Got from http://www.ibm.com/developerworks/cn/linux/l-cn-cf/index.html?ca=drs-
随着计算机取证越来越成为国内外技术领域关注的焦点,计算机取证以及相关产品也在相关企业中发展迅速。计算机取证是从西方传来的词汇,最早就是 Computer Forensics 中国大陆地区有的技术专家叫做计算机取证。计算机取证的定义:计算机取证也称计算机法医学,它是把计算机看作是犯罪现场,运用先进的辨析技术,对电脑犯罪行为进行法医式的解剖,搜寻确认罪犯及其犯罪证据,并且据此提起诉讼。
电子物证与传统证据取证的对比:
不同点:传统证据的取证一般是犯罪过程终止后进行,凶杀、强奸、爆炸、纵火案件。电子物证的取证有时需要在犯罪正在实施的过程中进行,如黑客攻击等。电子物证挥发、变化较快,如正在运行系统中内存、寄存器中的数据,时刻都在发生变化,提取时较困难。传统证据存留时间较长(当然是现场不受到破坏的情况下)。电子物证在法庭上举证时容易受到质疑,所以取证时必须采取一定的技术手段或方法保证证据源的真实、可靠。传统证据不会受到质疑。电子物证取证难度大,涉及计算机、通信、网络等多种技术。
相同点:与许多传统证据取证一样,需要借助专门的工具、方法提取,如指纹、鞋印等也必须借助显现、灌模等方法才能辨认、提取和分析。电子数据依附于电子设备或电子设备的介质中,仅靠肉眼难以辨认,必须借助专门的工具,人们才能解读其含义。
计算机取证的步骤如图 1。
图 1. 计算机取证的步骤
1. 保护现场和现场勘查
现场勘查是取证的第一步,这项工作可为下面的环节打下基础。冻结目标计算机系统,避免发生任何的改变、数据破坏或病毒感染。绘制犯罪现场图、网络拓朴图,在移动或拆卸任何设备之前都要拍照存档,为今后模拟和犯罪现场还原提供直接依据。
2. 询问当事人
现场勘察同时,取证人员应依据案情对主要当事人进行询问,以了解案件发生前后的情况。包括计算机运行状态,有什么异常现象,做过那些操作等,询问时注意不要泄露与案件有关的情况,因为当事人也许就是犯罪嫌疑人。
3. 进行来源追踪
传统计算机取证步骤是静态的,事件发生后对目标系统的静态分析。随着计算机犯罪技术手段的升级,这种静态的分析已经无法满足要求。可以通过将计算机取证与入侵检测等网络安全工具和网络体系结构技术相结合,进行动态取证。
4. 证据提取复制数据
驱动器精确复制,不仅能获得所有文件,且包括所有的已被删除或隐藏的文件、未分配区域、磁盘闲散空间等(如果做数据恢复,需采用克隆方式)
5. 提交结果
打印对目标计算机系统的全面分析和追踪结果,然后给出分析结论,并给出专家证明,以证据的形式按照合法的程序提交给司法机关。
建立一个规范且有利于实务操作的基于 Linux 系统的计算机取证标准体系,对计算机取证的人员和工具、证据的收集、证据的包装和运输、证据的分析、证据的审查和证据的出示等方面均做较详细的标准规定。由于篇幅有限,下面仅列出基于 Linux 系统的计算机证据收集标准流程如图 2 。
图 2. 证据收集标准流程
计算机取证过程中要用到很多工具 , 目前可用的取证工具也比较多 , 根据取证工具的功能 , 主要可以将取证工具分为三大类 : 第一类是实时响应工具 , 第二类是取证复制工具 , 第三类是取证分析工具 ? 近年来 Linux 系统的发展势头非常迅猛 , 用户日益增多 , 了解 Linux 环境下的计算机取证工具具有非常重要的意义 ?目前 Linux 环境下的取证工具也有不少 , 有兴趣的读者可参阅网址http://www.opensourceforensics.org/tools/unix.html ?本文主要介绍 Linux 环境下的两个主要取证工具 : guymager、pyflag?
计算机取证时需要为计算机生成一个位镜像拷贝 , 这需要在系统还在运行的时候,或至少要在系统关闭之前进行。“位镜像拷贝”是指对硬件驱动器上每一位进行拷贝,它不考虑操作系统是如何解析这些位的,所以它不是对每一个文件的拷贝。因为位镜像拷贝包含了一些被删除了的数据和文件的分段,而这些分段是被操作系统隐藏的,所以位镜像拷贝比文件级的镜像拷贝更优越。在生成一个磁盘的镜像并将其通过网络存放在另一台电脑的过程中,你仅仅需要两个工具:通用的 GNU/Linux 工具 dd/dcfldd。guymager 是将 dd 与 dcfldd 命令转换为图形化接口,方?取证人员及事件恢复人员建?镜像,但其只支持 Linux 系统;使用者可选择?用 dd 或是 dcfldd ?制作镜像、可透过 MD5 或是 SHA-1 ?验证镜像、镜像可?用 gzip/bzip2 进?压缩等。guymager(http://sourceforge.net/projects/guymager)可以在官方主页下载使用。
在终端使用 guymager 命令启动,首先选择源设备或文件,它可以是一个特定的驱动器 / 分区。 这里我选择一个驱动器作为源文件。下一步选择目标设备 / 文件,我们将选择一个分区如图 3。
图 3. 选择源驱动器
在选项栏目您可以选择是否使用压缩、散列方法否想验证哈希等如图 4。
图 4. 设置选项
最后按“Ok”按钮开始工作,guymager 工作完成界面如图 5。
图 5. guymager 工作完成界面
图 5 的状态窗口会显示一个详细的记录摘要。 在这里您可以查看数据文件大小和哈希验证结果 。
PyFlag 是一个使用 python 语言编写电子取证工具软件。PyFlag 工作流程如图 6。
图 6. PyFlag 工作流程
安装 PyFlag
PyFlag 安装比较困难,特别是对于 Linux 初级用户。首先要建立一个完整的 AMP 环境,另外 python 语言软件包也要完整安装。
# apt-get install darcs automake autoconf libtool build-essentials python-dev libz-dev libmagic-dev python-mysqldb python-imaging python-pexpect python-dateutil python-urwid libgeoip-dev libjpeg62-dev |
然后下载 PyFlag 源代码安装。
使用 PyFlag
使用终端运行 PyFlag 命令启动程序,当 PyFlag 开始运行后,你不能关闭终端,因为 PyFlag 进程是作为终端的一个子进程在运行的,如果关闭终端的话,PyFlag 进程也将终止运行。现在使用浏览器打开 http://127.0.0.1:8000,此时开始显示下面的 PyFlag 界面如图 7。
图 7. PyFlag 工作界面
PyFlag 界面包括如下部分:
Case Management :案件管理
Load Data :加载数据
Configuration :配置 PyFlag
Disk Forensics :磁盘取证
Keyword Indexing :关键字搜索
Log Analysis :日志分析
Network Forensics :网络取证
Preview :预览
Test :生成取证报告
开始工作前可以对 PyFlag 进行配置如图 8 。
图 8. 对 PyFlag 进行配置
单击“New Case”,开始使用 PyFlag。下面添加磁盘或者分区的镜像文件完整路径,如 /tmp/c3,接下来选择映像文件是类型 ( 磁盘或扇区 ),如图 9 。
图 9. 映像文件是类型 ( 磁盘或扇区 )
然后按“Submit”按钮即成功加入镜像。然后系统会分析这个虚拟文件系统(VFS)如图 10。
图 10. 分析这个虚拟文件系统(VFS)
VFS 是一种软件机制,也许称它为 Linux 的文件系统管理者更确切点,与它相关的数据结构只存在于物理内存当中。所以在每次系统初始化期间,Linux 都首先要在内存当中构造一棵 VFS 的目录树 ( 在 Linux 的源代码里称之为 namespace),实际上便是在内存中建立相应的数据结构。VFS 目录树在 Linux 的文件系统模块中是个很重要的概念。还可以通过点击具体的单个文件查看详细情况包括被删除的文件,如图 11 。
图 11. 通过点击具体的单个文件查看详细情况包括被删除的文件
也可以使用 Download 按钮下载文件详细清单到本地,文件格式是 csv。最后可以把分析结果生成一个报表图 12 是报表选项。
图 12. 报表选项
本文简单介绍了 guymager、PyFlag 两个 Linux 取证工具的使用。需要说明的是 pyflag 功能非常强大除了本文介绍的对文件系统进行取证外,还可以进行日志分析,网络取证(包括分析域名解析、电子邮件取证、网络浏览历史取证、FTP 传输取证、MSN 聊天记录取证)。本文操作平台是 Ununtu10.10 。
由于公司网络上拥有的珍贵资源,许多不法分子总是想方设法寻找漏洞,潜入系统作一些不法勾当。作为单位的安全工作人员需要时刻关注其单位是否遭受了损害或攻击。但有些损害或攻击是清楚可见的,而有些攻击却留下很少痕迹。作为安全工作人员善于利用一些取证工具显得尤为重要。借助开源工具,我们就可以用较低的成本完成重要的取证工作。
扫一扫
1097
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
