中文摘要
摘要:从网络取证的角度研究了系统日志的分析技术、反清除技术、日志的保全技术和IP地理位置调查技术。在对日志文件和日志格式进行研究和分析的基础上,总结出用事件查看器查看分析日志,导入导出日志文件的方法。并在最后对一个DNS日志实例进行分析,列出可疑IP地址。
关键词 网络取证 日志 日志分析 DNS目 次
1 概述 1
1.1 问题的提出 1
1.2 研究内容和目的 1
2 网络取证的相关概念 1
2.1 网络取证的定义 1
2.2 网络取证的证据的来源 2
2.3 日志的概念 2
2.4 计算机系统日志的特点 4
2.5 计算机系统日志的作用 5
3 计算机网络取证日志的相关技术 6
3.1 日志分析技术 6
3.1.1 Windows 2000日志文件格式 6
3.1.2 用“事件查看器”分析日志 7
3.2 日志的反清除技术 11
3.2.1 修改日志文件存放目录 11
3.2.2 设置文件访问权限 13
3.3 日志的保全 13
3.4 IP地理位置调查技术 13
4 执行一次DNS服务器入侵日志分析 16
4.1 用事件查看器查看DNS日志 16
4.2 事件日志的缺点 16
4.3 用事件查看器导出DNS日志 17
4.4 分析DNS日志 18
4.4.1 调查IP地址的需要和困难 18
4.4.2 DNS日志中的各个事件ID 18
4.4.3 分析DNS日志中的IP信息 19
结 论 24
致 谢 25
参 考 文 献 26
参 考 文 献
[1] Mike Shema, Bradiey /C. Johnson,赵军锁等.反黑客工具包[M].电子工业出版社.2005年.
[2] Vincent /J. Netstler 汪青青译.计算机安全手册.清华大学出版社[M],2006年.
[3] 熊华 郭世泽.网络安全——取证与蜜罐.人民邮电出版社[M],2003年.
[4] Warren /G. /Kruse.计算机取证:应急响应精要.人民邮电出版社[M],2003年.
[5] 云舒.windows2000入侵检测技术[EB/OL]. http://forum.eviloctal.com.
[6] 黄力尧.入侵者的追踪[EB/OL].http://forum.eviloctal.com.
[7]丁丽萍 王永吉.论计算机取证工具软件及其检测[EB/OL]. http://blog.csdn.net/amh/archive/2004/11/11/176669.aspx.
[8] 地狱幽灵.WINDOWS所有系统文件的用途[EB/OL].http://www.hackerxfiles.net.
[9] 任伟,金海.网络取证技术研究.计算机安全[J].2004年11期.
[10] /rufi. MD5算法之C#程序 MD5算法描述[EB/OL]. http://blog.csdn.net/austinlei/archive/2004/12/10/212357.aspx.
[11] Kevin Mandia, Chris /Prosise.应急响应:计算机犯罪调查.清华大学出版社[M],2002年10月第一版.
[12] 李涛编.网络安全概述[M].电子工业出版社,2004.11.
[13] 沈金明.基于系统日志的计算机网络用户行为取证分析系统的研究与实现.东南大学硕士学位论文.2007.03.02.
[14] lance@spitzner.net.一次被DNS攻击后的分析[EB/OL].http://www.xfocus.net/articles/200103/90.html.
[15] 姜传菊.网络日志分析在网络安全中的作用[J].现代图书情报技术,2004 No.12.
[16] 左羽.网络追踪技术研究.重庆工学院学报[J].2006 No.5.
