计算机取证目标
计算机取证要解决的问题是:找出是谁 (Who)、在什么时间 (When)、在那里 (Where)、怎样地 (How) 进行了什么 (What) 非法活动。
以网络入侵为例,具体而言,计算机取证需要解决以下几个问题:
- 攻击者什么时间进入系统,停留了多长时间
- 攻击者是如何进入系统的
- 攻击者做了什么
- 如何找到、并证明攻击者是现实中的某个具体行为人
- 被害者的损失情况
- 攻击者的行为动机
……
计算机证据来源
计算机证据几乎无处不在,但是主要来自 3 个方面:计算机主机系统方面、网络方面、其他数字设备。
① 来自主机系统方面的证据
计算机的硬盘及其他存储介质中往往包含相关的计算机证据。这些存储介质包括:硬盘、移动硬盘、U盘、mp3 播放器、各类软盘、磁带和光盘等。这些证据可能存在于
- 系统日志文件、应用程序日志文件中;交
- 换区文件,如:386.swp、PageFile.sys;
- 临时文件、数据文件等;
- 硬盘未分配空间;
- 系统缓冲区;
- 备份介质等不同位置
具体包括:
1. 用户自建的文档
如:现存的正常文件、聊天日志、地址簿、E-mail、视频音频文件、图像影像文件、日程表、Internet 书签 / 收藏夹、数据库文件和文本文件、备份介质等。
在这类文档中通常包含有很重要的个人资料等信息。
2. 用户保护文档
如:隐藏文件、受密码保护文件、加密文件、压缩文件、改名文件;
以及入侵者残留物,如:程序、脚本、进程、内存映象等。
这类文件通常包好有更重要的数据,如脚本程序及相关数据、恶意代码等。
3. 计算机创建的文件
如:系统日志文件、安全日志文件、应用程序日志文件、备份文档、配置文件、交换文件、虚拟内存、系统文件、隐藏文件、历史文件和临时文件等。
这类文档中往往有用户或程序运行记载等,如 Cookies 中记载有用户的信息,在交换文件中有用户的 Internet 活动记录、收发过电子邮件的 E-mail 账号、访问过的网站等。
4. 其他数据区中可能存在的数据证据
如:硬盘上的引导扇区、坏簇、其他分区、闲散空间 (Slack space)、计算机系统时间和密码、被删除的文件、软件注册信息、隐藏分区、系统数据区、丢失簇和未分配空间。
在一个频繁使用的系统中,可能会不断创建文件、删除文件、复制文件、移动文件,因此许多扇区可能被反复写过很多次,会出现许多文件碎片。
硬盘的存储空间是以簇为单位分配给文件的,一个出通常有若干扇区组成,而文件大小往往不是簇的整数倍空间大小,所以分配给文件的最后一簇一般都会有剩余的部分,即闲散空间。闲散空间中可能包含了先前存储已经被删除的的文件遗留下来的信息,这里就有可能有重要证据,也可能被用来保存隐藏数据。
取证时对硬盘的拷贝不能在文件级别上进行,就是因为正常的文件系统接口时访问不到这些闲散空间的。当一个应用程序改变一个文件并重写它后,原先改变的文件文件就会被删除,占用的所有数据块都会被回收而处于未分配状态,但这些未分配空间保存有先前文件的所有数据。文件被删除后,原有的数据依然还保存在磁盘上。
② 来自网络方面的证据
来自网络方面的主要证据有:
- 实时获取的网络通信数据流
- 网络设备如路由器、交换机上产生的记录
- 网络安全设备如防火墙、IDS、IPS 的日志记录
- 各类接入系统与网络应用有关的日志和登录日志(如 RADIUS 登录)
③ 来自其他数字设备的证据
- 手持电子设备:个人数字助理(PDA)、电子记事本等设备中可能包含有地址簿、密码、计划任务表、电话号码簿、文字信息、个人文档、E-mail 等信息
- 如微型摄像头、视频捕捉卡等设备可能存有影像、视频、时间日期标记、声音信息等
- 外设中保留着最后一次与桌面系统同步的日志文件以及桌面系统下载的文件
计算机取证基本原则
- ① 合法性原则:要具备法律法规意识,合法的收集计算机证据,依照法定程序提取证据
- ② 及时性原则:尽早收集证据,保证其没有受到任何破坏,计算机证据的获取具有一定的时效性
- ③ 准确性原则:尽量获得真实结果,准确不出差错
- ④ 证据连续性原则(证据链,chain of custody):即在证据被正式提交给法庭时,必须能够说明在证据从最初的获取状态到在法庭上出现状态之间的任何变化,最好是没有任何变化
- ⑤ 多备份原则:对于含有计算机证据的媒体至少应制作两个副本,原始媒体应存放在专门的房间由专人保管,复制品可以用于计算机取证人员进行证据的提取和分析
- ⑥ 环境安全原则:计算机证据应妥善保存,以备随时重组、实验和展示
- ⑦ 严格管理过程原则:含有计算机证据的媒体的移交、保管、开封、拆卸的过程必须由侦查人员和保管人员共同完成,每一个环节都必须检查真实性和完整性
计算机取证工作内容
在保证以上基本原则的前提下,计算机取证工作一般可以按照下面方面进行:
- ① 在取证检查过程中,避免目标计算机系统发生任何的改变、损害、数据破坏或病毒感染
- ② 使用数据恢复软件对系统进行全面的数据恢复并备份所有数据,同时需要保留一份未做分析的原始系统以留作后期证据使用
- ③ 搜索目标系统中的所有与木马相关的文件(确切的说是搜索攻击程序或者确定是否以其作为跳板,可以使用杀毒软件,但需要设置为只查找不做清除),和现存的正常文件、已经被删除但仍然存在于磁盘上的文件(即还没有被新文件覆盖)、隐藏文件、受到密码保护的文件和加密文件
- ④ 最大程度地显示操作系统或应用程序使用的隐藏文件、临时文件和交换文件的内容
- ⑤ 查看被保护或加密文件的内容
- ⑥ 查看 IE 历史记录是否有相关网页地址记录
- ⑦ 用注册表整理工具整理注册表,并检查注册表中是否存在相关木马和网页的键值
- ⑧ 检查系统是否为代理服务器,如:SOCKS5
- ⑨ 查看相应的日志文件,如:系统日志文件、应用日志文件、DNS 日志文件、安全日志文件、防火墙日志、HIDS 日志、NIDS 日志
- ⑩ 检查账户安全。服务器被入侵之后,通常会表现在系统的用户账户上,我们可以在系统日志上查看相关的信息。除了查看事件日志外,也应该检查所有账户的信息,包括他们所属的组。
- ⑪ 监视打开的端口。攻击往往是从执行端口扫描以识别在目标计算机上运行的任何已知服务开始的。应确保仔细监视在服务器上哪些端口是打开的,对端口进行扫描已确定可以访问哪些端口。如果发现已打开的端口无法识别,应该对它们进行调查以确定在该计算机上是否有对应的服务。如果不需要该服务,则应禁用或删除相关的服务以防止计算机在该端口上被监听。也可以通过命令检查有哪些相关的连接,也许恶意的连接就在这里