隨著網絡的不斷擴大，網絡安全更加會成為人們的一個焦點，同時也成為是否能進一步投入到更深更廣領域的一個基石。當然網絡的安全也是一個動態的概念，世界上沒有絕對安全的網絡，只有相對安全的網絡。相對安全環境的取得可以通過不斷地完善系統程序（及時給系統漏洞打上不同的補丁和給系統升級）、裝上防火墻，同時對那些膽敢在網絡上破壞秩序做出不義行為的人給予恰如其分的處理。這必然要牽涉到證據的收集，本文正是對這一方面的內容針對Windows系統進行研究。

一、Windows系統特性

Windows操作系統維護三個相互獨立的日志文件：系統日志、應用程序日志、安全日志。

1.系統日志

系統日志記錄系統進程和設備驅動程序的活動。它審核的系統事件包括啟動失敗的設備驅動程序、硬件錯誤、重復的IP地址，以及服務的啟動、暫停和停止。系統日志包含由系統組件記錄的事情。例如在系統日志中記錄啟動期間要加載的驅動程序或其他系統組件的故障。由系統組件記錄的事件類型是預先確定的。系統日志還包括了系統組件出現的問題，比如啟動時某個驅動程序加載失敗等。

2.應用程序日志

應用程序日志包括關于用戶程序和商業通用應用程序的運行方面的錯誤活動，它審核的應用程序事件包括所有錯誤或應用程序需要報告的信息。應用程序日志可以包括性能監視審核的事件以及由應用程序或一般程序記錄的事件，比如失敗登錄的次數、硬盤使用的情況和其它重要的指針；比如數據庫程序用應用程序日志來記錄文件錯誤；比如開發人員決定所要記錄的事件。

3.安全日志

安全日志通常是在應急響應調查階段最有用的日志。調查員必須仔細瀏覽和過濾這些日志的輸出，以識別它們包含的證據。安全日志主要用于管理員記載用戶登錄上網的情況。在安全日志中可以找到它使用的系統審核和安全處理。它審核的安全事件包括用戶特權的變化、文件和目錄訪問、打印以及系統登錄和注銷。安全日志可以記錄諸如有效的登錄嘗試等安全事件以及與資源使用有關的事件，例如創建、打開或刪除應用文件。管理員可以指定在安全日志中記錄的事件。例如如果你啟用了登錄審核，那么系統登錄嘗試就記錄在安全日志中。

二、尋找“顯形”證據

系統工具提供了對系統進一步的監視，在性能監視器中可以看到其圖形化的變化情況。而計數器日志、跟蹤日志和警報則提供了對本地或遠端系統的監視記錄，并可根據預定的設定進行特定的跟蹤和報警。還可利用不同的用于配置、管理COM組件及應用的組件服務工具記錄或查找相關信息。

1.查看三大日志

在計算機上維護有關應用程序、安全性系統事件的日志，可以使用事件查看器查看并管理事件日志。它用于收集計算機硬件、軟件和系統整體方面的錯誤信息，也用來監視一些安全方面的問題。它可根據應用程序日志、安全日志和系統日志來源將記錄分成3類。

事件查看器顯示以下幾種事件類型：error是指比較嚴重的問題，通常是出現了數據丟失或功能丟失。例如如果在啟動期間服務加載失敗，則會記錄錯誤。Warning給出警告則表明情況暫時不嚴重，但可能會在將來引起錯誤，比如磁盤空間太少等。Information描述應用程序、驅動程序或服務的成功操作的事件。例如成功地加載網絡驅動程序時會記錄一個信息事件。Success audit審核訪問嘗試成功。例如將用戶成功登錄到系統上的嘗試作為成功審核事件記錄下來。Failure audit審核安全嘗試失敗。例如如果用戶試圖訪問網絡驅動器失敗，該嘗試就會作為失敗審核事件記錄下來。

注意啟動系統時事件日志服務會自動啟動，所有用戶都可以查看應用程序日志和系統日志，但是只有管理員才能訪問安全日志。默認情況下會關閉安全日志，所以管理員要記住設定啟用。管理員既可以使用組策略啟用安全日志記錄，也可以在注冊表中設置策略使系統在安全日志裝滿時停止運行。

基于主機的檢測器可以檢測到系統類庫的改變或敏感位置文件的添加。當結合所有現有的基于網絡的證據片斷時，就有可能重建特定的網絡事件，諸如文件傳輸、緩沖區溢出攻擊，或在網絡中使用被盜的用戶帳號和密碼等。

當調查計算機犯罪時，會發現很多潛在證據的來源，不僅包括基于主機的日志記錄，而且還包括網絡的日志記錄以及其它的傳統形式，如指紋、證詞和證人。大多數的網絡流量在它經過的路徑上都留下了監查蹤跡。路由器、防火墻、服務器、IDS檢測器及其它的網絡設備都會保存日志，記錄基于網絡的突發事件。DHCP服務器會在PC請求IP租用時記錄網絡訪問。現代的防火墻允許管理員在創建監查日志時有很多種粒度。IDS檢測器可以根據簽名識別或異常的檢測過濾器來捕獲一個攻擊的一部分。基于網絡的日志記錄以多種形式存儲，可能源自不同的操作系統，可能需要特殊的軟件才能訪問和讀取，這些日志在地理上是分散的，而且常常對當前系統時間有嚴重錯誤的解釋。調查人員的挑戰就在于查找所有的日志，并使之關聯起來。從不同系統獲得地理上分散的日志、為每個日志維護保管鏈、重建基于網絡的突發事件，這一切都需要消耗大量的時間和密集的資源。

2.檢查相關文件、執行關鍵詞搜索

Windows系統同時進行對很多文件的輸入和輸出，所以幾乎所有發生在系統上的活動都會留下一些發生的痕跡。它有許多臨時文件、高速緩存文件、一個跟蹤最近使用文件的注冊文件、一個保留刪除文件的回收站和無數的存儲運行時間資料的其它位置。

在調查知識產權或所有權、信息的所有權、性騷擾以及任何實際上包含基于文本通信的問題上，對目標硬盤驅動器執行字符串搜索是非常重要的。很多不同的關鍵詞可能對調查非常重要，這些關鍵詞包括用戶ID、密碼、敏感資料（代碼字）、已知的文件名和具體的主題詞。字符串搜索可以在邏輯文件結構上執行，也可以在物理層次上執行。