信息犯罪与计算机取证 第五章 电子证据发现与收集.

Slides:



Advertisements
Similar presentations
请点击以下链接下载 WinHEC 的演讲材料 Download WinHEC presentations here:
Advertisements

计算机网络课程总结 一、计算机网络基础 计算机网络定义和功能、基本组成 OSI/RM参考模型(各层的功能,相关概念, 模型中数据传输 等)
LSF系统介绍 张焕杰 中国科学技术大学网络信息中心
插入超链接 高邮市第一实验小学 范太国 任务一:设置文本超链接 任务一:设置文字超链接 步骤:1、选定文字并右击,在快捷菜单 中选择“超链接”命令。 2、在弹出的对话框中选择左侧“链接到:”中的“本文档中的位置(A)”项,在“请选择文档中的位置(C):”中选择需要链接的幻灯片,单击“确定”按钮。
Oracle数据库 Oracle 子程序.
在PHP和MYSQL中实现完美的中文显示
陈香兰 助教:陈博、李春华 Spring 2009 嵌入式操作系统 陈香兰 助教:陈博、李春华 Spring 2009.
LSF系统介绍 张焕杰 中国科学技术大学网络信息中心
第二讲 搭建Java Web开发环境 主讲人:孙娜
学习前的准备工作 讲师:burning.
中国科学技术大学 肖 明 军 《网络信息安全》 中国科学技术大学 肖 明 军
第八章 菜单设计 §8.1 Visual FoxPro 系统菜单 §8.2 为自己的程序添加菜单 §8.3 创建快捷菜单.
存储系统.
大学计算机基础 典型案例之一 构建FPT服务器.
Ebooking 突发问题解决方案.
SVN服务器的搭建(Windows) 柳峰
网络常用常用命令 课件制作人:谢希仁.
第11章:一些著名开源软件介绍 第12章:服务安装和配置 本章教学目标: 了解当前一些应用最广泛的开源软件项目 搭建一个网站服务器
PostgreSQL 8.3 安装要点 四川大学计算机学院 段 磊
Windows网络操作系统管理 ——Windows Server 2008 R2.
Windows网络操作系统管理 ——Windows Server 2008 R2.
第十章 IDL访问数据库 10.1 数据库与数据库访问 1、数据库 数据库中数据的组织由低到高分为四级:字段、记录、表、数据库四种。
以ISI平台为例,为您演示一下如何在Endnote文献中查看该文献的References
第17章 网站发布.
2019/1/12 GDP设计协同 超级管理员操作手册 GDP项目组.
ENS 10.1安装配置指南 王俊涛 | SE.
供应商登录CJLR SRM系统入口 CJLR供应商仅可以在互联网上访问SRM系统,无法在CJLR内网登录SRM系统.
Windows 7 的系统设置.
YMSM D-PACK 安装手册 作成者:D-PACK维护组(YMSLx) 作成日:
VSS使用简介 王树升
用event class 从input的root文件中,由DmpDataBuffer::ReadObject读取数据的问题
任务1-3 使用Dreamweaver创建ASP网页
宁波市高校慕课联盟课程 与 进行交互 Linux 系统管理.
宁波市高校慕课联盟课程 与 进行交互 Linux 系统管理.
程序设计工具实习 Software Program Tool
SOA – Experiment 2: Query Classification Web Service
第二章 登录UNIX操作系统.
新PQDT论文全文库提交平台.
微机系统的组成.
電子郵件簡介.
直接扫描保存成TIF格式, 其他图片格式用Windows XP自带的 Windows图片与传真查看器打开
第四章 团队音乐会序幕: 团队协作平台的快速创建
主要内容: 无线局域网的定义 无线传输介质 无线传输的技术 WLAN的架构 无线网络搭建与配置 无线网络加密配置
实验七 安全FTP服务器实验 2019/4/28.
计算机网络与网页制作 Chapter 07:Dreamweaver CS5入门
教育部 财政部 网络教育数字化学习资源中心平台系统 安装与配置
JSP实用教程 清华大学出版社 第2章 JSP运行环境和开发环境 教学目标 教学重点 教学过程 2019年5月7日.
iSIGHT 基本培训 使用 Excel的栅栏问题
常见的网络交流方式 QQ、MSN 电子邮件 BBS类(电子公告栏) 聊天室类 网络电话 博客 ……
第八章 总线技术 8.1 概述 8.2 局部总线 8.3 系统总线 8.4 通信总线.
数据报分片.
Visual Basic程序设计 第13章 访问数据库
Touch Github = Touch the World
GIS基本功能 数据存储 与管理 数据采集 数据处理 与编辑 空间查询 空间查询 GIS能做什么? 与分析 叠加分析 缓冲区分析 网络分析
Python 环境搭建 基于Anaconda和VSCode.
WSAAsyncSelect 模型 本节内容 视频提供:昆山爱达人信息技术有限公司 视频录制:yang
基于列存储的RDF数据管理 朱敏
C++语言程序设计 C++语言程序设计 第一章 C++语言概述 第十一组 C++语言程序设计.
YOUR SUBTITLE GOES HERE
3.8 局域网应用实例 某省劳动和社会保障网络中心组网实例 会议中心的无线组网实例.
第8章 创建与使用图块 将一个或多个单一的实体对象整合为一个对象,这个对象就是图块。图块中的各实体可以具有各自的图层、线性、颜色等特征。在应用时,图块作为一个独立的、完整的对象进行操作,可以根据需要按一定比例和角度将图块插入到需要的位置。 2019/6/30.
本节内容 进程 视频提供:昆山爱达人信息技术有限公司 官网地址: 联系QQ: QQ交流群 : 联系电话:
第四章 UNIX文件系统.
使用ADO访问数据库 李宝智 BonizLee 课程 10564A
创建、启动和关闭Activity 本讲大纲: 1、创建Activity 2、配置Activity 3、启动和关闭Activity
使用Fragment 本讲大纲: 1、创建Fragment 2、在Activity中添加Fragment
RefWorks使用指南 归档、管理个人参考文献.
入侵检测技术 大连理工大学软件学院 毕玲.
四路视频编码器 快速安装手册 1、接口说明 2、安装连接 3、软件下载 4、注意事项 编码器软件下载地址
JUDDI安装手册.
Presentation transcript:

信息犯罪与计算机取证 第五章 电子证据发现与收集

本章重点内容: 日志系统中电子证据发现的方法,收集 的途径等,网络环境中电子证据发现的 方法,收集的方式等。

本章学习要求: 通过本章的学习,掌握电子证据发现的 总体思路和具体方法,掌握在不同种操 作系统环境下的日志文件的收集,掌握 网络通信中所涉及到的电子证据的发现 与收集。

复旦投毒案 4月1日,复旦大学一名在读医科研究 生突然患病,病情严重。  4月1日,复旦大学一名在读医科研究 生突然患病,病情严重。 医院大夫怀疑饮水机的桶装水放置太久 孳生细菌,诊断为急性肠胃炎。黄洋接 受打针、输液等治疗。简单的治疗并没 有制止病情的急剧恶化。第二天,黄洋 的肝功能和凝血功能均不在正常指标内, 第三天他的血小板开始减少,被送入了 外科重症监护室。医生多方会诊,仍不 能确定毒源,而黄洋已陷入昏迷。

转折点 在医院救治中,医生一直不确认原因。 直到9日,事件出现重要进展。 黄洋的师兄孙某收到了一个陌生人发来 的短信,提请注意一种化学药物,周围 有人常在用。

破案关键 孙某收到短信后,马上将情况告诉了黄 洋的导师,并查询了校内的医学论文资 料,发现使用该药物后的实验室小白鼠 症状与黄洋此前症状十分相似,而相关 实验论文的作者正是黄洋的同寝室室友 林某!  之后就听说有人看到犯罪嫌疑人被控 制了。

神秘短信 短信可以锁定发送者 即使是匿名 可以锁定基站 结合摄像头和人证,可以锁定 发出短信的是什么人?

案例

5.1 计算机系统日志概述 5.1.1 计算机系统日志的概念 “日志”这一概念来源于海员的航海日志。 当他们出海远航的时候,总是将每天的 航行状况以航海日志的形式记录下来, 以便为今后的工作提供有效的依据。

计算机系统日志的概念是指系统所指定 对象的某些操作和其操作结果按时间有 序的集合,每个日志文件由日志记录组 成,每条日志记录描述了一次单独的系 统事件。

日志也是关于计算机系统一切活动的历 史记录,由负责监视系统活动的审计系 统产生。 一条日志记录可以由用户级、应用程序 级、系统级活动组成。

Win7日志 我们可以在Windows 7系统下直接查看 系统的启动时刻。

winxp日志 我的电脑右键属性, 管理 事件日志查看

5.1.2 计算机系统日志的作用 1.资源监控 可以通过系统日志来了解计算机系统中 的进程、内存、硬盘、文件、网络、外 围设备等资源的使用情况。 2.用户审计 系统日志记录了用户使用系统资源的情 况,这就可以有效监控用户的行为,防 止资源浪费或者超越权限的行为。

3.入侵检测 通过设置不同的安全级别实现对违反安 全政策和机制的行为进行记录和报警。 4.损失评估 可以帮助调查人员确定不安全行为的影 响范围,并对造成的损失进行评估。

5.帮助恢复系统 如果系统一旦遭到入侵甚至破坏,那么 由于计算机系统日志记录了系统之前的 运行信息,甚至记录了入侵的过程和最 终结果。 6.形成电子证据 日志记录了系统日常活动,通过分析计 算机系统的日志的分析,可以查找出一 些不安全或者不正常的事件,作为电子 证据。

5.1.3 计算机系统日志的特点 1.多样性 不同的操作系统、网络设备和系统安全软 件会生各自日志,所记录的内容和侧重点 也各不相同。因此,至今无法将计算机系 统日志的设置成统一标准和格式。 2.难以获取 日志的多样性导致不同的日志文件所记录 的信息和格式千变万化。要顺利获取日志, 必须根据不同的日志接口采用不同的工具 软件。 故而要求取证人员要熟悉日志的存储模式 和参考文档,技术要求较高。

3.海量数据 日志记录了计算机从启动到关机整个运 行过程的相关信息,其数据量的大小根 据不同的计算机系统日志的会有所区别。 每天生成的日志文件小则几十M,多则 几十G。其中,服务器日志、防火墙日 志、入侵检测系统日志和数据库日志等 产生的数据量非常巨大。 这些海量的数据,使得是的调查人员从 日志中发现与搜集电子证据十分的困难。

4.不安全性 设置计算机日志系统的初衷是为了方便于 系统管理。因此,在信息安全方面的考虑 有所欠缺。黑客可以通过修改配置文件或 者系统注册表来改变计算机系统日志的产 生和保存方式,甚至修改记录中的不安全 事件。 与此同时,日志通常存储在未经保护的系 统目录中,并未经加密和校验处理,缺乏 防止恶意篡改的有效保护机制。这些以上 各点导致了日志文件有时不一定是准确的。

5.内联性 日志按照时间的顺序记录了计算机系统 中活动,有时会在多个系统日志中记录 同一个事件。 取证人员可以通过查看这些不同系统的 日志,推理出它们之间存在某种必然的 联系来,从而可以反映该用户的历史活 动。

5.2 操作系统审计与日志文件中电子证据发现与收集 5.2.1 Windows操作系统 日志文件是Windows操作系统中一种 特殊的文件,它记录着在Windows操作 系统中所发生的一切活动,如各种服务 的启动、运行、关闭等重要信息。 日志文件的大小一般为512KB,如果文 件大小超出则系统会报错,并不再记录 任何日志。

1. Windows 98的日志 在Windows 98操作系统下,普通用户 一般无需使用其系统日志功能。 但是,如果需要利用Windows 98建立 一个Web服务器时,出于保障服务器的 安全方面的考虑,建议启用系统日志功 能,记录活动的内容,提高系统的安全 性。

具体步骤如下: (1) 在【控制面板】中双击【个人Web 服务器】的图标。注意:首先必须在配 置好相关的网络协议,并添加【个人 Web服务器】的。 (2) 在【管理】选项卡中单击【管理】 按钮。 (3) 在【Internet服务管理员】页面中单 击【WWW管理】。

(4) 在【WWW管理】页面中单击【日 志】选项卡。 (5) 选中【启用日志】的复选框,根据 需要进行修改。 将日志文件命名为 Inetserver_event.log。如果【日志】选 项卡中没有指定日志文件的目录,则将 该文件保存在Windows文件夹中。

如果要寻找日志文件,可以在Windows 98的系统文件夹中找到名为schedlog.txt 的日志文件。 具体查找方式如下: (1) 可以在【开始/查找】中直接查找到 它。 (2) 启动【任务计划程序】,然后在 【高级】菜单中单击【查看日志】,就 可以查看到。

2. Windows NT的日志 Windows NT的日志一般有三类: (1) 系统日志:该文件记录由Windows 系统组件产生的事件,默认位置为 C:\systemroot\system32\config\SysEvent.E VT。 (2) 应用程序日志:该文件记录由应用 程序或系统程序产生的事件。默认位置 为 c:\systemroot\system32\config\AppEvent. EVT。

(3) 安全日志:该文件可以记录一些非 正常的安全事件。 默认位置为 c:\systemroot\system32\config\SecEvent.E VT。

3. Windows 2000的日志 在Windows NT的日志文件类型基础上 又添加了DNS服务器日志、FTP日志、 WWW日志等多种类型。 其中,FTP日志以文本形式的文件详细 地记录了以FTP方式上传的文件来源、 文件名等等。

FTP日志文件和WWW日志文件产生的 日志一般在c:\sys temroot\system32\LogFiles\W3SVC1目录 下,默认设置是每天一个形成日志文件, FTP和WWW日志可以删除。

Windows 2000的系统日志由事件记录 组成,每个事件记录分为三个功能区: 记录头区、事件描述区和附加数据区。 表5-1描述了事件记录的结构:

4. Windows XP 的日志 在WindowsXP的【控制面板】中,单 击【管理工具】,打开【事件查看器】, 可以看到WindowsXP中同样也有着系 统日志、安全日志和应用日志三种常见 的日志文件。

要关注的是Internet连接防火墙(ICF)的 日志。 该日志分为两类:一类是ICF审核通过 的IP数据包;另一类是ICF抛弃的IP数据 包。

5. Windows Vista的日志 在Windows Vista的事件查看器中,日志 数目较先前的windows操作系统的数目 增大。 除了应用程序、安全、系统这3个传统 事件日志以外,还有一些新日志。

(1) 事件查看器可以将来自多个日志中 的多个事件收集到一个视图中。展开 【错误】事件列表后,就会看到了来自 “应用程序”、“系统”以及其他更具体的 日志(如“虚拟服务器”日志)的事件。 (2) 供了更有效的事件过滤机制。 (3) 日志查看器将事件分为信息、警告、 错误、严重、详细等多个选项。使得用 户在查找与定位问题时更具有针对性。

Windows Vista的日志文件默认存储目 录是c:\systemroot\system32\winevt\logs。 每个日志文件包括一个较小的文件头和 一系列的数据块,每个数据块又包含整 数条的事件记录。

微软在Vista中使用了全新的事件日志系 统,该系统是基于XML技术的,但XML 要占用大量的CPU和内存资源分析文件 格式,并且有许多冗余,会占用较多的 磁盘空间。

例如: 安装日志(专为应用程序的安装程序而 设计); 备份服务的日志;WinLogon 服务的日 志。 这些新日志存放于一个专为特定应用程 序和服务创建的日志的文件夹中。

在Vista的日志系统中,对XML消息的频 繁读取会消耗较多的资源,所以将一些 语言元素转换成“记号”。 可有效地节省计算资源和空间资源,如 表5-2所示:

5.2.2 Linux操作系统 1. Unix/Linux系列概述 Unix/Linux系列的操作系统种类繁多, 除了不同版本的内核之外,还有不同厂 商的不同产品,如:FreeBSD、Solaris、 RedHat、Suse、Mandrike、Fedoral和 Debian等。

它们的日志系统十分类似,本文将其统 称为类Unix操作系统。表5-3就给出了 常见的类Unix系统的日志信息,其共同 点如下:

类Unix系统的日志主要有以下三个日志 子系统构成: (1) 连接时间日志 (2) 进程信息统计 (3) 错误日志

2. Linux操作系统 Linux系统提供了大量的有关审计和日 志的工具和实用程序,它们在重建犯罪 和跟踪罪犯方面是非常有用的。 这些日志文件都保存在/var/log目录下, 并且都是ASCII码格式。因此,使用一 般的文本浏览器即可打开。

(1) / var/log/messages 通常,计算机取证人员在Linux系统中 首先要查看的文件就是messages。这个 文件是Linux系统最基本的日志文件。 通它常包括启动任务信息,登录信息等, 还能显示出那个用户试图登录系统获得 root权限。

(2) /var/log/lastlog lastlog文件保存的是每个用户的最后一 次登录信息,主要包括登录的时间和地 点。这个文件一般是登录程序使用,通 过查询用户的ID,并在在lastlog文件中 查找相应记录进行匹配,然后更新这个 用户的登录时间和地点。就可以根据这 个文件的信息是否相符来发现某帐号是 否被黑客盗用。 。

(3) /var/log/secure 该记录系统自开通以来所有用户的登录 时间和地点,以及登录的途径,可以给 计算机取证人员提供更多的参考。

(4) /var/log/wtmp 这个文件保存了系统中所有用户的登录、 退出信息,以及系统的启动、停机记录。 计算机取证人员通过访问这个文件就可 以获得用户的活动记录。它还可以按照 用户或日期显示信息,使得计算机取证 人员能够获得一些非常有用的反常信息。 例如一个平时不太活跃的用户突然登录 系统,并连接了很长的时间,就有可以 关注这个帐户是否已经被黑客窃取了。

(5) /var/log/boot.log.x(x 代表系统运行 级别) 该文件记录了系统在引导过程中发生的 事件,即为Linux系统开机服务启动所 显示的信息。计算机取证人员可以关注 此文件是否存在一些非正常的服务。

(6)history实用程序日志 在Bash中,History实用程序能够保存最 近所执行的命令。 从经验来看,最近的一次命令,其操作 的号码就越大。这样就可以追踪入侵者 的系统活动。

3. 查看工具 对于Linux系统有专门的日志分析和查 看工具,如Logcheck和Friends等。  

5.2.3 Unix操作系统 1. syslog syslog是一个历史悠久的日志系统,几 乎所有的UNIX和Linux操作系统都是采 用它进行系统日志的管理和配置。 它有两个重要的文件组成:/etc/syslogd 和/etc/syslog.conf。

2. 取证分析 对UNIX系统进行取证事后分析的关键 步骤是对日志进行收集和检查。 其中,重点检查系统目录是/var/adm和 /var/log下的日志文件:syslog , messages ,secure ,mail , wtp ,utpmp , lastlog等等,日志文件的存放目录一般 可以在/etc/syslog.conf文件中找到。

如果确认Unix系统已经遭受入侵,则计 算机取证人员可以从以下两个方面入手: (1) messages /var/adm是Uinx的日志目录(linux下则 是/var/log),这里保存有有相当多的 ASCII文本格式的日志。之所以首先考 虑messages文件,是因为它也是入侵者 所关心的文件,它记录了系统级别的信 息。 。

(2) wtmp,utmplogs和ftp日志 计算机取证人员可以在/var/adm,/var/log, /etc目录中找到名为wtmp,utmp的文件, 它们记录了用户在何时,何地远程登录 (telnet)上主机。 计算机取证人员可以使用lastlog这个命令 来获得入侵者上次连接的源地址(该地址 有可能是入侵者的一个跳板)。 ftp日志是指 /var/log/xferlog,该文件可以 详细地记录以ftp方式上传文件的时间,来 源,文件名等等。也是计算机取证人员需 要注意的地方

3. sh_history 在系统遭到入侵后,即使黑客者删除 sh_history或者bash_history这样的文件, 计算机取证人员只要执行kill- HUPcat/var/run/inetd.conf命令就可以将 保留在内存页中的bash命令记录重新写 回到磁盘,然后再执行 find/name.sh_historyprint命令。

5.2.4 其他 获取受保护的计算机系统内的目录和文 件操作的详细信息是对计算机网络犯罪 行为进行取证的重要内容。 这两种操作系统都各自提供了API函数 用于对文件和目录进行监控。

5.3 其他日志文件中电子证据发现与收集 5.3.1 Web服务器 Web服务器的日志多种多样,这里仅仅 介绍常见的几种应用程序日志: IIS日志 Apache日志 代理服务器Squid日志

1. IIS日志分析 IIS(Internet信息服务)的日志:IIS日 志使用W3C扩充日志文件格式,这也 是IIS 5.0以上的默认格式。 它可以指定每天记录客户IP地址、用户 名、服务器端口、方法、URI资源、 URI查询、协议状态、用户代理,每天 要审查日志。 如图5-1所示

图5-1 IIS日志

如果要启用日志记录,其具体操作步骤 如下: (1) 单击【开始】,指向【程序】,指 向【管理工具】,然后单击【 Internet 服务管理器】。 (2) 单击【服务器名称】旁边的加号。

(3) 右键单击【网站】或【FTP 站点】, 然后单击【属性】。 (4) 在【Web站】或【FTP站点】选项卡 上,选择【启用日志记录】。 (5) 在活动日志格式列表中,选择一种 格式。 (6) 单击【应用】,然后单击确定。

IIS的日志文件都是文本文件,可以使用 任何编辑器或相关软件打开,例如记事 本程序。 例如AWStats工具,其开头四行都是日 志的说明信息,如表5-7下所示:

2. Apache日志 如果安装Apache服务器的时候选择默认 安装方式,那么服务器一旦启动就会生 成两个日志文件。 它们分别是access_log和error_log。这 些文件可以在/usr/local/apache/logs下找 到。

例如: 一个访问日志中典型的记录: 210.45.118.9 - - [9/Aug/2010:16:47:37 - 0400] "GET / HTTP/1.0" 200 654。

第一项信息是远程主机的地址,即它表 明访问网站的究竟是谁。 第二项是空白,用一个“-”占位符替代。 实际上绝大多数时候这一项都是如此。

第三项也是空白。 第四项是请求的时间。 第五项信息或许是整个日志记录中最有 用的信息,它告诉我们服务器收到的是 一个什么样的请求。 第六项信息是状态代码。 第七项表示发送给客户端的总字节数。

3. 代理服务器Squid日志 代理服务是指由一台拥有标准IP地址的 机器代替若干没有标准IP地址的机器和 Internet上的其它主机打交道,提供代 理服务的这台机器称为代理服务器。 目前,Squid可以代理HTTP、FTP、 GOPHER、SSL和WAIS协议。

squid 1.0 的格式:time elapsed remotehost code/status/peerstatus bytes method URL squid 1.1的格式:time elapsed remotehost code/status bytes method URL rfc931 eerstatus/peerhost type

5.3.2 邮件服务器 1. SendMail Sendmail是一个不折不扣的电子邮件传 输代理,一个在用户代理和投递代理之 问充当桥梁的程序。 它使用SMTP协义进行通信,通过 Internet把消息投递给远程机器的对等 传输代理。

Sendmail的任务包括: (1) 当消息离丌用户的键盘时对它们进 行控制。 (2) 理解收件人的地址。 (3) 选择一个适当的投递或传输代理。

(4) 把地址重写为投递代理可理解的形 式。 (5) 根据需要重新确定信头的格式。 (6) 把变换后的消息传递给投递代理; (7) 如果消息无法投递,Sendmail还会生 成出错消息并把消息返回给收件人。

一般来说,邮件服务的日志文件和邮件 服务器放在同一台主机上,对其日志文 件的收集有两种方法: (1) 在服务器段运行一个日志分收集的 程序,在每次收集日志的时候都调用它, 整个过程在服务器段端完成。 (2) 在客户端将邮件服务器的日志文件 通过FTP服务器收集到本地,在本地运 行相关程序进行采集,甚至可以分析该 日志。

Exchange Server Exchange Server 2007 中的日志功能利 用了Exchange中新增的基于角色的拓扑 功能。 如图5-3 中所示,当所有邮件发送至/自 邮箱和统一消息服务器、其他Exchange 系统、第三方应用程序和 Internet,它 们均由中心传输服务器进行处理。

图 5-2 中心传输服务器邮件流程 统一消息服务器 邮箱 服务器1 服务器2 中心传输 防火墙1 第三方感应服务器 边缘 服务器 防火墙2 互联网 图 5-2 中心传输服务器邮件流程

5.3.3 数据库 1. SQL Server 以SQL Server 2005为例,它可以将某些 系统事件和用户自定义的事件记录到 SQL Server错误日志和Windows应用程 序日志中。 这两种日志都会自动标上时间。

(1) 在事件查看器中查看服务器的运行 情况 SQL Server 2005服务器的启动、关闭和 暂停动作,都会产生一个事件记录,这 个记录将会记在Windows的事件查看中。

① 在计算机的【开始】菜单中单击 【管理工具】,再单击【事件查看器】。 ② 在如图5-3所示【事件查看器】对话 框中,选择【事件查看器(本地)】, 再单击【应用程序】选项,在右边的列 表框里可以看到所有的事件记录列表。

图5-3【事件查看器】对话框

③ 其中一个事件,将弹出如图5-4所示 的事件属性对话框,在这里可以看到事 件的详细内容。 本例中是审核成功信息。通过这一项可 以看出是否有黑客成功入侵。

图5-4 【事件属性】对话框

④ 事件查看器里有可能记录了各种不 同应用程序的事件记录,如果只想查看 和SQL Server有关的事件记录的话,可 以右击应用程序,在弹出的快捷菜单里 选择【查看】→【筛选】。 如图5-5所示的应用程序属性对话框。 在这里可以筛选事件类型、事件来源、 类别、事件时间等。

图5-5 【应用程序属性】对话框

(2).SQL Server 2005的新增功能 SQL Server 2005相比较与以往的版本, 它可以支持通过日志查看器查看SQL Server的日志。 具体方法为使用SQL Server Management Studio进行查看.

① 启动【SQL Server Management Studio】并连接到SQL Server服务器上。 ② 在【对象资源管理器】中,屏开 【实例名】→【管理】→【SQL Server 日志】,如图5-6所示,可以看到SQL Server的日志存档。

图5-6 查看SQL Server日志

③ 双击某一个日志存档,如图5-7所示 对话框【日志文件查看器】窗口,可以 查看日志的具体内容。  

图5-7 【日志文件查看器】窗口

2. Oracle 分析Oracle日志的唯一方法就是使用 Oracle公司提供的Log Miner来进行。

3. DB2 DB2数据库日志分循环日志和归档日志。 数据库安装成功后系统默认为循环日志。 使用循环日志一旦日志目录中最后一个 主日志文件被写满了,就会将新的事务 写到第一个日志文件中.从而覆盖现有 的日志数据,新的事物务依次会覆盖旧 的日志文件,因此循环日志不能使用向 前回滚的方法恢复数据库。

与循环日志记录相比,当最后一个日志 文件写满时,归档日志记录过程会创建 一个新的日志文件。这样将来的事务就 不会覆盖现有的日志文件。

从DB2版本8.2开始。系统支持三种方式 归档日志: 一、将归档日志存放到磁盘上; 二、归档日志存放到TSM服务器; 三、第三方厂商提供的产品。

5.3.4 防火墙 Windows防火墙是一个基于主机的状态 防火墙,它会断开非请求的传入通信, 这些通信指并非为响应计算机的请求而 发送的通信(请求通信)或被指定为可 允许的非请求通信(例外通信)。

查看Windows防火墙日志步骤如下: (1) 单击【控制面板】,打开【Windows 防火墙】, (2) 然后单击【高级】选项卡。 (3) 在【安全日志记录】中单击【设置】。 (4) 在【日志设置】对话框中,单击【另 存为】。 (5) 右键单击日志文件名,然后单击【打 开】。

在 Windows XP SP2 中有许多关于 Windows 防火墙的新功能,其中包括: (1) 默认情况下对计算机的所有连接都 启用。 (2) 应用于所有连接的新全局配置选项。 (3) 用于本地配置的一组新对话框。

(4) 新的操作模式。 (5) 启动安全性。 (6) 可按范围指定例外通信。 (7) 可按应用程序文件名指定例外通信 (8) 对IPv6 通信的内置支持 (9) 关于 Netsh 和组策略的新配置选项。

Vista的防火墙是建立在新的Windows过 滤平台(WFP)上的,该防火墙添加了通 过高级安全MMC管理单元过滤出站流 量的功能。

Windows 7防火墙是对Vista防火墙进行 广泛改善后的产物,并且将其隐藏的先 进功能公开化了。

5.3.5 路由器 路由器的一些重要信息可以通过syslog 机制在内部网络的Unix主机上作日志。 日志功能可通过在路由器上设定日志主 机的IP地址,并在相应的Unix主机上作 一些必要的设置来实现。

5.4 网络通信中电子证据发现与收集 与网络通信活动有关的证据都可以称为 网络环境下的电子证据。 实际上,证据最终总要被存储,现阶段 的各种数字设备本质上都可以看成是计 算机,可能存储相应的证据,如网络交 换机、路由器等。 网络环境下的电子证据主要来自以下四 个方面:

1.来自于网络服务器、网络应用主机 的证据 2.来自于网络通信数据的证据 3.来自于网络安全产品、网络设施的 证据 4.专门的网络取证分析系统产生的包 括日志信息在内的结果

5.4.1 调查IP地址 IP地址调查的目的是确定攻击发起的位 置,最终确定犯罪嫌疑人的身份。 因为每一个连接在Internet上的设备, 如主机、路由器、接入服务器等一般情 况下都会有一个独立的IP地址,找到源 IP地址就找到了攻击发起的位置。

1 使用 Who is 2 nslookup (名称服务器查找)命令 3 Trert 或 Traceroute命令 4 使用 IP 扫描工具程序 5 加强区域合作 6 MAC地址的获取

5.4.2电子邮件 一般计算机取证人员可以通过查看电子 邮件的邮件头信息的办法,获得发件人 的IP地址和路由信息,通过这些信息追 踪到信件发出的计算机。 但是,如果要调查的电子邮件是一个基 于Web的电子邮件,因为邮件头中的IP 地址信息是Web邮件服务提供者的地址, 那么确定邮件的发件人地址的行动就困 难得多。

1. 如果难以查看来自 Google 网上论坛 的邮件,查看邮件标头可能会有助于发 现问题所在。 通过该标头可以了解相应电子邮件的原 始出处,以及该邮件在到达收件箱之前 都发送到了哪些地址。

2. 要在电子邮件程序中查看邮件标头, 按下列说明操作。如果需要将这些标头 发送给他人,只需在找到完整标头后将 其复制并粘贴到电子邮件中。 (1) Gmail:首先在Gmail收件箱中打开 邮件。然后点击邮件右上角的向下箭头。 再点击选项框底部附近的"显示原始邮 件"链接。邮件则会在另一个窗口中打 开,顶部标有完整的邮件标头。

(2) Microsoft Outlook:首先在Microsoft Outlook中打开邮件。然后选择【视 图】,再单击【选项】。可以在 【Internet 邮件头】框中看到这些标头。

(3)Yahoo Mail:首先在Yahoo Mail收件箱 中打开电子邮件。然后点击位于该电子 邮件右下角的"完整标头"链接。如果上 面没有列出针对电子邮件程序的说明, 可以通过查阅所使用程序的帮助信息, 获取有关查看邮件标头的说明。

5.4.3 基于Web的攻击 基于Web的攻击一般有三类: 攻击服务器 篡改网页内容 窃取服务器中信息

例如: 对Web页面篡改的行为,攻击者必须拥 有对该Web站点Web根目录的写访问权, 这可能是由于密码被猜中、操作系统配 置不当或应用程序的漏洞造成的,也可 能是攻击者对授权域名服务器的侵入造 成的.

5.4.4 监听网络 网络监听常常是被攻击者用来窃取用户 信息的一种手段,但它同时也可以用来 捕捉受怀疑的攻击者的流量,确定或排 除疑点,收集补充证据,核查危及的范 围。

进行网络监视需要必要的硬件系统支持, 比如较高的主频,很大的硬盘空间,足 够的内存空间,合适的操作系统,恰当 的监听软件等。 同时应考虑进行监听的位置和安全性, 为了不被发现,可选择交换机的分析端 口(SPAN)和单向的Ethernet电缆等措施。

1. 网络监听工作原理 网络监听技术本来是提供给网络安全管 理人员进行管理的工具,可以用来监视 网络的状态、数据流动情况以及网络上 传输的信息等。

2. 在局域网实现监听的基本原理 对于目前很流行的以太网协议,其工作 方式是:将要发送的数据包发往连接在 一起的所有主机,包中包含着应该接收 数据包主机的正确地址,只有与数据包 中目标地址一致的那台主机才能接收。

3. 具体实现 对网卡设置混杂模式是通过原始套接字 (raw socket)实现的,这有别于通常 是使用的数据流和数据报套接字。 3. 具体实现 对网卡设置混杂模式是通过原始套接字 (raw socket)实现的,这有别于通常 是使用的数据流和数据报套接字。 在创建了原始套接字后,需要通过 setsockopt()函数来设置IP头操作选项, 然后再通过bind( )函数将原始套接字绑 定到本地网卡。

这些数据经过了网络层和传输层的打包, 因此需要根据其附加的帧头对数据包进 行分析。 如图5-8所示:

图5-8 网络监听器窗口

5.4.5 P2P技术 P2P是Peer-To-Peer的缩写,是点对点、 对等的意思。P2P技术的发展一共经历 了三代:

第二代是客户服务器式:第二代P2P 网 络是目前最常用的类型,仍旧是基于服 务器,只不过废除了集中的服务器,取 而代之的是客户端软件既有服务器的功 能也有客户端的功能,或者专门的服务 器软件可以和客户端软件一起运行,即 将服务器分布化。

第三代是散列服务器式:第三代网络把 服务器和客户端的概念变的模糊,不需 要专门的服务器,网络中所有的对等点 都是服务器,并且承担很小的服务器的 功能( 例如维护和分发可用文件列表), 通过计算快速获得资源所在位置,即将 任务分布化。

对常见的BT和eMule软件的取证 1. BT BT应用中需要Web服务器和Tracker服 务器。 取证时,先下载*.torrent 文件,查看文 件内容,可看到服务器列表、及部分文 件列表。 然后查找发布服务器,主要是提供种子 文件下载的网站或论坛,可从服务器获 得2个信息:种子文件的发布IP和索引 服务。

再从服务器查看相关的日志记录,主要 是上传.torrent 文件的IP,从索引服务 器日志中查找定位出传输者相关的信息。 最后,根据服务器所得到的日志信息定 位出发布源(或参与传输的人),并对 其进行检查,并判断是否是发布源

2. eMule eMule采用了多源文件传输协议,也就 是说电驴的索引服务器并不集中在一起, 而是各人私有。 因此,在取证时,关注个重要的文件夹: (1) Config文件夹:用于存储Emule 的配置 文件;\Incoming 文件夹:用于存储已下载 完成的文件。 (2) Temp 文件夹:用于存储正在下载中的 文件片段。

5.5 蜜罐技术 “蜜罐”最早由Clifford Stoll于1988年5月 提出,但明确提出“蜜罐是一个了解黑 客的有效手段”。 这一概念最早见于Lance Spitzner 的 “Know Your Enemy”系列文献。 简单说:蜜罐就是诱捕攻击者的一个陷 阱。

蜜罐系统是一个包含漏洞的诱骗系统, 它通过模拟一个或多个易受攻击的主机, 给攻击者提供一个容易攻击的目标,从 而得到相关信息以便检测到攻击由于蜜 罐并没有向外界提供真正有价值的服务, 因此所有对蜜罐的尝试都被视为可疑的, 蜜罐的另一个用途是拖延攻击者对真正 目标的攻击,让攻击者在蜜罐上浪费时 间。

5.5.1 蜜罐技术的优势 1 在抵抗攻击上变被动为主动; 1 在抵抗攻击上变被动为主动; 2 让人们认识到自身网络的安全风险和 脆弱性, 并能有针对性地研究解决方 案,增加系统的抗攻击能力; 3 提高事件检测、响应能力,使系统能 够应对未知的入侵活动;

4 蜜罐不提供真实服务,收集的证据都 是与攻击者有关的信息,信息量不大, 可以高效地从中找到网络犯罪证据; 5 蜜罐提供了一个很好的追踪环境。

5.5.2 蜜罐技术在计算机取证中的应用 1 利用蜜罐获取网络电子证据的原则 (1) 尽可能早搜集证据,确定攻击的日 期和时间,以及方法,并保证其没有受 到任何破坏。 (2) 最大可能的确定入侵者的相关信息, 通过查看入侵检测系统的日志,获得相 关入侵信息。

(3) 必须保证“证据完整性”,即在证据 被正式提交给法庭时,必须能够说明在 证据从最初的获取状态到在法庭上出现 状态之间的任何变化;整个检查、取证 过程必须是受到监督的,也就是说,由 委派的专家所作的所有调查取证工作都 应该受到由其他方委派的专家的监督。

5.6 入侵检测技术 5.6.1 技术概述 入侵检测系统又称为IDS,其英文全称 是Intrusion Detection Systems。 它采取各种安全技术和安全策略,对网 络、系统的运行状况进行监视,尽可能 发现各种攻击企图、攻击行为或者攻击 结果,以保证网络系统资源的机密性、 完整性和可用性。

1. 异常检测 异常检测又称基于行为的入侵检测,它 通过检测用户的异常行为来发现入侵事 件。 异常检测的过程是: (1) 系统对用户的各种行为进行监控;

(2) 对收集到的信息进行量化; (3) 和正常行为的标准,也就是用户轮 廓进行比较,必要时可以进行用户轮廓 的修正; (4) 判定用户行为是否属于入侵。

2.误用检测 又称为基于知识的入侵检测,是将收集 到的数据与预先确定的特征知识库里的 各种攻击模式进行比较,如果发现有攻 击特征,就判断有攻击。

误用检测的过程是: (1) 系统对用户的各种行为进行监控; (2) 对收集到的信息进行特征提取; (3) 和特征知识库中的记录进行匹配; (4) 判定用户行为是否属于入侵。

5.6.2 入侵检测技术与动态取证 入侵检测技术是和动态取证往往是紧密 相连的。 动态取证是将入侵检测、防火墙、蜜罐 等网络安全技术紧密结合起来,实时获 取数据并采用智能分析技术,实时检测 入侵,分析入侵企图,采取相应的响应 措施,在确保安全的情况下,获取入侵 者的大量证据,同时将这些证据进行保 全、提交的过程

5.7 其他技术 1. 浏览历史 计算机取证人员可以通过IE浏览器地址栏 输入的具体URL地址,或者可以打开注册 表HKCU\Software\Microsoft\Internet Explorer\TypedURLs找到它们。 在History目录下存储了用户浏览过的站点 的历史文档,按照浏览时间先后列出了最 近浏览过的站点。这些站点的URL链接和 使用细节都被存储在名为Index.dat的索引 文件中。

2. Index.dat 文件 系统的Cookies目录、Cache目录下的索 引Index.dat文件,记录了历史文档所包 含的时间段内所有访问过的URL链接。 该文件用于记忆式键入地址栏显示和对 访问过的链接的高亮标注。

Index.dat文件由于系统的不同可能位于 不同目录下(如:C:\Documents and Settings\UserName\Local Settings\History\History.IE5)。 计算机取证人员可以使用专门工具(如 Index.Dat Suite等)在这些文件中找到 被删除的信息。如图5-9所示:

图5-9 index.dat查看历史记录

4. 缓存(Cache) IE一般都会将最近浏览过的网站内容保 存在本地缓存中,在下一次进入该网站 时直接从本地读取,提高用户浏览速度。

这些信息保存在因特网的临时文件夹中。 具体路径为C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files。 如图5-10所示:

图5-10 cache

已删除数据 如果用户将IE浏览器中的临时文件的目 录删除,那么则需要使用专门的文件恢 复工具(例如Winhex)才可以恢复。 如图5-11所示:

图5-11 恢复已删除数据

6 注册表 Windows操作系统中的一个重要的数据库, 用于存储系统和应用程序的设置信息。 例如:HKCU\Software\Microsoft\Internet Explorer\Intelliforms。 这表示用户往表单域输入信息时,默认情 况下IE将记录下这些输入信息以加快今后 的输入速度。该信息是加密的,使用专门 工具可得到姓名、地址、电子邮件地址、 密码等信息。

7. 即时通信工具 即时通讯是一种使人们能在网上识别在 线用户并与他们实时交换消息的技术, 被很多人称为电子邮件发明以来最受欢 迎的在线通讯方式。

现今的即时通讯软件主要有腾迅QQ、 微软MSN等。 对即时通讯的取证分析主要有2个方面: 本地取证和服务器取证,分别都包括对 个人用户的配置文档,聊天参与者信息, 浏览聊天日志和各种配置信息和日志的 分析识别等。

在默认的安装条件下,腾讯QQ位置在 C:\Program Files\Tencent ,当然用户可 以自行选择安装到其他目录下。用户也 可以在注册表项 \HKEY_LOCAL_MACHINE\SOFTWARE \Tencent\QQ中查找其安装位置和版本 信息。

在QQ主程序目录下,我们可以看见以 QQ号为名称的目录。

同时,QQ允许通过客户端发送和接收 文件。默认情况下,这些文件存储在 C:\Documents and Settings\Administrator\My Documents\My QQ Files的目录中。 这些目录为计算机取证人员调查聊天记 录,好友信息等提供了最有力的数据支 撑。

思考题与练习 计算机系统的日志有哪些功能和特点? windows 日志系统的取证方式有哪些? 简述vista系统的特点。 Linux 系统的日志取证应关注哪些模块? Unix系统的取证方式 Web服务器的日志分析 邮件服务器SendMail和Exchange 服务器的功能 Apache取证步骤 如何用LogMiner在Oracle数据库中取证 SQL数据库取证程序 网络通信过程中的数据分析有哪几种? 简述网络监听常用工具 什么是入侵检测系统,取证时的注意事项有哪些? 什么是蜜罐技术? 在网页浏览器中如何查找历史记录,cache等信息?