计算机取证技术6.ppt

计算机取证技术,第六章linux系统取证,UNIX，是一个强大的多用户、多任务操作系统，支持多种处理器架构，按照操作系统的分类，属于分时操作系统，最早由KenThompson、DennisRitchie和DouglasMcIlroy于1969年在AT&T的贝尔实验室开发。商业版本:Solaris、AIX、HP-UX免费操作系统：LINUX、OpenBSD、FreeBSD鉴于其基于网络的设计，UNIX系统是作为Internet和小型网络上的关键部分的理想平台。许多电子商务网站、公司财务数据库等都运行于UNIX平台。,与Linux的区别和联系,UNIX是一个功能强大、性能全面的多用户、多任务操作系统，可以应用从巨型计算机到普通PC机等多种不同的平台上，是应用面最广、影响力最大的操作系统。Linux并不是UNIX，而是一个类似于UNIX的产品，它成功的实现并超越了UNIX系统和功能，具体讲Linux是一套兼容于SystemV以及BSDUNIX的操作系统，对于SystemV来说，目前把软件程序源代码拿到Linux底下重新编译之后就可以运行，而对于BSDUNIX来说它的可执行文件可以直接在Linux环境下运行。,另外两大区别：1）UNIX系统大多是与硬件配套的，而Linux则可运行在多种硬件平台上.2）UNIX有些版本比如aix,hp-ux是商业软件是闭源的（不过solaris,*bsd等unix都是开源的），而Linux是自由软件，免费、公开源代码的.,6.1LINUX系统现场证据获取,现场证据获取的目的：保护现场，即保存当前系统运行状态。凡是涉及计算机系统当前状态的数据都是收集的目标。在现场收集的数据应该优先考虑挥发性数据。要完全收集一台计算机的状态是不可能的。仅仅是检查高度易挥发的数据这种行为都会改变计算机的状态。在系统的主存中查找字符串验证在LINUX上数据的易挥发性，使用下面的命令：#grepabasasdc/dev/membinaryfile/dev/memmatches,/dev/mem是一个特殊的设备文件，对它的访问其实是对主存进行访问，类似的，虚拟存储器可以通过/dev/kmem来访问日期、时间等基本的信息可以首先收集起来获取现场证据屏幕信息内存信息网络联接状态正在运行的进程,6.1.1屏幕信息,所有的UNIX版本都已经标准化了窗口操作标准-XWindows。它是一个网络系统，允许正在运行的进程把它们的窗口显示在对用户来说最方便的任何工作站上。XWindows的转储命令xwd能够转储一个单独的窗口或者整个屏幕。#xwddisplaylocalhost:0rootscreen.xwd#xwudinscreen.xwdxwd命令提供了-root选项，可以用它通过捕获XWindow系统根窗口捕获整个屏幕，XWindow系统根窗口是包含显示的所有其他XWindow系统窗口和对话框的全屏窗口。下面的命令捕获整个屏幕并把它写到full-screen.xwd文件中：wd-root-outfull-screen.xwd,X-Window环境下截图用X-Window中的截图工具xwd与xwud是X-Window中自带的截图工具。xwd是一个非常传统的屏幕截图软件，它可以截取程序窗口和全屏图像。xwud是X11图形工具客户程序，可以用它来显示由xwd程序创建的图形文件。这两个程序包含在X-Window的标准发布版中。截取图像的方法如下:#xwdmyscreen.xwd查看图像使用如下命令：#xwud-inmyscreen.xwd实际使用中，可以用xwd结合其它图形转换程序直接获得想要的输出文件。,6.1.1内存信息,在linux上，每个东西都被当作文件来对待，这使复制和保存系统存储器的内容变得容易。实例假定在一个文件系统中有一个具有很大自由空间的数据收集系统步骤一：在数据收集系统上设置两个监听netcat进程：#nclp10005suspect.mem.images&#nclp10006suspect.kmem.images&,步骤二从受嫌疑的机器上复制内存：#ddbs=1024/dev/memlnc192.168.0.210005w332678+0recordsin32678+0recordsout#ddbs=1024命令,数据恢复,根据磁盘现场进行恢复根据内容恢复关键字搜索法精确长度搜索法内容关联法环境比较法,6.3简单的取证推理,6.3.1寻找关键字6.3.2分析恶意的进程6.3.3分析未知代码,6.3.1寻找关键字,找到一个特定的关键字的文件的过程步骤一：搜索一个特定的关键字的出处，把整个文件系统作为一个文件来看待。在文件系统的映像上用grep检索关键字在代表该设备的特殊文件上执行搜索步骤二：定位该字符串再次出现在其中文件的位置。如果在用户主目录的文件中找到该字符串，那么可以从那里开始。用这种搜索方法，可鉴别所有现存的包含纯文本字符串的文件。,6.3.3分析未知代码,阅读文件检查日期检查名字寻找附件的源代码使用strings使用grep使用nm在受控环境下运行未知的代码,6.4LINUX取证下的系统工具,TCT用于UNIX系统被攻击后进行事后分析的程序集。主要包括以下几部分：grave-robberilsandmactimeunrmandlazarusfindkey它提供了强大的调查能力。它的特点是可以对运行着的主机的活动进行分析，并捕获目前的状态信息。数据基本上以挥发性顺序收集。TCT包括数据恢复和浏览工具、获取MAC时间的工具、还包括一些小工具。,TCT的设计并不是用于收集传统的法庭证据，而是用来确定在被攻破的主机发生了什最不寻常的特点在于它可以对运行着的主机进行分析，并捕获当前的状态信息。grave-robber工具可以收集大量的正在运行的进程、网络连接以及硬盘驱动器方面的信息。Macg工具可以对每个索引结点收集一个按照时间排序的修改/访问/改变时间列表，同时还有它们相关的文件名unrm可以试图从比特流重构成一系列连贯的数据，也可以从文件系统中创建一个比特流,ForensiX主要运行于LINUX环境（支持更多的文件系统），是一个以收集数据及分析数据位主要目的的工具。任何它所支持的媒体都可以被快速的映像，进行MD5核查，并且记录到案例数据库中。这种非常有效的批处理操作，使映像大量的软盘驱动器变得很方便。提供