windows xp日志文件格式分析

《windows xp日志文件格式分析》由会员上传分享，免费在线阅读，更多相关内容在工程资料-天天文库。

1、WindowsXP日志文件格式分析ACHINE\System\CurrentControlSet\Services\Eventlog　　2日志文件的数据结构　　2.1日志文件头结构分析　　axSize;//日志文件的总大小,这里是64k（0x10000）　　ULONGFlags;//日志文件的状态标志　　ULONGRetention;//文件创建时的保留值，与注册表关联。　　ULONGEndHeaderSize;//文件头的大小，文件头结束。　　}EVENTLOGHEADER,*PEVENTLOGHE

2、ADER　　为了更为直观地展现出日志文件头的储存结构我们用ber（第一条（最早）日志记录的记录号）为00000000。　　图1文件头和文件尾　　2.2日志文件尾结构分析　　ber;//第一条（最早）日志记录的记录号，如果事件日志为空时这里的值是0　　ULONGRecordSizeEnd;//文件尾大小，是固定值（0x28）　　}EVENTLOGEOF,*PEVENTLOGEOF;　　在图1中所示的日志文件，是把日志里的事件记录清空后得到的空日志文件，所以文件尾中的OldestRecordNumber值是1而不

3、是0，EndRecord值0xf4710500和CurrentRecordNumber值0x74060000都是日志事件记录清空前的值，系统并没有将其立即更新，而是等到再写入新事件记录时再更新。如果清空日志之前再产生一条记录的话，那么它的文件内偏移量将是0xf4710500记录号将是0x74060000，即第1652个记录（0x674=1652）。　　2.3日志事件记录结构分析　　eGenerated;//时间代码，从1970年到现在的秒数　　DeStrings;//消息量，事件包含多少条消息。ber;//事

4、件的结束记录数　　Dber记录号，当前是第1条记录　　003CHD4449D4CTimeGenerated时间代码　　0040HD5449D4CTimeStrings　　004CH02000000EventCategory事件类别为2，高位字是ReservedFlags事件的保留标记　　0050H00000000ClosingRecordNumber事件的结束记录数其值为0　　0054H7A000000StringOffset事件消息的偏移量（指本事件记录内的偏移量，本记录开始于30H，所以事件消息的文件内偏

5、移量应为AA）　　0058H00000000UserSidLength用户安全标识符的大小，如果没有则为0　　005CH7A000000UserSidOffset用户安全标识符的偏移量　　0060H46000000DataLength对事件进行描述的数据长度　　0064H86000000DataOffset对事件描述的数据偏移量　　0068H0087H的内容是信息来源，每个字母占用两个字节空间　　0088H00A7H的内容是计算机名　　00A8H00B5H服务闲置时间45856秒　　00B6H00FBH事件的

6、描述数据大小为0x46字节　　00FCH00000000描述数据结束　　0100HD4000000事件记录的长度，事件记录内容结束。　　3手工删除修改事件记录方法实现　　对.文件的，我们先把日志文件备份出来对某些记录进行删除，然后用修改后的日志文件覆盖原有的日志文件来达到日志内容修改的目的。了解了日志文件的结构及系统的检查验证机制后理论上是可以随便更改事件记录内容的，但是由于涉及到很多的偏移量值，有的东西修改起来比较麻烦。　　4结束语　　本文详尽描述了WindowsXP日志文件的结构，日志查看器在打开日志文件

7、时的文件完整性验证机制，在掌握了日志文件结构及验证机制的基础上，借助winhex对日志事件记录进行删除及修改的具体方法。该方法能够自由删除某一条或者几条系统日志记录，而且不留下痕迹，但是该方法仍然不能绕过系统对当前日志文件的保护。