Цифровая криминалистика опирается на разнообразные артефакты — следы, которые оставляют как рядовые пользователи, так и злоумышленники. Журналы событий Windows (Windows Event Logs) выступают главной хронологической летописью работы операционной системы. Они фиксируют события безопасности, поведение приложений, активность служб и драйверов, а также данные о входе пользователей, включении и выключении компьютера. Поскольку Windows 10 и 11 генерируют огромный объем фоновых событий, поиск криминалистически значимых артефактов требует как специального ПО, так и навыков и чёткого понимания архитектуры и механизмов журналирования.

Архитектура, структуры и пути к файлам

Для эффективного анализа телеметрии важно понимать, как операционная система структурирует, хранит и архивирует файлы журналов. Переход от старых систем, выпущенных до Windows Vista, к современной архитектуре (Windows 10, 11 и их серверным аналогам) заметно изменил подходы к ведению журналов и их защите от несанкционированных правок.

Нормализация времени, корреляция и централизованная телеметрия

Временные метки полезны лишь тогда, когда они точно привязаны к событиям внешнего мира — времени за пределами компьютера. Windows обычно хранит время в UTC, но многие приложения для просмотра журналов отображают его в локальном времени. Из-за этого легко допустить ошибку, особенно если часы переводили на летнее или зимнее время либо корректировали вручную. Если расследование охватывает сразу несколько систем, и нужно синхронизировать, к примеру, момент входа злоумышленника в защищённое помещение и его вход в систему, подобные расхождения могут искажать общую картину. Обязательно проверьте соответствие временных меток часовому поясу, указанному в реестре Windows, в частности в ключе HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TimeZoneInformation (параметр ActiveTimeBias ).

Журналы событий дают лишь часть общей картины. Записи нередко обрываются из-за лимитов на размер файлов, строгих политик хранения или прямого вмешательства злоумышленников. Поэтому эксперты всегда сопоставляют журналы с другими артефактами: кустами реестра, метаданными файловой системы, файлами Prefetch, заданиями планировщика и телеметрией конкретных приложений. Рекомендуем всегда проводить перекрёстную проверку по разным типам артефактов.

В корпоративных сетях сбор данных часто централизован (Windows Event Forwarding, SIEM-системы или EDR). Это сильно помогает при первичном анализе: локальные файлы .evtx могут оказаться очищенными или перезаписанными, в то время как централизованные архивы сохраняют полную версию журналов. Если дела обстоят таким образом, сразу же запросите данные из централизованных источников.

Пути к файлам и структура XML

Современные версии Windows создают журналы в формате .evtx. Они представлены в виде XML-структур, сериализованных в проприетарный бинарный формат. В каждой записи содержатся все необходимые ключи: цифровой идентификатор (ID) события, метка времени, источник (provider), идентификатор безопасности пользователя (SID) и содержимое события. Структура несколько необычная: логическая структура записей описывается XML, но физически данные хранятся в бинарном контейнере. Дополнительную сложность создаёт тот факт, что Windows использует разные схемы для журналов разных  типов. Ручной разбор журналов малоэффективен; для их анализа имеет смысл использовать специализированные криминалистические инструменты.

По умолчанию операционная система складывает журналы в папку C:\Windows\System32\winevt\Logs. В этой папке Windows создаёт сотни отдельных файлов, сортируя события по категориям. В расследованиях чаще всего фигурируют:

• Security (Безопасность): попытки входа в систему, использование особых привилегий, изменения политик.
• System (Система): проблемы самой ОС, сбои служб и ошибки драйверов.
• Application (Приложение): сообщения от установленных программ.
• Setup (Установка): хроника установки и обновления компонентов.
• Forwarded Events (Пересланные события): центральный архив событий, собранных с удалённых компьютеров.

Пути к этим файлам указаны в реестре Windows в ключе HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog, который хранит настройки службы журналирования. Этот ключ обязательно стоит проверить, чтобы убедиться, что журналы не были перенаправлены в нестандартную папку.

На структурном уровне файлы .evtx разбиты на блоки (chunks). Если изучить внутренние заголовки и сами блоки, можно выяснить, был ли файл повреждён, были ли попытки редактирования на низком уровне или аварийная остановка службы журналирования.

Ротация, резервные копии и архивирование

Непрерывное журналирование потребляет немало ресурсов, поэтому система применяет к записям групповые политики (GPO). Чаще всего администраторы задают жёсткий лимит на размер файла (обычно 20 МБ, хотя для Security на серверах могут выделять дополнительное место). Как только файл заполняется, ОС выбирает один из двух путей: либо начинает стирать старые события (циклическая перезапись), либо архивирует заполненный файл и создаёт новый.

В защищённых корпоративных сетях считается хорошей практикой архивировать старые события. Система складывает копии .evtx в ту же папку C:\Windows\System32\winevt\Logs, называя их по шаблону Archive-<ИмяЖурнала>-ГГГГ-ММ-ДД-ЧЧ-ММ-СС-ННН.evtx. По умолчанию система не перезаписывает такие архивы.

Для криминалиста подобные архивы очень ценны. Расследование может быть начато спустя недели после фактического взлома. На нагруженном сервере активный файл Security.evtx перезаписывается так быстро, что иногда хранит события лишь за последние несколько часов. Именно архивные копии помогают восстановить хронологию инцидента. Если же регламент требует хранить архивы, а их нигде нет, значит, либо кто-то ошибся в настройках, либо злоумышленник намеренно уничтожил улики.

Очистка журналов

Намеренная очистка журналов — тревожный сигнал и потенциальный индикатор действий злоумышленника. Журнал Security чаще всего подвергается манипуляциям в попытках замаскировать факты повышения привилегий или запуска вредоносного кода. Таким образом часто действуют программы-вымогатели, «заметающие следы» прямо перед началом шифрования дисков.

Учтите важный нюанс: штатными средствами Windows нельзя удалить несколько неудобных строк — журнал всегда очищается полностью. Однако само это действие оставляет заметный след: в новый журнал Security система запишет Event ID 1102. Если же кто-то стер другие журналы (например, Application или Setup), в разделе System появится Event ID 104.

Событие 1102 представляет большую ценность. Чтобы очистить журнал безопасности, требуются права уровня Manage auditing and security log, которые есть только у администраторов и самой системы (SYSTEM). Если вы видите, что записи обнулились в разгар рабочего дня, а не во время планового техобслуживания — это почти наверняка связано с инцидентом. В таких случаях эксперты обычно проверяют, какая учётная запись и какой Logon ID фигурируют в записи об очистке.

Методология извлечения данных из работающих систем

Сегодня подход в духе «выдернуть шнур из розетки и изъять жёсткий диск» чаще всего оказывается непрактичным и даже вредным. Внезапное отключение серверов парализует бизнес, даёт злоумышленнику понять, что его раскрыли, и безвозвратно уничтожает важные волатильные данные. Поэтому индустрия сделала ставку на оперативный сбор данных и анализ авторизованной пользовательской сессии прямо на работающей системе.

Триаж и анализ авторизованной сессии: принципы криминалистического отбора

Суть метода проста: вы запускаете на скомпрометированном компьютере специализированные утилиты, которые быстро извлекают кусты реестра, дампы памяти, файлы Prefetch и журналы .evtx, не нарушая работу самой ОС. Подобные инструменты — например, Elcomsoft Quick Triage — эксперты обычно приносят с собой на съёмных носителях.

Они требуют прав администратора, что позволяет без труда обходить локальные ограничения доступа. Такой точечный подход даёт возможность обнаружить улики за считанные минуты, а значит — быстрее купировать угрозу.

Использование теневых копий (VSS) для извлечения журналов

Во время работы с загруженной системой эксперт сталкивается с двумя главными препятствиями: операционная система блокирует доступ к активным файлам журналов, а злоумышленник — или зловредные резидентные процессы — стремятся удалить или очистить все компрометирующие записи. Обойти эти препятствия позволяет работа через службу теневого копирования томов (Volume Shadow Copy Service, VSS). Эта технология делает мгновенные «снимки» файловой системы, сохраняя старые версии файлов.

К примеру, если злоумышленник удалил Security.evtx за пять минут до начала анализа, то актуальный файл не покажет ровным счётом ничего. Но если система успела сделать теневую копию, в ней будет лежать целый, нетронутый журнал. Работа со снимками VSS позволяет восстановить события аутентификации, факты повышения привилегий и следы запуска хакерских инструментов, которые без теневых копий исчезли бы навсегда.

Разумеется, служба теневого копирования может использоваться и для доступа к актуальным версиям файлов. В этом режиме работа через VSS позволяет обойти блокировки доступа  к файлам со стороны операционной системы — например, позволяет скопировать файл, открытый на запись.

Анализ, нормализация и удаление дубликатов

Анализ журналов Windows — довольно сложная задача, т.к. у журналов нет единой XML-схемы. Специализированные инструменты используют шаблоны и сопоставление полей. Не менее важно и удаление дубликатов при объединении множества файлов: оно отсекает повторяющиеся записи и помогает выстроить точную временную шкалу, по которой удобно искать и фильтровать события.

Криминалистически значимые артефакты

Ниже собраны наиболее ценные артефакты журналов событий Windows 10 и 11. Для удобства они разбиты по логическим группам, начиная с базовых событий аутентификации.

Группа 1: Аутентификация и вход в систему

Журналы аутентификации — одни из важнейших источников. Прежде чем совершить преступление, взломщику нужно войти в систему (подобрать пароль к RDP, использовать украденные учётные данные или найти иной путь). Если внимательно изучить события «тип входа» (Logon Type), можно легко отличить физическое присутствие за клавиатурой от удалённого подключения или перемещения внутри сети.

• Артефакт: Успешный или неудачный вход
  • Где искать: C:\Windows\System32\winevt\Logs\Security.evtx
  • Что значит: ID 4624 — успешный вход; ID 4625 — ошибка аутентификации; ID 4648 — вход с явным указанием других учётных данных.
  • Зачем нужен: Это основной ориентир для выявления атак типа подбора пароля и подстановки учётных данных. Всегда смотрите на поле Logon Type (2 — локально, 3 — по сети, 10 — через RDP).
• Артефакт: Выдача особых привилегий при входе
  • Где искать: C:\Windows\System32\winevt\Logs\Security.evtx
  • Что значит: ID 4672 — сессии выданы специальные привилегии (часто указывает на права администратора).
  • Зачем нужен: Подсвечивает сеансы с потенциально опасными полномочиями (вроде SeDebugPrivilege или SeBackupPrivilege). Обязательно сверяйте его с событием входа (4624) и обычным поведением пользователя, поскольку многие легитимные системные службы генерируют это событие штатным образом.

Группа 2: Протокол удалённого рабочего стола (RDP)

Получив первичный доступ, для дальнейших действий на скомпрометированной системе злоумышленники могут использовать RDP. Здесь на помощь приходят операционные журналы TerminalServices — они дополняют картину из журнала Security.

• Артефакт: Операционные события диспетчера локальных сеансов (Local Session Manager)
  • Где искать: C:\Windows\System32\winevt\Logs\Microsoft-Windows-TerminalServices-LocalSessionManager\Operational.evtx
  • Что значит: ID 21 (Успешный вход), ID 22 (Запуск графической оболочки), ID 24 (Сессия отключена), ID 25 (Переподключение к сессии).
  • Зачем нужен: Полезный источник для отслеживания перемещений по RDP. Часто содержит IP-адрес источника, но иногда выдаёт заглушку LOCAL. В таком случае ищите подтверждение в журнале Security.

Группа 3: Запуск процессов, службы и закрепление в системе

Чтобы не потерять контроль над скомпрометированным компьютером после перезагрузки, вредоносный код прописывается в автозагрузку или создаёт фальшивые системные службы.

Важно: Всегда сверяйте эти находки с соответствующими ключами в реестре Windows.

• Артефакт: Установка и модификация служб
  • Где искать: System.evtx и Security.evtx
  • Что значит: ID 7045/4697 (Установлена новая служба), ID 7040 (Изменился тип запуска), ID 7034 (Служба аварийно остановилась).
  • Зачем нужен: Надежный маркер того, что в системе кто-то закрепился. Помогает выявлять вредоносное ПО, которое маскируется под легитимные компоненты ОС.
• Артефакт: Создание процессов и аудит командной строки
  • Где искать: C:\Windows\System32\winevt\Logs\Security.evtx
  • Что значит: ID 4688 фиксирует факт запуска процесса, указывает его родителя и (при соответствующих настройках) показывает переданные аргументы командной строки.
  • Зачем нужен: Без него трудно понять, что именно делал атакующий, особенно если он применял тактику «living off the land» (использовал встроенные утилиты ОС для своих целей). Обязательно проверьте, включен ли в политиках аудит создания процессов вместе с записью командной строки.

Группа 4: Состояние питания

В системном журнале хранятся события состояния устройства. В частности, стоит обратить внимание на режим Modern Standby (S0), в котором система может выполнять фоновые задачи, даже когда компьютер выглядит спящим. (Обратите внимание: режим Modern Standby/Connected Standby присутствует в основном в ноутбуках; настольных компьютеров с поддержкой этого режима не так много.)

• Артефакт: Состояние питания и режим Modern Standby/Connected Standby
  • Где искать: C:\Windows\System32\winevt\Logs\System.evtx
  • Что значит: ID 12 (Включение системы), ID 1074 (Штатное выключение пользователем), ID 506/507 (Вход и выход из режима Connected Standby).
  • Зачем нужен: Помогает составить график физической работы с устройством. Поля «Reason» подскажут, закрыл ли пользователь крышку ноутбука, нажал на кнопку питания или система уснула по тайм-ауту.

Группа 5: Внешние накопители (USB)

Обычные USB-накопители остаются главным инструментом для кражи конфиденциальных данных или заражения изолированных сетей. Подсистема Plug and Play (PnP) скрупулёзно записывает идентификаторы любого подключённого оборудования.

Важно: Всегда сверяйте эти находки с соответствующими ключами в реестре Windows, в которых содержится информация о подключении и отключении внешних накопителей.

• Артефакт: Инициализация USB-устройств Plug and Play
  • Где искать: Storage-ClassPnP%4Operational.evtx и DriverFrameworks-UserMode\Operational.evtx
  • Что значит: Подготовка драйверов (ID 10000-10002), а также низкоуровневый опрос устройства и диагностика подсистемы хранения (ID 507, 512).
  • Зачем нужен: Служит техническим подтверждением физического подключения накопителя к компьютеру. Операционная система массово генерирует эти диагностические события при попытке низкоуровневого опроса контроллера. Сопоставив их с записями в реестре, можно связать серийный номер конкретного накопителя с фактом доступа к данным.

Фильтрация неинформативных артефактов

Журналирование всего подряд создаёт огромный «информационный шум», который заметно снижает эффективность анализа. При исследовании системных журналов имеет смысл отсеивать события, не несущие смысловой нагрузки.

Устаревшие ID событий

В Windows 10 и 11 используется совершенно иная нумерация, чем в старых системах (до Windows Vista). Некоторые идентификаторы, о которых до сих пор пишут в устаревших руководствах, следует игнорировать:

• Успешный вход: устаревшие — 528 и 540; современный аналог — 4624.
• Ошибка входа: устаревшие — 529-537 и 539; современный аналог —4625.
• Выход из системы: устаревший — 538; современный аналог —4634 и 4647.

Избыточная телеметрия

События Windows Filtering Platform (WFP, ID 5156 и 5158) способны генерировать тысячи строк в минуту, быстро заполняя журналы до отказа. Включать их в анализ стоит лишь в том случае, если вы проверяете конкретную гипотезу. Точно так же события доступа к службе каталогов (4662) и обновления билетов Kerberos (4770) создают значительный шум в доменных сетях. Впрочем, они же могут оказаться полезными при расследовании целенаправленных атак на Active Directory.

Заключение

Криминалистический анализ Windows усложняется с каждым годом. Каждая новая функция, служба или механизм безопасности генерирует всё новые события. Удержать в голове все изменения между версиями ОС и помнить стандартные параметры журналирования непросто даже ветеранам индустрии. Именно поэтому современные расследования немыслимы без специализированного программного обеспечения, способного собирать и анализировать данные в промышленных масштабах.

Но программы никогда не заменят живого следователя. Даже самые продвинутые утилиты не понимают контекста, делают ошибочные допущения и выдают неполные данные под видом непреложной истины. Интерпретация и принятие решений — ответственность живого эксперта. Автоматизация поможет справиться с рутиной и ускорить процесс, но выдача даже самой совершенной программы — не более чем отправная точка для вдумчивого анализа.

Благодарности и источники

Эта статья опирается на богатый коллективный опыт криминалистического сообщества. Детальный разбор артефактов журналов Windows 10 и 11 стал возможен благодаря трудам и документации следующих авторов и профильных организаций:

1. Windows Event Log Analysis: Techniques for Every SOC Analyst | CyberDefenders Blog
2. Windows Event Log Forensics: A Comprehensive Guide | by ShellXploit — Medium
3. Windows Event Logs — Forensafe
4. Understanding the Windows Server Event Log | Microsoft Community Hub
5. Event Log File Format — Win32 apps — Microsoft Learn
6. Windows event logging and forwarding — Australian Cyber Security Centre
7. Windows Server Event Log and Event Log Policies 2025
8. Event Log Clearing and Malware Execution: Evidence from Windows Logs — Medium
9. Windows Forensic Artifacts Cheat Sheet | PDF — Scribd
10. One Windows Event Log ID To Rule Them All: Why You Should Hunt With Event 4624
11. Critical Windows Event ID’s to Monitor — Graylog
12. Detecting Lateral Movements in Windows Infrastructure — CERT-EU
13. Request for List of High and Critical Windows Security Event IDs — Microsoft Learn
14. Windows Event Viewer: List of Common Event IDs — tenfold
15. Windows Terminal Services — Local Session Manager Log — Cyber Triage
16. Windows RDP-Related Event Logs: Identification, Tracking, and Investigation
17. Making Sense of RDP Connection Event Logs — FRSecure
18. Remote Desktop Shell Start- Local — Microsoft Q&A
19. Windows event codes for startup/shutdown lock/unlock — Server Fault
20. Modern Standby Wake Sources | Microsoft Learn
21. USB Artifact Analysis Using Windows Event Viewer, Registry and File System Logs — MDPI
22. USB Forensics on Windows 10 | Netscylla’s Blog
23. Important Windows Event IDs: Which Events You Should Monitor and Why — BeyondTrust
24. Windows Security Log Event ID 4662 — An operation was performed on an object