通过特定软件和工具,从计算机及网络系统中提取攻击证据
(一)证据信息分类
依据证据信息变化特点 | 分类 | 说明 |
实时信息或易失信息 | 如内存和网络连接 | |
非易失信息 | 不会随设备断电而丢失 |
(二)证据或证据关联信息
分类 | 说明 | |
1 | 日志 | 操作系统日志、网络访问日志等 |
2 | 文件 | 操作系统文件大小、文件内容、文件创建日期、交换文件等 |
3 | 系统进程 | 进程名、进程访问文件等 |
4 | 用户 | 在线用户服务时间、使用方式等 |
5 | 系统状态 | 系统开放服务及网络运行模式等 |
6 | 网络通信连接记录 | 网络路由器运行日志等 |
7 | 磁盘介质 | 包括硬盘、光盘、USB等,特别是磁盘隐藏空间 |
(三)取证步骤
步骤 | 说明 | |
1 | 取证现场保护 | 保护受害系统或设备完整性,防止证据信息丢失 |
2 | 识别证据 | 识别可获取证据信息类型,应用适当获取技术与工具 |
3 | 传输证据 | 将获取的信息安全传送到取证设备 |
4 | 保存证据 | 存储证据,并确保存储数据与原始数据一致 |
5 | 分析证据 | 将有关证据关联分析,构造证据链,重现攻击过程 |
6 | 提交证据 | 向管理者、律师或者法院提交证据 |
(四)取证技术与工具
过程 | 说明 | 典型工具 | |
1 | 证据获取 | 从受害系统获取原始证据数据 常见证据:系统时间、配置信息、关键系统文件、用户信息、垃圾箱文件、网络访问记录、恢复己删除文件、系统日志等 | ipconfg、ifconfig、netstat、fport、lsof、date、time、who、ps、TCPDump等 |
2 | 证据安全保护 | 保护受害系统证据完整性及保密性,防止被破坏或非法访问 | md5sum、Tripwire保护证据完整性;PGP加密电子邮件 |
3 | 证据分析 | 用于分析受害系统的证据数据 技术方法: ①关键词搜索 ②可疑文件分析 ③数据挖掘 | ①利用grep、find搜索日志中攻击记录; ②使用OllyDbg、GDB、strings分析可疑文件; ③对tracert、IDS报警数据和IP数据关联分析,定位攻击源 |