска удаленных записей системных журналов, можно воспользоваться обычным hex-редактором и выполнять контекстный поиск по необходимому событию,
однако, это достаточно трудоемкий способ, который занимает длительное время.
P.S.: данный способ не работает для операционных систем до Microsoft Windows XP включительно из-за иного формата хранения данных в системных журналах.
Последнее редактирование модератором:
