了解你的敌人：Sebek.doc

了解你的敌人：Sebek一个基于内核的数据捕获工具The Honeynet Project最后更新：2003/11/17介绍有一个问题至今还在困扰蜜罐研究者：怎样在不被入侵者察觉的情况下监视他们？蜜罐设计的目的是为了观察入侵者在一些普通系统里的所作所为，所以我们要确保让他们没有感觉到被监视。传统的做法是记录相关活动的网络数据，这种做法对入侵者来说是不可见的。但是黑帽子们是越来越精明了，他们越来越多的使用加密工具来保护他们的传输通道。如果目标机器没有安装加密服务，那么他们也会自己安装上如SSH、加密的GUI客户端或者SSL等服务。如果没有密钥，基于网络的数据捕获工具将无法察看传输的数据。为了观察入侵者使用加密的会话，研究者必须找到破解加密会话的方法，不过许多组织已经证明这是非常困难的。强攻不行就只能智取，Honeynet项目开始尝试在蜜罐机器安装基于内核的rootkit来捕获感兴趣的数据。这些实验的结果导致开发出一个叫Sebek的工具，它是运行在内核空间的一段代码，记录系统用户存取的一些或者全部数据。这个工具有这些功能：记录加密会话中击键，恢复使用SCP拷贝的文件，捕获远程系统被记录的口令，恢复使用Burneye保护的二进制程序的口令还有其它的一些入侵分析任务相关的作用。这篇文章讨论Sebek版本2，当然也覆盖Sebek的内容。下面将详细讨论Sebek，包括它如何工作和有什么价值。我们会介绍它的结构和关键组成，演练如何执行以及操作的技术细节。最后，我们会给出Sebek包括它最新的Web接口在内的使用例子。Sebek最初是在Linux系统开发的，现在它已经移植到Win32、Solaris和OpenBSD等操作系统上。这篇文章介绍的是Linux版本的Sebek，但是许多讨论到的概念也适合其它移植版本。Sebek简介Sebek是一个数据捕获工具。所有数据捕获工具的目的都是用捕获的数据准确的给我们重现蜜罐上的事件。我们需要通过这些信息来确定入侵者是什么时候攻破系统的，他们是怎么做的，以及在获得访问权限后又做了什么。这些信息还可能告诉我们谁是入侵者，他们的动机是什么，以及他们和谁一起工作。为了确定入侵者获得访问权限后所作的事情，我们需要捕获的数据能够提供入侵者的击键记录和攻击的影响。如果没有使用加密，那么用ethereal等工具重组网络上捕获数据的TCP流就可以得到会话的内容，从而监视入侵者的击键。这种技术不但可以得到入侵者输入的信息，也可以得到入侵者看到的输出。当会话没有被加密的时候，流重组技术是捕获入侵者动作的理想方法。但是会话被加密的时候，流重组也只能得到加密的会话内容，破解加密会话内容是非常困难的。加密的信息如果要使用就肯定会在某些地方不是被加密的，绕过进程就可以捕获未加密的数据。这是解密工作的基本机制，然后获得访问未保护的数据。使用二进制木马程序是对付加密的首次尝试。当入侵者攻破蜜罐，他可能会使用如SSH的加密工具来登陆被攻陷的主机，登陆的时候肯定要输入命令，这时木马shell程序会记录他们的动作。二进制木马程序隐蔽性不高，而且入侵者可能会安装他们自己的二进制程序。从操作系统内核访问数据将是一个很好的捕获方法。不管入侵者使用什么二进制程序，我们都可以从内核捕获数据并且可以记录他们的行为。而且，由于用户空间和内核空间是分开的，所以在技术上我们还可以实现对所有包括root在内的用户隐藏自己的动作。第一个版本的Sebek设计成直接从内核搜集击键数据。这些早期版本参考了Adore Rootkit，通过替换sys_read系统调用来捕获击键，然后把击键记录到一个隐藏文件并通过网络模拟成其它如NetBIOS等UDP数据传输把它发送出去。这样就能满足我们监视入侵者击键的要求了，但是它很复杂，而且只需使用包嗅探器就可以简单的检测到，并且效率不高。最后还发现除了击键，其它数据记录很困难。在下一个版本，也就是当前的Sebek版本2，它不但可以记录击键，还记录所有通过sys_read的数据。收集到所有数据，我们就可以监视蜜罐的所有动作，不再局限于击键。比如有一个文件拷贝到蜜罐，Sebek能够发现并记录它，产生一个同一的拷贝。如果入侵者使用IRC或邮寄客户端，Sebek也能看见那些消息。第二个重要的改变是Sebek变得更难检测出来，我们改进了日志数据传输，对黑帽子来说是完全隐藏。现在他们用嗅探器检测不到Sebek的数据传输。Sebek现在还没有对TCP会话重组，只是用来对付加密。相比以前的黑盒子技术，Sebek使得对蜜罐内部工作的监视变得透明。比如入侵者安装了一个恶意软件，然后退出，现在我们还可以继续追踪恶意程序的本地行为，即使它没有访问网络。结构Sebek有两个组成部分：客户端和服务端。客户端从蜜罐捕获数据并且输出到网络让服务端收集（参考图1所示）。服务端有两种方式收集数据：第一种是直接从网络活动的数据包捕获，第二种是从tcpdump格式保存的数据包文件。当数据收集后既可以上传到相关数据库，也可以马上显示击键记录。Sebek使用无连接、不可靠的UDP协议进行通信。图1典型的Sebek部署。客户端模块安装在蜜罐（蓝色）里，蜜罐里攻击者行为被捕获后发送到网络（对攻击者是不可见的）并且由Honeywall网关被动的收集。.客户端完全在蜜罐的内核空间，根据Linux版本的情况以可加载内核模块（LKM）的方式执行。客户端可以记录用户通过read()系统调用的所有数据，运行Sebek的蜜罐以难以检测的方式把这些数据输出到服务端所在的网络，然后服务端收集所有蜜罐发送的数据。因为这些数据都有一个统一的标准格式，所以服务端可以收集各种不同操作系统蜜罐的数据。下面让我们更深入的了解一下客户端实际是如何捕获数据的。客户端数据捕获数据捕获是由内核模块来完成的，我们使用这个模块获得蜜罐内核空间的访问，从而捕获所有read()的数据。Sebek替换系统调用表的read()函数来实现这个功能，这个替换的新函数只是简单的调用老read()函数，并且把内容拷贝到一个数据包缓存，然后加上一个头，再把这个数据包发送到服务端。替换原来的函数就是改变系统调用表的函数指针。图2改变read系统调用的示意图当用户空间的进程调用标准的read()函数的时候会产生一个系统调用，这个调用映射到系统调用表数组的索引偏移。因为Sebek把read索引的函数指针修改指向到它自己的函数实现，所以当执行到内核的read实现时就会执行Sebek修改后的read调用，Sebek通过这个系统调用看到所有访问的数据。我们可以用同样的技术来修改我们想要监视的任意系统调用。数据在使用的时候一般都是解密的。比如有动作发生的时候，SSH会话的击键显示在shell上的数据肯定不是加密的。这个动作一般会产生一个系统调用，在内核空间收集数据，我们能截获这个系统调用访问进程解密后但还没有处理的数据，通过这种方法就可以在加密环境捕获击键、文件传输、Burneye的口令等。客户端模块隐藏为了使Sebek模块更加隐蔽，我们使用了一些如Adore等基于LKM的rootkit的技术。由于Sebek完全驻留在内核空间中，那么我们可以通过安装第二个cleaner模块来隐藏Sebek模块，这个模块把Sebek从安装模块链表中删除记录。虽然这是一种不错的隐藏模块的技术，但是在第61期的phrack杂志上有一篇文章描述了通过查看所有出现的关键模块结构，以暴力的方式检测隐藏的内核模块。移除模块有两方面的效果。首先，用户将看不见Sebek被安装了。第二，如果已经安装，用户将无法卸载Sebek模块。安装脚本sbk_install.sh的”Testing”变量如果设置成”1”，那么就禁止了隐藏功能。客户端数据包输出当Sebek客户端捕获数据，那么它需要在入侵者没有察觉的情况下把数据发送到服务端。一般情况下蜜罐都是布置了一个局域网内，如果Sebek只是简单使用UDP流来给服务端发送数据，入侵者只需监听网络上的数据传输就可以判断是否安装了Sebek。不过Sebek还是使用UDP来给服务端发送数据，但是它修改内核使用户无法看到这些数据包，包括其它主机发送的该类型使用相同配置的数据包。而且当Sebek把这些数据发送到网络的时候，系统也无法阻止这些数据包的传输。如果一个局域网上每个蜜罐安装了Sebek，它们都不能发现任何Sebek数据，然而服务端能够完全访问这些由客户端捕获的数据。每个read()调用请求Sebek都会产生一个或多个日志数据包，每个数据包都包含了一点关于这个调用内容的信息和这个调用访问的数据。每个包还包含了一个Sebek记录，这个记录包含一些产生调用的进程描述、调用产生的时间和记录数据的大小。这些报完全由Sebek产生，而不是使用TCP/IP协议栈来产生或发送数据包，所以系统无法看到或阻断这些数据包。当数据包创建好的时候就直接发送给驱动设备，这就绕过了原始套接字代码和包过滤代码。由于嗅探器是基于libpcap的，而libpcap使用原始套接字接口来收集数据包，所以嗅探器不能看到运行Sebek主机上由Sebek产生的数据包。图3Sebek数据包产生的概念图。注意Sebek产生的数据包怎样绕过协议栈并且直接发送到网络设备驱动。这使得攻击者检测Sebek的活动非常困难。因为Sebek产生自己的数据包并且直接通过设备驱动发送它们，所以用户无法使用IPTABLES来阻断数据包，也无法用网络嗅探器来监视它们，这也防止了蜜罐上的入侵者通过检查局域网数据传输来检测是否有Sebek。第二个要解决的问题是需要阻止蜜罐A检测到蜜罐B的Sebek数据包。使用以太交换不能解决这个问题。因为Sebek不是通过ARP获取目标IP地址对应的目标MAC地址，所以它对ARP欺骗有自然免疫能力。但是在有些情况下，A可以看到B的数据包，这样入侵者就可以在蜜罐A运行嗅探器来看到局域网上来自蜜罐B的Sebek数据包。为了解决这个问题，Sebek安装了自己的原始套接字实现。这个新版本编程实现安静的忽略Sebek数据包。在Sebek数据包头定义了预先设定的目标UDP端口和固有的魔术数字，如果这两个值都匹配了，那么这个数据包就会被忽略。这个简单的实现不会对Sebek数据包有影响，只是丢弃它们并且移到队列里的下一个数据包，这使得入侵者即使使用嗅探器也无法捕获Sebek数据包。Sebek协议说明为了确保所有版本的Sebek能协同工作定义了一个通用的协议。客户端和服务端的通信通道是单向的，只能从客户端发送数据包给服务端。这个通道使用UDP协议，每个数据包都包含一个记录，记录有不同长度的MTU和一个固定长度的头。这个48字节的头结构如下：图4Sebek记录头。这个头在IP/UDP头后面，其后跟随蜜罐活动表现的数据（攻击者的击键、文件、密码等）字段名 数据类型 描述MagicUnsigned 32 bit Int前面是目标端口，Sebek使用Magic来识别那些数据包需要隐藏VersionUnsigned 16bit Int Sebek协议版本，当前版本是1Type Unsigned 16bit Int 记录的类型。读数据是0，写数据是1。目前只实现了读。CounterUnsigned 32bit Int PDU计数器，用来识别数据包什么时候丢失。刚安装时计数器是0Time_sec Unsigned 32bit Int 蜜罐从UNIX纪元开始的秒数Time_usecUnsigned 32bit Int 剩余的微秒数PIDUnsigned 32bit Int 进程IDUIDUnsigned 32bit Int 用户IDFD Unsigned 32bit Int 文件描述符Com12 Character Array 记录命令名字的前12个字符Length Unsigned 32bit Int 8位PDU实体的长度Figure 5图5发送到客户端Sebek数据包的结构当Sebek截获read()系统调用，它不但记录读的内容，而且注意到相关信息。记录头PID、UID、FD和Com字段的信息来自内核处理进程产生的请求。Time_sec字段基于系统时间，当然这是容易被篡改的。Length字段基于读请求返回的长度。如果从read()调用返回数据的长度大于局域网的MTU，Sebek会把读到的数据分成多个分片以适应局域网传输。每个分片都包含了完整的Sebek记录头。在Sebek客户端里决定对一个来自用户空间的数据包需要隐藏依据下面的标准：数据包必须使用UDP，UDP目标端口必须和预先定义值匹配，并且Sebek头的Magic字段必须和预先设定的值匹配。如果只使用UDP目标端口的话将会被暴力破解方式识别出被隐藏的数据包，加上Magic值提高了暴力检测的难度，它和目标端口会产生281,000,000,000种组合。如果你有程序能够每秒检查500,000种组合，那么它需要花费6.5天的时间来测试。Sebek的限制在蜜罐上使用的Sebek不能被入侵者检测到，但是用于检查基于内核模块技术rootkit的检测工具可能会检测到Sebek，所以入侵者检测到使用这种系统的可能性也是挺大的。在Linux客户端，这种风险来自内核模块支持的/dev/kmem特性，它的功能非常强大并且使Linux内核变得非常灵活。我们正是使用它们安装Sebek，入侵者也可以用它们来检测并关闭Sebek。幸运的是，当Sebek被关闭的时候，入侵者使用的代码或程序以及关闭动作的记录就发送到服务端。在未来，一个减少被检测到风险的方法是在服务端检测Sebek什么时候被攻击并且马上关闭客户端。警惕客户端滥用作为一个非常棒的监视工具，Sebek可能被恶意用户不正当使用。比如被入侵者用在被攻陷的系统上来获取口令和监视合法用户。为了减少Sebek潜在的危险，必须在结构设计上做改动。早期版本的Sebek输出的数据是加密的，并且数据包头也不是统一的。我们抛弃了这种做法，并且使之变得很容易检测不正当的使用。因为当前版本只对安装了Sebek的蜜罐进行隐藏，而局域网上的其它主机都可以看到Sebek数据包。这意味着攻击者如果试图在自己攻陷的系统上安装Sebek，那么管理员可以在同网段其它主机上看到Sebek数据的传输。为了进一步减少被滥用的机会，我们还去除了Sebek的一些rootkit特性，所以入侵者没法使用一个单独的LKM来嗅探密码。客户端安装现在我们了解了Sebek客户端的运行方式，接下来让我们看一下如何安装客户端。客户端的安装必须要注意蜜罐系统上内核的运行版本，我们需要相应版本的内核源码来编译Sebek。当客户端编译好后，将生成一个二进制的tar包。这个tar包包含了sbk_install.sh脚本，这个脚本包含了Sebek安装命令和配置参数，你只需简单的修改选项，然后就可以在蜜罐执行安装脚本，这样skb_install.sh就按照指定的配置安装内核模块。这个脚本有八个配置参数，一般局域网上所有蜜罐都要使用相同的值。接口： 指定记录哪个接口，默认是eth0。不需要配置IP地址。目标IP： 这个字段定义了所有产生的Sebek数据包使用的目标IP地址。由于Sebek服务端收集数据包的时候不看目标IP地址，所以这里无需配置成Sebek服务端的IP，而且也不推荐，否则入侵者看到这些数据包的时候有机会知道哪个主机是Honeynet里提供数据控制功能的。目标MAC地址：这个字段指定蜜罐使用目标以太MAC地址，目标MAC可以设置成缺省网关的。 把它设置成FF:FF:FF:FF:FF:FF将引起所有的包广播到局域网上每个主机，这是测试的小技巧。Magic值：这个值结合目标端口，用来确定蜜罐上哪个包需要隐藏。强烈推荐局域 网上所 有安装的Sebek都使用相同的Magic值和目标端口。目标UDP端口：这个字段定义Sebek数据包的目标UDP端口。这个值结合Magic值，用来确 定 蜜罐上哪个包需要隐藏。源UDP端口：这个字段定义了Sebek数据包的源UDP端口。只记录击键： 这个标记可以设定成1或0。设置成1，那么Sebek只收集击键，否则将收集 所有读到的数据。如果你想恢复SCP文件，必须设置成0。测试： 如果设置了测试选项，那么首先内核模块不会隐藏，第二，模块将产生 的额外调试信息，并且会发送到syslog。当在一个局域网里配置蜜罐的时候，它们必须使用相同的magic值和目标端口值，这样就能防止才一个蜜罐看到其它的Sebek数据包。配置IP和MAC地址的时候，请记住MAC地址是最重要的。如果你配置了错误的目标IP地址，但是MAC地址配置正确了，并且UDP端口也是正确的，那么Sebek记录就能发送到服务端。此外，当服务端运行在Honeywall网关的时候，网卡接口没有设置IP地址，所以必须把目标MAC地址设置成缺省网关或Honeywall的MAC地址。如果你要记录远程主机（不在同一个局域网内），那么目标IP必须设置成主机的IP，MAC地址要设置成局域网缺省网关的MAC地址。配置完后，执行sbk_install.sh将安装Sebek客户端，并且它将开始捕获并发送数据。服务端安装现在我们将讨论如何恢复从客户端来的Sebek数据，并且如何分析这些数据。如果你回忆一下图1，服务端一般会安装在Honeywall网关上。服务端提取网络上Sebek客户端数据有两个来源，一个是捕获所有网络数据的tcpdump日志文件，另外一个是直接从网卡捕获活动的数据传输。服务端有三个组成部分。第一个部分叫sbk_extract，它既可以像嗅探器一样直接从网卡捕获数据，也可以从tcpdump文件收集。使用这个工具你可以用这两种方法来恢复Sebek数据。用sbk_extract提取数据有两种方法：第一种是把它发送给一个叫sbk_ks_log.pl的脚本，这个Perl脚本把攻击者的击键打印到标准输出上；第二种是发送给一个叫sbk_upload.pl，这个Perl脚本把Sebek数据装载到mysql数据库。sbk_extract是一个从输入数据（网卡或抓包文件）提取Sebek记录的程序。sbk_extract有三个选项：-f 指定从pcap文件提取数据-I 定义监听的网卡-p 指定UDP目标端口把Sebek记录导入数据库运行sbk_extract，并且把输出用管道传给sbk_upload.pl，如：sbk_extract | sbk_upload.pl监视命令行击键运行sbk_extract，并且把输出用管道传给sbk_ks_ log.pl，如：sbk_extract | sbk_ks_ log.pl定制分析运行sbk_extract，并且把输出用管道传给自己设计的程序来分析。监视命令行击键活动sbk_ks_log.pl可以让你在服务端命令行查看运行Sebek客户端主机的击键活动，它没有其它选项，需要读sbk_extract的输出，比如：sbk_extract i eth0 p 1101 | sbk_ks_log.pl在这个例子里，sbk_extract监听eth0，收集UDP端口1101上的数据，然后把这些记录传递给sbk_ks_log.pl来提取击键活动。sbk_ks_log.pl的输出如下面所示：2003-07-23 20:03:45 3 6673 bash 500whoami2003-07-23 20:03:48 3 6673 bash 500who2003-07-23 20:03:50 3 6673 bash 500su2003-07-23 20:03:57 3 6886 bash 0cd /var/log2003-07-23 20:03:57 3 6886 bash 0ls2003-07-23 20:04:01 3 6886 bash 0mkdir .2003-07-23 20:04:20 3 6886 bash 0tcsh2003-07-23 20:04:20 3 6921 tcsh 002003-07-23 20:04:20 3 6920 tcsh 0vt2003-07-23 20:04:20 3 6920 tcsh 0en2003-07-23 20:04:20 3 6920 tcsh 0en2003-07-23 20:04:27 3 6920 tcsh 0cd /tmp2003-07-23 20:04:28 3 6920 tcsh 0ls2003-07-23 20:04:42 3 6920 tcsh 0cd /usr/lib2003-07-23 20:04:42 3 6920 tcsh 0lssbk_ks_log.pl的输出和用户在终端看到的一样，不过我们只能看到输入的命令，那些命令的输出信息是看不到的。控制字符会被转义，比如回格键会替换成BS。sbk_ks_log.pl的每行输出按照如下格式： 时间戳 IP地址 进程ID 命令 用户ID 文本 时间戳显示击键动作的时间。 IP地址是蜜罐的地址。 进程ID是运行的进程ID。 命令是运行命令的前10个字符。 用户ID是这个进程拥有者的用户ID。图5系统总览页开始是如图5的系统总览页，它提供了所有我们监视主机的列表，并且可以看到主机上最后活动时间。点击“击键”下面的按钮，我们可以获得所有活动的摘要信息。图6击键摘要页图6的击键摘要提供了一个主机上所有会话的最后5个或相当行数的文本。一个进程上的会话就是指定文件描述符上的活动，会话按照最后活动时间排序，最新的排在最上面，每个击键记录的摘要按照它们发生的顺序排列。命令行工具sbk_ks_log.pl会把控制字符转义。当我们检查摘要信息的时候发现两个有趣的事件。第一个是PID为1271的记录，它显示了用户第一次访问系统操作的命令：检查谁登陆后，用户运行了一个叫“malware”的程序。第二个是PID为1264的记录，迹象表明这是一个通过SCP传到蜜罐的文件，而且我们注意到这个传输的文件名叫“malware”。当记录比较多的时候，我们可以使用搜索功能来迅速查找我们感兴趣的入侵者击键记录。下面我们将进入PID为1264的记录来看看我们是否能恢复“malware”的拷贝。图7PID为1264的详细资料页图7的详细资料显示了给定PID的所有活动。这个例子我们查看PID为1264的内容，它是往蜜罐的SCP文件传输。我们看到Web接口检测到文件描述符0关联到文件传输的内容，并且提供了一个SCP按钮。点击SCP文件传输查看按钮，下半页显示文件描述符0文件的详细信息。由于Sebek使用UDP输出日志数据，所以即使在内部局域网传输也是有可能丢失数据的。为了说明这些可能的不同，Web接口显示了文件期望和实际得到大小。点击文件名就能下载这个文件，下载后使用strings查看文件内容就能发现这是一个用Burneye保护的程序。这样我们就恢复了这个用Burneye保护的二进制程序，不过我们还需要恢复使用这个程序的密码。图8命令“malware”搜索结果要找到所有可执行二进制程序的活动最简单的方法是使用搜索功能，如图8所示，我们搜索到叫“malware”的执行命令。在Command字段输入执行程序的名字，就能迅速搜索到所有与这个名字匹配的进程。有一点要注意，即使只运行了一次命令，但它有可能产生子进程或调用其它程序，所以我们可能看到多个命令执行的实例。在上面的例子我们看到了两个PID分别是1315和1318的进程都运行了“malware”的命令名字，下面我们将首先检查PID为1315的进程的细节，点击相关的细节按钮就可以进入查看。图9PID1315的细节进入PID为1315的进程（图9），我们看到只有一个活动的文件描述符。点击“文本/击键”下的按钮，我们就可以浏览活动的文件描述符3，第一行显示明文文本，第二行看来是一个二进制的ELF程序。从所有“malware”实例读到数据的第一位和前面分析的，我们知道“malware”是一个用Burneye保护的二进制程序，而上面的第一行文本看来就是Burneye保护使用的密码。现在我们示范了怎样恢复用SCP上传的文件，并且恢复Burneye保护程序的密码，最后的任务是确定用户在什么时候活动root访问权限，要做到这个我们需要检查另外的“malware”实例。图10PID1318的细节PID为1318的进程显示了“malware”的另外一个实例，它给我们提供了大量信息。这个进程开始执行的时候命令名字是“malware”并且结束的时候名字是“sh”，更重要的是，它开始执行的时候UID是500，而结束的时候UID是0。所以我们知道用户使用这个进程ID获得root访问权限，时间是2003-07-23 20:04:01 GMT（这是蜜罐上的系统时间）。把Sebek数据导入数据库sbk_upload.pl是一个把记录导入到mysql数据库的perl脚本，这个脚本有以下几个选项：-u 数据库用户-s 数据库服务器，默认是localhost-d 数据库库名-p 数据库口令-P 数据库使用的端口执行例子：sbk_extract i eth0 p 1101 | sbk_upload.pl -u Sebek p secret d Sebek上面的例子sbk_extract监听eth0上UDP端口是1101的Sebek数据包，提取出来的数据发送给sbk_upload.pl，它把这些数据插入到用户名是“Sebek”、口令是“secret”、数据库名字叫“Sebek”的本地主机数据库。附录A定义了数据表结构，当数据记录插入到mysql数据库后，就可以用Web接口来方便的查看这些Sebek数据。Web接口Sebek现在提供了一个基于Web的分析接口，这个接口给用户提供监视击键活动、搜索指定活动、获得SCP传送的文件的能力，并且使得数据更易浏览。这个接口用PHP实现，并且检查数据只能是在数据库内，而不能是其它如捕获的数据包或系统日志。它设计成支持调查取证的工作流程，可以像ethereal分析捕获数据包一样分析Sebek数据。这个接口有三个主要选项：查看击键、搜索、浏览。 击键摘要提供所有击键活动的汇总。 搜索运行用户查询指定信息的能力。 浏览或表格提供了所有除击键以外所有的活动。我们使用实例来介绍这个Web接口的使用方法，下面的图5至10演示分析了一个用户登录到IP地址是3的蜜罐，登陆后，用户下载了一个叫malware的文件，这个文件是用Burneye保护的可执行二进制程序。malware是一个可以获得root访问的工具。用户执行”malware”程序并且获得在蜜罐上的root访