网络犯罪侦察技术.ppt

linying 1 网络犯罪侦察技术 林英 信息安全 linying 2 第四章调查Windows系统 Outline了解调查Windows系统司法鉴定副本的几种方法 以确认非法的 未经授权的行为 知道Windows系统中的证据存放位置 掌握调查Windows系统的具体方法和步骤 linying 3 Windows系统中的证据存放位置 到哪里去查找 内核结构中的易失性数据碎片空间 从中可以获得不可恢复的已删除文件信息空闲和未分配空间 可以取得已删除文件 包括已损坏或不可访问的簇逻辑文件系统事件日志注册表应用程序日志交换文件Pagefile sys 含有近期的系统内存信息 linying 4 特殊应用程序级别的文件 如InternetExplorer的Internet历史纪录 index dat Netscape的fat db history hst文件 以及浏览器的缓存区域应用程序生成的临时文件回收站打印机的后台打印缓存电子邮件文件 如outlook的 pst文件 aol邮件的 ost文件在调查的过程中 有可能需要在以上每个位置进行搜索 这可能是个很复杂的过程 本章将概要介绍一个调查框架 linying 5 执行Windows调查步骤检查所有相关日志执行关键字查找检查相关文件识别未授权用户帐号和用户组识别恶意进程和服务查找非常规的或隐藏的文件 目录检查未授权的访问点检查计划任务所运行的作业分析信任关系检查安全标识符 linying 6 检查所有相关日志WindowsNT 2000 XP都包括3个独立日志文件系统系统日志 记录系统进程和设备驱动程序的活动 包括设别驱动程序启动失败 硬件故障 IP地址冲突以及相关服务的启动 暂停和终止应用程序日志 用户程序和商业通用应用程序的活动安全日志 记录系统的审核和安全进程 linying 7 检查三个日志可获得如下信息 确定访问特定文件的用户 确定已经成功 失败登录系统的用户 确定特定程序的使用情况 追踪对审核策略做出的更改 更踪用户权限的变化 linying 8 现场系统中的日志 可以通过EventViewer事件查看器来访问本地主机的审核日志通过事件ID和描述 可以了解系统上审核的细节 Windows2000事件ID linying 9 检查所有相关日志 需要将审核策略设置为监视详细追踪的成功和失败 才会生成相应的系统日志 linying 10 事件日志转储 如果需要离线分析 可以用PsLogList或dumpel exe对日志进行转储 然后利用文件传输工具 netcatorcryptcat 通过网络传送日志文件 网络资源PsLogList http linying 11 查看事件日志 secevent evt appevent evt sysevent evt三个日志文件 位于 WINDOWS system32 config 恢复这三个文件后 可以在司法鉴定工作站上查看日志文件 linying 12 事件日志的缺陷 默认情况下系统不记录成功的登录 文件访问 系统关闭和其它一些操作 EventViewer一次只允许查看一个记录 使检查日志费时而困难 日志只记录NetBIOS名称 而不记录远程IP地址 不可能通过日志来判断windows的远程连接 日志默认大小512K 时限7天 linying 13 IIS日志 如果检测运行Internet信息服务 IIS 的windows服务器 就需要检查每个IIS服务的日志文件 window system32 logfiles目录下每个服务对应的子目录中 W3SVC1是一个包含WEB服务器日志的子目录 其中的事件日志以exyymmdd log的方式命名 可以通过IIS管理器的Web站点属性设置激活和配置IIS日志 linying 14 执行关键字搜索 关键字搜索对于调查非常关键 如用户ID 密码 敏感数据 代码字符 已知文件名 特定主题关键词等 搜索可以在逻辑文件结构上执行 也可在物理层次上执行 工具 dtSearch EnCase linying 15 检查相关文件 许多临时文件 高速缓存文件 跟踪最近使用过的文件的注册表 回收站 一个全面的文件查看器 QuickViewPlus可以忽略文件扩展名 linying 16 确定事件的时间和检查时间 日期戳 确定哪些文件可能与当前的事件有关 确定事件发生的事件段 然后再仔细检查那些在这个时间段中创建 修改或访问过的文件 NTI的FileList工具可以列出所有的目录和文件 以及它们的最后访问时间 修改时间和创建时间网络资源FileList http www forensics linying 17 检查专用电子邮件文件 各种电子邮件应用程序都有自己的存储格式 因此必须将这些文件从恢复的介质中复制下来 然后使用适当的客户端软件进行查看 linying 18 恢复被删除的文件和数据 使用恢复工具 FileScavenger linying 19 还原存储在回收站的文件 每个逻辑驱动器当发生删除操作时 都会创建一个RECYCLED目录 并将删除的文件暂时保存在其中 检查回收站X RECYCLED 目录下有个以SID 安全标识符 为目录名的隐藏子目录下的内容该文件夹下有个隐藏文件info是个二进制文件 保存了被删文件的真实文件名 时间 日期到RECYCLED目录的映射 可以使用EnCase InternetExplorerHistoryViewer等软件查看该文件 linying 20 恢复 tmp文件 程序安装或使用中产生的临时文件 很多应用程序都生成临时文件 检查所有扩展名为 tmp的文件 从备份中恢复文件 linying 21 检查注册表 Windows注册表是一个存储系统重要数据配置的数据文件集合 存储了硬件 软件和系统组建信息 可以显示出过去安装的软件 机器的安全配置 DLL木马和启动程序以及很多不同应用程序最近使用的文件 5个根键和句柄 HKEY CLASSES ROOT HKEY CURRENT USER HKEY LOCAL MACHINE HKEY USERS HKEY CURRENT CONFIG linying 22 由4个文件产生 存放于 winnt system config目录 SAM SECURITY SOFTWARE SYSTEM 使用regedit注册表编辑器查看 linying 23 检查交换文件 用于虚拟内存的一个隐藏系统文件 因系统内存容量限制而产生 交换文件可能包括用户最近查看过或输入过的文档 密码和其它信息的片段 Pagefile sys HKLM System CurrentControlSet control SessionManager MemoryManagement ClearPageFileAtShutdown0表示关闭系统时交换文件不会被覆盖 1表示关闭系统时所有非活动页面都会被0覆盖 linying 24 交换文件大部分内容为二进制格式 可能没什么大用 对交换文件执行字符串搜索可能会找到有用信息 linying 25 检查链接 指一个桌面快捷方式或者一个启动菜单项 同样有助于确定系统上曾经安装过的软件 使用NTRK的chklnks exe检查那些曾经安装却找不到的文件 查看 C DocumentsandSettings Username 我最近的文件 下指向最近打开文件的快捷方式 该目录为隐藏目录 linying 26 检查Web浏览器文件 浏览日志文件 保存了历史和最近访问过的网站 以及一定数量最近浏览过的实际文件和网页 Netscape Netscape hst Fat db InternetExploer Index dat 可以使用Pasco免费司法鉴定工具来查看 Encase linying 27 识别未授权的用户帐户或用户组 在UserManager中查找 用NTRK中的userstat检查域控制器中所有的域账号 寻找可疑的项目 检索安全日志中ID为624 626 636 642的项目 分别为 添加新账户 启用账户 改变组 改变用户 用netuser命令可以查看用户最后登陆时间等信息 用CCA exe工具检查账号是否被克隆过 linying 28 识别恶意进程 使用NTRK的pslist命令列出进程表 listdlls工具将提供运行中进程的完整命令行参数 fport显示端口与进程的关联 用杀毒软件扫描后门程序 用嗅探器分析异常的通信流量并找出与之对应的进程 以上操作要求对NT 2000 xp的基本进程非常熟悉 否则识别过程将变得很困难 linying 29 Pslist列出正在运行的进程的名称 listDlls提供每个进程的完整命令行参数 Fport显示正在侦听端口信息的进程及其所侦听的端口 运行最新的病毒检测程序 用PestPatrol来搜索文件系统 识别特洛伊木马 后门程序等恶意程序 linying 30 查找异常或隐藏文件 NTFS文件流特性可能被用于隐藏恶意文件 例如 C cptrojan exesome jpg trojan exe删除原来的trojan exe 这样trojan exe就被隐藏了 cp为NTRK命令 用sfind或Streams工具可以找出被隐藏的文件 另外EnCase在打开文件时会自动识别流文件 创建文件的MD5SUM linying 31 检查未授权的访问点 指利用工具软件对Windows系统进行的未授权的远程访问 每个允许某种程度远程访问的服务都会成为有害入侵的一个入口点 终端服务器 SQL Oracle WindowsNT上的第三方telnet后台程序 Windows2000 xp上的telnet服务 第三方FTP后台程序 Web服务器 ApacheorIIS VNC TCPPort5800 andPCAnywhere TCPPort5631 远程访问服务 PPPandPPTP X服务器 linying 32 检查远程控制和远程访问服务 常用命令 Netstat Fport Pslist Rasusers Netstart 确定补丁版本 检查管理共享 除了用户指定的共享外 系统还有默认的管理共享IPC 每个驱动器 通过修改注册表来完成 linying 33 检查由计划服务程序所运行的任务 攻击者可能会让计划调度任务打开一个后门程序 改变审核日志 使用at命令查看SchedulerService linying 34 检查安全标识符 SID SID用来唯一标识一个用户和用户组 每个系统有自己的标识符 每个用户在系统上也会生成自己的标识符 计算机标识符和用户标识符一起构成安全标识符SID 当一个用户第一次登录一个远程服务器时 服务器的标识符就会传至用户计算机并存储在注册表中 通过查找用户计算机上是否存在服务器