Windows Event Viewer Log (EVT)单条日志清除(二)——程序实现删除evt文件指定时间段的日志记录

系统安全 3gstudent
2018-08-24 4,658

0x00 前言

Windows Event Viewer Log (EVT)单条日志清除系列文章的第二篇,介绍删除evt文件指定时间段日志记录的思路,解决在程序设计上需要考虑的多个问题,开源实现代码。


0x01 简介

本文将要介绍以下内容:

  • 对指定evt文件指定时间段日志记录的删除思路

  • 程序实现细节

  • 开源代码



0x02 删除evt文件指定时间段日志记录的思路














对比之前文章中提到的evtx文件单条日志删除方法,evt文件无法使用相同的思路

这是因为evt的文件结构中不包括唯一值EventRecordID,也就无法定位到指定的日志

经过分析,发现可以选择日志的创建时间作为输入项,指定起始日期和结束日期,删除这个时间段内的日志内容

而日志创建时间的格式为time_t类型,这里需要做一个考虑time_t类型和格林威治标准时间(Greenwich Mean Time,GMT)之间的转换

在程序实现上,思路如下:

  • 遍历所有日志,过滤掉符合删除条件的日志,保存剩下的日志内容

  • 筛选完成后,后续日志的Record number作减法,减去删除的日志条数

  • 更新file header中的End of file record offset,Last (newest) record number和Maximum file size

  • 更新end of file record中的End of file record offset和Last (newest) record number


0x03 time_t类型和格林威治标准时间(Greenwich Mean Time,GMT)之间的转换

Calendar Time

日历时间,通过time_t数据类型表示

表示的是“相对时间”,能够避免受到时区的影响,不同时区的日历时间都相同

time_t类型:

本质上是一个长整数,表示从1970-01-01 00:00:00到目前计时时间的秒数

定义如下:

struct tm
{
   int tm_sec;   // seconds after the minute - [0, 60] including leap second
   int tm_min;   // minutes after the hour - [0, 59]
   int tm_hour;  // hours since midnight - [0, 23]
   int tm_mday;  // day of the month - [1, 31]
   int tm_mon;   // months since January - [0, 11]
   int tm_year;  // years since 1900
   int tm_wday;  // days since Sunday - [0, 6]
   int tm_yday;  // days since January 1 - [0, 365]
   int tm_isdst; // daylight savings time flag
};

注意年份是相对于1900年

Coordinated Universal Time(UTC)

协调世界时,又称为世界标准时间,即格林威治标准时间(Greenwich Mean Time,GMT)

存在时区的差别,计算本地时间需要考虑时差

类型转换的c代码实例如下:

Calendar Time转换成GMT:

#include <stdio.h>
#include <time.h>
int main()
{
   __int64 CalTime = 1531788377;
   struct tm GmTime;
   char GmBuf[26];
   _gmtime64_s(&GmTime, &CalTime);
   strftime(GmBuf, 26, "%m/%d/%Y %r", &GmTime);
   printf("GmTime   :%s\n", GmBuf);
   return 0;
}

Calendar Time转换成本地时间(考虑时差):

#include <stdio.h>
#include <time.h>
int main()
{
   __int64 CalTime = 1531788377;
   struct tm LocalTime;
   char LocalBuf[26];
   _localtime64_s(&LocalTime, &CalTime);
   strftime(LocalBuf, 26, "%m/%d/%Y %r", &LocalTime);
   printf("LocalTime:%s\n",LocalBuf);
   return 0;
}

时间转换成Calendar Time:

#include <stdio.h>
#include <time.h>
time_t StringToDatetime(char *str)
{
   tm tm_;
   int year, month, day, hour, minute, second;
   sscanf_s(str, "%d-%d-%d %d:%d:%d", &year, &month, &day, &hour, &minute, &second);
   tm_.tm_year = year - 1900;
   tm_.tm_mon = month - 1;
   tm_.tm_mday = day;
   tm_.tm_hour = hour-1;
   tm_.tm_min = minute;
   tm_.tm_sec = second;
   tm_.tm_isdst = 0;
   time_t t_ = mktime(&tm_);
   return t_;
}
int main()
{
   time_t sec = StringToDatetime("2018-7-16 17:46:17");
   printf("\n%ld\n", sec);
   return 0;
}


0x04 程序实现细节

1、结构体定义

file header的定义可参考:

https://technet.microsoft.com/zh-cn/library/bb309024

event records的定义可参考:

https://technet.microsoft.com/zh-cn/library/aa363646

end of file record的定义可参考:

https://technet.microsoft.com/zh-cn/library/bb309022

注:

在程序实现上,为了避免重定义,我修改了event records的结构名

typedef struct _EVTLOGRECORD {
   DWORD Length;
   DWORD Reserved;
   DWORD RecordNumber;
   DWORD TimeGenerated;
   DWORD TimeWritten;
   DWORD EventID;
   WORD  EventType;
   WORD  NumStrings;
   WORD  EventCategory;
   WORD  ReservedFlags;
   DWORD ClosingRecordNumber;
   DWORD StringOffset;
   DWORD UserSidLength;
   DWORD UserSidOffset;
   DWORD DataLength;
   DWORD DataOffset;
} EVTLOGRECORD, *PEVTLOGRECORD;


2、筛选条件

end of file record的TimeGenerated为固定结构,值为0x33333333

在遍历过程中,如何遇到TimeGenerated为0x33333333,那么代表已经定位到end of file record,遍历结束


3、遍历方法

while (currentRecordPtr->TimeGenerated != 0x33333333)
{
       if (currentRecordPtr->TimeGenerated<StartTimeNum || currentRecordPtr->TimeGenerated>EndTimeNum)
       {      
           //not selected evt record,copy it
       }
       else
       {
           //delete record
       }
       currentRecordPtr = nextRecordPtr;
       nextRecordPtr = (PEVTLOGRECORD)((PBYTE)nextRecordPtr + nextRecordPtr->Length);
}


4、日志保存

通过读文件获得日志文件的完整内容,保存在数组中

如果删除中间的日志内容,需要删除数组中间某一段的内容

这里选择新定义一个数组,在遍历过程中,只复制满足条件的日志

我选择了使用memcpy优点是第一个参数可以指定起始地址


5、删除日志计数

统计删除日志的总数,后续日志的Record number作减法,减去已删除日志的总数

event records和end of file record的Last (newest) record number作减法,减去已删除日志的总数

完整代码已开源,下载地址:

https://github.com/3gstudent/Eventlogedit-evt--General/blob/master/evtDeleteRecordofFile.cpp

sys1.evt下载地址:

https://github.com/3gstudent/Eventlogedit-evt--General/blob/master/sys1.evt

程序读取文件sys1.evt,删除指定时间2018-7-16 17:46:17至2018-7-16 17:46:40之间的日志,共4条

生成文件sys2.evt和sys3.evt

sys2.evt未去掉trailing empty values

sys3.evt去掉trailing empty values


0x05 小结

本文介绍了删除evt文件指定时间段日志记录的思路和程序实现细节,开源代码,同evtx文件的删除方法存在很大区别

并且,删除当前系统指定指定时间段evt日志记录的方法同evtx也有很大区别,下篇将会详细介绍


本文作者:3gstudent

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/74750.html

Tags:
点赞: 3 评论:0 收藏: 1
新浪微博 QQ空间 微信扫一扫
评论  (0)
快来写下你的想法吧!

3gstudent
文章数:30 积分: 300

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号

活动日程

2022-06-17

Gdevops 全球敏捷运维峰会

2022-05-12

Mastering the Challenge!——来自The 3rd AutoCS 2022智能汽车信息安全大会的邀请函

2021-11-18

AutoSW 2021智能汽车软件开发大会

2021-06-27

2021中国国际网络安全博览会暨高峰论坛

2021-05-27

The 2nd AutoCS 2021智能汽车信息安全大会

2020-12-18

贝壳找房2020 ICS安全技术峰会

2020-12-11

全球敏捷运维峰会(Gdevops2020)

2020-12-04

2020京麒网络安全大会

2020-11-29

OPPO技术开放日第六期|聚焦应用与数据安全防护

2020-11-27

EISS-2020企业信息安全峰会之上海站 11.27

2020-09-24

CSDI summit中国软件研发管理行业技术峰会

2020-09-23

2020中国国际智慧能源暨能源数据中心与网络信息安全装备展览会

2020-07-31

EISS-2020企业信息安全峰会之北京站 | 7.31(周五线上)

2020-04-15

看雪.安恒 2020 KCTF 春季赛

2020-01-09

相约本地生活安全沙龙暨白帽子颁奖典礼