本文介绍计算机取证工作的步骤,包括避免系统改变、数据恢复备份、搜索相关文件、查看日志等,还阐述了计算机取证的基本原则,如不进行写删操作、及时中断网络等,同时提及监视打开端口及Netstat命令的使用。
在保证以上基本原则的前提下,计算机取证工作一般按照下面的步骤进行:
1. 在取证检查过程中,避免目标计算机系统发生任何的改变、损害、数据破坏
或病毒感染。需要及时拔网线,关闭机器。
2. 使用数据恢复软件(如:Finaldata)对该系统进行全面的数据恢复并备份
所有数据。(注:数据恢复软件的安装和恢复数据的存储需要另在移动硬盘
上进行,绝对不可使用目标计算机的硬盘)
相关下载:http://ids.ids.net.cn/tool/byshell.rar
同时,保留一份未作分析的原始系统以留作后期证据使用。
3. 搜索目标系统中的所有相关木马的文件(确切地说是搜索攻击程序或者是否
以其成为一个跳板,可以使用杀毒软件,但只设置为查找不做清除),以及现
存的正常文件、已经被删除但仍存在于磁盘上(即还没有被新文件覆盖)的
文件、隐藏文件、受到密码保护的文件和加密文件。
4. 最大程度地显示操作系统或应用程序使用的隐藏文件、临时文件和交换文件
的内容。
5. 查看被保护或加密文件的内容。
6. 检查IE 历史纪录是否有相关网页地址记录。
7. 用注册表整理工具整理注册表,并检查注册表中是否存在相关木马和网页的
键值。
8. 检查系统是否为代理服务器,例如SOCKS5。
计算机取证的基本原则:
一. 不对目标计算机进行任何写文件和删除文件的操作;
二. 如果目标计算机连接网络,需要及时中断网络;
三. 尽早搜集证据,保证其没有受到任何破坏;
四. 尽可能保证数据的连续性。
www.cert.org.cn 2
9. 查看相应的日志文件,包括系统日志文件、应用日志文件、DNS 日志文件、
安全日志文件、防火墙日志、HIDS 日志、NIDS 日志。
10. 检查帐户安全:服务器被入侵之后,通常会表现在系统的用户账户上,我们
可以在系统日志上察看相关的信息。
下面的表格是事件ID 与它的说明:
事件ID 说明
528 用户成功地登录到计算机。
529 有人用未知的用户名进行了登录尝试,或者用已知的用户名进行了登录尝试,
但密码不正确。
530 用户帐户试图在不允许的时间进行登录。
531 有人使用一个被禁用的帐户进行登录尝试。
例如:Windows 操作系统
DNS 日志文件:%systemroot%/system32/config
安全日志文件:%systemroot%/system32/config/SecEvent.EVT
系统日志文件:%systemroot%/system32/config/SysEvent.EVT
应用程序日志文件:%systemroot%/system32/config/AppEvent.EVT
Internet 信息服务FTP 日志默认位置:%sys temroot%/sys tem32/logfiles/msftpsvc1/
Internet 信息服务WWW 日志默认位置:%sys temroot%/sys tem32/logfiles/w3svc1/
Scheduler 服务日志默认位置:%sys temroot%/schedlgu.txt
以上日志在注册表里的键:
应用程序日志、安全日志、系统日志、DNS 服务器日志文件在注册表中的位置:
HKEY_LOCAL_MACHINE/sys tem/CurrentControlSet/Services/Eventlog
有的管理员很可能将这些日志重新定位。其中EVENTLOG 下面有很多的子表,里面可查到
以上日志的定位目录。
Schedluler 服务日志在注册表中的位置:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/SchedulingAgent
www.cert.org.cn 3
532 有人使用一个过期的帐户进行登录尝试。
533 未允许该用户登录此计算机。
534 该用户试图用不允许使用的登录类型(如网络登录、交互登录、批登录、服
务登录或远程交互登录)进行登录。
535 指定帐户的密码已经过期。
536 “网络登录”服务没有处于活动状态。
537 由于其他原因登录尝试失败。
538 一个用户被注销。
539 在有人进行登录尝试时帐户被锁定。此事件可表明有人发动密码攻击但未成
功,因而导致帐户被锁定。
540 网络登录成功。此事件表明远程用户从网络成功地连接到服务器上的本地资
源,并为该网络用户生成了一个令牌。
682 一个用户重新连接到已断开连接的“终端服务”会话。此事件表明有人连接
到了以前的“终端服务”会话。
683 一个用户没有注销就断开了“终端服务”会话连接。此事件在一个用户通过
网络连接到“终端服务”会话的情况下生成。它出现在终端服务器上。
除了察看事件日志外,也应该检查所有账户的信息,包括他们所属的组。有
些黑客入侵后常常将添加他们自己的账号,或者将那些偏僻的用户修改了权
限,从而方便他们以后再次入侵。
11. 监视打开的端口
攻击往往是从执行端口扫描以识别在目标计算机上运行的任何已知服务开
始的。您应确保仔细监视在服务器上哪些端口是打开的,这一般是指您自己
对端口进行扫描以确定可以访问哪些端口。
如果发现的已打开的端口无法识别,则应对它们进行调查以确定在该计算机
上是否需要对应的服务。如果不需要该服务,则应禁用或删除相关的服务以
防止计算机在该端口上监听。也可以通过该命令检查有哪些相关的连接,也
许恶意的连接就在这里。
www.cert.org.cn 4
注:以上所有操作过程,需要在发现关键问题处进行截屏,并且将所有输
出结果保留日志。
Netstat.exe 是一种命令行实用工具,可以显示 TCP 和 UDP 的所有打开的端口。
Netstat 命令使用下面的语法:
NETSTAT [-a] [-e] [-n] [-s] [-p proto] [-r] [interval]
其中:
-a.显示所有的连接和监听端口。
-e.显示以太网统计信息。它可以与 -s 选项结合使用。
-n.以数字形式显示地址和端口号。
-p proto.显示由 proto 指定的协议的连接;proto 可以是 TCP 或 UDP。如果与 -s
选项一起使用以显示每个协议的统计信息,则 proto 可以是 TCP、UDP 或 IP。
-r.显示路由表。
-s.显示每个协议的统计信息。默认情况下,将会显示 TCP、UDP 和 IP 的统计信息,
可以使用 -p 选项以指定默认值的子集。
interval。重新显示所选择的统计信息,在每次显示之间按间隔秒数暂停。按 CTRL+C
组合键可停止重新显示统计信息。如果省略此参数,netstat 将会只打印一次当前配置
信息。
在列出本地计算机上打开的 TCP 和 UDP 端口时, 端口号基于
/%WinDir%/System32/Drivers/Etc/ 文件夹中找到的服务文件中的项转换为名称。如果
您愿意只看到端口,则可以使用 -n 开关
1. 在取证检查过程中,避免目标计算机系统发生任何的改变、损害、数据破坏
或病毒感染。需要及时拔网线,关闭机器。
2. 使用数据恢复软件(如:Finaldata)对该系统进行全面的数据恢复并备份
所有数据。(注:数据恢复软件的安装和恢复数据的存储需要另在移动硬盘
上进行,绝对不可使用目标计算机的硬盘)
相关下载:http://ids.ids.net.cn/tool/byshell.rar
同时,保留一份未作分析的原始系统以留作后期证据使用。
3. 搜索目标系统中的所有相关木马的文件(确切地说是搜索攻击程序或者是否
以其成为一个跳板,可以使用杀毒软件,但只设置为查找不做清除),以及现
存的正常文件、已经被删除但仍存在于磁盘上(即还没有被新文件覆盖)的
文件、隐藏文件、受到密码保护的文件和加密文件。
4. 最大程度地显示操作系统或应用程序使用的隐藏文件、临时文件和交换文件
的内容。
5. 查看被保护或加密文件的内容。
6. 检查IE 历史纪录是否有相关网页地址记录。
7. 用注册表整理工具整理注册表,并检查注册表中是否存在相关木马和网页的
键值。
8. 检查系统是否为代理服务器,例如SOCKS5。
计算机取证的基本原则:
一. 不对目标计算机进行任何写文件和删除文件的操作;
二. 如果目标计算机连接网络,需要及时中断网络;
三. 尽早搜集证据,保证其没有受到任何破坏;
四. 尽可能保证数据的连续性。
www.cert.org.cn 2
9. 查看相应的日志文件,包括系统日志文件、应用日志文件、DNS 日志文件、
安全日志文件、防火墙日志、HIDS 日志、NIDS 日志。
10. 检查帐户安全:服务器被入侵之后,通常会表现在系统的用户账户上,我们
可以在系统日志上察看相关的信息。
下面的表格是事件ID 与它的说明:
事件ID 说明
528 用户成功地登录到计算机。
529 有人用未知的用户名进行了登录尝试,或者用已知的用户名进行了登录尝试,
但密码不正确。
530 用户帐户试图在不允许的时间进行登录。
531 有人使用一个被禁用的帐户进行登录尝试。
例如:Windows 操作系统
DNS 日志文件:%systemroot%/system32/config
安全日志文件:%systemroot%/system32/config/SecEvent.EVT
系统日志文件:%systemroot%/system32/config/SysEvent.EVT
应用程序日志文件:%systemroot%/system32/config/AppEvent.EVT
Internet 信息服务FTP 日志默认位置:%sys temroot%/sys tem32/logfiles/msftpsvc1/
Internet 信息服务WWW 日志默认位置:%sys temroot%/sys tem32/logfiles/w3svc1/
Scheduler 服务日志默认位置:%sys temroot%/schedlgu.txt
以上日志在注册表里的键:
应用程序日志、安全日志、系统日志、DNS 服务器日志文件在注册表中的位置:
HKEY_LOCAL_MACHINE/sys tem/CurrentControlSet/Services/Eventlog
有的管理员很可能将这些日志重新定位。其中EVENTLOG 下面有很多的子表,里面可查到
以上日志的定位目录。
Schedluler 服务日志在注册表中的位置:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/SchedulingAgent
www.cert.org.cn 3
532 有人使用一个过期的帐户进行登录尝试。
533 未允许该用户登录此计算机。
534 该用户试图用不允许使用的登录类型(如网络登录、交互登录、批登录、服
务登录或远程交互登录)进行登录。
535 指定帐户的密码已经过期。
536 “网络登录”服务没有处于活动状态。
537 由于其他原因登录尝试失败。
538 一个用户被注销。
539 在有人进行登录尝试时帐户被锁定。此事件可表明有人发动密码攻击但未成
功,因而导致帐户被锁定。
540 网络登录成功。此事件表明远程用户从网络成功地连接到服务器上的本地资
源,并为该网络用户生成了一个令牌。
682 一个用户重新连接到已断开连接的“终端服务”会话。此事件表明有人连接
到了以前的“终端服务”会话。
683 一个用户没有注销就断开了“终端服务”会话连接。此事件在一个用户通过
网络连接到“终端服务”会话的情况下生成。它出现在终端服务器上。
除了察看事件日志外,也应该检查所有账户的信息,包括他们所属的组。有
些黑客入侵后常常将添加他们自己的账号,或者将那些偏僻的用户修改了权
限,从而方便他们以后再次入侵。
11. 监视打开的端口
攻击往往是从执行端口扫描以识别在目标计算机上运行的任何已知服务开
始的。您应确保仔细监视在服务器上哪些端口是打开的,这一般是指您自己
对端口进行扫描以确定可以访问哪些端口。
如果发现的已打开的端口无法识别,则应对它们进行调查以确定在该计算机
上是否需要对应的服务。如果不需要该服务,则应禁用或删除相关的服务以
防止计算机在该端口上监听。也可以通过该命令检查有哪些相关的连接,也
许恶意的连接就在这里。
www.cert.org.cn 4
注:以上所有操作过程,需要在发现关键问题处进行截屏,并且将所有输
出结果保留日志。
Netstat.exe 是一种命令行实用工具,可以显示 TCP 和 UDP 的所有打开的端口。
Netstat 命令使用下面的语法:
NETSTAT [-a] [-e] [-n] [-s] [-p proto] [-r] [interval]
其中:
-a.显示所有的连接和监听端口。
-e.显示以太网统计信息。它可以与 -s 选项结合使用。
-n.以数字形式显示地址和端口号。
-p proto.显示由 proto 指定的协议的连接;proto 可以是 TCP 或 UDP。如果与 -s
选项一起使用以显示每个协议的统计信息,则 proto 可以是 TCP、UDP 或 IP。
-r.显示路由表。
-s.显示每个协议的统计信息。默认情况下,将会显示 TCP、UDP 和 IP 的统计信息,
可以使用 -p 选项以指定默认值的子集。
interval。重新显示所选择的统计信息,在每次显示之间按间隔秒数暂停。按 CTRL+C
组合键可停止重新显示统计信息。如果省略此参数,netstat 将会只打印一次当前配置
信息。
在列出本地计算机上打开的 TCP 和 UDP 端口时, 端口号基于
/%WinDir%/System32/Drivers/Etc/ 文件夹中找到的服务文件中的项转换为名称。如果
您愿意只看到端口,则可以使用 -n 开关
扫一扫
35
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
