设为首页
收藏本站
开启辅助访问
切换到宽版
登录
立即注册
只需一步,快速开始
首页
Portal
论坛
BBS
新鲜出炉
免费列表
联系我们
搜索
搜索
文章
安全
安全
统计
传奇版本
精品软件
传奇工具
水漫金山
传奇教程
福利经验
传奇技术
素材补丁
引擎帮助
网站程序
动画发布
开区工具
站点公告
传奇故事
站点版规
关于报毒
在线工具
违规处里
站点帮助
站务处理
本版
帖子
用户
传奇GM论坛
»
论坛
›
综合交流
›
网络攻防
›
网络入侵证据的收集分析
返回列表
发新帖
网络入侵证据的收集分析
[复制链接]
1190
|
0
|
2012-4-1 19:27:12
|
显示全部楼层
|
阅读模式
如果有未经授权的入侵者入侵了你的网络,且破坏了数据,除了从备份系统中恢复数据之外,还需要做什么呢?
从事网络黑客在入侵之后都会想方设法抹去自己在受害系统上的活动记录。目的是逃脱法律的制裁。
而许多企业也不上报网络犯罪,其原因在于害怕这样做会对业务运作或企业商誉造成负面影响。他们担心这样做会让业务运作因此失序。更重要的是收集犯罪证据有一定困难。因此,CIO们应该在应急响应系统的建立中加入计算机犯罪证据的收集与分析环节。
什么是“计算机犯罪取证”?
计算机取证又称为数字取证或电子取证,是指对计算机入侵、破坏、欺诈、攻击等犯罪行为利用计算机软硬件技术,按照符合法律规范的方式进行证据获取、保存、分析和出示的过程。从技术上,计算机取证是一个对受侵计算机系统进行扫描和破解,以及对整个入侵事件进行重建的过程。
计算机取证包括物理证据获取和信息发现两个阶段。物理证据获取是指调查人员到计算机犯罪或入侵的现场,寻找并扣留相关的计算机硬件;信息发现是指从原始数据(包括文件,日志等)中寻找可以用来证明或者反驳的证据,即电子证据。
除了那些刚入门的“毛小子”之外,计算机犯罪分子也会在作案前周密部署、作案后消除蛛丝马迹。他们更改、删除目标主机的日志文件,清理自己的工具软件,或利用反取证工具来破坏侦察人员的取证。这就要求我们在反入侵的过程中,首先要清楚我们要做什么?然后才是怎么做的问题。
物理取证是核心任务
物理证据的获取是全部取证工作的基础。获取物理证据是最重要的工作,保证原始数据不受任何破坏。无论在任何情况下,调查者都应牢记5点:(1)不要改变原始记录;(2)不要在作为证据的计算机上执行无关的操作;(3)不要给犯罪者销毁证据的机会;(4)详细记录所有的取证活动;(5)妥善保存得到的物证。如果被入侵的计算机处于工作状态,取证人员应该设法保存尽可能多的犯罪信息。
要做到这5点可以说困难重重,首先可能出现的问题就是无法保证业务的连续性。由于入侵者的证据可能存在于系统日志、数据文件、寄存器、交换区、隐藏文件、空闲的磁盘空间、打印机缓存、网络数据区和计数器、用户进程存储器、文件缓存区等不同的位置。由此看见,物理取证不但是基础,而且是技术难点。
通常的做法是将要获取的数据包括从内存里获取易灭失数据和从硬盘获取等相对稳定数据,保证获取的顺序为先内存后硬盘。案件发生后,立即对目标机和网络设备进行内存检查并做好记录,根据所用操作系统的不同可以使用的内存检查命令对内存里易灭失数据获取,力求不要对硬盘进行任何读写操作,以免更改数据原始性。利用专门的工具对硬盘进行逐扇区的读取,将硬盘数据完整地克隆出来,便于今后在专门机器上对原始硬盘的镜像文件进行分析。
“计算机法医”要看的现场是什么?(日志)
有的时候,计算机取证(ComputerForensics)也可以称为计算机法医学,它是指把计算机看作是犯罪现场,运用先进的辨析技术,对电脑犯罪行为进行法医式的解剖,搜寻确认罪犯及其犯罪证据,并据此提起诉讼。好比飞机失事后,事故现场和当时发生的任何事都需要从飞机的“黑匣子”中获取。说到这里您可能就猜到了,计算机的黑匣子就是自身的日志记录系统。从理论上讲,计算机取证人员能否找到犯罪证据取决于:有关犯罪证据必须没有被覆盖;取证软件必须能找到这些数据;取证人员能知道这些文件,并且能证明它们与犯罪有关。但从海量的数据里面寻找蛛丝马迹是一件非常费时费力的工作,解决这一难题方法的就是切入点,所以说从日志入手才是最直接有效的手段。
这里还需要指出,不同的操作系统都可以在“EventViewerSecurity”(安全事件观察器)中能够检查到各种活动和日志信息,但是自身的防护性能都是非常低,一旦遭受到入侵,很容易就被清除掉。从中我们可以看到,专业的日志防护与分析软件在整个安全产品市场中的地位之重,无需置疑。
我国有关计算机取证的研究与实践尚在起步阶段,在信息技术较发达的美国已有了30年左右的历史。现在美国至少有70%的法律部门拥有自己的计算机取证实验室,取证专家在实验室内分析从犯罪现场获取的计算机(和外设),并试图找出入侵行为。
在国内,公安部门打击计算机犯罪案件是近几*,有关计算机取证方面的研究和实践才刚起步。中科院、浙江大学和复旦大学等在电子取证的各个技术方面都在积极开展研究工作。6月26日在北京召开的CFAT.2005首届传奇计算机取证技术峰会也是旨在推动国内外计算机取证先进技术的传播和扩大研究交流的深度广度,促进计算机取证专业人员、司法界人士以及兴趣爱好者直接、深入的交流。在把企业业务连续性作为首位的同时,我们也呼吁更加智能化的物理取证工具的早日面试。
计算机硬件
,
取证
,
网络犯罪
,
入侵者
,
黑客
相关帖子
•
零日(0day)攻击的原理与防范方法
•
黑客推荐服务器安全设置笔记
•
黑客眼中的PC个人安全防范的相关问题
•
新Office漏洞成黑客新宠Word文档成“炸弹”
•
黑客是如何利用迅雷下载执行cmd命令提权
•
分析行为防御网络入侵
•
远程访问的三种入侵方式和攻与防
•
Movavi VideoSuite 8.0 Slideshow - '.jpg' Local Crash (PoC)
•
利用nc构建telnet后门控制
•
网络入侵大型网站的完整思路
发帖前要善用
【
论坛搜索
】
功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。
回复
使用道具
举报
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡
返回列表
发新帖
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
立即注册
本版积分规则
发表回复
回帖后跳转到最后一页
Ask
回复楼主
返回列表
茶余饭后
网络攻防
旧帖回收
图文推荐
传世1.994天元心法版,啸天虎,副本任务,珍宝阁奖励
2011-06-30
最新烟雨寒雪暴力来袭靓装四连击传奇版本,给力嚣张,傲世青龙(3K引擎)
2011-07-01
新注册会员无法接收到验证邮件问题及解决方法
2011-12-17
2011最新火爆3D真彩地图,1.96梦幻变身QQ三钻黄金皓月升级版(...
2011-06-20
2003复古蓝色飞刀我本沉默,倚天劈地,押镖系统,九绝剑魔(Her...
2012-03-30
热门排行
1
2003复古蓝色飞刀我本沉默,倚天劈地,押镖系统,九绝剑魔(Her...
2
超爽给力3D真彩韩版诸神灭佛中变版,皇冠至尊,天地归一(Her...
3
1.96紫仙刺影四钻元素轻变版,冰神皓月,黄金矿工,紫仙合成(...
4
独家四皇冠《救世主》3D真彩地图中变靓装版,终结者神地(H...
5
2012最新青龍白虎中变皇冠之神靓装版,龙神宝殿,白虎之都(H...
6
1.95龙战刺影神龙合击版,刺影之城,神龙之地,幽冥神盾(3k引擎)
7
New盟重新城暗杀来袭第八季武动乾坤,枯海神舰,斗气大陆(Ma...
8
1.76复古精品加强版,爵位封号,亡灵古墓,夺宝奇兵,精品神殿(Hero引擎)