cnad110 2008-6-13 13:51
网络入侵证据的收集分析
[size=3][font=宋体]如果有未经授权的入侵者入侵了你的网络,且破坏了数据,除了从备份系统中恢复数据之外,还需要做什么呢?[/font][font=Times New Roman] [/font][/size]
[font=Times New Roman][size=3] [/size][/font]
[size=3][font=宋体]从事网络安全工作的人都知道,黑客在入侵之后都会想方设法抹去自己在受害系统上的活动记录。目的是逃脱法律的制裁。[/font][font=Times New Roman] [/font][/size]
[font=Times New Roman][size=3] [/size][/font]
[size=3][font=宋体]而许多企业也不上报网络犯罪,其原因在于害怕这样做会对业务运作或企业商誉造成负面影响。他们担心这样做会让业务运作因此失序。更重要的是收集犯罪证据有一定困难。因此,[/font][font=Times New Roman]CIO[/font][font=宋体]们应该在应急响应系统的建立中加入计算机犯罪证据的收集与分析环节。[/font][font=Times New Roman] [/font][/size]
[font=Times New Roman][size=3] [/size][/font]
[size=3][font=宋体]什么是“计算机犯罪取证”?[/font][font=Times New Roman] [/font][/size]
[font=Times New Roman][size=3] [/size][/font]
[size=3][font=宋体]计算机取证又称为数字取证或电子取证,是指对计算机入侵、破坏、欺诈、攻击等犯罪行为利用计算机软硬件技术,按照符合法律规范的方式进行证据获取、保存、分析和出示的过程。从技术上,计算机取证是一个对受侵计算机系统进行扫描和破解,以及对整个入侵事件进行重建的过程。[/font][font=Times New Roman] [/font][/size]
[font=Times New Roman][size=3] [/size][/font]
[size=3][font=宋体]计算机取证包括物理证据获取和信息发现两个阶段。物理证据获取是指调查人员到计算机犯罪或入侵的现场,寻找并扣留相关的计算机硬件;信息发现是指从原始数据[/font][font=Times New Roman]([/font][font=宋体]包括文件,日志等[/font][font=Times New Roman])[/font][font=宋体]中寻找可以用来证明或者反驳的证据,即电子证据。[/font][font=Times New Roman] [/font][/size]
[font=Times New Roman][size=3] [/size][/font]
[size=3][font=宋体]除了那些刚入门的“*小子”之外,计算机犯罪分子也会在作案前周密部署、作案后消除蛛丝马迹。他们更改、删除目标主机的日志文件,清理自己的工具软件,或利用反取证工具来破坏侦察人员的取证。这就要求我们在反入侵的过程中,首先要清楚我们要做什么?然后才是怎么做的问题。[/font][font=Times New Roman] [/font][/size]
[font=Times New Roman][size=3] [/size][/font]
[size=3][font=宋体]物理取证是核心任务[/font][font=Times New Roman] [/font][/size]
[font=Times New Roman][size=3] [/size][/font]
[size=3][font=宋体]物理证据的获取是全部取证工作的基础。获取物理证据是最重要的工作,保证原始数据不受任何破坏。无论在任何情况下,调查者都应牢记[/font][font=Times New Roman]5[/font][font=宋体]点:[/font][font=Times New Roman](1)[/font][font=宋体]不要改变原始记录;[/font][font=Times New Roman](2)[/font][font=宋体]不要在作为证据的计算机上执行无关的操作;[/font][font=Times New Roman](3)[/font][font=宋体]不要给犯罪者销毁证据的机会;[/font][font=Times New Roman](4)[/font][font=宋体]详细记录所有的取证活动;[/font][font=Times New Roman](5)[/font][font=宋体]妥善保存得到的物证。如果被入侵的计算机处于工作状态,取证人员应该设法保存尽可能多的犯罪信息。[/font][font=Times New Roman] [/font][/size]
[font=Times New Roman][size=3] [/size][/font]
[size=3][font=宋体]要做到这[/font][font=Times New Roman]5[/font][font=宋体]点可以说困难重重,首先可能出现的问题就是无法保证业务的连续性。由于入侵者的证据可能存在于系统日志、数据文件、寄存器、交换区、隐藏文件、空闲的磁盘空间、打印机缓存、网络数据区和计数器、用户进程存储器、文件缓存区等不同的位置。由此看见,物理取证不但是基础,而且是技术难点。[/font][font=Times New Roman] [/font][/size]
[font=Times New Roman][size=3] [/size][/font]
[size=3][font=宋体]通常的做法是将要获取的数据包括从内存里获取易灭失数据和从硬盘获取等相对稳定数据,保证获取的顺序为先内存后硬盘。案件发生后,立即对目标机和网络设备进行内存检查并做好记录,根据所用操作系统的不同可以使用的内存检查命令对内存里易灭失数据获取,力求不要对硬盘进行任何读写操作,以免更改数据原始性。利用专门的工具对硬盘进行逐扇区的读取,将硬盘数据完整地克隆出来,便于今后在专门机器上对原始硬盘的镜像文件进行分析。[/font][font=Times New Roman] [/font][/size]
[font=Times New Roman][size=3] [/size][/font]
[size=3][font=宋体]“计算机法医”要看的现场是什么?(日志)[/font][font=Times New Roman] [/font][/size]
[font=Times New Roman][size=3] [/size][/font]
[size=3][font=宋体]有的时候,计算机取证([/font][font=Times New Roman]Computer Forensics[/font][font=宋体])也可以称为计算机法医学,它是指把计算机看作是犯罪现场,运用先进的辨析技术,对电脑犯罪行为进行法医式的解剖,搜寻确认罪犯及其犯罪证据,并据此提起诉讼。好比飞机失事后,事故现场和当时发生的任何事都需要从飞机的“黑匣子”中获取。说到这里您可能就猜到了,计算机的黑匣子就是自身的日志记录系统。从理论上讲,计算机取证人员能否找到犯罪证据取决于:有关犯罪证据必须没有被覆盖;取证软件必须能找到这些数据;取证人员能知道这些文件,并且能证明它们与犯罪有关。但从海量的数据里面寻找蛛丝马迹是一件非常费时费力的工作,解决这一难题方法的就是切入点,所以说从日志入手才是最直接有效的手段。[/font][font=Times New Roman] [/font][/size]
[font=Times New Roman][size=3] [/size][/font]
[size=3][font=宋体]这里还需要指出,不同的操作系统都可以在“[/font][font=Times New Roman]Event Viewer Security[/font][font=宋体]”[/font][font=Times New Roman]([/font][font=宋体]安全事件观察器[/font][font=Times New Roman])[/font][font=宋体]中能够检查到各种活动和日志信息,但是自身的防护性能都是非常低,一旦遭受到入侵,很容易就被清除掉。从中我们可以看到,专业的日志防护与分析软件在整个安全产品市场中的地位之重,无需置疑。[/font][font=Times New Roman] [/font][/size]
[font=Times New Roman][size=3] [/size][/font]
[size=3][font=宋体]我国有关计算机取证的研究与实践尚在起步阶段,在信息技术较发达的美国已有了[/font][font=Times New Roman]30[/font][font=宋体]年左右的历史。现在美国至少有[/font][font=Times New Roman]70%[/font][font=宋体]的法律部门拥有自己的计算机取证实验室,取证专家在实验室内分析从犯罪现场获取的计算机(和外设),并试图找出入侵行为。[/font][font=Times New Roman] [/font][/size]
[font=Times New Roman][size=3] [/size][/font]
[size=3][font=宋体]在国内,公安部门打击计算机犯罪案件是近几年的事,有关计算机取证方面的研究和实践才刚起步。中科院、浙江大学和复旦大学等在电子取证的各个技术方面都在积极开展研究工作。[/font][font=Times New Roman]6[/font][font=宋体]月[/font][font=Times New Roman]26[/font][font=宋体]日[/font][font=宋体]在北京召开的[/font][font=Times New Roman]CFAT.2005[/font][font=宋体]首届中国计算机取证技术峰会也是旨在推动国内外计算机取证先进技术的传播和扩大研究交流的深度广度,促进计算机取证专业人员、司法界人士以及兴趣爱好者直接、深入的交流。在把企业业务连续性作为首位的同时,我们也呼吁更加智能化的物理取证工具的早日面试。[/font][/size]
[font=Times New Roman][size=3] ----------------[/size][/font]
我们不是黑客,更不是网络的破坏者,我们是网络家园的呵护者,我们网络家园很脆弱,需要我们共同来维护和建设。
如今,网络已深入到我们工作和生活,我们的生活已离不开网络,我们社会也离不开网络,我们的国家和世界的发展都离不开网络,我们的国家安全、社会稳定和国民经济的发展离不开网络,世界的和平和发展已离不开网络。而现在各种违法行为、相关的网络战部队和言论已影响我们国家安全和世界发展,在这样的环境趋势下,本站在民间热爱和平的有志之士的自发组织下,融入虚拟的松散的热爱和平的群体人员,成立了民间自发组织的网络主动防御分队(AD分队),为我们的网络家园作贡献。
我们不是个人,也不是部队,网络主动防御事业不是靠一个公司或者一个黑客就能完成的,而是靠我们广大的爱好和平和提倡网络和谐文化的发展的有志之士共同来维护我们的网络家园。需要我们全社会的人员共同的参与呵护。
因此,我们需要广大的网络安全人才、网络管理人才和爱好和平的公民来共同维护和呵护我们的网络家园,谁想利用网络从事一切不轨活动;谁想破坏我们温馨的网络家园,我们AD战士就要站出来阻止一切破坏性行为,众志成诚,维护我们共同网络家园,成为网络安全的守护者。
[size=4][color=darkorange]我们期待你的加入![url=http://www.cnad110.com/]http://www.cnad110.com[/url][/color][/size]
[size=4][color=darkorange]我们期待你的加入![url=http://www.cnad110.com/]http://www.cnad110.com[/url][/color][/size]
[size=5][color=blue]最新最权威的网络安全门户—AD网 [/color][/size]
[size=5][color=blue][/color][/size][url=http://www.cnad110.com/][size=5][color=blue]http://www.cnad110.com[/color][/size][/url]
[size=6][color=magenta]急需!!网络安全论坛版主有偿招聘!!
详情请点击:[/color][/size][url=http://bbs.cnad110.com/][size=6][color=magenta]http://bbs.cnad110.com[/color][/size][/url]
cnad110 2008-6-25 14:48
:victory: :hug: :victory: :kiss: :victory:
