計算機取證目標
計算機取證要解決的問題是:找出是誰 (Who)、在什麼時間 (When)、在那裏 (Where)、怎樣地 (How) 進行了什麼 (What) 非法活動。
以網絡入侵爲例,具體而言,計算機取證需要解決以下幾個問題:
- 攻擊者什麼時間進入系統,停留了多長時間
- 攻擊者是如何進入系統的
- 攻擊者做了什麼
- 如何找到、並證明攻擊者是現實中的某個具體行爲人
- 被害者的損失情況
- 攻擊者的行爲動機
……
計算機證據來源
計算機證據幾乎無處不在,但是主要來自 3 個方面:計算機主機系統方面、網絡方面、其他數字設備。
① 來自主機系統方面的證據
計算機的硬盤及其他存儲介質中往往包含相關的計算機證據。這些存儲介質包括:硬盤、移動硬盤、U盤、mp3 播放器、各類軟盤、磁帶和光盤等。這些證據可能存在於
- 系統日誌文件、應用程序日誌文件中;交
- 換區文件,如:386.swp、PageFile.sys;
- 臨時文件、數據文件等;
- 硬盤未分配空間;
- 系統緩衝區;
- 備份介質等不同位置
具體包括:
1. 用戶自建的文檔
如:現存的正常文件、聊天日誌、地址簿、E-mail、視頻音頻文件、圖像影像文件、日程表、Internet 書籤 / 收藏夾、數據庫文件和文本文件、備份介質等。
在這類文檔中通常包含有很重要的個人資料等信息。
2. 用戶保護文檔
如:隱藏文件、受密碼保護文件、加密文件、壓縮文件、改名文件;
以及入侵者殘留物,如:程序、腳本、進程、內存映象等。
這類文件通常包好有更重要的數據,如腳本程序及相關數據、惡意代碼等。
3. 計算機創建的文件
如:系統日誌文件、安全日誌文件、應用程序日誌文件、備份文檔、配置文件、交換文件、虛擬內存、系統文件、隱藏文件、歷史文件和臨時文件等。
這類文檔中往往有用戶或程序運行記載等,如 Cookies 中記載有用戶的信息,在交換文件中有用戶的 Internet 活動記錄、收發過電子郵件的 E-mail 賬號、訪問過的網站等。
4. 其他數據區中可能存在的數據證據
如:硬盤上的引導扇區、壞簇、其他分區、閒散空間 (Slack space)、計算機系統時間和密碼、被刪除的文件、軟件註冊信息、隱藏分區、系統數據區、丟失簇和未分配空間。
在一個頻繁使用的系統中,可能會不斷創建文件、刪除文件、複製文件、移動文件,因此許多扇區可能被反覆寫過很多次,會出現許多文件碎片。
硬盤的存儲空間是以簇爲單位分配給文件的,一個出通常有若干扇區組成,而文件大小往往不是簇的整數倍空間大小,所以分配給文件的最後一簇一般都會有剩餘的部分,即閒散空間。閒散空間中可能包含了先前存儲已經被刪除的的文件遺留下來的信息,這裏就有可能有重要證據,也可能被用來保存隱藏數據。
取證時對硬盤的拷貝不能在文件級別上進行,就是因爲正常的文件系統接口時訪問不到這些閒散空間的。當一個應用程序改變一個文件並重寫它後,原先改變的文件文件就會被刪除,佔用的所有數據塊都會被回收而處於未分配狀態,但這些未分配空間保存有先前文件的所有數據。文件被刪除後,原有的數據依然還保存在磁盤上。
② 來自網絡方面的證據
來自網絡方面的主要證據有:
- 實時獲取的網絡通信數據流
- 網絡設備如路由器、交換機上產生的記錄
- 網絡安全設備如防火牆、IDS、IPS 的日誌記錄
- 各類接入系統與網絡應用有關的日誌和登錄日誌(如 RADIUS 登錄)
③ 來自其他數字設備的證據
- 手持電子設備:個人數字助理(PDA)、電子記事本等設備中可能包含有地址簿、密碼、計劃任務表、電話號碼簿、文字信息、個人文檔、E-mail 等信息
- 如微型攝像頭、視頻捕捉卡等設備可能存有影像、視頻、時間日期標記、聲音信息等
- 外設中保留着最後一次與桌面系統同步的日誌文件以及桌面系統下載的文件
計算機取證基本原則
- ① 合法性原則:要具備法律法規意識,合法的收集計算機證據,依照法定程序提取證據
- ② 及時性原則:儘早收集證據,保證其沒有受到任何破壞,計算機證據的獲取具有一定的時效性
- ③ 準確性原則:儘量獲得真實結果,準確不出差錯
- ④ 證據連續性原則(證據鏈,chain of custody):即在證據被正式提交給法庭時,必須能夠說明在證據從最初的獲取狀態到在法庭上出現狀態之間的任何變化,最好是沒有任何變化
- ⑤ 多備份原則:對於含有計算機證據的媒體至少應制作兩個副本,原始媒體應存放在專門的房間由專人保管,複製品可以用於計算機取證人員進行證據的提取和分析
- ⑥ 環境安全原則:計算機證據應妥善保存,以備隨時重組、實驗和展示
- ⑦ 嚴格管理過程原則:含有計算機證據的媒體的移交、保管、開封、拆卸的過程必須由偵查人員和保管人員共同完成,每一個環節都必須檢查真實性和完整性
計算機取證工作內容
在保證以上基本原則的前提下,計算機取證工作一般可以按照下面方面進行:
- ① 在取證檢查過程中,避免目標計算機系統發生任何的改變、損害、數據破壞或病毒感染
- ② 使用數據恢復軟件對系統進行全面的數據恢復並備份所有數據,同時需要保留一份未做分析的原始系統以留作後期證據使用
- ③ 搜索目標系統中的所有與木馬相關的文件(確切的說是搜索攻擊程序或者確定是否以其作爲跳板,可以使用殺毒軟件,但需要設置爲只查找不做清除),和現存的正常文件、已經被刪除但仍然存在於磁盤上的文件(即還沒有被新文件覆蓋)、隱藏文件、受到密碼保護的文件和加密文件
- ④ 最大程度地顯示操作系統或應用程序使用的隱藏文件、臨時文件和交換文件的內容
- ⑤ 查看被保護或加密文件的內容
- ⑥ 查看 IE 歷史記錄是否有相關網頁地址記錄
- ⑦ 用註冊表整理工具整理註冊表,並檢查註冊表中是否存在相關木馬和網頁的鍵值
- ⑧ 檢查系統是否爲代理服務器,如:SOCKS5
- ⑨ 查看相應的日誌文件,如:系統日誌文件、應用日誌文件、DNS 日誌文件、安全日誌文件、防火牆日誌、HIDS 日誌、NIDS 日誌
- ⑩ 檢查賬戶安全。服務器被入侵之後,通常會表現在系統的用戶賬戶上,我們可以在系統日誌上查看相關的信息。除了查看事件日誌外,也應該檢查所有賬戶的信息,包括他們所屬的組。
- ⑪ 監視打開的端口。攻擊往往是從執行端口掃描以識別在目標計算機上運行的任何已知服務開始的。應確保仔細監視在服務器上哪些端口是打開的,對端口進行掃描已確定可以訪問哪些端口。如果發現已打開的端口無法識別,應該對它們進行調查以確定在該計算機上是否有對應的服務。如果不需要該服務,則應禁用或刪除相關的服務以防止計算機在該端口上被監聽。也可以通過命令檢查有哪些相關的連接,也許惡意的連接就在這裏