系統EVT日志碎片恢復的方法、終端設備及存儲介質技術方案

本發明專利技術公開一種操作系統EVT日志碎片恢復的方法，包括如下步驟，S1：設置操作系統EVT日志采用的存儲結構，進入S2步驟；S2：通過記錄簽名搜索記錄頭，若有搜索到，則進入S3步驟；若未搜索到，則進入S6步驟；S3：判斷記錄頭結構是否完整，若是，則進入S4步驟；若否，返回S2步驟；S4：判斷日志記錄信息塊結構是否完整，若是，則進入S5步驟；若否，返回S2步驟；S5：解析并恢復日志記錄，返回S2步驟；S6：對已恢復的日志記錄進行排序以還原原始日志記錄的順序及內容：對S5中所有已恢復的單條日志記錄，按日志記錄信息塊中記錄頭的記錄編號大小進行排序，還原出原始日志記錄的順序及內容。

System EVT log fragment recovery method, terminal equipment and storage medium

The invention discloses a method of operating system EVT log debris recovery, which comprises the following steps: setting the S1 storage structure of EVT operating system using the log into S2, S2: search steps; recording head by recording the signature, if you have to search, enter the S3 step; if not to search, enter the S6 step; S3 judge: the recording head structure is complete, if so, enter the S4 step; if not, return to the S2 step; S4: determine the log message block structure is complete, if so, enter the S5 step; if not, return to the S2 step; S5: analysis and recovery log records, return S2 steps; S6: order and contents the recovery log record is ordered to restore the original log records: the S5 all recovered single log records, according to the log information block in the recording head record number are sequenced, also The order and content of original log records.

【技術實現步驟摘要】
系統EVT日志碎片恢復的方法、終端設備及存儲介質
本專利技術涉及系統安全
，具體是一種操作系統EVT日志碎片恢復的方法、終端設備及存儲介質。
技術介紹
Windows操作系統的日志記錄著從開機到關機之間的各種系統事件及用戶事件的發生時間、描述和結果等信息，從中可以提煉出如開關機時間、系統登錄時間、遠程/被遠程連接記錄等有用數據，日志分析是取證人員經常來分析用戶行為的一種重要方法。在WindowsXP、2000、2003系統上，操作系統日志以EVT文件格式進行存儲，默認存儲在系統分區下的Windows\system32\config目錄下，目錄下包括系統日志SysEvent.evt、安全日志SecEvent.evt、應用程序日志AppEvent.Evt以及其他程序的日志，利用事件查看器可以對日志文件執行打開、另存、過濾、清除等操作。傳統的分析方式包括使用事件查看器查看和工具提取日志記錄，但都僅限在正常日志文件范圍內進行查看和分析。目前，市面上大部分取證軟件對日志文件的分析取證都僅限在正常日志文件中，若嫌疑人懂得一些反取證技術，對日志進行清理或者格式化磁盤，則會使取證人員丟失很大一部分的有效數據。若能把刪除的日志恢復回來，則可從中找出嫌疑人試圖掩蓋的事實。常見的恢復方式是簽名恢復，根據頭部簽名以及尾部簽名判斷出文件首尾，還原出日志文件，但因數據在未分配簇中并不一定是連續存放的，或者頭部簽名已被覆蓋，所以恢復出來的數據經常是缺失或者無效的。
技術實現思路
為了解決上述問題，本專利技術提供一種操作系統EVT日志碎片恢復的方法、終端設備及存儲介質，在基于對EVT日志文件整體結構詳細了解的基礎上提出了一種“EVT日志碎片恢復的方法”，該方法能夠從未分配簇中恢復出單條已刪除的EVT日志記錄，再通過特定方法進行組合還原出一份完整的日志。本專利技術一種操作系統EVT日志碎片恢復的方法，包括如下步驟：S1：設置操作系統EVT日志采用的存儲結構：設置操作系統EVT日志采用的存儲結構，存儲結構包括頭部塊、日志記錄信息塊和尾部塊，日志記錄信息塊包括記錄頭、事件描述塊和數據塊，記錄頭至少包括記錄簽名、記錄編號、記錄時間、記錄長度和事件相關信息，數據塊至少包括記錄長度和數據相關信息，進入S2步驟；S2：通過記錄簽名搜索記錄頭：通過搜索記錄頭中記錄簽名的存儲位置，進行記錄頭的搜索，并判斷是否搜索到記錄頭，若有搜索到，則進入S3步驟；若未搜索到，則進入S6步驟；S3：判斷記錄頭結構是否完整：判斷搜索到的記錄頭是否結構完整的記錄頭，若是，則進入S4步驟；若否，返回S2步驟；S4：判斷日志記錄信息塊結構是否完整：判斷搜索到的記錄頭所在的日志記錄信息塊是否結構完整的日志記錄信息塊，若是，則進入S5步驟；若否，返回S2步驟；S5：解析并恢復日志記錄：解析搜索到的日志記錄信息塊，若符合S1中設置的日志記錄信息塊的存儲格式，則將其進行保存，以恢復日志記錄，若不符合，則不保存，返回S2步驟；S6：對已恢復的日志記錄進行排序以還原原始日志記錄的順序及內容：對S5中所有已恢復的單條日志記錄，按日志記錄信息塊中記錄頭的記錄編號大小進行排序，還原出原始日志記錄的順序及內容。進一步的，所述操作系統為Windows操作系統。更進一步的，S1中，記錄頭的存儲結構設置為：記錄簽名的偏移位置為4，長度為4字節，記錄長度的偏移位置為0，長度為4字節，記錄頭的總長度為56字節；數據塊的最后4個字節設置為記錄長度，和記錄頭中的記錄長度對應。更進一步的，S2中，判斷是否搜索到記錄頭，具體為：判斷記錄頭中記錄簽名的存儲位置是否大于0，若大于0，則搜索到，若小于或等于0，則未搜索到。更進一步的，S3中，判斷搜索到的記錄頭是否結構完整的記錄頭，具體為：判斷搜索到的記錄頭的記錄長度的存儲位置是否大于56，若是，則記錄頭是結構完整的記錄頭，若否，則不是結構完整的記錄頭。更進一步的，S4中，判斷搜索到的記錄頭所在的日志記錄信息塊是否結構完整的日志記錄信息塊，具體為：判斷搜索到的記錄頭中存儲的記錄長度和記錄頭所在的日志記錄信息塊的數據塊中存儲的記錄長度是否一致，若一致，則記錄頭所在的日志記錄信息塊是結構完整的日志記錄信息塊，若不一致，則記錄頭所在的日志記錄信息塊不是結構完整的日志記錄信息塊。本專利技術一種操作系統EVT日志碎片恢復的終端設備，包括存儲器、處理器以及存儲在所述存儲器中并可在所述處理器上運行的計算機程序，所述處理器執行所述計算機程序時實現操作系統EVT日志碎片恢復的方法的步驟。本專利技術一種計算機可讀存儲介質，所述計算機可讀存儲介質存儲有計算機程序，所述計算機程序被處理器執行時實現操作系統EVT日志碎片恢復的方法的步驟。本專利技術的有益效果：通過在操作系統EVT日志的存儲結構中，設置頭部塊、日志記錄信息塊和尾部塊，并在日志記錄信息塊的記錄頭設置有記錄長度、記錄編號和記錄簽名等字段，并且在日志記錄信息塊的最后4個字節再一次設置有記錄長度字段，通過對這幾個字段進行校驗，即可確定是否一條完整的日志記錄，再通過記錄頭的記錄編號等字段信息，還可把多條分散的日志記錄重新組合。從而實現操作系統EVT日志碎片的恢復。附圖說明圖1為本專利技術實施例一的方法流程圖；圖2為本專利技術實施例一的日志記錄信息塊的恢復流程示意圖。具體實施方式為進一步說明各實施例，本專利技術提供有附圖。這些附圖為本專利技術揭露內容的一部分，其主要用以說明實施例，并可配合說明書的相關描述來解釋實施例的運作原理。配合參考這些內容，本領域普通技術人員應能理解其他可能的實施方式以及本專利技術的優點。圖中的組件并未按比例繪制，而類似的組件符號通常用來表示類似的組件。現結合附圖和具體實施方式對本專利技術進一步說明。EVT文件的頭部及尾部包含簽名和互相備份的偏移信息，現有的EVT文件恢復技術，是通過尋找匹配的頭部及尾部來實現的。但EVT文件在未分配簇中并不一定是連續存儲的，即頭尾部之間可能混雜著其他數據內容，所以恢復出來的文件并不能保證完全正確。本專利技術的原理是：因為每一個日志記錄信息塊都是一條獨立完整的日志信息，故只需要找出完整的信息塊，即可恢復出一條日志記錄。因而在信息塊的記錄頭設置了記錄長度、記錄編號和記錄簽名等字段信息，并且在記錄的最后4個字節再一次存儲記錄長度的字段信息，通過對這幾個字段進行校驗，即可確定是否一條完整的日志記錄。再通過記錄頭的編號等信息，還可把多條分散的記錄重新組合。從而實現操作系統EVT日志碎片的恢復。實施例一：請參閱圖1-圖2所示，本實施例提供了一種操作系統EVT日志碎片恢復的方法，本實施例以應用于Windows操作系統來對本方法進行詳細的闡述。本專利技術所闡述的方法具體過程如下：S1：設置操作系統EVT日志采用的存儲結構：設置操作系統EVT日志采用的存儲結構，存儲結構包括頭部塊、日志記錄信息塊和尾部塊，日志記錄信息塊包括記錄頭、事件描述塊和數據塊，記錄頭至少包括記錄簽名、記錄編號、記錄時間、記錄長度和事件相關信息，數據塊至少包括記錄長度和數據相關信息，具體的，本方法的Windows操作系統EVT日志采用的存儲結構(以下簡稱EVT)主要由頭部塊、日志記錄信息塊、以及尾部塊組成。其中，頭部塊包含了頭部大小、簽名、起始偏移和下一條記錄編號等信息；本文檔來自技高網...

【技術保護點】
一種操作系統EVT日志碎片恢復的方法，其特征在于：包括如下步驟：S1：設置操作系統EVT日志采用的存儲結構：設置操作系統EVT日志采用的存儲結構，存儲結構包括頭部塊、日志記錄信息塊和尾部塊，日志記錄信息塊包括記錄頭、事件描述塊和數據塊，記錄頭至少包括記錄簽名、記錄編號、記錄時間、記錄長度和事件相關信息，數據塊至少包括記錄長度和數據相關信息，進入S2步驟；S2：通過記錄簽名搜索記錄頭：通過搜索記錄頭中記錄簽名的存儲位置，進行記錄頭的搜索，并判斷是否搜索到記錄頭，若有搜索到，則進入S3步驟；若未搜索到，則進入S6步驟；S3：判斷記錄頭結構是否完整：判斷搜索到的記錄頭是否結構完整的記錄頭，若是，則進入S4步驟；若否，返回S2步驟；S4：判斷日志記錄信息塊結構是否完整：判斷搜索到的記錄頭所在的日志記錄信息塊是否結構完整的日志記錄信息塊，若是，則進入S5步驟；若否，返回S2步驟；S5：解析并恢復日志記錄：解析搜索到的日志記錄信息塊，若符合S1中設置的日志記錄信息塊的存儲格式，則將其進行保存，以恢復日志記錄，若不符合，則不保存，返回S2步驟；S6：對已恢復的日志記錄進行排序以還原原始日志記錄的順序及內容：對S5中所有已恢復的單條日志記錄，按日志記錄信息塊中記錄頭的記錄編號大小進行排序，還原出原始日志記錄的順序及內容。...

【技術特征摘要】
1.一種操作系統EVT日志碎片恢復的方法，其特征在于：包括如下步驟：S1：設置操作系統EVT日志采用的存儲結構：設置操作系統EVT日志采用的存儲結構，存儲結構包括頭部塊、日志記錄信息塊和尾部塊，日志記錄信息塊包括記錄頭、事件描述塊和數據塊，記錄頭至少包括記錄簽名、記錄編號、記錄時間、記錄長度和事件相關信息，數據塊至少包括記錄長度和數據相關信息，進入S2步驟；S2：通過記錄簽名搜索記錄頭：通過搜索記錄頭中記錄簽名的存儲位置，進行記錄頭的搜索，并判斷是否搜索到記錄頭，若有搜索到，則進入S3步驟；若未搜索到，則進入S6步驟；S3：判斷記錄頭結構是否完整：判斷搜索到的記錄頭是否結構完整的記錄頭，若是，則進入S4步驟；若否，返回S2步驟；S4：判斷日志記錄信息塊結構是否完整：判斷搜索到的記錄頭所在的日志記錄信息塊是否結構完整的日志記錄信息塊，若是，則進入S5步驟；若否，返回S2步驟；S5：解析并恢復日志記錄：解析搜索到的日志記錄信息塊，若符合S1中設置的日志記錄信息塊的存儲格式，則將其進行保存，以恢復日志記錄，若不符合，則不保存，返回S2步驟；S6：對已恢復的日志記錄進行排序以還原原始日志記錄的順序及內容：對S5中所有已恢復的單條日志記錄，按日志記錄信息塊中記錄頭的記錄編號大小進行排序，還原出原始日志記錄的順序及內容。2.如權利要求1所述的操作系統EVT日志碎片恢復的方法，其特征在于：所述操作系統為Windows操作系統。3.如權利要求1或2任一所述的操作系統EVT日志碎片恢復的方法，其特征在于：S1中，記錄頭的存儲結構...

【專利技術屬性】
技術研發人員：施志明，吳少華，江漢祥，蘇再添，
申請(專利權)人：廈門市美亞柏科信息股份有限公司，
類型：發明
國別省市：福建,35