下载中心 | 网站地图 | 站内搜索 | 加入收藏

安恒公司 / 技术文章 / 网络管理与网络测试 / 网络测试 / 企业如何进行计算机取证工作

2009-04-15 51CTO  阅:    下页:
企业如何进行计算机取证工作

在上篇文章《企业怎样做好计算机应急响应工作》中叶子给大家讲了*些计算机应急响应的工作内容。其中讲到应急处理人员在恢复工作时要保存各种证据,以备于涉及法律问题时,可以作为司法证据进行提交和分析。那么在应急响应过程中,我们应该如何进行计算机取证的工作呢?本篇叶子将带你初步了解*下计算机取证工作的流程。

在1981年,IBM*次发布PC作为主流业务后,美国联邦执行人员就发现“白领”通过PC工具进行犯罪,从而开始计算机取证工作的研究和分析。到今天,计算机取证已经作为*门学科,包含多种科目,如计算机、通讯、法律实施、安全、网络、电子、犯罪法律制裁系统等。

在国内,计算机发展比较晚,相对于计算机取证的发展就更晚*些。但刑法中关于计算机犯罪的规定,*定程度上影响着计算机取证的发展。刑法规定如下:

◆第二百八十五条(非法侵入计算机信息系统罪)违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。
◆第二百八十六条(破坏计算机信息系统罪)违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。
违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。
故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的,依照第*款的规定处罚。
◆第二百八十七条(利用计算机实施的各类犯罪)利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的,依照本法有关规定定罪处罚。

这些规定都涉及到计算机犯罪行为,而对于计算机犯罪的调查,必然需要涉及计算机取证调查工作。

计算机取证调查过程从总体上很重要的,每*步的调查都会影响到*终的结果,所以我们需要对调查流程非常熟悉。对于调查的流程大致如下图:

 

图1

核实

调查过程的第*阶段是核实任务:在这个阶段的取证调查人员需要仔细检查系统的注册用户信息、反病毒应用软件和网络设备(防火墙、IDS、路由器)的日志信息来确定事故是否发生。在核实阶段,事故响应小组成员会遇到两种典型的情况:

拔出电源,已关闭的计算机系统和磁盘介质。
开机的系统并运行中(进程运行、访问磁盘、网络连接)

取证分析的必须非常仔细,避免易失去的信息被破坏,比如进程信息、内存信息、网络连接状态等。在这个阶段,调查人员需要利用*些简单、可信的工具来检查异常的网络连接、rootkits、新建的目录、*近安装的二进制文件等信息。

信息记录

核实任务成功完成后,事故响应小组已确定某些安全事故正在发生。取证调查人员必须详细记录系统相关的信息。从硬件、软件系统特征信息情况、磁盘的形状(在后面的磁盘分析中使用)。记录电脑正在使用的用户列表,以及其它很多有用的信息。

把数据从受影响系统中拷出,并使用相关软件工具分析:调查者不能再信懒被攻击的系统中的工具,可能已感染了木马。另外这些倒出的数据也被*系列的扣留,可根据官方法律实施条例进行没收。

证据收集

这个阶段是取证分析处理的关键阶段:所有获得到的计算机信息必须传移到外部设备或者为了下*步的分析任务专用的取证工作站上。这些操作是关键的,因为调查者必须确保只有原始的数据被传移和被考虑到。所有收集到系统数据(内存、进程、网络连接、磁盘分区)都必须使用MD5 hash技术加密的算法标签来确保数据的完整性。MD5 hash算法是32位长字符串计算数据的数学算法。这些算法操作是不可逆转的,使用hash值后不可能恢复到原始文件状态。

相关*部分的数据必须使用自动工具来获取,避免执行任务时出现错误。收集数据使用正确的顺序对于易变的数据进行收集,并通过hash签*保护数据的完整性。在开始任务之前,取证调查人必须对系统的完整性进行验证分析。这些是强制性的,避免易变的数据丢失,以及安装日志数据从磁盘中消失而骗过下*阶段的分析。

时间分析

上面证据收集过程的完成,所有的系统数据将被分析并存储在取证工作站。本阶段**的任务是文件时间创建的分析。完整的二进制文件,inodes 和MAC时间信息,对于了解系统运行状况是非常有用的。系统文件的时间信息显示*近执行运行文件的时间,目录被创建、删除的*后时间,还有脚本运行的*后时间等。

这个阶段主要执行任务是分析因为*些的命令运行导致*后产生的访问文件时间。时间分析方法考虑两部分:*部分是从二进制文件中分析出所有信息(数据和元数据)的中间文件,另*部分直接按时间顺序排列。

操作系统分析

从时间分析中,取证调查人能从受影响的系统中搜索出*些线索。并进*步对数据进行分析,可依靠以下几种工具进行分析:

取证工作站的软件平台
在系统分析目标上的软件平台
如果分析必须在存活的系统上执行
网络配置

在这个阶段,取证分析必须检查完整的磁盘介质信息(物理、数据、元数据、文件系统和文件*字)。搜索可疑证据的二进制安装、文件、增加的目录、删除,打开文件等等。从取证调查者的观点看,Linux是比较灵活的操作系统,支持更多使用文件系统,比Windows系统有*些完整的工具。因此Linux下的*些取证工具比Windows平台上更加容易使用。

数据恢复

在操作系统分析阶段之后,取证调查人能完全在分析磁盘中的数据,并使用空的磁盘空间来恢复被删除的文件。在Windows环境中,搜索空闲的空间,查看未分配的数据空间,并分析*些文件碎片,重组成删除的目录、文件,以及发现删除时间等*些要的信息和攻击者活动相关的信息。

字符串搜索

在海量的分析数据中,进行搜索特定的字符串数据。在包含的*些文件中,搜索相关的信息,比如IP、手机号码、银行账号、邮件地址追踪攻击者,以及*些专用术语(例如,黑客、rootkit、邮件、受害者和其它*些相关的词)。字符串搜索能在受影响的系统中快速地找出有用的信息。

报告

所有阶段的信息都需要使用简单明了的语言进行详细报告,使得非技术人员比较容易明白工作的过程。取证分析还必须确保解释证据被非常清楚地发现,而且所有的技术、使用的方法都要考虑到。另外*些工具特性报告功能对于保留踪迹在取证分析阶段是非常有用的。

以上只是简单地介绍取证调查的处理流程。但在实际处理过程中,还会出现各种各样的分析情况。如果你在分析过程中遇到什么样的问题,欢迎来信*起进行分析。

下页:   

相关文章
使用AHQZ网络应用数据分析仪分析信标蠕虫beacon_trojan(在53端口的非DNS流量) - 11-02-16 - 阅读: 197836
AHQZ 网络应用数据分析仪入围中央政府采购网 - 10-06-18 - 阅读: 220836
AHQZ网络应用数据分析仪获得公安部销售许可证,审计与安全分析工具 - 10-05-11 - 阅读: 273107
安恒公司AHQZ网络应用数据分析系统介绍 - 10-04-29 - 阅读: 219634
AHQZ网络应用数据分析系统的四个子系统 - 10-02-02 - 阅读: 167071
AHQZ网络应用数据分析仪与协议分析仪的区别 - 09-11-19 - 阅读: 193342
AHQZ-1025应用数据分析仪与协议分析仪的主要区别 - 09-11-02 - 阅读: 191124
相关产品
AHQZ-1025网络应用数据分析仪 - 09-03-15 - 阅读: 1058242

Email给朋友 打印本文
版权所有·安恒公司 Copyright © 2004   ciq-100.anheng.com.cn   All Rights Reserved    
北京市海淀区*体南路9号 主语国际商务中心4号楼8层 (邮编100048) 电话:010-88018877