收集入侵Windows系統(tǒng)的證據(jù)
當前位置:點晴教程→知識管理交流
→『 技術(shù)文檔交流 』
隨著網(wǎng)絡(luò)的不斷擴大,網(wǎng)絡(luò)安全更加會成為人們的一個焦點,同時也成為是否能進一步投入到更深更廣領(lǐng)域的一個基石。當然網(wǎng)絡(luò)的安全也是一個動態(tài)的概念,世界上沒有絕對安全的網(wǎng)絡(luò),只有相對安全的網(wǎng)絡(luò)。相對安全環(huán)境的取得可以通過不斷地完善系統(tǒng)程序(及時給系統(tǒng)漏洞打上不同的補丁和給系統(tǒng)升級)、裝上防火墻,同時對那些膽敢在網(wǎng)絡(luò)上破壞秩序做出不義行為的人給予恰如其分的處理。這必然要牽涉到證據(jù)的收集,本文正是對這一方面的內(nèi)容針對Windows系統(tǒng)進行研究。
一、Windows系統(tǒng)特性 Windows操作系統(tǒng)維護三個相互獨立的日志文件:系統(tǒng)日志、應用程序日志、安全日志。 1.系統(tǒng)日志 系統(tǒng)日志記錄系統(tǒng)進程和設(shè)備驅(qū)動程序的活動。它審核的系統(tǒng)事件包括啟動失敗的設(shè)備驅(qū)動程序、硬件錯誤、重復的IP地址,以及服務的啟動、暫停和停止。系統(tǒng)日志包含由系統(tǒng)組件記錄的事情。例如在系統(tǒng)日志中記錄啟動期間要加載的驅(qū)動程序或其他系統(tǒng)組件的故障。由系統(tǒng)組件記錄的事件類型是預先確定的。系統(tǒng)日志還包括了系統(tǒng)組件出現(xiàn)的問題,比如啟動時某個驅(qū)動程序加載失敗等。 2.應用程序日志 應用程序日志包括關(guān)于用戶程序和商業(yè)通用應用程序的運行方面的錯誤活動,它審核的應用程序事件包括所有錯誤或應用程序需要報告的信息。應用程序日志可以包括性能監(jiān)視審核的事件以及由應用程序或一般程序記錄的事件,比如失敗登錄的次數(shù)、硬盤使用的情況和其它重要的指針;比如數(shù)據(jù)庫程序用應用程序日志來記錄文件錯誤;比如開發(fā)人員決定所要記錄的事件。 3.安全日志 安全日志通常是在應急響應調(diào)查階段最有用的日志。調(diào)查員必須仔細瀏覽和過濾這些日志的輸出,以識別它們包含的證據(jù)。安全日志主要用于管理員記載用戶登錄上網(wǎng)的情況。在安全日志中可以找到它使用的系統(tǒng)審核和安全處理。它審核的安全事件包括用戶特權(quán)的變化、文件和目錄訪問、打印以及系統(tǒng)登錄和注銷。安全日志可以記錄諸如有效的登錄嘗試等安全事件以及與資源使用有關(guān)的事件,例如創(chuàng)建、打開或刪除應用文件。管理員可以指定在安全日志中記錄的事件。例如如果你啟用了登錄審核,那么系統(tǒng)登錄嘗試就記錄在安全日志中。 二、尋找“顯形”證據(jù) 系統(tǒng)工具提供了對系統(tǒng)進一步的監(jiān)視,在性能監(jiān)視器中可以看到其圖形化的變化情況。而計數(shù)器日志、跟蹤日志和警報則提供了對本地或遠端系統(tǒng)的監(jiān)視記錄,并可根據(jù)預定的設(shè)定進行特定的跟蹤和報警。還可利用不同的用于配置、管理COM組件及應用的組件服務工具記錄或查找相關(guān)信息。 1.查看三大日志 在計算機上維護有關(guān)應用程序、安全性系統(tǒng)事件的日志,可以使用事件查看器查看并管理事件日志。它用于收集計算機硬件、軟件和系統(tǒng)整體方面的錯誤信息,也用來監(jiān)視一些安全方面的問題。它可根據(jù)應用程序日志、安全日志和系統(tǒng)日志來源將記錄分成3類。 事件查看器顯示以下幾種事件類型:error是指比較嚴重的問題,通常是出現(xiàn)了數(shù)據(jù)丟失或功能丟失。例如如果在啟動期間服務加載失敗,則會記錄錯誤。Warning給出警告則表明情況暫時不嚴重,但可能會在將來引起錯誤,比如磁盤空間太少等。Information描述應用程序、驅(qū)動程序或服務的成功操作的事件。例如成功地加載網(wǎng)絡(luò)驅(qū)動程序時會記錄一個信息事件。Success audit審核訪問嘗試成功。例如將用戶成功登錄到系統(tǒng)上的嘗試作為成功審核事件記錄下來。Failure audit審核安全嘗試失敗。例如如果用戶試圖訪問網(wǎng)絡(luò)驅(qū)動器失敗,該嘗試就會作為失敗審核事件記錄下來。 注意啟動系統(tǒng)時事件日志服務會自動啟動,所有用戶都可以查看應用程序日志和系統(tǒng)日志,但是只有管理員才能訪問安全日志。默認情況下會關(guān)閉安全日志,所以管理員要記住設(shè)定啟用。管理員既可以使用組策略啟用安全日志記錄,也可以在注冊表中設(shè)置策略使系統(tǒng)在安全日志裝滿時停止運行。 基于主機的檢測器可以檢測到系統(tǒng)類庫的改變或敏感位置文件的添加。當結(jié)合所有現(xiàn)有的基于網(wǎng)絡(luò)的證據(jù)片斷時,就有可能重建特定的網(wǎng)絡(luò)事件,諸如文件傳輸、緩沖區(qū)溢出攻擊,或在網(wǎng)絡(luò)中使用被盜的用戶帳號和密碼等。 當調(diào)查計算機犯罪時,會發(fā)現(xiàn)很多潛在證據(jù)的來源,不僅包括基于主機的日志記錄,而且還包括網(wǎng)絡(luò)的日志記錄以及其它的傳統(tǒng)形式,如指紋、證詞和證人。大多數(shù)的網(wǎng)絡(luò)流量在它經(jīng)過的路徑上都留下了監(jiān)查蹤跡。路由器、防火墻、服務器、IDS檢測器及其它的網(wǎng)絡(luò)設(shè)備都會保存日志,記錄基于網(wǎng)絡(luò)的突發(fā)事件。DHCP服務器會在PC請求IP租用時記錄網(wǎng)絡(luò)訪問。現(xiàn)代的防火墻允許管理員在創(chuàng)建監(jiān)查日志時有很多種粒度。IDS檢測器可以根據(jù)簽名識別或異常的檢測過濾器來捕獲一個攻擊的一部分。基于網(wǎng)絡(luò)的日志記錄以多種形式存儲,可能源自不同的操作系統(tǒng),可能需要特殊的軟件才能訪問和讀取,這些日志在地理上是分散的,而且常常對當前系統(tǒng)時間有嚴重錯誤的解釋。調(diào)查人員的挑戰(zhàn)就在于查找所有的日志,并使之關(guān)聯(lián)起來。從不同系統(tǒng)獲得地理上分散的日志、為每個日志維護保管鏈、重建基于網(wǎng)絡(luò)的突發(fā)事件,這一切都需要消耗大量的時間和密集的資源。 2.檢查相關(guān)文件、執(zhí)行關(guān)鍵詞搜索 Windows系統(tǒng)同時進行對很多文件的輸入和輸出,所以幾乎所有發(fā)生在系統(tǒng)上的活動都會留下一些發(fā)生的痕跡。它有許多臨時文件、高速緩存文件、一個跟蹤最近使用文件的注冊文件、一個保留刪除文件的回收站和無數(shù)的存儲運行時間資料的其它位置。 在調(diào)查知識產(chǎn)權(quán)或所有權(quán)、信息的所有權(quán)、性騷擾以及任何實際上包含基于文本通信的問題上,對目標硬盤驅(qū)動器執(zhí)行字符串搜索是非常重要的。很多不同的關(guān)鍵詞可能對調(diào)查非常重要,這些關(guān)鍵詞包括用戶ID、密碼、敏感資料(代碼字)、已知的文件名和具體的主題詞。字符串搜索可以在邏輯文件結(jié)構(gòu)上執(zhí)行,也可以在物理層次上執(zhí)行。 3.鑒定未授權(quán)的用戶帳號或組、“流氓”進程 檢查用戶管理器,尋找未授權(quán)的用戶帳號;使用usrstat瀏覽域控制器中的域帳號,尋找可疑的項目;使用Event Viecser檢查安全日志,篩選出事件為添加新帳號、啟用用戶帳號、改變帳號組和改變用戶帳號的項目。 鑒定檢查一個運行系統(tǒng)時,鑒定“流氓”進程是非常簡單的。因為大部分“流氓”進程都要監(jiān)聽網(wǎng)絡(luò)連接或探測網(wǎng)絡(luò)以獲得純文本的用戶ID和密碼,這些進程很容易在執(zhí)行過程中被發(fā)現(xiàn)。plist命令將列出正在運行的進程,listdlls將提供每個運行中進程的完整的命令行參數(shù),fport將顯示監(jiān)聽的進程以及他們所監(jiān)聽得到端口。對于未運行的系統(tǒng)上“流氓”進程,方法是在證據(jù)的整個邏輯卷內(nèi)使用最新的病毒掃描程序進行掃描。如果選擇在還原映象的文件系統(tǒng)上運行病毒檢查工具,必須保證這個卷是只讀的。 4.尋找隱藏文件和恢復被刪除文件 所有的壞人都想隱藏一些事情,他們采取這樣的辦法:一旦一個內(nèi)部攻擊者選擇在他的系統(tǒng)上執(zhí)行未授權(quán)或不受歡迎的任務,他可能會讓一些文件不可見。這些攻擊者可能利用NTFS文件流,在合法文件后隱藏資料。還有可能改變文件的擴展名或特意將文件名命為重要系統(tǒng)文件的名字,最后還可以把文件刪除。 我們知道被刪除的文件并不是真正被刪除了,它們只是被標記為刪除。這就意味著這些文件仍保存完好,直到新數(shù)據(jù)的寫入覆蓋了這些被刪除文文件所在硬盤驅(qū)動器的物理空間。也就是說越早嘗試,恢復一個文件成功的機會就越大。File Scavenger甚至可能在硬盤被重新格式化后還能進行恢復。 5.檢查未授權(quán)的訪問點和安全標識符SID 當檢查到一個受害系統(tǒng)時,必須鑒別系統(tǒng)的訪問點以確定進行訪問的方式,一些工具都是鑒別系統(tǒng)訪問點的重要工具,它們使用API調(diào)用以讀取內(nèi)核及用戶空間的TCP和UDP連接表的內(nèi)容。如果想捕獲這一信息,需要允許通過還原映象引導系統(tǒng)。如果想在檢查運行系統(tǒng)時完成這一步,則要在關(guān)閉系統(tǒng)以進行映象之前,比較這兩個操作的結(jié)果,它們的差異表明存在未授權(quán)的后臺程序。 SID用于唯一地標識一個用戶或一個組。每一個系統(tǒng)都有自己的標識符。計算機標識府和用戶標識符一起構(gòu)成了SID.因此SID可以唯一地標識用戶帳號。所以我們需要比較在受害機器上發(fā)現(xiàn)的SID和在中央認證機構(gòu)記錄的SID。 6.檢查Scheduler Service運行的任務 攻擊者常用的一個策略是讓調(diào)度事件為他們打開后門程序、改變審核策略或者完成更險惡的事。比如刪除文件。惡意的調(diào)度作業(yè)通常是用at或soon工具調(diào)度它們的。不帶命令行參數(shù)的at命令可以顯示任何已調(diào)度的作業(yè)。 7.分析信任關(guān)系 WINDOWS NT系統(tǒng)支持不可傳遞的或單向的信任。這意味著只能單方向提供訪問和服務。即使你的NT PDC信任其它域,這個被信任的域也不需要信任你的PDC,因此被信任域中的用戶能使用你所在域的服務,但是反過來就不行。WINDOWS 2000則支持可傳遞的信仰。 三、“隱形”證據(jù)的查找 由于攻擊者的詭密性日益提高,他們還使用隱蔽信道的方法躲避檢測。我們將隱蔽信道定義為所有秘密的、隱藏的、難以檢測的通信方式。所有與此相關(guān)的證據(jù)稱為“隱形”證據(jù)。 1.難以檢測、回放的行為 所捕捉或被監(jiān)視到的,但是還需要進行進一步詳細檢查才能識別出的那些未經(jīng)授權(quán)的流量。這些行為包括諸如Loki 2.0 HTTP命令信道和郵件隧道效應等ICMP和UDP隱蔽信道。查找辦法就是仔細檢查所監(jiān)視到的流量,提高鑒別能力。包括任何類型通信中的那些利用任何工具都不能按人們可讀的方式顯示或重構(gòu)的各種行為。查看會話的最常見阻礙就是加密。更多的經(jīng)驗豐富的攻擊者可以建立加密信道,使得網(wǎng)絡(luò)監(jiān)視失效。許多網(wǎng)絡(luò)協(xié)議本質(zhì)上就是難以回放的,X Windows通信、Netbus通信和其它傳輸大量圖形信息的遠程會話都是很難再現(xiàn)的。監(jiān)視加密通信并不是完全沒用,因為它可以證明在確定的IP地址之間沒有進行通信。所需的證據(jù)就在于這些端點上。 2.難以跟蹤到源IP地址的攻擊行為 它可以通過拒絕服務攻擊得到最好的證明。源IP地址通常是被偽裝的,這就使得通過源地址跟蹤源計算機是非常困難的。以日志文件或嗅探器捕獲文件形式保存的電子證據(jù)所報告的是錯誤數(shù)據(jù)。被偽裝的郵件或欺騙性的電子郵件也對按電子郵件跟蹤到這些消息的原始計算機提出了挑戰(zhàn)。人們會發(fā)現(xiàn)中繼電子郵件服務器位于一個法律上不合作的國家,并通過此服務器發(fā)送偽造電子郵件。這些中繼電子郵件服務器通常記錄了原始計算機的IP地址,但是由于位于不合作的外國,所以無法獲得這些信息。加大在網(wǎng)絡(luò)邊界的監(jiān)視,充分發(fā)揮網(wǎng)關(guān)的識別作用,才是解決此類問題的唯一所選。 3.使得證據(jù)難以收集 通過下列方式可以使證據(jù)難以收集——加密文件、安裝可裝載的核心模塊以便利用你的操作系統(tǒng)來對付你,以及對二進制文件使用“特洛伊木馬”使攻擊者的痕跡不過于明顯。攻擊者阻礙收集證據(jù)的另一個技巧是不斷改變遠程系統(tǒng)的端口。當攻擊者以一種看起來隨機的方式頻繁地修改端口以初始化與受攻擊系統(tǒng)的連接時,調(diào)查員很難實施獲得相關(guān)信息的過程。 對于此種證據(jù)的查找,我們采取在線被動的網(wǎng)絡(luò)監(jiān)視辦法以及通過IDS、 防火墻和其他信息源知道有關(guān)攻擊的多種標志,同時不斷總結(jié)有效的分析網(wǎng)絡(luò)通信的調(diào)查方法。在網(wǎng)絡(luò)中發(fā)現(xiàn)非法的服務器或通信的非法通道,這是最有效的方法。它為確定可疑行為的程度和確定以非法方式通信的相關(guān)系統(tǒng)提供了一種方法,以便確定將系統(tǒng)保持在線狀態(tài)所冒的風險和系統(tǒng)脆弱程度。根據(jù)這些信息,可以采取適當?shù)暮罄m(xù)步驟或防范措施。同時并加大培訓力度,不斷提高監(jiān)視技巧,加強有力的自動分析工具的開發(fā)。 4.免受監(jiān)視的行為 包括ICMP通信、SMTP通信、POP通信、Usenet通信、在外部介質(zhì)保存文件、看上去無害的Web通信,以及源于內(nèi)部IP地址的通信。查找此類證據(jù)的唯一方法就是監(jiān)視盡可能多的通信。 為了維持對攻擊者的優(yōu)勢,預見攻擊的變革是十分必要的。只有了解攻擊者的目標才能知道可能遭受攻擊的地方。只有了解這些目標才有可能預見到在網(wǎng)絡(luò)上發(fā)生的攻擊,由此我們既要熟悉合法通信的標準,又要深入了解各種網(wǎng)絡(luò)協(xié)議本身然后進行網(wǎng)絡(luò)監(jiān)視并仔細檢查網(wǎng)絡(luò)通信以便確認各種不同類型的隱蔽通道,查找出不同的隱形證據(jù)。 計算機取證技術(shù)的研究是一個相當復雜的課題,本文力圖從兩個方面來對計算機取證技術(shù)的過程和步驟進行探討,提出了一種較為完善的由易到難、由簡單到復雜的方法。我們可以通過對“顯形”證據(jù)查找的辦法支持在小局域網(wǎng)、軍隊網(wǎng)進行計算機取證,也支持在英特網(wǎng)上查找一些簡易的取證,通過對“隱形”證據(jù)查找的辦法支持在大的局域網(wǎng)甚至在英特網(wǎng)上查找復雜的取證,為調(diào)查人員提供重要的調(diào)查線索和證據(jù)來源。 該文章在 2011/3/10 0:36:19 編輯過 |
關(guān)鍵字查詢
相關(guān)文章
正在查詢... 
|
400 186 1886
