一、Windows系統特性
Windows操作系統維護三個相互獨立的日誌文件:系統日誌、應用程序日誌、安全日誌。
1.系統日誌
系統日誌記錄系統進程和設備驅動程序的活動。它審覈的系統事件包括啓動失敗的設備驅動程序、硬件錯誤、重複的IP地址,以及服務的啓動、暫停和停止。系統日誌包含由系統組件記錄的事情。例如在系統日誌中記錄啓動期間要加載的驅動程序或其他系統組件的故障。由系統組件記錄的事件類型是預先確定的。系統日誌還包括了系統組件出現的問題,比如啓動時某個驅動程序加載失敗等。
2.應用程序日誌
應用程序日誌包括關於用戶程序和商業通用應用程序的運行方面的錯誤活動,它審覈的應用程序事件包括所有錯誤或應用程序需要報告的信息。應用程序日誌可以包括性能監視審覈的事件以及由應用程序或一般程序記錄的事件,比如失敗登錄的次數、硬盤使用的情況和其它重要的指針;比如數據庫程序用應用程序日誌來記錄文件錯誤;比如開發人員決定所要記錄的事件。
3.安全日誌
安全日誌通常是在應急響應調查階段最有用的日誌。調查員必須仔細瀏覽和過濾這些日誌的輸出,以識別它們包含的證據。安全日誌主要用於管理員記載用戶登錄上網的情況。在安全日誌中可以找到它使用的系統審覈和安全處理。它審覈的安全事件包括用戶特權的變化、文件和目錄訪問、打印以及系統登錄和註銷。安全日誌可以記錄諸如有效的登錄嘗試等安全事件以及與資源使用有關的事件,例如創建、打開或刪除應用文件。管理員可以指定在安全日誌中記錄的事件。例如如果你啓用了登錄審覈,那麼系統登錄嘗試就記錄在安全日誌中。
二、尋找“顯形”證據
系統工具提供了對系統進一步的監視,在性能監視器中可以看到其圖形化的變化情況。而計數器日誌、跟蹤日誌和警報則提供了對本地或遠端系統的監視記錄,並可根據預定的設定進行特定的跟蹤和報警。還可利用不同的用於配置、管理COM組件及應用的組件服務工具記錄或查找相關信息。
1.查看三大日誌
在計算機上維護有關應用程序、安全性系統事件的日誌,可以使用事件查看器查看並管理事件日誌。它用於收集計算機硬件、軟件和系統整體方面的錯誤信息,也用來監視一些安全方面的問題。它可根據應用程序日誌、安全日誌和系統日誌來源將記錄分成3類。
事件查看器顯示以下幾種事件類型:error是指比較嚴重的問題,通常是出現了數據丟失或功能丟失。例如如果在啓動期間服務加載失敗,則會記錄錯誤。Warning給出警告則表明情況暫時不嚴重,但可能會在將來引起錯誤,比如磁盤空間太少等。Information描述應用程序、驅動程序或服務的成功操作的事件。例如成功地加載網絡驅動程序時會記錄一個信息事件。Success audit審覈訪問嘗試成功。例如將用戶成功登錄到系統上的嘗試作爲成功審覈事件記錄下來。Failure audit審覈安全嘗試失敗。例如如果用戶試圖訪問網絡驅動器失敗,該嘗試就會作爲失敗審覈事件記錄下來。
注意啓動系統時事件日誌服務會自動啓動,所有用戶都可以查看應用程序日誌和系統日誌,但是隻有管理員才能訪問安全日誌。默認情況下會關閉安全日誌,所以管理員要記住設定啓用。管理員既可以使用組策略啓用安全日誌記錄,也可以在註冊表中設置策略使系統在安全日誌裝滿時停止運行。
基於主機的檢測器可以檢測到系統類庫的改變或敏感位置文件的添加。當結合所有現有的基於網絡的證據片斷時,就有可能重建特定的網絡事件,諸如文件傳輸、緩衝區溢出攻擊,或在網絡中使用被盜的用戶帳號和密碼等。
當調查計算機犯罪時,會發現很多潛在證據的來源,不僅包括基於主機的日誌記錄,而且還包括網絡的日誌記錄以及其它的傳統形式,如指紋、證詞和證人。大多數的網絡流量在它經過的路徑上都留下了監查蹤跡。路由器、防火牆、服務器、IDS檢測器及其它的網絡設備都會保存日誌,記錄基於網絡的突發事件。DHCP服務器會在PC請求IP租用時記錄網絡訪問。現代的防火牆允許管理員在創建監查日誌時有很多種粒度。IDS檢測器可以根據簽名識別或異常的檢測過濾器來捕獲一個攻擊的一部分。基於網絡的日誌記錄以多種形式存儲,可能源自不同的操作系統,可能需要特殊的軟件才能訪問和讀取,這些日誌在地理上是分散的,而且常常對當前系統時間有嚴重錯誤的解釋。調查人員的挑戰就在於查找所有的日誌,並使之關聯起來。從不同系統獲得地理上分散的日誌、爲每個日誌維護保管鏈、重建基於網絡的突發事件,這一切都需要消耗大量的時間和密集的資源。
2.檢查相關文件、執行關鍵詞搜索
Windows系統同時進行對很多文件的輸入和輸出,所以幾乎所有發生在系統上的活動都會留下一些發生的痕跡。它有許多臨時文件、高速緩存文件、一個跟蹤最近使用文件的註冊文件、一個保留刪除文件的回收站和無數的存儲運行時間資料的其它位置。
在調查知識產權或所有權、信息的所有權、性騷擾以及任何實際上包含基於文本通信的問題上,對目標硬盤驅動器執行字符串搜索是非常重要的。很多不同的關鍵詞可能對調查非常重要,這些關鍵詞包括用戶ID、密碼、敏感資料(代碼字)、已知的文件名和具體的主題詞。字符串搜索可以在邏輯文件結構上執行,也可以在物理層次上執行。
3.鑑定未授權的用戶帳號或組、“流氓”進程
檢查用戶管理器,尋找未授權的用戶帳號;使用usrstat瀏覽域控制器中的域帳號,尋找可疑的項目;使用Event Viecser檢查安全日誌,篩選出事件爲添加新帳號、啓用用戶帳號、改變帳號組和改變用戶帳號的項目。
鑑定檢查一個運行系統時,鑑定“流氓”進程是非常簡單的。因爲大部分“流氓”進程都要監聽網絡連接或探測網絡以獲得純文本的用戶ID和密碼,這些進程很容易在執行過程中被發現。plist命令將列出正在運行的進程,listdlls將提供每個運行中進程的完整的命令行參數,fport將顯示監聽的進程以及他們所監聽得到端口。對於未運行的系統上“流氓”進程,方法是在證據的整個邏輯卷內使用最新的病毒掃描程序進行掃描。如果選擇在還原映象的文件系統上運行病毒檢查工具,必須保證這個卷是隻讀的。
4.尋找隱藏文件和恢復被刪除文件
所有的壞人都想隱藏一些事情,他們採取這樣的辦法:一旦一個內部攻擊者選擇在他的系統上執行未授權或不受歡迎的任務,他可能會讓一些文件不可見。這些攻擊者可能利用NTFS文件流,在合法文件後隱藏資料。還有可能改變文件的擴展名或特意將文件名命爲重要系統文件的名字,最後還可以把文件刪除。
我們知道被刪除的文件並不是真正被刪除了,它們只是被標記爲刪除。這就意味着這些文件仍保存完好,直到新數據的寫入覆蓋了這些被刪除文文件所在硬盤驅動器的物理空間。也就是說越早嘗試,恢復一個文件成功的機會就越大。File Scavenger甚至可能在硬盤被重新格式化後還能進行恢復。
5.檢查未授權的訪問點和安全標識符SID
當檢查到一個受害系統時,必須鑑別系統的訪問點以確定進行訪問的方式,一些工具都是鑑別系統訪問點的重要工具,它們使用API調用以讀取內核及用戶空間的TCP和UDP連接表的內容。如果想捕獲這一信息,需要允許通過還原映象引導系統。如果想在檢查運行系統時完成這一步,則要在關閉系統以進行映象之前,比較這兩個操作的結果,它們的差異表明存在未授權的後臺程序。
SID用於唯一地標識一個用戶或一個組。每一個系統都有自己的標識符。計算機標識府和用戶標識符一起構成了SID.因此SID可以唯一地標識用戶帳號。所以我們需要比較在受害機器上發現的SID和在中央認證機構記錄的SID。
6.檢查Scheduler Service運行的任務
攻擊者常用的一個策略是讓調度事件爲他們打開後門程序、改變審覈策略或者完成更險惡的事。比如刪除文件。惡意的調度作業通常是用at或soon工具調度它們的。不帶命令行參數的at命令可以顯示任何已調度的作業。
7.分析信任關係
WINDOWS NT系統支持不可傳遞的或單向的信任。這意味着只能單方向提供訪問和服務。即使你的NT PDC信任其它域,這個被信任的域也不需要信任你的PDC,因此被信任域中的用戶能使用你所在域的服務,但是反過來就不行。WINDOWS 2000則支持可傳遞的信仰。
三、“隱形”證據的查找
由於攻擊者的詭密性日益提高,他們還使用隱蔽信道的方法躲避檢測。我們將隱蔽信道定義爲所有祕密的、隱藏的、難以檢測的通信方式。所有與此相關的證據稱爲“隱形”證據。
1.難以檢測、回放的行爲
所捕捉或被監視到的,但是還需要進行進一步詳細檢查才能識別出的那些未經授權的流量。這些行爲包括諸如Loki 2.0 HTTP命令信道和郵件隧道效應等ICMP和UDP隱蔽信道。查找辦法就是仔細檢查所監視到的流量,提高鑑別能力。包括任何類型通信中的那些利用任何工具都不能按人們可讀的方式顯示或重構的各種行爲。查看會話的最常見阻礙就是加密。更多的經驗豐富的攻擊者可以建立加密信道,使得網絡監視失效。許多網絡協議本質上就是難以回放的,X Windows通信、Netbus通信和其它傳輸大量圖形信息的遠程會話都是很難再現的。監視加密通信並不是完全沒用,因爲它可以證明在確定的IP地址之間沒有進行通信。所需的證據就在於這些端點上。
2.難以跟蹤到源IP地址的攻擊行爲
它可以通過拒絕服務攻擊得到最好的證明。源IP地址通常是被僞裝的,這就使得通過源地址跟蹤源計算機是非常困難的。以日誌文件或嗅探器捕獲文件形式保存的電子證據所報告的是錯誤數據。被僞裝的郵件或欺騙性的電子郵件也對按電子郵件跟蹤到這些消息的原始計算機提出了挑戰。人們會發現中繼電子郵件服務器位於一個法律上不合作的國家,並通過此服務器發送僞造電子郵件。這些中繼電子郵件服務器通常記錄了原始計算機的IP地址,但是由於位於不合作的外國,所以無法獲得這些信息。加大在網絡邊界的監視,充分發揮網關的識別作用,纔是解決此類問題的唯一所選。
3.使得證據難以收集
通過下列方式可以使證據難以收集——加密文件、安裝可裝載的核心模塊以便利用你的操作系統來對付你,以及對二進制文件使用“特洛伊木馬”使攻擊者的痕跡不過於明顯。攻擊者阻礙收集證據的另一個技巧是不斷改變遠程系統的端口。當攻擊者以一種看起來隨機的方式頻繁地修改端口以初始化與受攻擊系統的連接時,調查員很難實施獲得相關信息的過程。
對於此種證據的查找,我們採取在線被動的網絡監視辦法以及通過IDS、 防火牆和其他信息源知道有關攻擊的多種標誌,同時不斷總結有效的分析網絡通信的調查方法。在網絡中發現非法的服務器或通信的非法通道,這是最有效的方法。它爲確定可疑行爲的程度和確定以非法方式通信的相關係統提供了一種方法,以便確定將系統保持在線狀態所冒的風險和系統脆弱程度。根據這些信息,可以採取適當的後續步驟或防範措施。同時並加大培訓力度,不斷提高監視技巧,加強有力的自動分析工具的開發。
4.免受監視的行爲
包括ICMP通信、SMTP通信、POP通信、Usenet通信、在外部介質保存文件、看上去無害的Web通信,以及源於內部IP地址的通信。查找此類證據的唯一方法就是監視儘可能多的通信。
爲了維持對攻擊者的優勢,預見攻擊的變革是十分必要的。只有瞭解攻擊者的目標才能知道可能遭受攻擊的地方。只有瞭解這些目標纔有可能預見到在網絡上發生的攻擊,由此我們既要熟悉合法通信的標準,又要深入瞭解各種網絡協議本身然後進行網絡監視並仔細檢查網絡通信以便確認各種不同類型的隱蔽通道,查找出不同的隱形證據。
計算機取證技術的研究是一個相當複雜的課題,本文力圖從兩個方面來對計算機取證技術的過程和步驟進行探討,提出了一種較爲完善的由易到難、由簡單到複雜的方法。我們可以通過對“顯形”證據查找的辦法支持在小局域網、軍隊網進行計算機取證,也支持在英特網上查找一些簡易的取證,通過對“隱形”證據查找的辦法支持在大的局域網甚至在英特網上查找複雜的取證,爲調查人員提供重要的調查線索和證據來源。
容包
括證據的來源、生成的時間、證據當前的保存位置、證據轉手時的位置、證據轉手的原因以及保管人和接
手人的簽字,必要時可以增加第三在場人進行簽字以做爲證明。因爲證據大部分情況下是以數字形式進行
保存的,我們還可以利用數字簽名技術爲證據生成電子指紋,這種方式對於證明原始證據沒有被變更是比
較有說服力的。
小局域網、軍隊網進行計算機取證,也支持在英特網上查找一些簡易的取證,通過對“隱形”證
據查找的辦法支持在大的局域網甚至在英特網上查找複雜的取證,爲調查人員提供重要的調查線索和證據
來源。
容包括證據的來源、生成的時間、證據當前的保存位置、證據轉手時的位置、證據轉手的原因以及保管人
和接手人的簽字,必要時可以增加第三在場人進行簽字以做爲證明。因爲證據大部分情況下是以數字形式
進行保存的,我們還可以利用數字簽名技術爲證據生成電子指紋,這種方式對於證明原始證據沒有被變更
是比較有說服力的。