（计算机应用技术专业论文）计算机在线取证工具的测试和分析.pdf

r 一 1 at h e s i ss u b m i t t e df o rt h ea p p l i c a t i o no f t h em a s t e r sd e g r e eo fe n g i n e e r i n g t h e t e s t i n ga n da n a l y s i so fl i v ec o m p u t e r f o r e n s i c st o o i c a n d i d a t e w uj u n l i s p e c i a l t y c o m p u t e ra p p l i c a t i o n s u p e r v i s o r w a n g l i a n h a i s h a n d o n gi n s t i t u t eo fl i g h ti n d u s t r y j i n a n c h i n a j u n 2 0 1 0 1 学位论文独创性声明 本人声明 所呈交的学位论文系在导师指导下本人独立完成的研究成果 文 中引用他人的成果 均已做出明确标注或得到许可 论文内容未包含法律意义上 已属于他人的任何形式的研究成果 也不包含本人已厢于其他学位申请的论文或 成果 与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说 明并表示谢意 论文作者签名 j 嶂 学位论文知识产权权属声明 本人在导师指导下所完成的论文及相关的职务作品 知识产权归属山东轻工 业学院 山东轻工业学院享有以任何方式发表 复制 公开阅览 借阅以及申请 专利等权利 同意学校保留并向国家有关部门或机构送交论文的复印件和电子 版 本人离校后发表或使用学位论文或与该论文直接相关的学术论文或成果时 署名单位仍然为山东轻工业学院 论文作者虢墨热西 导师签名 迅鸳 h 期 2 生 年 互月皇 同 同期 上lq 年 丘月j l 同 弋 山东轻丁业学院硕i 学位论文 摘 目录 7 a b s t r a c t i 第1 章绪论 1 1 1 计算机取证的发展现状 2 1 2 计算机在线取证工具的介绍 3 1 2 1i n c i d e n tr e s p o n s ec o l l e c t i o nr e p o r t 4 1 2 2f i r s tr e s p o n d e r se v i d e n c ed i s k 4 1 2 3w i n d o w sf o r e n s i c st o o l c h e s t 4 1 2 4e n c a s e 5 1 3 计算机在线取证工具测试的重要性 6 第2 章r o o t k i t 木马技术 7 2 1w i n d o w s 内核 7 2 2r o o t k i t 隐藏技术 8 2 2 1 更改程序的执行路径 8 2 2 2d k o m 方法 11 第3 章计算机在线取证调查的流程 1 3 3 1 计算机在线取证调查的原则 1 3 3 2 计算机在线取证调查的良好习惯 1 4 3 3 计算机在线取证的一般流程 1 4 第4 章测试工具的设计和开发 1 7 4 1 基于k p c r 的内存镜像分析工具的设计和丌发 1 7 4 1 1 物理内存镜像分析的现状 1 7 4 1 2 基于字符串查找的内存分析方法的缺点 1 8 4 1 3 基于k p c r 的内存分析工具的设计和丌发 1 8 日录 4 2 硬盘搜索工具的开发 2 4 4 2 lf a t 3 2 和n t f s 文件系统的主要数据结构 2 4 4 2 2 硬盘字符串搜索工具的设计和开发 2 7 第5 章计算机在线取证工具的测试和分析 3 l 5 1 计算机在线取证工具的测试指标 3 l 5 2 测试平台的搭建 3 2 5 3 测试中使用的r o o t k i t 木马 3 3 5 3 1r o o t k i t 种类和兼容性问题 3 3 5 3 2r o o t k i t 的安装 3 4 5 4 测试过程和结果 3 4 5 5e n c a s e 硬盘字符串搜索的币确性测试 舶 第6 章测试结果分析 5 l 6 1 测试结论 5 l 6 2 测试结果分析 5 2 6 2 1r o o t k i t 对取证结果i f 确性的影响分析 5 2 6 2 2 取证工具对内存影响的分析 5 5 6 2 3 其它取证结果的分析 5 6 6 2 4 一种计算机在线取证的新思路 5 7 第7 章总结 5 9 参考文献 6 l 致谢 6 5 在学期间主要科研成果 6 7 一 发表学术论文 6 7 二 其它科研成果 6 7 2 山东轻t 业学院硕i 学位论文 摘要 计算机在线取证技术是打击计算机犯罪的有效手段 在线取证工具的优劣会 直接影响到证据的有效性 对案件的侦破产生极大的影响 针对这种情况 本文 对现阶段流行的计算机在线取证工具进行了测试和分析 本文首先介绍了计算机取证的发展现状和现阶段流行的四款在线取证工具的 基本情况 指出了在线取证调查面临的闲难和测试计算机在线取证工具的必要性 由于基于内核念木马 r o o t k i t 或病毒的出现以及其他数据隐藏技术的发展 目前在线取证工具获取的数据有可能是经过木马等恶意程序篡改过的 本文详细 分析了r o o t k it 木马的各种隐藏技术 为测试工作的进行和测试结果的分析奠定 了基础 同时在线取证调查中的取证流程将会对取证结果产生很大的影响 在调查过 程中很可能会由于不同的设计逻辑和取证操作 导致取证结果出现很大的偏差 本文总结了在线取证调查过程巾应该遵守的基本原则和调查人员应该具备的良好 职业习惯 在结合电子证据易失性的基础上提出了计算机在线取证调奄的一般流 程 以此作为衡量取证工具执行顺序正确与否的标准 取证工具执行i j i 后是否对内存产生了影响是必须要进行测试的部分 然而现 在流行的基于字符串分析的方法在很多情况下存在问题 本文设计和开发了基于 k p c r 的内存分析工具 它可以从w in d o w s 系统的内存镜像文件中获取进程信息 线程信息 进程调用的d l l 打丌的文件信息 驱动信息等 同时为了验证e n c a s e 的硬盘字符串搜索功能的萨确性 本文设计和开发了硬盘字符串搜索工具 它可 以在n t f s 和f a t 3 2 文件系统f x t 硬盘进行任意字符串的搜索工作 支持u n i c o d e g b 2 3 1 2 b i 9 5 三种字符集 同时还可以进行简单的数据恢复工作 在计算机在线取证调查的基本原则和一般流程的基础上 本文提出了在线取 证工具的测试指标 从工具的执行顺序 自定义性 时间要求 全面性 完整性 冗余性和萨确性 对内存的保护程度 对网络状态的保护程度 易用性 可移植 性 各种操作的记录情况十个方面对f r e d i r c r 和w f t 三款在线取证工具进行了 测试 测试是在v m w a r e w o r k s t a t i o n 虚拟机的w i n d o w s2 0 0 0s p 4 w i n d o w sx ps p 2 w i n d o w ss e r v e r2 0 0 3s p 2 w i n d o w sv i s t as p l 四个版本的操作系统上进行 测 试中使用了6 种公开可用的r o o t k i t 木马来检验取证工具获取结果的正确性 用 内存分析工具分析了取证工具对内存状态的影响 对各指标所得的结果进行了对 比研究 指出了各个工具的优缺点 形成了测试结论 同时也对e n c a s e 工具的硬 盘字符串搜索功能进行了测试 验证了它在不同文件系统和不同字符集下的字符 串搜索的j 下确性 本文最后分析了造成在线取证工具出现一系列问题的原因 提 出了一种新的在线取证的思路 关键词 计算机取证 计算机在线取证 r o o t k i t 木马 测试 h 山东轻丁业学院硕l 学位论文 a b s t r a c t c o m p u t e rl i v ef o r e n s i c st e c h n o l o g yi s a ne f f e c t i v em e a nt oc o m b a tc o m p u t e r c r i m e t h ep r o sa n dc o n so fl i v ef o r e n s i c st o o li sd i r e c t l yr e l a t e dt ot h ev a l i d i t yo f e v i d e n c ei nc o u r t a n dw o u l dh a v eag r e a ti m p a c to nt h ed e t e c t i o no fc a s e s i nr e s p o n s e t ot h i ss i t u a t i o n t h i sp a p e rt e s t sa n da n a l y z e st h ec o m p u t e rl i v ef o r e n s i c st o o l s t h i sp a p e rf i r s ti n t r o d u c e st h es t a t u so ft h ed e v e l o p m e n to fc o m p u t e rf o r e n s i c sa n d t h eb a s i cs i t u a t i o no ft h ep o p u l a rf o u r l i n ef o r e n s i c st o o l s p o i n t so u tt h ed i f f i c u l t i e s f a c e db yl i v ef o r e n s i ci n v e s t i g a t i o na n dt h en e e do ft e s t i n gt h el i v ef o r e n s i c st o o l s b u tw i t ht h ed e v e l o p m e n to ft r o j a nh o r s eb a s e do nk e r n e l m o d e v i r u sa n do t h e r d a t ah i d i n gt e c h n i q u e s t h ed a t at h a ta r eo b t a i n e db yl i v ef o r e n s i c st o o l sm a y b eh a v e b e e nm o d i f i e db yt r o j a nh o r s e t h i sp a p e rf o c u s e so nt h eh i d d e nt e c h n o l o g yo fr o o t k i t l a y st h ef o u n d a t i o nf o rt e s t i n ga n da n a l y s i so f t e s tr e s u l t s t h ei n v e s t i g a t i o nf l o wo fl i v ec o m p u t e rf o r e n s i c sh a sah u g ei m p a c to nt h er e s u l t i nt h ec o u r s eo ft h ei n v e s t i g a t i o n i tm i g h tm a k et h er e s u l t s a p p e a rs i g n i f i c a n t d e v i a t i o n sd u et od i f f e r e n td e s i g nl o g i ca n de v i d e n c ec o l l e c t i o no p e r a t i o n s t h i sa r t i c l e s u m m a r i z e st h eb a s i cp r i n c i p l eo ft h el i v ef o r e n s i c si n v e s t i g a t i o np r o c e s sa n dt h eg o o d c a r e e rh a b i t st h a ti n v e s t i g a t o r ss h o u l dh a v e b a s e do nv o l a t i l en a t u r eo fe l e c t r o n i c e v i d e n c e t h i sp a p e rp r o p o s e st h eg e n e r a lp r o c e s sf o rc o m p u t e rl i v ef o r e n s i c i n v e s t i g a t i o n a n dm a k e si ta st h ec r i t e r i ao ft h ei n v e s t i g a t i o nf l o wo fl i v ec o m p u t e r f o r e n s i c s t h ei m p a c to nt h em e m o r yt h a ti sc a u s e db yt h ei m p l e m e n t a t i o no ft o o l sm u s tb ea p a r to f t h et e s t b u ti nm a n yc a s e s t h ep o p u l a rm e t h o do fa n a l y s i sb a s e do na s t r i n gh a s m a n yp r o b l e m s t h i sa r t i c l ed e s i g n sa n dd e v e l o p sk p c r b a s e dm e m o r ya n a l y s i st o o l c o n d u c t e di nav i r t u a lm a c h i n et h a ti n s t a l l sf o u rv e r s i o n s o ft h eo p e r a t i n gs y s t e m w i n d o w s2 0 0 0s p 4 w i n d o w sx ps p 2 w i n d o w ss e r v e r2 0 0 3s p 2 a n dw i n d o w s v i s t as p1 t e s tu s e ss i xk i n d so f p u b l i c l ya v a i l a b l er o o t k i tt r o j a nh o r s et ot e s tt h e c o r r e c t n e s so ft h er e s u l t so ff o r e n s i c st o o l s a n du s e st h e m e m o r ya n a l y s i st o o lt o a n a l y z et h es t a t eo ft h em e m o r y t h i sp a p e rc o m p a r e sa n ds t u d i e st h et e s tr 镪u l t p o i n t s o u tt h ea d v a n t a g e sa n dd i s a d v a n t a g e so ft h ev a r i o u st o o l s a n d c o n c l u d e st h et e s t c o n c l u s i o n s t h i sp a p e rt e s t sh a r dd i s ks t r i n gs e a r c hf u n c t i o no f e n c a s ea n dv e r i f i e s t h ec o r r e c t n e s su n d e rt h ed i f f e r e n tf i l es y s t e m sa n d d i f f e r e n ts e t so fc h a r a c t e r i nt h e e n d t h i sp a p e ra n a l y z e st h er e a s o no ft h e s ep r o b l e m st h a t a l ec a u s e di nt h ep r o o e s s o f c o m p u t e rl i v ef o r e n s i c s a n dp r o p o s e san e wm e t h o df o rl i v ef o r e n s i c s c o m p u t e rf o r e n s i c s c o m p u t e rl i v ef o r e n s i c s r o o t k i tt r o j a nh o r s e t e s t h 山东轻t 业学院硕i j 学位论义 第1 章绪论 随着科技的持续快速发展 计算机信息和网络技术已经发展为支撑社会进步 的重要力量 凶此由信息安全引发的问题越来越受到人们关注 飞速发展的计算 机和信息技术在带给我们巨大效益的同时也带来了大量的计算机犯罪 特别是在 1 9 8 8 年发生了莫单斯蠕虫事件之后 信息安全事件的发 频率明显逐年升高 造 成的各种损失也越来越大 对经济社会发展产生了很大的影响 针对这类安全事件的处理 世界上一些国家的普遍做法是成立相应类型的快 速响应 f 作组 通过快速的应急措施手段来最小化信息安全事件所带来的损失 信息安全应急响应的实现需要借助计算机在线取证 l i v ef o r e n s i c s 工具来实现 的 在d f r w s2 0 0 6 年会上l ij 一位来自f b i 的资深计算机取证调查员曾强调指 出由于硬盘数据存储量的快速增加和以网络为中心的犯罪案件的持续飙升 计算 机在线取证调查已经成为计算机取证调查领域中最重要的课题之一 为了进一步 支持计算机在线取证调查工作的丌展 满足调查过程的需要 应该加大力度研究 在线取证工具箱的设计和开发 其实 早在在线电子取证的概念明确之i i 一些 组织机构丌发的免费i t 安全和应急响应工具已经出现了 它们中绝大部分被用来 收集计算机的某些特殊信息 从2 0 0 0 年以来 一些在线取证调查人员为了按照一 定的顺序执行他们的工具集 逐渐形成了他们的调查过程步骤 并以此作为工具 集的执行顺序 然而 不同的工具集有各自的执行过程 它们中的大多数是根据丌发者的经 验设计的 所以很难验证获取到的在线取证数据在法庭上的证明能力 没有得到 鉴定和证明的在线取证方式 当证据被提交到法庭时 其可信性将大打折扣 同 时根据应急响应的特点 这些工具往往需要运行在应急响应的目标系统上 但是 由于在应急响应过程中 目标机系统处在不可信状态中 运行在不可信系统上的 取证工具获取的数据的可信性会受到很大挑战 2 随着基于内核念木马 r o o t k i t 病毒的出现以及其他数据隐藏技术的发展 目前的在线取证工具获取的数据有可 能是经过木马等恶意程序篡改过的数据 例如2 0 0 6 年d a r r e nb i l b y 等人就通过一 些隐藏技术成功地使一些常用的取证工具获取到了被篡改后的虚假信息 3 很难 想象如果证据是虚假的 将给我们的证常工作带来多少麻烦 因此 确定取证工 具是否可信是当前必须要解决的问题 目前还没有专门针对计算机在线取证工具的测试和分析工作 在线取证工具 的可信性没有全面 科学的评价方法 本课题的目的是通过研究核心态木马技术 和主要的信息隐藏技术 为计算机在线取证工具的测试和分析提供条件 同时研 第1 帝绪 论 究在线取证工具测评的主要技术指标 针对每个指标 研究详细的测试方法 并 设计开发相应的测试工具 在实验环境下进行测试 检验方法的科学性 1 1 计算机取证的发展现状 在案件的调查侦破过程中 最重要的是获得准确 完整和有说服力的犯罪证 据 通常 很多犯罪案件取证过程会涉及到现行法律法规和现有取证技术水平两 个层面的内容 目前 传统的犯罪证据取证技术已经有了很大发展 形成了良好 的取证操作准则 这些技术往往能够直接针对普通犯罪案件的特点 所取得的证 据在法庭上已经得到了认同b 但传统的取证方式已经不能完全解决当前环境f 的信息安全犯罪案件 因为计算机犯罪和一些其他形式犯罪的很多证据都脱离了 原来的存在形式 而是以数字证据的形式存在于计算机硬盘 内存中 或者通过 网络传输到互联网上 从而出现了一种与以往有本质区别的新型证据一计算机证 据 出于计算机证据具有易失性 不口丁靠性 易被篡改等特点 所以如何准确的 获取和保存计算机证据一直都是计算机取证领域的难点 在现实工作生活中 计算机越来越多 的出现在各种犯罪活动中 充当攻击者 的犯罪工具 攻击目标和存储作案信息的存储器的角色t 引 并且有愈演愈烈的趋 势 在这种情况下 计算机取证学 随即产生 计算机取证学作为计算机技术领 域和法学领域的一门交叉学科 越束越受到人们的重视 引领了一个新的研究热 点 那究竟怎样理解计算机取证呢 从不同的方面可以对计算机取证有很大不同 的定义 但通常来讲 笔者认为计算机取证 也叫做数字取证 电子取证 是指 利用与计算机相关的各种技术 按照一定的法律规范对计算机犯罪过程中的入侵 破坏 欺诈 攻击等行为进行识别 保存 分析和提交数字证据的完整过程 5 1 作为计算机技术发展水平代表的美国很早之前就非常鼓励计算机取证技术的 研究 美国的司法部门 般都有自己独立的计算机取证工作室 6 一些已经通过 了计算机取证资格考试的计算机取证技术人员可以利用专业的计算机取证相关技 术 对计算机犯罪案件进行取证和分析 得出具有可信性的技术报告 最后在法 庭上作为证据使用 从而为侦破案件提供关键资料 近些年来 通过与国外的广 泛探讨和交流 我国的法律部门也已经丌始逐步重视对这类特殊犯罪证据的研究 现已提出了一些具有创新性的观点 同时提出学术界和法律界都应该要重视关于 计算机证据收集分析方面的研究工作 7 j 目前 计算机证据的提取一般分为离线和在线两种方式 离线取证方式是指 事先将计算机或电子设备关闭 然后再对相关电子设备进行取证的技术1 8 1 基于 计算机取证方面的研究现状和传统物证呈现形式的约束 目前的大多数计算机取 山东轻t 业学院硕l j 学位论文 证还是以离线方式为主 很多年来这种传统的离线取证方法一直被广泛应用于各 种网络入侵案件的调查中 由于它自身存在的缺陷导致诸多案件中的 潜在证据 被忽略 为案件的侦破带来了阻碍 9 1 同时随着计算机犯罪技术的发展和计算机本身硬件设备的快速升级 离线取 证方式已经越来越不能满足实际需要了 主要表现在以下两个方面 1 丢失易失性的重要数据 计算机证据属于易失性数据 应尽早收集 并保证其没有受到任何破坏 这 种破坏包括机械或电磁损坏 最重要的是保证系统不被重启 如果关闭计算机或 电子设备 正在运行系统的进线程信息 网络状态信息 内存信息 文件信息等 关键的数据信息都将消失 这些数据将在计算机犯罪的调查中起到举足轻重的作 用 2 关闭电子设备可能带来的巨大损失 离线计算机取证需要在关闭计算机的情况下进行 对于一些企业 特别是大 型企业来说 关闭服务器将产生巨大的损失 j 下常业务的丌展和企业的声誉等都 将受到巨大的冲击 针对以上离线方式的缺点 人们提出了在线取证的概念 在线取证 也叫 活 机取证 是指在保证目标计算机或电子设备的正常运行的情况下 对目标机中的 电子证据进行有针对性的提取 并对其进行分析呈现的技术 在线取证成功的避 免了关机带来的损失 并且能够获取易失性的重要数据 很多的从事电子取证调 查产品开发的公司已经加入到了发展他们自己的在线电子取证工具的工作中 在有些特殊情况下 离线取证方式根本没有发挥的空间 此时在线取证方式 是唯一可行的方法 比如 如果仪仅使用只读的预安装环境的光盘启动时 系统 运行中的全部数据都存储在内存中 此时只有在线取证能够获取对案件有用的信 息 离线取证将使这些有用信息全部消失 1 2 计算机在线取证工具的介绍 在2 0 0 0 年前后 一些应急响应方面的免费工具已经丌发出来 他们中的很多 被应用到应急响应和电子取证调查工作方面 j 比如 f p o r t e x e 由f o u n ds t o n e 公司丌发的免费工具 它一直是被使用频率最高的工具之一 通常被用来收集当 前网络已经打开的端1 2 1 的和相应的进程号 它能够使调查人员很快的识别出是 否有恶意程序正在链接到网络 其他的一些有用的i t 安全方面的工具像l i s t d l l s e x e 和h a n d l e e x e 也都被应 用到了计算机在线取证调查过程中 1 2 1 3 l i s t d l l s e x e 被用来确定当前进程的动态 连接库的使用情况 h a n d l e e x e 用来确定当前运行进程打开的文件和注册表的情 3 第1 章绪论 况 这些免费软件的一个缺点是用户要使用这些软件必须记住所有命令和参数 另外用户不得不手动合并用这些软件获取的原始文件 将他们整理成与案件相关 的报告 为了充分利用免费软件 必须要形成使这些软件按照取证原贝0 相关顺序 自动执行的工具集 1 2 1i n c i d e n tr e s p o n s ec o il e c t i o nr e p o r t i n c i d e n tr e s p o n s ec o l l e c t i o nr e p o r t 取证工具集简称i r c r 它是已知的最早的 收集在线信息的工具集 在2 0 0 0 年初 j o h nm c l e o d 写了收集计算机内易失性信息 的脚本 在j e s s ek o m b l u m 发布了他的f r e d f i r s tr e s p o n d e r se v i d e n c ed i s k 后 m c b e o d 又重新设计了他的脚本文件 用批命令重写了它 这样 他的脚本就可以 使取证调查者根据运行的环境来进行修改 可以使计算机在线取证的过程更加准 确 i r c r 是一个批处理命令 可以运行在d o s 和w i n d o w s 上 它需要一系列免费 软件的支持 调查者不得不收集这些软件 并且提供这些软件的链接 j 能正常使 用i r c r 在这个脚本的基础上 i r c r 可以从目标机收集命令的痕迹 网络连接情 况 打开的端口情况 当前进程 开启的注册表的信息 甚至是事件只志的信息 1 2 2f ir s tr e s p o n d e r se v i d e n c e d i s k f i r s tr e s p o n d e r se v i d e n c ed i s k 取证工具集简称f r e d m c l e o n 开发了i r c r 后不久 j e s s ek o m b l u m 就丌发了他的f r e d 与i r c r 栩似 f r e d 也是用的批 命令写成 目的是为了执行一些预选择的免费应急响应和i t 安全的工具 与i r c r 的设计思想一样 f r e d 脚本也是执行一系列的程序 然后存放收 集的数据到指定的文件中 并且会立刻对这些数据进行哈希值校验 调查者要指 出输出数据的存放位置 当然 调查者也可以改变原有的存放路径 将数据存放 到u s b 或者进行远程网络输出 通过使用1 3 个命令 f r e d 收集打丌的端口号 当前进程信息 当前用户的 记录 网络配置情况 隐藏数据流的情况和c 盘 d 盘的文件情况 1 2 3w i n d o w sf o r e n s i c st o o i c h e s t w i n d o w sf o r e n s i c st o o l c h e s t 工具集简称w f t 2 0 0 3 年 为了更好的从在线 系统中获取易失性的数据 m o n t ym c d o u g a l 提出了一个更容易理解和更全面的计 划 他遵循以下几点设计了他的工具集 1 保持墩证数据的一致性 2 与用户最少的交互性 3 尽可能收集所有与取证相关的信息 4 一 山东轻t 业学院硕i 学位论文 w f t 是作为一个可执行文件进行设计 编码和编译的 用户不能改变程序的 编码或者改变执行的顺序 但是 就像i r c r 和f r e d 一样 w f t 也是依赖于已 经存在的免费应急响应和i t 安全软件 通过w f t 提供的配置文件 这些免费软 件的安全性会得到验证 那些不符合校验值的软件将被特别声明 同时也可以在 配置文件中修改取证过程中各个免费软件的执行顺序 在w f t7 具集中包括了收集内存信息 文件 目录时问戳信息 系统信息 端口号信息 当前进程信息 用户信息 网络配置信息 i r c r 和f r e d 所收集 的所有数据 不仅包含了更多的在线取证工具 w f t 还开发了自动生成结果报告的功能 在数据收集过程中自动生成h t m l 格式的结果报告 这个报告可以给调查者分析提 供更好的导航功能 1 2 4e n c a s e e a c a s e 工具是由g s 公司丌发设计的 主要应用于计算机取证工作 据统计它 是目前为止被各类机构使用最广泛的取证工具 它拥有良好的基于w i n d o w s 的取证 界面 最大程度的方便了用户的操作 e n c a s e 的功能和使用范围都很广 兼容性也相当不错 它能够对安装了大多数 现行操作系统的机器硬盘进行取证分析 为了进一步增强证据在法庭的效力 取 证过程中工具会把硬盘中的所有数据以只读的文件形式加以保存 同时也采用了 一系列的加密措施以达到更好的存储和证明的效剽m 对硬盘镜像后e n c a s e 会根 据硬盘文件的结构对镜像文件重新进行组织整理 并将最后的文件结构结果显示 在用户界面上 e n c a s e 会对硬盘驱动进行深入的检测 它会从系统的底层入手 查看文件松弛 区 硬盘未使用的空间区域 w i n d o w sp a g e f i l e 等 e n c a s e 对输出结果的保存方式 也有比较高的要求 采用了h t m l 或者文本文件两种方式 更好的方便了用户使用 i r c r f r e d w f t 三个在线取证工具对电子取证调查者提供了巨大的便利 但是 调查者不得不下载和携带这些工具集使用的所有免费软件才能执行取证程 序 没有这些免费软件 工具集不能够获取取证信息 并且这些软件的升级或者 操作系统的不同可能导致其中的一些软件不能正常执行 因此为了使操作更加简 单 在目标机上的用户交互操作更少 e f e n s e 公司丌发了h e l i x f r e d i r c r w f t 都包含在其中 作为标准的取证工具 这些工具集使用的免费软件也已经存 放在了c d 中 调查者可以在良好的g u i 视图中进行简单的选择就能进行取证工作 最大程度的减少了用户交互的操作 本课题测试中使用的在线取证工具就是h e l i x 没有直接使用i r c r f r e d w f t 三个工具 第l 章绪论 1 3 计算机在线取证工具测试的重要性 计算机耿证是对计算机犯罪证据进行获取 存储 分析并且得出取证结论 它 相当于是对目标计算机进行详细扫描并重建计算机入侵事件的过程 4 1 它一般分 为离线和在线两种方式 因为前者一般存在丢失易失性数据的缺陷 计算机在线 取证已经成为计算机取证调查中的重要组成部分 现阶段 计算机在线取证工具在计算机犯罪案件调查中发挥着越来越重要的 作用 但一直以来 国内外很少有人关注在线取证工具的可信性问题 计算机取 证工具的整个运行过程没有根据取证环境的不同进行相应的变化 而均采取了相 同的操作过程 没有按照信息易失性的顺序收集证据 特别是取证工具获取结果 是否正确的问题更加突出 计算机取证的目的是从计算机犯罪现场获取犯罪数据 并证明数据的有效性 最终提交法庭为提起诉讼提供有力的证据 但由于r o o t k it 技术的快速发展 在线取证工具的正确性面临着巨大的挑战 无法获取正确的信 息 则不能提交有效的法庭证据 从而失去了惩治电子工具犯罪韵目的 同时 在线取证工具本身运行在被测计算机上 很可能会对目标机产生一定的影响 特 别是内存信息 确定在线取证工具对目标机内存主要信息的改变也是很重要的任 务之一 鉴于在线取证 具在计算机犯罪中扮演的重要角色和它的可信性的不确 定 计算机在线取证工具的测试和分析是必须要做的事情 通过测试 准确的总 结在线取证工具的优缺点 从而为用户提供选择工具的重要依据 6 山东轻t 业学院硕l 学位论文 第2 章r o o t k jt 木马技术 计算机在线取证技术在惩治计算机犯罪过程中扮演着越米越蕈要的角色 然 而在线取证工具的执行过程和结果却存在一些不确定的因素 这些会对案件的侦 破产生极大的影响 因此在线取证工具获取结果的j 下确性是此次测试和分析的重 点内容 但随着r o o t k i t 技术的发展 利用数据隐藏技术隐藏或篡改电子证据已 经成为现实 导致在线取证工具的j 下确性受到了很大质疑 r o o t k i t 被公众所熟知是在1 9 9 4 年2 月的一篇安全咨询报告中 至今已经经 历了1 6 年的发展历程 1 5 r o o t k i t 被定义为恶意代码的编写者为了使其代码不被 发现而编写的隐藏代码的工具 典型的r o o t k i t 木马常常用来隐藏一些重要的的 系统信息 比如系统的进程 文件 注册表键值 端口 加载的驱动 加载到系 统的服务等h 6 了解r o o t k i t 是如何工作的 首先必须明白w i n d o w s 内核结构和操作系统的 工作方式 r o o t k i t 用来破坏操作系统的所需要的技术不同于证常软件操作的方 式 2 1win d o w s 内核 这罩的关键是理解在x 8 6 处理器上访问控制是如何实现的 从理论上讲 如 果在硬件层面上没有访问控制功能 那么任何进程都能够被允许访问和修改文 件 并且能够改变其他进程的内存内容 为了解决这种情况 x 8 6 的处理器提供了访问控制的能力 在它的设计架构 中 分别设有4 个不同的优先级 从r i n 9 0 到r i n 9 3 后面简称r 0 r l r 2 r 3 r 0 到r 3 的权限依次降低 r 0 层享有最高的访问权限 如图2 1 所示 微 软公司的操作系统使用其中的两个访问控制层 r 0 和r 3 来实现访问控制 在 w i n d o w s 操作系统中所有的用户模式的程序都运行在r 3 层次上 目的是限制它 们直接访问系统的内存和硬件信息 r 0 层包含的程序丰要是需要完全系统权限 允许的程序 其中工作在r o 层上的代码能够访问全部的内存空i 日j 并且能够执 行一些特权指令 想进一步了解w i n d o w s 操作系统内幕 请参考文献 1 7 和 1 8 按照因特尔公司最初的设计思想 操作系统的核心部分应该工作在具有最高 访问控制权限的r 0 处于另外层次的程序代码没有足够的权限直接修改其它代 码的运行状态 一些其他用途的驱动程序根据具体的规定情况分别处于不同的层 级上 有特殊要求时可以向r 0 层申请调用 基于这种思想的设计架构可以有效 保障操作系统的安全性 但如前所述 w i n d o w s 操作系统并没有完全采用上述设 7 第2 章r o o t k i t 木马技术 计的4 层权限架构 而只是简化的使用了其中的r 0 和r 3 两层 分别用来运行 与系统相关的数据和应用程序需要调用的数据 用这两层来达到系统的访问控 制 在这种情况下 一旦在运行过程中驱动程序被装载 它就会运行在r o 层 获得了与操作系统同样的权限 从而可以进行任意的内核调用和修改行为 1 9 1 j 下 是由于这个缺陷 使黑客有了可乘之机 r o o t k i t 技术也就应运而生了 用户杰群序 一r i优先级最低n 9 3h 竺竺 登 一 r i n 9 2 r i a g i 内核榭序 优先级最高 r i n 9 0 心 矧2 1x 8 6 处理器的r i n g 结构倒 2 2r o o t k i t 隐藏技术 r o o t k i t 是以一种隐藏技术的身份出现的 它是一系列的程序代码组成 能 够实现自身及操作系统中指定资源和活动的隐藏 最终达到破坏可信任计算机的 完整性的目的 2 0 信息安全领域的专家 如c r i s c u o l o t 2 1 1 和t o x i n t 2 2 j 一般都认为 黑客在入侵目标机获取了相应的管理员权限后 会在目标机系统罩植入r o o t k i t 木马 从而达到长期的控制和访问该目标机系统的目的 出此可见r o o t k i t 这种 隐蔽手段在当前的信息安全事件中使用的相当广泛 而且危害巨大 按照使用的技术的不同 一般可以将w i n d o w sr o o t k i t 分为两种 一种是更 改系统中程序的执行路径实现隐藏 而另一种则是通过直接改变系统中内核对象 结构 d k o m 达到隐藏的目的 2 3 1 随着木马技术的进一步发展 内核态r o o t k i t 已经成为该领域发展得较快的分支之一 2 2 1 更改程序的执行路径 大多数的r o o t k i t 木马都会选择使用改变程序执行路径的方式柬破坏或操纵 目标机系统 通过更换或者篡改系统执行过程的源代码 r o o t k i t 木马能够控制 操作系统中程序的执行过程 其最常用的手段是钩子技术 钩子技术是信息安全 领域方面的一项重要技术 它主要是通过截取特定的函数调用过程 使之另外的 8 山东轻t 业学院硕i 学位论文 处理一些钩子函数必须执行的动作 同时再对结果进行检测 最后返回原函数的 调用 2 4 通过改变源代码执行的路径束达到隐藏目的的r o o t k i t 基本上都是以钩 子技术为基础的 根据其实现过程 钩子技术可以分为用户和内核两种模式 用户模式下常用的钩子方法主要有四种 1 i a t 钩子 w i n d o w s 操作系统中 每个可执行文件结构的 i d a t a 部分中都包括有导入地 址表 简称i a t 此表中详细的记录了代码证常运行过程中的一些细节 比如 程序调用的系统函数和这些系统函数所属的d l l 文件等信息f 2 在实际的币v u l r 执行过程中 系统会从i a t 表中获取所需函数的实际内存地址 然后就能够跳转 到函数实际执行代码处执行此函数的调用了 r o o t k i t 通过访问目标程序所在的地址空问 能够获取到w i np e 格式可执行 程序的内存映象内容 然后木马编写者就可以利用自己编写的特殊用途函数的地 址替换i a t 表中相应函数的地址 通过这些操作 就可以使函数执行时跳转到指 定的执行模块进行执行 有很多的用户态r o o t k i t 使用i a t 钩子方法来操纵系统 实现自身的掩藏 过程如图2 2 所示 图2 2i a t 钩f 技术 实线表示止常执行路径 虚线表示r o o t k it 路径 2 e a t 钩子 与i a t 表钩子的实质类似 e a t 钩子技术是通过修改w i np e 格式文件 的 e d a t a 部分的导出地址表 简称e a t 实现输出地址表的钩子功能处理 动态 连接库文件加载内存后 r o o t k i t 木马编写者通过用特定函数的地址取代输出函 数地址的方法 达到隐藏目标信息的目的 2 引 在现行的w i n d o w s 操作系统中实 现了内存程序的共享 所以采用这种隐藏方式可以影响所有调用该动态连接库的 程序 而且不会有延迟加载的情况出现 3 i n l i n ef u n c t i o n 钩子 与上两种方式相比 这是一种更先进的钩子技术 它不用采用替换函数地址 的思想 而是直接修改内存中函数代码 一般的做法是将目标函数的前几个字节 的内容替换为一条无条件跳转的指令 j m p 同时会保存这些被替换的内容 当程序执行时会执行j m p 命令 直接跳转到攻击者编写的r o o t k i t 代码处 在执 行的过程中 r o o t k i t 还会调用原来的函数的剩余部分并最终会对原函数返回的 9 第2 章r o o t k i t 木马技术 结果进行过滤 2 5 4 代理d l l w i n d o w s 操作系统中存在大量的动态连接库文件 当系统调用相关的函数 时 会根据动态连接库文件的名称和位置来加载此动态连接库文件 在代理动态 连接库这种木马方式的实现过程中 会直接用重写的动态连接库文件代替系统中 的原有动态连接库文件 并把原来的动念连接库文件改名 2 3 1 但在整个的程序运 行过程中也会通过函数的转发功能来调用系统原来的动态连接库文件 并且对原 有动态连接库文件的执行结果进行过滤 达到目标隐藏的目的 但随着系统的升 级 在硬盘上直接进行系统文件替换操作 可能会受到w i n d o w s2 0 0 0 及以后版 本的w i n d o w s 文件保护机制的阻碍 内核模式下常用钩子方法主要有三种 1 s s d t 钩子 在因特尔x 8 6 下 n t d l l d l l 可以使用两种不同的指令进入到操作系统内核模 式中 其中s y s e n t e r 会将系统的控制权转移到相应寄存器存放的位置上 从 用户态到核心态的转变过程中会传递相应的服务号和参数列表 在n t o s k r n l e x e 中保存着两个重要的表 系统服务调度表 简称s s d t 和系统服务参数表 简 称s s p t 附t0 x 2 e 指令或s y s e n t e r 指令使用自前一阶段传递来的服务号和 参数列表从系统服务调度表中查询用到的相应系统服务程序的指针 然后通过修 改系统服务调度表中特定系统服务的入口地址为r o o t k i t 函数地址 就能实现 s s