Windows XP日志文件格式分析

1、Windows XP日志文件格式分析indsXP日志文件格式分析日志文件是inds系统中一个比拟特殊的文件，它记录着inds系统中所发生的一切，如各种系统效劳的启动、运行、关闭等信论文联盟.Ll.息。inds日志包括应用程序、平安、系统等几个局部，应用程序日志、平安日志和系统日志对应的文件名为AppEvent.evt、SysEvent.evt。这些文件受到EventLg事件记录效劳的保护只能被清空，但是不能删除某一条记录。应用程序日志、平安日志、系统日志、DNS日志等默认存放位置：%systert%syste32nfig，默认文件大小512KB。平安日志：%systert%syste32nfi

2、gSeEvent.EVT系统日志：%systert%syste32nfigSysEvent.EVT应用程序日志：%systert%syste32nfigAppEvent.EVT可以在注册表中修改这些LG文件的默认存放位置：HKEY_LAL_AHINESysteurrentntrlSetServiesEventlg2日志文件的数据构造2.1日志文件头构造分析indsSDN中日志文件头的构造体数据类型如下：typedefstrut_EVENTLGHEADEREVENTLGHEADER,*PEVENTLGHEADER为了更为直观地展现出日志文件头的储存构造我们用inhex翻开一个日志记录为空的日志文

3、件，没有事件记录，只有文件头和文件尾。如图1所示。可以看到前三行共48个字节是文件头局部，接下来的40个字节是文件尾局部，之间没有事件记录。文件头局部其内容和日志文件头构造体相一致。在这里由于日志文件的内容是空的，所以Startffset第一条最早日志记录的文件内偏移量和Endffset文件尾的文件内偏移量一样都是0 x30。这是一个空日志文件，由于没有事件记录所以ldestRerdNuber第一条最早日志记录的记录号为00000000。图1文件头和文件尾2.2日志文件尾构造分析indsSDN中日志文件尾的构造体数据类型如下：typedefstrut_EVENTLGEFEVENTLGEF,*P

4、EVENTLGEF;在图1中所示的日志文件，是把日志里的事件记录清空后得到的空日志文件，所以文件尾中的ldestRerdNuber值是1而不是0，EndRerd值0 xf4710500和urrentRerdNuber值0 x74060000都是日志事件记录清空前的值，系统并没有将其立即更新，而是等到再写入新事件记录时再更新。假如清空日志之前再产生一条记录的话，那么它的文件内偏移量将是0 xf4710500记录号将是0 x74060000，即第1652个记录0 x674=1652。2.3日志事件记录构造分析indsSDN中日志事件记录的构造体数据类型如下：typedefstrut_EVENTLG

5、RERDEVENTLGRERD,*PEVENTLGRERD;如今我们用inhex翻开AppEvent.Evt文件，以其中一个事件记录为例来分析事件记录的存储构造。由文件头局部的内容可以看出这个日志文件有3条事件记录，因为urrentRerdNuber值为40018H04000000。文件的总大小为0020H000001000 x10000即64K，第一条事件记录从0030H处开场，大小为对212(0 xd4)个字节，我们就以这条记录为例来分析。0030HD4000000Length该记录的长度为212个字节0034H466465Reserved保存值0038H01000000RerdNuber

6、记录号，当前是第1条记录003HD4449D4TieGenerated时间代码0040HD5449D4Tieritten时间代码0044HFB430040EventID事件ID号为174030 x43fb0048H04000100EventType事件类型的代码有1表示错误，2表示警告，4表示信息，8成功审核等，这里的代码为4，表示信息。高位字是消息量NuStrings004H02000000Eventategry事件类别为2，高位字是ReservedFlags事件的保存标记0050H00000000lsingRerdNuber事件的完毕记录数其值为00054H7A000000Stringff

7、set事件消息的偏移量指本领件记录内的偏移量，本记录开场于30H，所以事件消息的文件内偏移量应为AA0058H00000000UserSidLength用户平安标识符的大小，假如没有那么为0005H7A000000UserSidffset用户平安标识符的偏移量0060H46000000DataLength对事件进展描绘的数据长度0064H86000000Dataffset对事件描绘的数据偏移量0068H0087H的内容是信息来源，每个字母占用两个字节空间0088H00A7H的内容是计算机名00A8H00B5H效劳闲置时间45856秒00B6H00FBH事件的描绘数据大小为0 x46字节00FH

8、00000000描绘数据完毕0100HD4000000事件记录的长度，事件记录内容完毕。3手工删除修改事件记录方法实现对indsXP日志的文件头，文件尾和单条事件记录的构造和存储方式都已经理解透彻了，根据日志文件的构造来删除记录。在事件效劳EventLg已启动的情况下，由于系统对日志文件进展了保护，一般情况下是无法修改这些论文联盟.Ll.文件的，我们先把日志文件备份出来对某些记录进展删除，然后用修改后的日志文件覆盖原有的日志文件来到达日志内容修改的目的。理解了日志文件的构造及系统的检查验证机制后理论上是可以随意更改事件记录内容的，但是由于涉及到很多的偏移量值，有的东西修改起来比拟费事。4完毕语本文详尽描绘了indsXP日志文件的构造