隨著網(wǎng)絡(luò)的不斷擴(kuò)大����,網(wǎng)絡(luò)安全更加會(huì)成為人們的一個(gè)焦點(diǎn),同時(shí)也成為是否能進(jìn)一步投入到更深更廣領(lǐng)域的一個(gè)基石�����。當(dāng)然網(wǎng)絡(luò)的安全也是一個(gè)動(dòng)態(tài)的概念,世界上沒有絕對(duì)安全的網(wǎng)絡(luò)�,只有相對(duì)安全的網(wǎng)絡(luò)。相對(duì)安全環(huán)境的取得可以通過不斷地完善系統(tǒng)程序(及時(shí)給系統(tǒng)漏洞打上不同的補(bǔ)丁和給系統(tǒng)升級(jí))�、裝上防火墻����,同時(shí)對(duì)那些膽敢在網(wǎng)絡(luò)上破壞秩序做出不義行為的人給予恰如其分的處理。這必然要牽涉到證據(jù)的收集����,本文正是對(duì)這一方面的內(nèi)容針對(duì)Windows系統(tǒng)進(jìn)行研究。
一�����、Windows系統(tǒng)特性
Windows操作系統(tǒng)維護(hù)三個(gè)相互獨(dú)立的日志文件:系統(tǒng)日志���、應(yīng)用程序日志�、安全日志�。
1.系統(tǒng)日志
系統(tǒng)日志記錄系統(tǒng)進(jìn)程和設(shè)備驅(qū)動(dòng)程序的活動(dòng)。它審核的系統(tǒng)事件包括啟動(dòng)失敗的設(shè)備驅(qū)動(dòng)程序����、硬件錯(cuò)誤�、重復(fù)的IP地址����,以及服務(wù)的啟動(dòng)、暫停和停止�。系統(tǒng)日志包含由系統(tǒng)組件記錄的事情。例如在系統(tǒng)日志中記錄啟動(dòng)期間要加載的驅(qū)動(dòng)程序或其他系統(tǒng)組件的故障��。由系統(tǒng)組件記錄的事件類型是預(yù)先確定的�。系統(tǒng)日志還包括了系統(tǒng)組件出現(xiàn)的問題,比如啟動(dòng)時(shí)某個(gè)驅(qū)動(dòng)程序加載失敗等��。
2.應(yīng)用程序日志
應(yīng)用程序日志包括關(guān)于用戶程序和商業(yè)通用應(yīng)用程序的運(yùn)行方面的錯(cuò)誤活動(dòng)����,它審核的應(yīng)用程序事件包括所有錯(cuò)誤或應(yīng)用程序需要報(bào)告的信息。應(yīng)用程序日志可以包括性能監(jiān)視審核的事件以及由應(yīng)用程序或一般程序記錄的事件����,比如失敗登錄的次數(shù)、硬盤使用的情況和其它重要的指針���;比如數(shù)據(jù)庫程序用應(yīng)用程序日志來記錄文件錯(cuò)誤����;比如開發(fā)人員決定所要記錄的事件。
3.安全日志
安全日志通常是在應(yīng)急響應(yīng)調(diào)查階段最有用的日志��。調(diào)查員必須仔細(xì)瀏覽和過濾這些日志的輸出����,以識(shí)別它們包含的證據(jù)。安全日志主要用于管理員記載用戶登錄上網(wǎng)的情況�����。在安全日志中可以找到它使用的系統(tǒng)審核和安全處理���。它審核的安全事件包括用戶特權(quán)的變化、文件和目錄訪問�、打印以及系統(tǒng)登錄和注銷。安全日志可以記錄諸如有效的登錄嘗試等安全事件以及與資源使用有關(guān)的事件���,例如創(chuàng)建�、打開或刪除應(yīng)用文件�。管理員可以指定在安全日志中記錄的事件。例如如果你啟用了登錄審核�,那么系統(tǒng)登錄嘗試就記錄在安全日志中�����。
二����、尋找“顯形”證據(jù)
系統(tǒng)工具提供了對(duì)系統(tǒng)進(jìn)一步的監(jiān)視���,在性能監(jiān)視器中可以看到其圖形化的變化情況��。而計(jì)數(shù)器日志��、跟蹤日志和警報(bào)則提供了對(duì)本地或遠(yuǎn)端系統(tǒng)的監(jiān)視記錄����,并可根據(jù)預(yù)定的設(shè)定進(jìn)行特定的跟蹤和報(bào)警�����。還可利用不同的用于配置�����、管理COM組件及應(yīng)用的組件服務(wù)工具記錄或查找相關(guān)信息���。
1.查看三大日志
在計(jì)算機(jī)上維護(hù)有關(guān)應(yīng)用程序�、安全性系統(tǒng)事件的日志,可以使用事件查看器查看并管理事件日志���。它用于收集計(jì)算機(jī)硬件�、軟件和系統(tǒng)整體方面的錯(cuò)誤信息��,也用來監(jiān)視一些安全方面的問題�����。它可根據(jù)應(yīng)用程序日志�����、安全日志和系統(tǒng)日志來源將記錄分成3類����。
事件查看器顯示以下幾種事件類型:error是指比較嚴(yán)重的問題���,通常是出現(xiàn)了數(shù)據(jù)丟失或功能丟失�����。例如如果在啟動(dòng)期間服務(wù)加載失敗����,則會(huì)記錄錯(cuò)誤。Warning給出警告則表明情況暫時(shí)不嚴(yán)重�,但可能會(huì)在將來引起錯(cuò)誤,比如磁盤空間太少等�。Information描述應(yīng)用程序、驅(qū)動(dòng)程序或服務(wù)的成功操作的事件�。例如成功地加載網(wǎng)絡(luò)驅(qū)動(dòng)程序時(shí)會(huì)記錄一個(gè)信息事件。Success audit審核訪問嘗試成功��。例如將用戶成功登錄到系統(tǒng)上的嘗試作為成功審核事件記錄下來���。Failure audit審核安全嘗試失敗����。例如如果用戶試圖訪問網(wǎng)絡(luò)驅(qū)動(dòng)器失敗���,該嘗試就會(huì)作為失敗審核事件記錄下來�。
注意啟動(dòng)系統(tǒng)時(shí)事件日志服務(wù)會(huì)自動(dòng)啟動(dòng)����,所有用戶都可以查看應(yīng)用程序日志和系統(tǒng)日志�����,但是只有管理員才能訪問安全日志���。默認(rèn)情況下會(huì)關(guān)閉安全日志,所以管理員要記住設(shè)定啟用�����。管理員既可以使用組策略啟用安全日志記錄�����,也可以在注冊(cè)表中設(shè)置策略使系統(tǒng)在安全日志裝滿時(shí)停止運(yùn)行�����。
基于主機(jī)的檢測(cè)器可以檢測(cè)到系統(tǒng)類庫的改變或敏感位置文件的添加�����。當(dāng)結(jié)合所有現(xiàn)有的基于網(wǎng)絡(luò)的證據(jù)片斷時(shí)���,就有可能重建特定的網(wǎng)絡(luò)事件�����,諸如文件傳輸��、緩沖區(qū)溢出攻擊�,或在網(wǎng)絡(luò)中使用被盜的用戶帳號(hào)和密碼等����。
當(dāng)調(diào)查計(jì)算機(jī)犯罪時(shí),會(huì)發(fā)現(xiàn)很多潛在證據(jù)的來源��,不僅包括基于主機(jī)的日志記錄�,而且還包括網(wǎng)絡(luò)的日志記錄以及其它的傳統(tǒng)形式,如指紋�、證詞和證人。大多數(shù)的網(wǎng)絡(luò)流量在它經(jīng)過的路徑上都留下了監(jiān)查蹤跡�����。路由器���、防火墻����、服務(wù)器、IDS檢測(cè)器及其它的網(wǎng)絡(luò)設(shè)備都會(huì)保存日志��,記錄基于網(wǎng)絡(luò)的突發(fā)事件�。DHCP服務(wù)器會(huì)在PC請(qǐng)求IP租用時(shí)記錄網(wǎng)絡(luò)訪問。現(xiàn)代的防火墻允許管理員在創(chuàng)建監(jiān)查日志時(shí)有很多種粒度��。IDS檢測(cè)器可以根據(jù)簽名識(shí)別或異常的檢測(cè)過濾器來捕獲一個(gè)攻擊的一部分����。基于網(wǎng)絡(luò)的日志記錄以多種形式存儲(chǔ)�,可能源自不同的操作系統(tǒng),可能需要特殊的軟件才能訪問和讀取�,這些日志在地理上是分散的,而且常常對(duì)當(dāng)前系統(tǒng)時(shí)間有嚴(yán)重錯(cuò)誤的解釋�。調(diào)查人員的挑戰(zhàn)就在于查找所有的日志,并使之關(guān)聯(lián)起來�����。從不同系統(tǒng)獲得地理上分散的日志��、為每個(gè)日志維護(hù)保管鏈����、重建基于網(wǎng)絡(luò)的突發(fā)事件,這一切都需要消耗大量的時(shí)間和密集的資源����。
2.檢查相關(guān)文件、執(zhí)行關(guān)鍵詞搜索
Windows系統(tǒng)同時(shí)進(jìn)行對(duì)很多文件的輸入和輸出����,所以幾乎所有發(fā)生在系統(tǒng)上的活動(dòng)都會(huì)留下一些發(fā)生的痕跡。它有許多臨時(shí)文件�、高速緩存文件、一個(gè)跟蹤最近使用文件的注冊(cè)文件��、一個(gè)保留刪除文件的回收站和無數(shù)的存儲(chǔ)運(yùn)行時(shí)間資料的其它位置��。
在調(diào)查知識(shí)產(chǎn)權(quán)或所有權(quán)�����、信息的所有權(quán)�、性騷擾以及任何實(shí)際上包含基于文本通信的問題上,對(duì)目標(biāo)硬盤驅(qū)動(dòng)器執(zhí)行字符串搜索是非常重要的��。很多不同的關(guān)鍵詞可能對(duì)調(diào)查非常重要���,這些關(guān)鍵詞包括用戶ID��、密碼���、敏感資料(代碼字)�、已知的文件名和具體的主題詞�����。字符串搜索可以在邏輯文件結(jié)構(gòu)上執(zhí)行��,也可以在物理層次上執(zhí)行�����。
3.鑒定未授權(quán)的用戶帳號(hào)或組�、“流氓”進(jìn)程
檢查用戶管理器,尋找未授權(quán)的用戶帳號(hào)�����;使用usrstat瀏覽域控制器中的域帳號(hào)���,尋找可疑的項(xiàng)目�����;使用Event Viecser檢查安全日志����,篩選出事件為添加新帳號(hào)�����、啟用用戶帳號(hào)�����、改變帳號(hào)組和改變用戶帳號(hào)的項(xiàng)目�。
鑒定檢查一個(gè)運(yùn)行系統(tǒng)時(shí),鑒定“流氓”進(jìn)程是非常簡(jiǎn)單的���。因?yàn)榇蟛糠帧傲髅ァ边M(jìn)程都要監(jiān)聽網(wǎng)絡(luò)連接或探測(cè)網(wǎng)絡(luò)以獲得純文本的用戶ID和密碼����,這些進(jìn)程很容易在執(zhí)行過程中被發(fā)現(xiàn)����。plist命令將列出正在運(yùn)行的進(jìn)程��,listdlls將提供每個(gè)運(yùn)行中進(jìn)程的完整的命令行參數(shù)��,fport將顯示監(jiān)聽的進(jìn)程以及他們所監(jiān)聽得到端口����。對(duì)于未運(yùn)行的系統(tǒng)上“流氓”進(jìn)程���,方法是在證據(jù)的整個(gè)邏輯卷內(nèi)使用最新的病毒掃描程序進(jìn)行掃描����。如果選擇在還原映象的文件系統(tǒng)上運(yùn)行病毒檢查工具�����,必須保證這個(gè)卷是只讀的��。
4.尋找隱藏文件和恢復(fù)被刪除文件
所有的壞人都想隱藏一些事情�����,他們采取這樣的辦法:一旦一個(gè)內(nèi)部攻擊者選擇在他的系統(tǒng)上執(zhí)行未授權(quán)或不受歡迎的任務(wù)��,他可能會(huì)讓一些文件不可見。這些攻擊者可能利用NTFS文件流���,在合法文件后隱藏資料��。還有可能改變文件的擴(kuò)展名或特意將文件名命為重要系統(tǒng)文件的名字����,最后還可以把文件刪除��。
我們知道被刪除的文件并不是真正被刪除了���,它們只是被標(biāo)記為刪除。這就意味著這些文件仍保存完好���,直到新數(shù)據(jù)的寫入覆蓋了這些被刪除文文件所在硬盤驅(qū)動(dòng)器的物理空間�����。也就是說越早嘗試��,恢復(fù)一個(gè)文件成功的機(jī)會(huì)就越大�����。File Scavenger甚至可能在硬盤被重新格式化后還能進(jìn)行恢復(fù)��。
5.檢查未授權(quán)的訪問點(diǎn)和安全標(biāo)識(shí)符SID
當(dāng)檢查到一個(gè)受害系統(tǒng)時(shí)�����,必須鑒別系統(tǒng)的訪問點(diǎn)以確定進(jìn)行訪問的方式�����,一些工具都是鑒別系統(tǒng)訪問點(diǎn)的重要工具����,它們使用API調(diào)用以讀取內(nèi)核及用戶空間的TCP和UDP連接表的內(nèi)容。如果想捕獲這一信息���,需要允許通過還原映象引導(dǎo)系統(tǒng)�����。如果想在檢查運(yùn)行系統(tǒng)時(shí)完成這一步�,則要在關(guān)閉系統(tǒng)以進(jìn)行映象之前��,比較這兩個(gè)操作的結(jié)果��,它們的差異表明存在未授權(quán)的后臺(tái)程序。
SID用于唯一地標(biāo)識(shí)一個(gè)用戶或一個(gè)組��。每一個(gè)系統(tǒng)都有自己的標(biāo)識(shí)符�����。計(jì)算機(jī)標(biāo)識(shí)府和用戶標(biāo)識(shí)符一起構(gòu)成了SID.因此SID可以唯一地標(biāo)識(shí)用戶帳號(hào)�����。所以我們需要比較在受害機(jī)器上發(fā)現(xiàn)的SID和在中央認(rèn)證機(jī)構(gòu)記錄的SID�。
6.檢查Scheduler Service運(yùn)行的任務(wù)
攻擊者常用的一個(gè)策略是讓調(diào)度事件為他們打開后門程序�����、改變審核策略或者完成更險(xiǎn)惡的事����。比如刪除文件。惡意的調(diào)度作業(yè)通常是用at或soon工具調(diào)度它們的�。不帶命令行參數(shù)的at命令可以顯示任何已調(diào)度的作業(yè)。
7.分析信任關(guān)系
WINDOWS NT系統(tǒng)支持不可傳遞的或單向的信任��。這意味著只能單方向提供訪問和服務(wù)�。即使你的NT PDC信任其它域,這個(gè)被信任的域也不需要信任你的PDC,因此被信任域中的用戶能使用你所在域的服務(wù),但是反過來就不行��。WINDOWS 2000則支持可傳遞的信仰�����。
三��、“隱形”證據(jù)的查找
由于攻擊者的詭密性日益提高����,他們還使用隱蔽信道的方法躲避檢測(cè)。我們將隱蔽信道定義為所有秘密的�、隱藏的、難以檢測(cè)的通信方式��。所有與此相關(guān)的證據(jù)稱為“隱形”證據(jù)�����。
1.難以檢測(cè)���、回放的行為
所捕捉或被監(jiān)視到的�����,但是還需要進(jìn)行進(jìn)一步詳細(xì)檢查才能識(shí)別出的那些未經(jīng)授權(quán)的流量�。這些行為包括諸如Loki 2.0 HTTP命令信道和郵件隧道效應(yīng)等ICMP和UDP隱蔽信道。查找辦法就是仔細(xì)檢查所監(jiān)視到的流量��,提高鑒別能力����。包括任何類型通信中的那些利用任何工具都不能按人們可讀的方式顯示或重構(gòu)的各種行為。查看會(huì)話的最常見阻礙就是加密�����。更多的經(jīng)驗(yàn)豐富的攻擊者可以建立加密信道����,使得網(wǎng)絡(luò)監(jiān)視失效。許多網(wǎng)絡(luò)協(xié)議本質(zhì)上就是難以回放的��,X Windows通信����、Netbus通信和其它傳輸大量圖形信息的遠(yuǎn)程會(huì)話都是很難再現(xiàn)的���。監(jiān)視加密通信并不是完全沒用����,因?yàn)樗梢宰C明在確定的IP地址之間沒有進(jìn)行通信。所需的證據(jù)就在于這些端點(diǎn)上��。
2.難以跟蹤到源IP地址的攻擊行為
它可以通過拒絕服務(wù)攻擊得到最好的證明�����。源IP地址通常是被偽裝的�,這就使得通過源地址跟蹤源計(jì)算機(jī)是非常困難的。以日志文件或嗅探器捕獲文件形式保存的電子證據(jù)所報(bào)告的是錯(cuò)誤數(shù)據(jù)���。被偽裝的郵件或欺騙性的電子郵件也對(duì)按電子郵件跟蹤到這些消息的原始計(jì)算機(jī)提出了挑戰(zhàn)��。人們會(huì)發(fā)現(xiàn)中繼電子郵件服務(wù)器位于一個(gè)法律上不合作的國(guó)家����,并通過此服務(wù)器發(fā)送偽造電子郵件�����。這些中繼電子郵件服務(wù)器通常記錄了原始計(jì)算機(jī)的IP地址����,但是由于位于不合作的外國(guó)����,所以無法獲得這些信息����。加大在網(wǎng)絡(luò)邊界的監(jiān)視,充分發(fā)揮網(wǎng)關(guān)的識(shí)別作用�,才是解決此類問題的唯一所選。
3.使得證據(jù)難以收集
通過下列方式可以使證據(jù)難以收集——加密文件�����、安裝可裝載的核心模塊以便利用你的操作系統(tǒng)來對(duì)付你��,以及對(duì)二進(jìn)制文件使用“特洛伊木馬”使攻擊者的痕跡不過于明顯��。攻擊者阻礙收集證據(jù)的另一個(gè)技巧是不斷改變遠(yuǎn)程系統(tǒng)的端口�。當(dāng)攻擊者以一種看起來隨機(jī)的方式頻繁地修改端口以初始化與受攻擊系統(tǒng)的連接時(shí),調(diào)查員很難實(shí)施獲得相關(guān)信息的過程����。
對(duì)于此種證據(jù)的查找�,我們采取在線被動(dòng)的網(wǎng)絡(luò)監(jiān)視辦法以及通過IDS、 防火墻和其他信息源知道有關(guān)攻擊的多種標(biāo)志,同時(shí)不斷總結(jié)有效的分析網(wǎng)絡(luò)通信的調(diào)查方法����。在網(wǎng)絡(luò)中發(fā)現(xiàn)非法的服務(wù)器或通信的非法通道�����,這是最有效的方法���。它為確定可疑行為的程度和確定以非法方式通信的相關(guān)系統(tǒng)提供了一種方法,以便確定將系統(tǒng)保持在線狀態(tài)所冒的風(fēng)險(xiǎn)和系統(tǒng)脆弱程度���。根據(jù)這些信息��,可以采取適當(dāng)?shù)暮罄m(xù)步驟或防范措施�����。同時(shí)并加大培訓(xùn)力度���,不斷提高監(jiān)視技巧,加強(qiáng)有力的自動(dòng)分析工具的開發(fā)��。
4.免受監(jiān)視的行為
包括ICMP通信�����、SMTP通信、POP通信�、Usenet通信、在外部介質(zhì)保存文件�、看上去無害的Web通信,以及源于內(nèi)部IP地址的通信��。查找此類證據(jù)的唯一方法就是監(jiān)視盡可能多的通信��。
為了維持對(duì)攻擊者的優(yōu)勢(shì)�����,預(yù)見攻擊的變革是十分必要的�����。只有了解攻擊者的目標(biāo)才能知道可能遭受攻擊的地方����。只有了解這些目標(biāo)才有可能預(yù)見到在網(wǎng)絡(luò)上發(fā)生的攻擊,由此我們既要熟悉合法通信的標(biāo)準(zhǔn)���,又要深入了解各種網(wǎng)絡(luò)協(xié)議本身然后進(jìn)行網(wǎng)絡(luò)監(jiān)視并仔細(xì)檢查網(wǎng)絡(luò)通信以便確認(rèn)各種不同類型的隱蔽通道���,查找出不同的隱形證據(jù)。
計(jì)算機(jī)取證技術(shù)的研究是一個(gè)相當(dāng)復(fù)雜的課題��,本文力圖從兩個(gè)方面來對(duì)計(jì)算機(jī)取證技術(shù)的過程和步驟進(jìn)行探討����,提出了一種較為完善的由易到難、由簡(jiǎn)單到復(fù)雜的方法�。我們可以通過對(duì)“顯形”證據(jù)查找的辦法支持在小局域網(wǎng)、軍隊(duì)網(wǎng)進(jìn)行計(jì)算機(jī)取證���,也支持在英特網(wǎng)上查找一些簡(jiǎn)易的取證���,通過對(duì)“隱形”證據(jù)查找的辦法支持在大的局域網(wǎng)甚至在英特網(wǎng)上查找復(fù)雜的取證,為調(diào)查人員提供重要的調(diào)查線索和證據(jù)來源���。
該文章在 2011/3/10 0:36:19 編輯過
400 186 1886
