在互聯(lián)網(wǎng)日益繁榮的今天�,網(wǎng)絡(luò)入侵已不再是簡(jiǎn)單的個(gè)案問(wèn)題�,而逐步成為困擾廣大網(wǎng)民的“焦點(diǎn)事件”。那么�,遇到網(wǎng)絡(luò)入侵時(shí),該怎么做才能最大化的確保自己的利益并且嚴(yán)懲那些惡意攻擊者呢���?瑞星科技刊登《中國(guó)計(jì)算機(jī)》的一篇文章《關(guān)于黑客入侵網(wǎng)絡(luò)的證據(jù)收集與分析》給了我們很好的啟發(fā)���。以下是正文部分:
如果有未經(jīng)授權(quán)的入侵者入侵了你的網(wǎng)絡(luò),且破壞了數(shù)據(jù)����,除了從備份系統(tǒng)中恢復(fù)數(shù)
據(jù)之外,還需要做什么呢?
從事網(wǎng)絡(luò)安全工作的人都知道����,黑客在入侵之后都會(huì)想方設(shè)法抹去自己在受害系統(tǒng)上的活動(dòng)記錄。目的是逃脫法律的制裁��。
而許多企業(yè)也不上報(bào)網(wǎng)絡(luò)犯罪���,其原因在于害怕這樣做會(huì)對(duì)業(yè)務(wù)運(yùn)作或企業(yè)商譽(yù)造成負(fù)面影響���。他們擔(dān)心這樣做會(huì)讓業(yè)務(wù)運(yùn)作因此失序。更重要的是收集犯罪證據(jù)有一定困難�����。因此����,CIO們應(yīng)該在應(yīng)急響應(yīng)系統(tǒng)的建立中加入計(jì)算機(jī)犯罪證據(jù)的收集與分析環(huán)節(jié)。
什么是“計(jì)算機(jī)犯罪取證”?
計(jì)算機(jī)取證又稱為數(shù)字取證或電子取證��,是指對(duì)計(jì)算機(jī)入侵���、破壞�、欺詐�����、攻擊等犯罪行為利用計(jì)算機(jī)軟硬件技術(shù)��,按照符合法律規(guī)范的方式進(jìn)行證據(jù)獲取��、保存����、分析和出示的過(guò)程�����。從技術(shù)上����,計(jì)算機(jī)取證是一個(gè)對(duì)受侵計(jì)算機(jī)系統(tǒng)進(jìn)行掃描和破解���,以及對(duì)整個(gè)入侵事件進(jìn)行重建的過(guò)程�����。
計(jì)算機(jī)取證包括物理證據(jù)獲取和信息發(fā)現(xiàn)兩個(gè)階段����。物理證據(jù)獲取是指調(diào)查人員到計(jì)算機(jī)犯罪或入侵的現(xiàn)場(chǎng)�,尋找并扣留相關(guān)的計(jì)算機(jī)硬件;信息發(fā)現(xiàn)是指從原始數(shù)據(jù)(包括文件,日志等)中尋找可以用來(lái)證明或者反駁的證據(jù)��,即電子證據(jù)���。
除了那些剛?cè)腴T的“毛小子”之外����,計(jì)算機(jī)犯罪分子也會(huì)在作案前周密部署、作案后消除蛛絲馬跡��。他們更改���、刪除目標(biāo)主機(jī)的日志文件,清理自己的工具軟件�,或利用反取證工具來(lái)破壞偵察人員的取證。這就要求我們?cè)诜慈肭值倪^(guò)程中�����,首先要清楚我們要做什么?然后才是怎么做的問(wèn)題��。
物理取證是核心任務(wù)
物理證據(jù)的獲取是全部取證工作的基礎(chǔ)���。獲取物理證據(jù)是最重要的工作���,保證原始數(shù)據(jù)不受任何破壞。無(wú)論在任何情況下�,調(diào)查者都應(yīng)牢記5點(diǎn):(1)不要改變?cè)加涗?(2)不要在作為證據(jù)的計(jì)算機(jī)上執(zhí)行無(wú)關(guān)的操作;(3)不要給犯罪者銷毀證據(jù)的機(jī)會(huì);(4)詳細(xì)記錄所有的取證活動(dòng);(5)妥善保存得到的物證。如果被入侵的計(jì)算機(jī)處于工作狀態(tài)�,取證人員應(yīng)該設(shè)法保存盡可能多的犯罪信息����。
要做到這5點(diǎn)可以說(shuō)困難重重����,首先可能出現(xiàn)的問(wèn)題就是無(wú)法保證業(yè)務(wù)的連續(xù)性。由于入侵者的證據(jù)可能存在于系統(tǒng)日志��、數(shù)據(jù)文件��、寄存器�、交換區(qū)、隱藏文件���、空閑的磁盤空間�、打印機(jī)緩存�����、網(wǎng)絡(luò)數(shù)據(jù)區(qū)和計(jì)數(shù)器�����、用戶進(jìn)程存儲(chǔ)器、文件緩存區(qū)等不同的位置��。由此看見(jiàn)�,物理取證不但是基礎(chǔ),而且是技術(shù)難點(diǎn)���。
通常的做法是將要獲取的數(shù)據(jù)包括從內(nèi)存里獲取易滅失數(shù)據(jù)和從硬盤獲取等相對(duì)穩(wěn)定數(shù)據(jù)�,保證獲取的順序?yàn)橄葍?nèi)存后硬盤����。案件發(fā)生后��,立即對(duì)目標(biāo)機(jī)和網(wǎng)絡(luò)設(shè)備進(jìn)行內(nèi)存檢查并做好記錄�����,根據(jù)所用操作系統(tǒng)的不同可以使用的內(nèi)存檢查命令對(duì)內(nèi)存里易滅失數(shù)據(jù)獲取�����,力求不要對(duì)硬盤進(jìn)行任何讀寫操作�,以免更改數(shù)據(jù)原始性。利用專門的工具對(duì)硬盤進(jìn)行逐扇區(qū)的讀取�����,將硬盤數(shù)據(jù)完整地克隆出來(lái),便于今后在專門機(jī)器上對(duì)原始硬盤的鏡像文件進(jìn)行分析�。
“計(jì)算機(jī)法醫(yī)”要看的現(xiàn)場(chǎng)是什么?(日志)wllife.cn
有的時(shí)候,計(jì)算機(jī)取證(Computer Forensics)也可以稱為計(jì)算機(jī)法醫(yī)學(xué)��,它是指把計(jì)算機(jī)看作是犯罪現(xiàn)場(chǎng)��,運(yùn)用先進(jìn)的辨析技術(shù)�����,對(duì)電腦犯罪行為進(jìn)行法醫(yī)式的解剖�,搜尋確認(rèn)罪犯及其犯罪證據(jù),并據(jù)此提起訴訟�����。好比飛機(jī)失事后�,事故現(xiàn)場(chǎng)和當(dāng)時(shí)發(fā)生的任何事都需要從飛機(jī)的“黑匣子”中獲取。說(shuō)到這里您可能就猜到了�����,計(jì)算機(jī)的黑匣子就是自身的日志記錄系統(tǒng)�����。從理論上講,計(jì)算機(jī)取證人員能否找到犯罪證據(jù)取決于:有關(guān)犯罪證據(jù)必須沒(méi)有被覆蓋;取證軟件必須能找到這些數(shù)據(jù);取證人員能知道這些文件��,并且能證明它們與犯罪有關(guān)����。但從海量的數(shù)據(jù)里面尋找蛛絲馬跡是一件非常費(fèi)時(shí)費(fèi)力的工作,解決這一難題方法的就是切入點(diǎn)���,所以說(shuō)從日志入手才是最直接有效的手段���。
這里還需要指出�,不同的操作系統(tǒng)都可以在“Event Viewer Security”(安全事件觀察器)中能夠檢查到各種活動(dòng)和日志信息,但是自身的防護(hù)性能都是非常低��,一旦遭受到入侵�����,很容易就被清除掉�。從中我們可以看到,專業(yè)的日志防護(hù)與分析軟件在整個(gè)安全產(chǎn)品市場(chǎng)中的地位之重�,無(wú)需置疑。
