计算机取证技术6课件

Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,计算机取证技术6,计算机取证技术6计算机取证技术6UNIX，是一个强大的多用户、多任务操作系统，支持多种处理器架构，按照操作系统的分类，属于分时操作系统，最早由KenThompson、DennisRitchie和DouglasMcIlroy于1969年在AT&T的贝尔实验室开发。,商业版本:Solaris、AIX、HP-UX,免费操作系统：LINUX、OpenBSD、FreeBSD,鉴于其基于网络的设计，UNIX系统是作为Internet和小型网络上的关键部分的理想平台。许多电子商务网站、公司财务数据库等都运行于UNIX平台。,第一页，共44页。,UNIX,，是一个强大的多用户、多任务操作系统，支持多种处理器架构，按照操作系统的分类，属于分时操作系统，最早由,KenThompson,、,DennisRitchie,和,DouglasMcIlroy,于,1969,年在,AT&T,的贝尔实验室开发。,商业版本,:Solaris,、,AIX,、,HP-UX,免费操作系统：,LINUX,、,OpenBSD,、,FreeBSD,鉴于其基于网络的设计，,UNIX,系统是作为,Internet,和小型网络上的关键部分的理想平台。许多电子商务网站、公司财务数据库等都运行于,UNIX,平台。,第二页，共44页。,与,Linux,的区别和联系,UNIX,是一个功能强大、性能全面的多用户、多任务,操作系统,，可以应用从巨型计算机到普通,PC,机等多种不同的平台上，是应用面最广、影响力最大的操作系统。,Linux,并不是,UNIX,，而是一个类似于,UNIX,的产品，它成功的实现并超越了,UNIX,系统和功能，具体讲,Linux,是一套兼容于,System V,以及,BSD UNIX,的操作系统，对于,System V,来说，目前把软件程序源代码拿到,Linux,底下重新编译之后就可以运行，而对于,BSD UNIX,来说它的可执行文件可以直接在,Linux,环境下运行。,第三页，共44页。,另外两大区别：,1,）,UNIX,系统大多是与硬件配套的，而,Linux,则可运行在多种硬件平台上,.,2,）,UNIX,有些版本比如,aix,hp-ux,是商业软件是闭源的（不过,solaris,*bsd,等,unix,都是开源的），而,Linux,是自由软件，免费、公开源代码的,.,第四页，共44页。,6.1 LINUX系统现场证据获取,现场证据获取的目的：保护现场，即保存当前系统运行状态。,凡是涉及计算机系统当前状态的数据都是收集的目标。,在现场收集的数据应该优先考虑挥发性数据。,要完全收集一台计算机的状态是不可能的。仅仅是检查高度易挥发的数据这种行为都会改变计算机的状态。,在系统的主存中查找字符串验证在,LINUX,上数据的易挥发性，使用下面的命令：,#grep abasasdc/dev/mem,binary matches,第五页，共44页。,/dev/mem,是一个特殊的设备文件，对它的访问其实是对主存进行访问，类似的，虚拟存储器可以通过,/dev/kmem,来访问,日期、时间等基本的信息可以首先收集起来,获取现场证据,屏幕信息,内存信息,网络联接状态,正在运行的进程,第六页，共44页。,6.1.1 屏幕信息,所有的,UNIX,版本都已经标准化了窗口操作标准,-X Windows,。,它是一个网络系统，允许正在运行的进程把它们的窗口显示在对用户来说最方便的任何工作站上。,X Windows,的转储命令,xwd,能够转储一个单独的窗口或者整个屏幕。,#xwd display localhost:0 root screen.xwd,#xwud in screen.xwd,xwd,命令提供了,-root,选项，可以用它通过捕获,X Window,系统根窗口捕获整个屏幕，,X Window,系统根窗口是包含显示的所有其他,X Window,系统窗口和对话框的全屏窗口。下面的命令捕获整个屏幕并把它写到,full-screen.xwd,文件中：,wd-root-out full-screen.xwd,第七页，共44页。,X-Window,环境下截图用,X-Window,中的截图工具,xwd,与,xwud,是,X-Window,中自带的截图工具。,xwd,是一个非常传统的屏幕截图软件，它可以截取程序窗口和全屏图像。,xwud,是,X11,图形工具客户程序，可以用它来显示由,xwd,程序创建的图形文件。这两个程序包含在,X-Window,的标准发布版中。截取图像的方法如下,:,#xwd myscreen.xwd,查看图像使用如下命令：,#xwud-in myscreen.xwd,实际使用中，可以用,xwd,结合其它图形转换程序直接获得想要的输出文件。,第八页，共44页。,6.1.1 内存信息,在,linux,上，每个东西都被当作文件来对待，这使复制和保存系统存储器的内容变得容易。,实例,假定在一个文件系统中有一个具有很大自由空间的数据收集系统,步骤一：,在数据收集系统上设置两个监听,netcat,进程：,#nc l p 10005suspect.mem.images&,#nc l p 10006suspect.kmem.images&,第九页，共44页。,步骤二,从受嫌疑的机器上复制内存：,#dd bs=1024/dev/mem l nc 192.168.0.2 10005 w 3,32678+0 records in,32678+0 records out,#dd bs=1024/dev/mem l nc 192.168.0.2 10005 w 3,22+0 records in,22+0 records out,注意：当复制高度异变的对象时，如系统的内存，是不可能验证其准确性的。,第十页，共44页。,6.1.3 网络连接,使用,netstat,命令来捕获正在进行中的网络活动的信息。,在典型的,linux,系统内，大多数的网络连接是能兼容,X Windows,的。即使只是在本地运行，,X Windows,也要使用网络机制。,在,LINUX,中，使用,-p,选项来显示与特定的网络连接相关的进程。,HTTP,是无状态的，因为这些连接都具有很短暂的生存期，并且它们的状态迅速地循环到,FIN_WAIT,状态，然后到,CLOSE_WAIT,状态。,同时，,HPPT,连接还提供了正在连接的机器的名字。当,netstat,不能够在本地的,/etc/hosts,中查找到这些机器名时，它会尝试一下反向,DNS,查询，以确定与,IP,地址相关的主机名。,第十一页，共44页。,6.1.4正在运行的进程,LINUX,提供了许多工具，这些程序能够提供关于所有运行进程的信息，或者提供关于特定运行进程的细节。,在捕获正在运行的机器状态时，主要的一个任务就是收集一份所有运行进程的列表，以及一份所有打开文件的列表。,/proc,目录是一个伪文件系统，它为,/dev/kmem,提供一个结构化的接口，便于系统诊断并查看每一个正在运行的可执行文件的环境。,在内存中的每一个进程在,/proc,中都有一个目录，按它的进程,ID,来命名。可以通过,/proc,来完善收集到的进程列表信息。,第十二页，共44页。,6.2 linux中计算机证据获取,6.2.1,文件系统,6.2.2,日志文件,6.2.3,其它信息源,6.2.4,数据恢复,第十三页，共44页。,6.2.1 文件系统,目录在,LINUX,的文件系统中发挥很重要的作用，它比,Windos,的目录要简单的多，只包括文件名的列表和文件的索引节点号。,每个文件都在索引节点表里有相关项，它包括除文件名外的所有与文件相关的信息，这些项可以通过索引节点号访问。,索引节点包含了一个文件除去文件名以外的所有信息,。一个索引节点占用,128,字节的磁盘空间。,第十四页，共44页。,索引结点包含的信息,文件类型：普通文件、目录、块设备文件、字符设备文件、链接等,文件权限：读、写、执行权限的组合,文件的硬链接数,文件所有者的用户,ID,文件所属的组,ID,文件大小（字节数）,一个包含有,15,个磁盘块地址的数组,文件最近的访问时间和日期,文件最后一次修改的日期和时间,文件创建的日期和时间,第十五页，共44页。,LINUX,所有文件均存放于目录中，目录本身也是一个文件。,目录存放文件的机制：,目录本身也和普通文件一样，占用一个索引节点,由这个索引节点得到目录内容的存放位置,从其内容中取出一个个的,文件名和它对应的节点号,，从而访问一个文件,第十六页，共44页。,目录结构：,索引节点号（,2,字节）,.,（本目录）（,14,字节）,索引节点号（,2,字节）,.,（父目录）（,14,字节）,索引节点号（,2,字节）文件名（,14,字节）,索引节点号（,2,字节）文件名（,14,字节）,由上可知，文件名是依靠目录来描述的，文件的内容和其它信息则由索引节点来描述。,在对文件的调查过程中，应该,重点分析这些索引节点以及其中的内容。,第十七页，共44页。,任何应用都会在磁盘上留下痕迹，有的直接在临时文件中留下，有的通过交换空间间接留下。,在另外的一台计算机上使用所保存的文件系统的映像有两种方式：,把映像复制进一个与该映像具有相同大小的分区内。首先使用,dd,把这个分区清除干净，然后使用,dd,把这个映像复制到该分区上。,把这个映像文件复制进一个足够大的能够容纳它的文件系统中，然后把驱动映像文件作为一个文件系统来加载。,第十八页，共44页。,Redhat LINUX,的缺省配置在,/dev,中具有一系列的回送设备，使同时安装多个文件系统映像变得很方便。,#mkdir/mnt/suspecthost,#mount t ext2 o ro,loop=/dev/loop0 suspect.hdb5.image/mnt/suspecthost,如果有一个,DOS,文件系统的映像，也可以使用下面这种方法来访问它：,#mkdir/mnt/suspecthost2,#mount t dos o ro,loop=/dev/loop1 suspect.dos.image/mnt/suspecthost2,第十九页，共44页。,6.2.2日志文件,logon,和,logoff,或,LINUX,系统的任意事件都可以在一个或多个系统日志文件中产生记录。,lastlog,文件中的记录可以通过,lastlog,命令进行查看,last,命令可以用来查看,wtmp,和,utmp,文件中的记录。,日志文件的详细程度各不相同，取决于日志记录机制是如何配置的。,LINUX,系统可以配置为记录每个用户账号、记录该账号执行的命令，或者通过,Solaris,系统的,BSM,（基本安全模块）进行记录。,系统日志、登录日志、,http,日志、进账日志,第二十页，共44页。,系统日志,系统日志可能是最有价值的系统活动的信息源。,如果满足下面两个条件，日志记录对取证会很有用。,日志记录功能是激活的，而且记录必须足够详细。,记录必须是完整的。,在信息量的记录方面，,syslog,兼容的进程通常有较大的灵活性。检查一个系统的时候，查阅一下,etc/syslog.conf,，看看对每一个系统服务，日志记录机制是怎样设置的，日志信息被送到什么地方。,syslog,的主要的弱点就是它缺少认证服务。制造假的系统日志很容易。如何进行