| 入侵取证是指通过特定的软件和工具,从计算机及网络系统中提取攻击证据。依据证据信息变化的特点,可以将证据信息分成两大类:第一类是实时信息或易失信息,例如内存和网络连接;第二类是非易失信息,不会随设备断电而丢失。通常,可以作为证据或证据关联的信息有以下几种:
|
|
|
|
|
| . 文件,如操作系统文件大小、文件内容、文件创建日期、交换文件等;
|
|
|
|
|
|
|
| . 系统状态,如系统开放的服务及网络运行的模式等;
|
|
|
|
|
| . 磁盘介质,包括硬盘、光盘、USB等,特别是磁盘隐藏空间。
|
|
|
|
|
| 第一步,取证现场保护。保护受害系统或设备的完整性,防止证据信息丢失。
|
|
|
| 第二步,识别证据。识别可获取的证据信息类型,应用适当的获取技术与工具。
|
|
|
| 第三步,传输证据。将获取的信息安全地传送到取证设备。
|
|
|
| 第四步,保存证据。存储证据,并确保存储的数据与原始数据一致。
|
|
|
| 第五步,分析证据。将有关证据进行关联分析,构造证据链,重现攻击过程。
|
|
|
| 第六步,提交证据。向管理者、律师或者法院提交证据。
|
|
|
| 在取证过程中,每一步的执行都涉及相关的技术与工具。
|
|
|
|
|
| 此类技术用于从受害系统获取原始证据数据,常见证据有系统时间、系统配置信息、关键系统文件、系统用户信息、系统日志、垃圾箱文件、网络访问记录、恢复已删除的文件、防火墙日志、IDS日志等。典型工具有ipconfig、ifconfig、netstat、fport、lsof、date、time、who、ps、TCPDump等。
|
|
|
|
|
| 此类技术用于保护受害系统的证据的完整性及保密性,防止证据受到破坏或非法访问,如用md5sum、Tripwire保护相关证据数据的完整性,使用PGP加密电子邮件。
|
|
|
|
|
| 此类技术用于分析受害系统的证据数据,常见的技术方法有关键词搜索、可疑文件分析、数据挖掘等。利用grep、find可搜索日志文件中与攻击相关的信息;使用OllyDbg、GDB、strings分析可疑文件;对tracert、IDS报警数据和IP地址地理数据进行关联分析,可以定位攻击源。
|
|
|
