(TAOMF) Events logs

L'ensemble des articles tagués TAOMF ont été écrit à partir d'un ensemble de notes prises suite à la lecture du livre "The Art Of Memory Forensic" écrit par Michael Hale Ligh, Andrew Case, Jamie Levy et Aaron Walters.

Tout les crédits de ces articles leur reviennent donc de droits. Par ailleurs je vous invite vraiment à lire ce livre qui est une mine colossale d'informations.


Les logs constituent l'ensemble des informations sauvegardés par le système sur l'état général de ce dernier. Des logs sont créés lorsque vous vous connectez sur une machine, lorsque vous vous rendez sur un site web et même lorsque vous crashez une application suite à un exploit local.

Au vu de la quantité d'informations logués par nos systèmes il devient intéressant de les consulter à la fois dans le cadre d'une investigation forensic qu'à des fins de débogage.

Les logs, encore une fois, sont stockés sous la forme de structures. Pour le coup il existe même deux structures:

  • EVTLogHeader: constituent les headers du fichier de log
  • EVTRecordStruct: est la structure d'un log individuel

Chaque log est composé d'au moins un EventID qui indique quel est le type de log récolté ainsi que d'une signature (une suite de caractères hexadécimaux) appelé signature LfLe:

Crédit image: https://www.sciencedirect.com/

Il existe une tonne d'EventID qui sont tous recensés sur le MSDN. Par exemple un utilisateur qui se connecte sur un poste créera un log dont l'EventID sera 4624.

Bien évidemment il est possible de récupérer ses logs sur un dump mémoire grâce à volatility.

  • Pour Windows XP et 2003:

On pourra utiliser le module evtlogs de volatility qui va crawler la mémoire du processus services.exe à la recherche des signatures LfLe.

  • Pour Windows Vista, 2008 et 7:

Sur ces versions, les logs sont stockés sous la forme de fichiers XLM dans le répertoire %systemroot%\system32\winevt\Logs. Il existe environ 60 fichiers de logs différents ce qui laisse de grosses opportunités pour un analyste. La meilleure façon de récupérer ces logs restent donc de dumper ces fichiers via le module dumpfile de volatility. Il faudra ensuite les parser via un tool externe tel que: https://github.com/williballenthin/EVTXtract.

Pour un attaquant il est important de supprimer les logs de son intrusion. Cependant il y a tellement de logs qui sont générés par action que ça peut vite devenir compliquer de supprimer toutes les traces de notre intrusion. Une solution est donc de supprimer tous les logs ce qui, évidemment, montre qu'il y a bien eu une action suspecte.

A noter que le fait de supprimer tous les logs de sécurité créera un nouveau log (EventID 517) qu'il faudra à son tour supprimer.