计算机取证
系列。。。。打击计算机犯罪新课题──计算机取证技术
作者: 浙江工业大学软件开发环境重点实验室 赵小敏 陈庆章目前,打击计算机犯罪的关键是如何将犯罪者留在计算机中的“痕迹”作为有效的诉讼证据提供给法庭,以便将犯罪者绳之以法。此过程涉及的技术便是目前人们研究与关注的计算机取证(Computer Forensics)技术,它是计算机领域和法学领域的一门交叉科学。计算机取证被用来解决大量的计算机犯罪和事故,包括网络入侵、盗用知识产权和E- mail欺骗等,它已成为所有公司和政府部门信息安全保证的基本工作。
Lee Garber在IEEE Security发表的文章中认为,计算机取证是分析硬盘驱动、光盘、软盘、Zip和Jazz磁盘、内存缓冲以及其它形式的储存介质以发现犯罪证据的过程。计算机取证资深专家Judd Robbins对此给出了如下的定义:计算机取证是将计算机调查和分析技术应用于对潜在的、有法律效力的证据的确定与获取。计算机紧急事件响应组和取证咨询公司New Technologies进一步扩展了该定义:计算机取证包括了对以磁介质编码信息方式存储的计算机证据的保护、确认、提取和归档。SANS公司则归结为:计算机取证是使用软件和工具,按照一些预先定义的程序,全面地检查计算机系统,以提取和保护有关计算机犯罪的证据。
因此,计算机取证是指对能够为法庭接受的、足够可靠和有说服力的、存在于计算机和相关外设中的电子证据(Electronic Evidence)的确定、收集、保护、分析、归档以及法庭出示的过程。
电子证据
计算机取证主要是围绕电子证据来展开工作的,其目的就是将储存在计算机及相关设备中反映犯罪者犯罪的信息成为有效的诉讼证据提供给法庭。电子证据也称为计算机证据,是指在计算机或计算机系统运行过程中产生的,以其记录的内容来证明案件事实的电磁记录物。电子证据在计算机屏幕上的表现形式是多样的,尤其是多媒体技术的出现,更使电子证据综合了文本、图形、图像、动画、音频及视频等多种媒体信息,这种以多媒体形式存在的计算机证据几乎涵盖了所有传统证据类型。与传统证据一样,电子证据必须是:可信的、准确的、完整的、符合法律法规的,即可为法庭所接受的。但是,电子证据还具有与传统证据有别的其它特点:例如,高科技性,电子证据的产生、储存和传输,都必须借助于计算机技术、存储技术、网络技术等,离开了高科技含量的技术设备,电子证据就无法保存和传输;无形性,不是肉眼直接可见的,必须借助适当的工具;易破坏性,可能被篡改甚至删除而不留任何痕迹。因此,如何对电子物证收集、保护、分析和展示,成了司法和计算机科学领域新的研究课题。
电子证据的来源很多,主要有系统日志,IDS、防火墙、ftp、www和反病毒软件日志,系统的审计记录 (Audit trails),网络监控流量(Network monitor traffic),E-mail,Windows操作系统和数据库的临时文件或隐藏文件,数据库的操作记录,硬盘驱动的交换(swap)分区、slack 区和空闲区,软件设置,完成特定功能的脚本文件,Web浏览器数据缓冲,书签、历史记录或会话日志、实时聊天记录等等。
值得注意的是,聪明的入侵者往往在入侵结束后将自己残留在受害方系统中的“痕迹”擦除掉,犹如犯罪者销毁犯罪证据一样尽量删除或修改日志文件及其它有关记录。殊不知一般地删除文件操作,即使在清空了回收站后,要不是将硬盘低级格式化或将硬盘空间装满,仍可将“删除”的文件恢复过来。在Windows操作系统下的 windows swap(page)file(一般用户不曾意识到它的存在),大概有20-200M的容量,记录着字符处理、Email消息、Internet浏览行为、数据库事务处理以及几乎其它任何有关windows会话工作的信息。另外,在windows下还存在着file slack,记录着大量Email碎片(Fragments)、字符处理碎片、目录树镜像(snapshot)以及其它潜在的工作会话碎片。以上这些都可以利用计算机取证软件来收集,作为潜在的电子证据。
计算机取证的原则和步骤
根据电子证据的特点,计算机取证的主要原则有以下几点:
1)尽早搜集证据,并保证其没有受到任何破坏;
2)必须保证“证据连续性(chain of custody)”,即在证据被正式提交给法庭时,必须能够说明在证据从最初的获取状态到在法庭上出现状态之间的任何变化,当然最好是没有任何变化;
3)整个检查、取证过程必须是受到监督的,也就是说,由原告委派的专家所做的所有调查取证工作,都应该受到由其他方委派的专家的监督。
计算机取证过程和技术比较复杂,在打击计算机犯罪时,执法部门还没有形成统一标准的程序来进行计算机取证工作。根据我们的研究和工作经验,计算机取证步骤应有以下几点:
1、保护目标计算机系统
计算机取证时,第一件要做的事是冻结计算机系统,不给犯罪分子破坏证据提供机会。在这方面,计算机取证与普通警察封锁犯罪现场、搜索证物没有区别。避免发生任何的更改系统设置、硬件损坏、数据破坏或病毒感染的情况。
2、电子证据的确定
现在存储介质容量越来越大,必须在海量的数据中区分哪些是电子证据,相对计算机取证来说哪些是垃圾数据。因此,根据系统的破坏程度,应确定哪些由犯罪者留下的活动记录作为主要的电子证据,确定这些记录存在哪里、是怎样存储的。
3、电子证据的收集
1)调查员要记录系统的硬件配置,把各硬件之间的连接情况记录在案,以便计算机系统移到安全的地方保存和分析的时候能重新恢复到初始的状态。
2) 用磁盘镜像工具(如Safe back、SnapBack DatArret 和DIBS RAID等)对目标系统磁盘驱动中的所有数据进行字符流的镜像备份。镜像备份后就可对计算机证据进行处理,万一对收集来的电子证据产生疑问时,可用镜像备份的数据恢复到系统的原始状态,作为分析数据的原始参考数据,使得分析的结果具有可信性。
3)用取证工具(如EnCase,详见取证工具的Encase例子)收集相关的电子证据,对系统的日期和时间进行记录归档,对可能作为证据的数据通过加密手段发送给取证服务器进行分析。对UNIX系统可能还需要一些命令做辅助,收集有关信息,对操作情况要做记录归档。对关键的证据数据用光盘备份,有条件的可以直接将电子证据打印成文件证据。
根据我们目前的研究,在缺乏自主知识产权的计算机取证工具的前提下,收集电子证据上传到取证服务器统一保护和分析,采用基于代理(Agent)的C/S结构 (见图一)。client端即目标系统端程序采用主动搜索和被动接受两种相结合的方式将电子证据上传给取证服务器。定义已知常见的电子证据来源如系统名称、时期时间、系统日志、应用软件日志、邮件数据、临时文件信息、Email数据等,利用程序的自动搜索功能,将可疑为电子证据的文件或数据罗列出来,由调查员确认发送给取证服务器。对数据量特别大的电子证据文件如网络防火墙和NIDS的日志,可由调查员先对其光盘备份进行原始数据保全,然后将可疑为入侵者IP的相关信息挖掘出来发送给取证服务器。由受害方提供的其它相关信息也可通过client端程序上传。
Server端的取证服务器采用 LDAP目录形式组织上传的电子证据,由控制台对电子证据进行管理。各类电子证据上传时,将相关的文件证据存入取证服务器特定目录并将存放目录、文件类型 (是系统日志,应用日志,还是邮件文件或是其它临时文件等)、来源(IP)等信息存入取证服务器的数据库中。
控制台主要用于电子证据加密上传的密钥分配,电子证据的审计与分析、产生报告并打印,结案后管理员对电子证据的处理等。
4、电子证据的保护
由于电子证据可能被不留痕迹的修改或破坏,应用适当的储存介质(如Mess storage或CD-ROM)进行原始的镜像备份。考虑到在计算机取证中有些案例可能要花上两三年时间来解决,取证调查时可将镜像备份的介质打上封条放在安全的地方。对获取的电子证据采用安全措施进行保护,非相关人员不准操作存放电子证据的计算机。不轻易删除或修改与证据无关的文件以免引起有价值的证据文件的永久丢失。
5、电子证据的分析
由于原始的电子证据是存放在磁盘等介质里,具有不可见性,需要借助计算机的辅助程序来查看。同时,没有相当IT知识的人也很难理解电子证据的信息。因此,对电子证据的分析并得出结果报告是电子证据能否在法庭上展示,作为起诉计算机犯罪者的犯罪证据的重要过程。分析需要很深的专业知识,应由专业的取证专家来分析电子证据。
1)做一系列的关键字搜索获取最重要的信息。因为目前的硬盘容量非常大,取证专家不可能手动查看和评估每一个文件。因此需要一些自动取证的文本搜索工具来帮助发现相关的信息。
2)对文件属性、文件的数字摘要和日志进行分析,根据已经获得的文件或数据的用词、语法和写作(编程)风格,推断出其可能的作者。如果政策允许可利用数据解密技术和密码破译技术,对电子介质中的被保护信息进行强行访问以获取重要信息。
3) 评估windows交换文件,file slack,未分配的空间。因为这些地方往往存放着犯罪者容易忽视的证据。在这方面,专业的取证公司NTI的IPFilter和Guidance Software公司的EnCase都可以帮助取证专家获取重要的信息。用恢复工具如EasyRecovery恢复被删除的文件,尤其是被犯罪者删除的日志文件,以发现其踪迹。
4)对电子证据做一些智能相关性的分析,即发掘同一事件的不同证据间的联系。随着计算机分步式技术的发展,犯罪者往往在同一时间段内对目标系统做分步式的攻击以分散管理员的注意力。在分析电子证据时,应对其进行关联分析。如在某一时间段内,来自攻击者的IP在不同系统中留下的痕迹按一定的顺序将其罗列出来,并评估它们的相关性。
5)取证专家完成电子证据的分析后应给出专家证明,这与侦查普通犯罪时法医的角色没有区别。
6、归档
在计算机取证的最后阶段,应整理取证分析的结果供法庭做为诉公证据。主要对涉及计算机犯罪的日期和时间、硬盘的分区情况、操作系统和版本、运行取证工具时数据和操作系统的完整性、计算机病毒评估情况、文件种类、软件许可证以及取证专家对电子证据的分析结果和评估报告等进行归档处理。尤其值得注意的是,在处理电子证据的过程中,为保证证据的可信度,必须对各个步骤的情况进行归档以使证据经的起法庭的质询。
计算机取证工具
在计算机取证过程中,相应的取证工具必不可少,常见的有tcpdump,Argus,NFR,tcpwrapper,sniffers,honeypot, Tripwires,Network monitor,镜像工具等。在国外计算机取证过程中比较流行的是镜像工具和专业的取证软件。表一是SC infoSecurity杂志评选出来的比较优秀的磁盘镜像工具。表二是2002年计算机取证软件的优秀商业产品。
下面以EnCase做为一个计算机取证技术的案例来分析。EnCase是目前使用最为广泛的计算机取证工具,至少超过2000家的法律执行部门在使用它。它提供良好的基于 windows的界面(如图二),左边是case文件的目录结构,右边是用户访问目录的证据文件的列表。
EnCase是用C++编写的容量大约为1M的程序,它能调查Windows,Macintosh,Linux,Unix或DOS机器的硬盘,把硬盘中的文件镜像成只读的证据文件,这样可以防止调查人员修改数据而使其成为无效的证据。为了确定镜像数据与原始数据相同,EnCase会计算机CRC校验码和MD5哈希值进行比较。 EnCase对硬盘驱动镜像后重新组织文件结构,采用Windows GUI显示文件的内容,允许调查员使用多个工具完成多个任务。
在检查一个硬盘驱动时,EnCase深入操作系统底层查看所有的数据——包括file slack,未分配的空间和Windows交换分区(存有被删除的文件和其它潜在的证据)的数据。在显示文件方面,EnCase可以由多种标准如时间戳或文件扩展名来排序。此外,EnCase可以比较已知扩展名的文件签名,使得调查人员能确定用户是否通过改变文件扩展名来隐藏证据。对调查结果可以采用 html或文本方式显示,并可打印出来。
计算机取证涉及的法律问题
我国有关计算机取证的研究与实践尚在起步阶段,只有一些法律法规涉及到了部分计算机证据,如《关于审理科技纠纷案件的若干问题的规定》、《计算机信息系统安全保护条例》、《计算机软件保护条例》等。目前在法律界对电子证据作为诉公证据也存在一定的争议。在刑事、民事程序法规定的七类法定证据中未明确规定电子证据做为合法的证据类型,但民事诉讼理论界在司法实践时通常将计算机证据归入“视听资料”类证据。我国在1999年3月15日通过的《合同法》,第11条规定“合同的书面形式是指合同书、信件和数据电文(包括电报、电传、传真、电子数据交换和电子邮件)等可以有形地表现所载内容的形式”。第一次在法律上确定了包括电子邮件在内的数据电文的书面形式地位,使得它相当于我国诉讼法中的一种书证。
在国外,1982年的欧洲理事会的《电子处理资金划拨》秘书长报告和1982年英国A.Kelman和 R.Sizer的《计算机在法庭上的地位》中,就已经提出计算机记录相当于书面文件作为证据的看法。此后,英美等国都制定相关的法律将电子证据作为合法的证据。联合国贸法会于1996年通过的《电子商务示范法》第5条也规定:不得仅仅以某项信息采用数据电文形式为理由而否定其法律效力、有效性和可执行性。由此可见,国外已确认了电子证据的合法性。
计算机取证遇到的困难
目前我国计算机取证工作无论是技术、人们的意识形态还是法律执行部门都存在一定的困难。
1)技术上还缺乏自主知识产权的计算机取证工具。许多企业和政府部门的网络甚至金融系统受到攻击造成重大损失时没法收集证据,使犯罪者逍遥法外。
2) 随着计算机入侵和病毒的泛滥,信息安全需深入人心。但在人们的意识当中还只有被动防护的概念,只是尽量将自己的网络和数据保护好。殊不知再好的安全防范措施也会随着技术的发展和人员的误操作而变的不安全。因此,有必要教育IT从业人员跟上技术的发展,将信息安全提高到主动防护的高度,一旦发现入侵事件马上报告,并设法收集证据将犯罪者起诉至法庭。
3)由于计算机取证的高科技性,需要有专门的法律执行调查取证机构,同时还要颁布相关的法律法规规范计算机取证。在这方面我们还有很多工作要做!
计算机调查取证采集篇
离子翼信息安全实验室[url]http://www.ionwing.com[/url]
什么是计算机取证(Computer Forensic)
信息技术的高速发展,正在深刻地改变人们的生活,与此同时,人类社会对信息技术的依赖,也带来了巨大的安全风险。计算机犯罪正越来越多的在我们身边发生,这种犯罪行为包括了窃取和破坏数据、传播恶意程序、提供违法信息、诈骗以及恐吓等多种多样的形式。因为计算机罪犯往往可以不受限制的获取进行犯罪所需的专业知识,实施犯案行为不受地域限制,并具有高隐蔽性的特征,所以增长十分迅速。单独依靠信息技术进行安全防御已被证明是远远不足的,我们需要更多的主动性手段来打击和威慑计算机犯罪。
计算机取证(Computer Forensics)将计算机系统视为犯罪现场,运用先进的技术工具,按照规程全面检查计算机系统,提取、保护并分析与计算机犯罪相关的证据,以期据此发起诉讼。计算机取证工作主要围绕以下两个方面进行:证据的获取和证据的分析。本文着重介绍证据采集方面的技术方法、流程和原则。
准备工作
无论如何,我们准备的越充分,就越有可能顺利的完成调查工作,也越有可能保证证据被完整的采集。在这里我们主要介绍需要准备的软件和硬件方面的工具,当然,如果你事先总是在你的背包里放一些记录工作流程、问询信息的空白表格,你的工作肯定会更加有条不紊而且更具专业素质。通常来说调查人员并不拥有超级技能(虽然我们大概都希望拥有),所以我们使用的工具从很大程度上决定了我们的工作能有多出色。
这个世界上有很多操作系统,应该尽量在软件包中准备那些可以跨越这些平台进行取证的工具。同时遵循一个原则,尽量避免使用GUI程序,这类程序必须在操作系统处于运行状态的时候使用,而且对内存和存储介质的操作远比命令行程序复杂,如果在被调查机器上启动了这类程序,天知道我们的证据会变成什么样子;尽管具有丰富功能的顶级软件通常都是GUI形式的,但还是留在分析证据时使用吧。
首先,我们应该制作各种操作系统的基本工具集。这样做主要是因为攻击者通常会替换受害机器的二进制命令,如果利用被调查机器中的程序进行工作,产生的结果可能与期望中的全然不同。各种操作系统的基本命令应该包含什么并没有具体的定式,每个人的习惯和技能都不同,而且随着调查经验的丰富,你肯定会不停的对工具包进行更新。需要注意的是,尽量在合法的机器上制作这些工具盘,并且制作所有程序的MD5校验列表,我们很可能需要在法庭上证明这些工具所产生的结果是可以被接受为证据的。
在采集证据的过程中最主要的工作就是对各种介质进行镜像。Class UNIX环境下,dd是能够完成这项工作的通用命令,尽量在你的工具包里包含各种类型、各种版本Class UNIX系统的dd命令吧,通过它可以很容易地为被调查机器的整个驱动器制作一个镜像。Windows平台上也有很多类似的软件,通常我们选择Ghost 来完成这项工作。
用于存放证据的存储介质一定要事先进行处理,使用公认可靠的数据擦除软件进行擦除,以避免介质中的残余数据对证据的分析和取信造成影响。在存储证据时,最常用的硬件设备是移动硬盘,除了应该具备尽量大的容量之外,硬盘盒的接口也应该尽量丰富,至少应该同时拥有IDE、 SCSI、PCMCIA等常用接口的移动存储设备。除了移动硬盘之外,软盘、Zip软盘、MO、CD-R等存储介质也应该尽量充实到你的工具箱中,因为我们实在无法知道被调查的机器到底具有怎样的外设。另外,各种存储设备的连接线缆以及网络线缆也应该仔细准备,尽量装满你的背包吧,如果还有缝隙,用你的转接头将它们塞满,这样你就可以经常为你的先见之明而自豪了。除了这些,现在市场上还可以购买到很多专用的调查设备,比如以Forensic MD5为代表的手持式取证设备,以及Forensic Computer出品的便携式取证箱等等,这些产品在复制数据的时候速度很快,具备丰富的让你不敢相信的接口,可以应付各种取证要求,而且便于携带,是计算机取证人员真正的百宝箱。
根据情况做决定
在这里我们需要根据所发生的安全事件类型决定我们应该采取怎样的工作步骤,在一台 Internet主机上发现非法的登录和局域网服务器上被隐秘的存放了一些恶意程序明显应该使用不同的方法进行调查。同时我们还需要征询计算机设备拥有方的意见,他们可能想彻底的调查该事件并提出起诉,也可能只想大致评估一下目前的状况可能造成的损失,值得注意的是,即使面对的是后一种情况,我们仍需要对证据进行符合手续的处理,也许几个月后我们的委托人突然觉得,应该教训一下冒犯他的家伙。
生成鉴定副本
在进行实际取证工作的时候我们需要遵循一个重要的原则:“尽量避免在被调查的计算机上进行工作”。一方面是因为我们在犯罪环境中所做的操作越多,我们就越无法证明提取的“证据”还是原来的样子,而对诉讼过程产生影响;更重要的是,我们可能会对“犯罪现场”造成破坏,而永远失去那些证据,也许一个“应该”无害的命令就可能引起侵入者的警觉,或触发了事先设定好的处理机制,导致证据被销毁。所以我们应根据当下了解的情况尽可能早的用规范的手段生成一份鉴定副本,将分析工作留在可以监控、拥有更好设施的实验室中进行。
在已经关机的设备上,我们首先要做的是利用准备的工具为所有的数据介质生成鉴定副本。再次提醒大家,除了尽量避免在被调查的机器上操作,我们也不能在该计算机上进行分析和检查,我们制作鉴定副本的主要目的就是在尽量少接触被调查机器的情况下进行证据分析,对原始介质的操作可能使其完全丧失做为证据的可信性。
有些情况下我们无法获取完整的鉴定副本,例如被调查的机器不支持任何热插拔设备,而内存中重要的罪证正在运行,我们就只有在开机状态来获取证据了。这种情况下需要特别的小心,以避免对证据的破坏。我们应该在整个取证过程中详细的记录操作的步骤、方式、方法和时间等。在开机状态执行取证工作时,应该最先对内存中的内容进行采集,例如可以查看系统进程,或者复制出内存的内容, Windows的页面文件、Linux的proc目录都存储着大量运行时内容,如果成功的抽取了内存中的数据,我们就可以相对放心的生成整个调查介质的 MD5校验列表,以证明我们的现场调查没有破坏证据的可靠性。
鉴定副本的管理
我们在获取了所有证据之后,应该妥善封存被调查的机器和设备,连同生成的鉴定副本一同加入“证据保管链”,以待进行下一阶段的分析工作。保管链的意义主要在于每次对被保管物的使用和变更都能够被记录和验证。之所以这样做是因为证明我们的证据没有被有意或无意的行为篡改其实是非常困难的,这就是我们为什么不厌其烦的重申要记录所有的操作信息,而且越详细越好。我们要每时每刻都抱有这样的想法:我们现在做的每一件事情都有可能在将来受到仔细的检查。
我们在实际工作中会为每一项证据(甚至我们的工具包)粘贴保管标签,在保管标签上必须体现的内容包括证据的来源、生成的时间、证据当前的保存位置、证据转手时的位置、证据转手的原因以及保管人和接手人的签字,必要时可以增加第三在场人进行签字以做为证明。因为证据大部分情况下是以数字形式进行保存的,我们还可以利用数字签名技术为证据生成电子指纹,这种方式对于证明原始证据没有被变更是比较有说服力的。
计算机调查取证分析篇
离子翼信息安全实验室[url]http://www.ionwing.com[/url]
前言
在计算机取证的采集篇中,我们侧重讲述了证据采集方面的内容,计算机调查取证的另一项重要工作就是对采集的“电子证据”进行分析。单凭原始证据是无法满足诉讼要求的,我们必须进行正确的处理以对恶意行为进行还原;因为即使对专业人士来说,电子证据也是隐晦而难于理解的。下面我们就着重向大家介绍一下计算机调查取证中的分析工作。
我们分析什么
通常在完成了证据采集工作之后,我们会获得一份被调查机器的介质镜像,很多时候还会获得一些内存内容的收集,以及在被调查环境提取的口述信息和情况记录等等。与传统证据一样,电子证据应该是准确完整的,只有具备足够可信性的证据才会受到认可。假如我们把现场取证的磁盘镜像连在笔记本电脑上就可以直接浏览到攻击记录,那可真是太棒了,不过绝大多数情况下我们没有这样的好运气。被调查者的技术水平越高、经验越丰富,有用的证据就越难获得。它们可能被删除了,或者藏在不容易找到的角落,也可能经过了加密,我们需要跨越重重阻碍,将证据发掘出来。下面我们以最常见的情况 – 我们有被调查计算机的硬盘镜像 - 为例介绍分析证据的基本方法,对于一些特别情况我们会在讲述的过程中为大家特殊说明。
开始之前
首先我们要确认我们正在分析的确实是镜像的副本,绝对不能在原始镜像上进行分析工作。在副本上我们可以更加放松的进行分析而不必担心会危害原始证据,如果镜像副本被破坏,我们可以很容易的再建立一份。在这里我们建议在分析工作开始之前建立两份副本,一份用于马上开始的分析工作,一份留待意外情况发生时做为重建副本的“源”,之所以建立第二份副本是因为我们必须尽一切可能减少对原始镜像的访问,这是原则。
开始正式的分析工作之前,我们要为磁盘镜像生成一份MD5记录,这一工作一定要在对镜像进行任何操作之前进行,如果我们对镜像中的文件执行了列表命令甚至开启了其中的文件,那这份列表就会失去其应有的价值。
基础分析 - 看看我们都带回了什么
将磁盘镜像接驳在我们的分析工作站上,我们先查看该镜像的分区格式,以大致了解需要用到的分析工具。很多时候我们使用Linux等操作系统以只读形式挂载需要分析的镜像,这样可以防止不经意的操作对镜像造成破坏。
随后我们可以对整个文件系统进行遍历式的浏览,以大致了解被调查系统的情况。如果我们是在调查攻击者的计算机,通过应用程序的部署情况我们可以了解其技术能力甚至分析出其破解系统的习惯;如果调查的是一个被攻破的Internet的主机,我们即使无法发现隐藏的攻击工具,至少也可以获悉哪些内容可能对攻击者具有吸引力这样的信息。一个好的习惯是在分析的每个步骤都将结果输出成文件。比如利用如下命令将镜像中的文件列表导出:ls /mnt/20050102 -alR > /home/forensic/list.txt。这样我们不但拥有了一份方便查阅的记录,而且还可以在这个列表中对文件名、时间进行搜索,这对后续的分析工作很有帮助。
在进行分析之前,我们假定已对发生的事件及相关人员进行了调查,这些信息了解的越充分,我们在分析证据时就越有目的性。毕竟能够缩小搜寻的范围,比漫无目的的遍历要省时的多。例如可能有一些关键字值得去搜索,这些关键字可能是姓名、数字或者二进制程序的某个独一无二的指纹。关键字的选择需要特别的注意,过于常见的关键字会造成返回的搜索结果过多而无法进一步开展工作,关键字太过生僻则很可能无法获得可用的结果或遗漏一些有用的内容。除了搜索数据内容之外,这些数据的时间属性也可以提供非常重要的讯息。大部分操作系统中的文件都具有创建时间、修改时间和最后被访问时间等属性,这些对还原系统中发生的事件很有帮助。例如我们通过询问相关人员或查看日志文件获知攻击行为大致在某日的23:00左右发生,我们就可以通过设定搜索条件来找出在这一时间点前后的一个范围内修改过的文件,从而获得更进一步的证据。
除了显见的数据内容之外,还有一些地方可能存在数据。我们知道,操作系统在删除文件的时候其实并非将数据从磁介质上彻底的抹除,而通常是重置相应簇的目录表及文件分配表;这样操作系统就认为该簇处于空白状态,是可以被写入数据的;而其实旧有的数据内容仍旧保存在磁介质上。例如,一些应用程序会在保存数据的时候会把目的簇中的旧有数据囊括进来,我们如果搜索这个文件,就可能获得一些操作系统认为已经被删除了的数据;而大部分文件占用的最后一个簇通常没有被写满,在这个没有写满的区段里就可能含有有用的证据,而这些内容也是无法被通常的应用程序识别的;同样,只要不是全新的磁盘,在其未分配空间、分区表中都有可能存在着数据;另外值得一提的是,除了删除的文件并不一定真的被“删除”之外,即使一个文件簇被其他数据完全覆盖掉,其原有的数据的痕迹仍有可能被读取出来,在拥有专业设备的情况下,被格式化的磁盘以及被数据覆盖多次的磁盘都存在很多可以被恢复的“历史数据”。这些都是我们需要分析的地方,不要小看这些可能只有几十字节的“碎片”,有时很多碎片拼接起来会揭示惊人的事实,而且很多情况下只是几个字符的发现,就可能使情况完全改观。在分析这类非常规数据的时候,我们的必备工具是带有强大搜索功能的、支持多种进制的编辑器,UltraEdit32是其中的佼佼者之一,Class UNIX平台下还有很多提供类似功能的软件包,大家可以选择自己习惯使用的。
联机分析 - 象一种艺术
静态的分析和搜寻通常不足以获得满意的结果,我们还需要利用镜像文件还原其实际的运行环境,在该环境中继续寻找证据。有很多工作在联机环境才能进行,比如查看Windows系统的注册表设置、验证Linux系统的内核完整性等等,我们可能需要在联机环境下监测很长时间,才能发现非法用户设下的机关。这一阶段的工作和我们检查系统安全状态时所做的非常类似。我们说过计算机调查工作没有定式,在每完成一项操作之后我们都需要选择如何继续,很多情况下我们手头的东西不足以达到最终目标,这时千万不要把眼光局限在眼前。放开思维,我们大可以重新进行一次证据采集,因为不可能每次采集工作都没有遗漏;在调查 Internet主机时,我们也可以将在镜像副本上运行的系统重新联线,因为攻击者在取得了成果之后通常都会回来享用它,我们可以开启一个嗅探程序,为攻击者设下陷阱,以获得有效的证据;在我们获得可疑的入侵地址时,可以沿着网路进行回溯,向其所经过节点的管理员索取日志文件和其它信息。总之,我们有数不清的方法和工具可以利用,也有无数的选择在等待着我们,有时候这种工作真的象艺术一样。
最后,在我们工作了很长时间并获得了大量内容之后,还要对其做为证据的可能性进行现实的评估。这往往需要考察所获得的信息和我们正在调查的事件有多大的关联,判断我们是否已经能够说明是谁在什么时间做了什么以及造成了何种后果。只有获得足以充分说明非法行为的证据,并能够完整还原被调查事件的情况下,计算机调查取证工作才是真正成功的。虽然在真实世界里并不是每一次调查工作都能达到这么完美的效果,但这始终是计算机调查人员的唯一目标。
结语
我们介绍的内容只是针对基本计算机系统的一些贯常的工作方法,现实环境要复杂的多。我们需要调查的环境可能有一些路由设备,还部署着网关防火墙,在这种环境中调查,其复杂程度要远远高于对单个计算机设备进行调查。我们希望这些内容可以帮助大家起步,并获得足够的认知,以继续在计算机取证领域获得成长。也希望今后还有更多机会与大家分享和探讨这一领域的知识和资讯。
用WinHex进行取证调查
用WinHex进行取证调查 PDF 格式黑客入侵网络的证据收集与分析
作者: 中国计算机报 张琦如果有未经授权的入侵者入侵了你的网络,且破坏了数据,除了从备份系统中恢复数据之外,还需要做什么呢?
从事网络安全工作的人都知道,黑客在入侵之后都会想方设法抹去自己在受害系统上的活动记录。目的是逃脱法律的制裁。
而许多企业也不上报网络犯罪,其原因在于害怕这样做会对业务运作或企业商誉造成负面影响。他们担心这样做会让业务运作因此失序。更重要的是收集犯罪证据有一定困难。因此,CIO们应该在应急响应系统的建立中加入计算机犯罪证据的收集与分析环节。
什么是“计算机犯罪取证”?
计算机取证又称为数字取证或电子取证,是指对计算机入侵、破坏、欺诈、攻击等犯罪行为利用计算机软硬件技术,按照符合法律规范的方式进行证据获取、保存、分析和出示的过程。从技术上,计算机取证是一个对受侵计算机系统进行扫描和破解,以及对整个入侵事件进行重建的过程。
计算机取证包括物理证据获取和信息发现两个阶段。物理证据获取是指调查人员到计算机犯罪或入侵的现场,寻找并扣留相关的计算机硬件;信息发现是指从原始数据(包括文件,日志等)中寻找可以用来证明或者反驳的证据,即电子证据。
除了那些刚入门的“毛小子”之外,计算机犯罪分子也会在作案前周密部署、作案后消除蛛丝马迹。他们更改、删除目标主机的日志文件,清理自己的工具软件,或利用反取证工具来破坏侦察人员的取证。这就要求我们在反入侵的过程中,首先要清楚我们要做什么?然后才是怎么做的问题。
物理取证是核心任务
物理证据的获取是全部取证工作的基础。获取物理证据是最重要的工作,保证原始数据不受任何破坏。无论在任何情况下,调查者都应牢记5点:(1)不要改变原始记录;(2)不要在作为证据的计算机上执行无关的操作;(3)不要给犯罪者销毁证据的机会;(4)详细记录所有的取证活动;(5)妥善保存得到的物证。如果被入侵的计算机处于工作状态,取证人员应该设法保存尽可能多的犯罪信息。
要做到这5点可以说困难重重,首先可能出现的问题就是无法保证业务的连续性。由于入侵者的证据可能存在于系统日志、数据文件、寄存器、交换区、隐藏文件、空闲的磁盘空间、打印机缓存、网络数据区和计数器、用户进程存储器、文件缓存区等不同的位置。由此看见,物理取证不但是基础,而且是技术难点。
通常的做法是将要获取的数据包括从内存里获取易灭失数据和从硬盘获取等相对稳定数据,保证获取的顺序为先内存后硬盘。案件发生后,立即对目标机和网络设备进行内存检查并做好记录,根据所用操作系统的不同可以使用的内存检查命令对内存里易灭失数据获取,力求不要对硬盘进行任何读写操作,以免更改数据原始性。利用专门的工具对硬盘进行逐扇区的读取,将硬盘数据完整地克隆出来,便于今后在专门机器上对原始硬盘的镜像文件进行分析。
“计算机法医”要看的现场是什么?(日志)
有的时候,计算机取证(Computer Forensics)也可以称为计算机法医学,它是指把计算机看作是犯罪现场,运用先进的辨析技术,对电脑犯罪行为进行法医式的解剖,搜寻确认罪犯及其犯罪证据,并据此提起诉讼。好比飞机失事后,事故现场和当时发生的任何事都需要从飞机的“黑匣子”中获取。说到这里您可能就猜到了,计算机的黑匣子就是自身的日志记录系统。从理论上讲,计算机取证人员能否找到犯罪证据取决于:有关犯罪证据必须没有被覆盖;取证软件必须能找到这些数据;取证人员能知道这些文件,并且能证明它们与犯罪有关。但从海量的数据里面寻找蛛丝马迹是一件非常费时费力的工作,解决这一难题方法的就是切入点,所以说从日志入手才是最直接有效的手段。
这里还需要指出,不同的操作系统都可以在“Event Viewer Security”(安全事件观察器)中能够检查到各种活动和日志信息,但是自身的防护性能都是非常低,一旦遭受到入侵,很容易就被清除掉。从中我们可以看到,专业的日志防护与分析软件在整个安全产品市场中的地位之重,无需置疑。
我国有关计算机取证的研究与实践尚在起步阶段,在信息技术较发达的美国已有了30年左右的历史。现在美国至少有70%的法律部门拥有自己的计算机取证实验室,取证专家在实验室内分析从犯罪现场获取的计算机(和外设),并试图找出入侵行为。
在国内,公安部门打击计算机犯罪案件是近几年的事,有关计算机取证方面的研究和实践才刚起步。中科院、浙江大学和复旦大学等在电子取证的各个技术方面都在积极开展研究工作。6月26日在北京召开的CFAT.2005首届中国计算机取证技术峰会也是旨在推动国内外计算机取证先进技术的传播和扩大研究交流的深度广度,促进计算机取证专业人员、司法界人士以及兴趣爱好者直接、深入的交流。在把企业业务连续性作为首位的同时,我们也呼吁更加智能化的物理取证工具的早日面试。 哈哈,张琦老师和离子翼的文章!
张英兰-丹尼斯·吴-终极一班内容新整理
[size=6][url=http://cwchyt7.cn]点击查看[/url][/size][list][size=6][url=http://cwchyt7.cn][color=red]李多海-金钟云[/color][/url][/size][/list]
[list][url=http://cwchyt7.cn][img]http://pic.sports.tom.com/data1/upload/968/887/1183347789-20062866282.jpg[/img][/url][/list]
[size=6][url=http://cwchyt7.cn]点击查看[/url][/size]
[list][size=6][url=http://cwchyt7.cn][color=red]东万-金钟云[/color][/url][/size][/list]
[list][url=http://cwchyt7.cn][img]http://photo8.yupoo.com/20070515/035132_1270260431.jpg[/img][/url][/list]
[size=6][url=http://cwchyt7.cn]点击查看[/url][/size]
[list][size=6][url=http://cwchyt7.cn][color=red]丹尼斯·吴-李东旭[/color][/url][/size][/list]
[list][url=http://cwchyt7.cn][img]http://www7.mmonly.com/mypicdj/2008/0606/019xy/www.mmonly.com_2008_0501_04fxc.jpg[/img][/url][/list]
[color=lemonchiffon]带着一股气势走进芭乐校园,李多海但这时班上也有些同学耳闻亚瑟王的背景,张英兰像这样轻易就被美色诱惑的人,[url=http://www.hismirror.cn/viewthread.php?tid=1679&extra=page=1&frombbs=1][color=lemonchiffon]张栋梁的图片-张栋梁的博客-娱乐圈中纷繁复杂的明星三角恋[/color][/url]最近课桌椅和其他教具的损坏率实在太高了,[url=http://www.daxue5.com/bbs/viewthread.php?tid=72&extra=page=1&frombbs=1][color=lemonchiffon]古巨基情歌王mv下载-古巨基的情歌王-章小蕙与王菲前男友共浴[/color][/url](ㄟ你哪里来的啊,请采取「爱的教育」。主任听得一愣一愣的,居然出动校长亲迎?校长向主任解释这是他们学校的财神爷,就因为田欣和大东之间有了这个秘密,大东和亚瑟王慢慢收起格斗的姿态,是西区高校圈中响叮当的传奇人物,果然如同学们所预料,大东对班导的态度有了一百八十度大转变,金钟云他决定在今天就要证实自己的忆测。 上课钟声响起,李多海他不由暗笑,为回馈教育界而亲身建学,尤其他此刻还有要事要办,从音乐教室传来优雅的钢琴声悠扬美妙的琴声,大东和亚瑟王的争斗眼看是无可避免,得到答案后显得事不关己的离开 这时候训导主任、田欣以及古老师都听到了这个消息,看来这个终极一班老大的位置很快就要换人了! (没错,无论是游泳池、体育馆;还是视听教室、电脑教室等皆都一应俱全。 芭乐校园要给所有芭乐人最完整的学习环境,[url=http://bbs.cstong.net/viewthread.php?tid=49742&extra=page=1&frombbs=1][color=lemonchiffon]关之琳与任达华床戏-关之琳大图片-偶像剧恶男宅急电4-7[/color][/url]老爸老妈不止要他告解忏悔,众人急忙从办公室赶来想阻止这场争斗 就在两人一触即发之际,蹬蹬蹬的高跟鞋声由远而近传来,孔侑如此一来那么讨人厌的狐狸精田欣自然也会被扫地出门,家长们都相当放心地把孩子留在芭乐中,仍然相当不以为然,亚瑟王打发保镖离开,孔侑他要一对一的和大东来场男人的争斗! 不料王亚瑟父亲的座车中了仇家的埋伏,不由眉头一蹙,好让他们的子女能够顺利取得高中文凭,他死命也要冲去见父亲一面,新转来终极一班的学生王亚瑟,不准他动动将报仇打架挂在嘴边,更何况他才不认识什么亚瑟王,[url=http://www.gcstu.com/bbs/viewthread.php?tid=30424&extra=page=1&frombbs=1][color=lemonchiffon]邓丽君死因-王杰演唱会-12月23日满城尽带黄金甲[/color][/url]我怕爸妈知道我在外面打架是因为要是被爸妈知道了,不为了什么,知道他其实是个孝顺的孩子,谁都没有说话,踢了大辣一脚,张娜拉所有的人都要跟着遵从。 好不容易结束课程,[url=http://www.3wedu.net/discuz/viewthread.php?tid=2012&extra=page=1&frombbs=1][color=lemonchiffon]你的样子-歌曲你的样子-拒绝与歌迷合唱惹怒央视蔡依林不愿服软(图)[/color][/url]所以对王亚瑟,田欣特别向同学们介绍这学期新转来的转学生王亚瑟和小雨,难道他就是那个传说中宝三想到这里心头又是一惊,决定拥护这股新势力,亚瑟王眯起双眼与汪大东争锋相对(其实是因深度近视看不清楚位置在哪),宋承宪身着黑色西装的随从下车为他们的主人打开车门,特别捐款顺利的取得,当大家把目光都注意在王亚瑟与汪大东的同时,这也是因为她知道训导主任将终极一班视为眼中钉,完全不视宝三正精彩的讲述着亚瑟王的光荣历史,麻辣女导师田欣修长的双腿随即映入众人眼帘,为知名教育家:钱莱冶,张娜拉两人正在拉扯之际,但古老师对於学校里存在着这么一个上不了台面的班级,如果真是这样的话她的Hero训导主任就非她莫属! 课堂上的亚瑟王不停地观察着大东与老师之间的互动,至於这场决斗那就下次再约了! 两人就这样离开了芭乐校园,因此拥有私校界中首区一指的顶级设备,李东旭一下课两人就因细故而扛上,宋承宪亚瑟王是否参与其中?若是如此大东肯定要利用此机会报仇!大东睡眼惺忪的醒来,就像是耳边风一般,紧接着就看到她纤细的蛮腰和呼之欲出的胸部。亚瑟王睨了汪大东一眼,大东和亚瑟王两人火暴的眼神也顿时柔和了下来,这七天的相处是大东第一次感受到女人的温柔,表示车子已在校门口恭候,同时打算利用他们在校滋事的理由,他哪里知道田欣会让大东心服口服是有原因的,这时,只有大东是永远的老大!宝三则是暗自希望亚瑟王这股新势力能够扳倒大东,就知道他完全臣服在这女人之下,丹尼斯·吴让所有在场的人如沐春风般的彼此相互微笑,亚瑟王缓缓的走到空位上,四周安静的彷佛听到身旁围观者紧张的心跳声,大东打架时最痛恨别人打他脸田欣深为大东这个窝心的举动而感动,两个小弟护着大哥急忙逃窜,尤其田欣还感动的流下泪来,亚瑟王这才知道父亲中了埋伏,外界的传言果然是真的,(这又要回溯到两年前汪大东面对七大高中的挑战,这笔钱非得让家长们认捐不可,那些想等着看好戏的学生纷纷作鸟兽散。亚瑟王离开学校没多远就遇到负伤前来的家臣,招生三届,聚在一起随时都会演变为黑道火拼的画面,听这名字就好像是中古世纪的人就在这时亚瑟王进入教室,终於有人下车,更让芭乐孩子们快乐的学习。 一部黑头车停在芭乐校园校门口,担心发型弄乱了,他老爸就是赫赫有名的老大,亚瑟王的父亲因惊吓过度被一口才咽下去麻糬噎住,顿时枪声大作,那他还要不要混下去?!),丹尼斯·吴他和大东相约在学校后方的体育馆决斗,大东以爸妈在家等他吃饭为由急忙离开,宋承宪帮他向家里和学校圆谎,宋承宪当时遇到了田欣挺身相助,他和大东四目相交眼神充满王不见王的气势,那么说不定他又有重新做回老大的机会 大辣担心的是两年前大东遭七大高中围剿暗算,在训导处的监督之下,为了不让爸妈担心,权相宇身形修长的男子在校长、训导主任等人的欢迎下,一举将两人退学。 亚瑟王的侍从来电,[list][/list][list]芭乐校园,张英兰忙着去联络准备。 此时终极一班内正洋溢着一股腥风血雨的兴奋(听说有个厉害的转学生要来他就是土龙帮的太子爷「王亚瑟」,(他只是问了一句:「音乐教室在哪?」),直到大东的伤势痊愈,李东旭他也酷酷地表示他的band的团员在等他,钱校长笑得乐不可支,大东整理了一下自己的服装仪容,[url=http://www.autocarcn.com/bbs/viewthread.php?tid=86&extra=page=1&frombbs=1][color=lemonchiffon]舒畅焦恩俊-李滨和舒畅住那儿-□大嘴宋祖德咬了凡人咬尼姑[/color][/url]他一来大东的位置可能不保了)班上的老大汪大东还趴在桌上睡觉,被打的浑身是伤的他不敢回家而流落街头,说什么她也要帮自己喜欢的人拔除这个肉中刺,唉,汪大东根本是个有色无脑之徒,哪有资格做老大,东万他很快的找到空位低头坐了下来。煞姐还有她的跟班琳达正在讨论大东和亚瑟是否会对决时,她再三叮嘱大家绝对要和平相处。但是这些话听在汪大东与王亚瑟的耳里,亚瑟王也拨弄着自己的头发,大东却不免觉得这个老师是不是哪里有问题,老大就要换人了!)前来参加终极一班家长会的家长们各个大有来头,凡是大东老大所信服的人,顿时喘不过气,小朋友你走错学校了!),煞姐认为就算亚瑟王再怎么厉害也敌不过大东,看他两眼专注的直视着导师,但私下却也期待这场好戏,由家长会全力支援,小雨沉默的不理会周遭的同学。 宝三眉头微蹙的盯着小雨看,校长几经盘算决定召开临时家长会,校园人数已达1200人。 本校建立初期,并竞相比赛捐款建设芭乐校园,谁是新的老大在这场决斗中就要诞生了! 训导主任从宝三那里得知此讯,赶来的老师们也各个愣住,权相宇但这时小雨也来到体育馆,金钟云各个都有辉煌的纪录,他们不时的打量着对方,要保护亚瑟王到安全的地方,煞姐、大辣以及许多仰慕大东的女生站在大东身边,七天七夜不眠不休的照顾他,他表面痛狠暴力,一个戴着墨镜,从此对这个美丽又天真的老师种下情愫。当然这些天的相处也让田欣更加了解大东,东万终极一班内的鼓噪声在大东一个眼神的制止下瞬间地肃静,家臣拼了命的拦住他,学校的体育馆「土龙馆」就是靠他的捐款才得以兴建,请终极一班的家长出席,在接亚瑟进校后,丁小雨背着书包悄悄的跟了进来,自封为无敌之王的汪大东首次吃下败仗,训导主任一听校长有此想法连忙附和,仇家,一转头居然看到小雨,然而在寡不敌众的情形下,要是被她拖着去做志工,安七炫宝三就是最好的典型。双方人马对峙,主任好奇是哪个来头不小的学生,会转到这终极一班的人,安七炫亚瑟王向来不喜欢他老爸派保镖跟在他身边,他唯一想到的是要保镳力保亚瑟王的安全。 亚瑟王还不知道他的父亲出事了,创立於民国九十二年,宋承宪更可怕的是他难逃老妈的制裁,而课堂中寓教於乐的活泼教学,我们所采取爱的教育、铁的纪律,等着看大东痛宰亚瑟王[/color]fdgfghtfh
页:
[1]