計算機(jī)取證技術(shù)6

1、 計算機(jī)取證技術(shù)第六章 linux系統(tǒng)取證UNIX ，是一個強(qiáng)大的多用戶、多任務(wù)操作系統(tǒng)，支持多種處理器架構(gòu)，按照操作系統(tǒng)的分類，屬于分時操作系統(tǒng)，最早由KenThompson、DennisRitchie和DouglasMcIlroy于1969年在AT&T的貝爾實驗室開發(fā)。商業(yè)版本:Solaris、AIX、HP-UX免費(fèi)操作系統(tǒng)：LINUX、OpenBSD、FreeBSD鑒于其基于網(wǎng)絡(luò)的設(shè)計，UNIX系統(tǒng)是作為Internet和小型網(wǎng)絡(luò)上的關(guān)鍵部分的理想平臺。許多電子商務(wù)網(wǎng)站、公司財務(wù)數(shù)據(jù)庫等都運(yùn)行于UNIX平臺。與與LinuxLinux的區(qū)別和聯(lián)系的區(qū)別和聯(lián)系 UNIX是一個功能強(qiáng)大

2、、性能全面的多用戶、多任務(wù)操作系統(tǒng)，可以應(yīng)用從巨型計算機(jī)到普通PC機(jī)等多種不同的平臺上，是應(yīng)用面最廣、影響力最大的操作系統(tǒng)。 Linux并不是UNIX，而是一個類似于 UNIX的產(chǎn)品，它成功的實現(xiàn)并超越了UNIX系統(tǒng)和功能，具體講Linux是一套兼容于System V以及BSD UNIX的操作系統(tǒng)，對于System V來說，目前把軟件程序源代碼拿到Linux底下重新編譯之后就可以運(yùn)行，而對于BSD UNIX來說它的可執(zhí)行文件可以直接在Linux環(huán)境下運(yùn)行。 另外兩大區(qū)別： 1） UNIX系統(tǒng)大多是與硬件配套的，而Linux則可運(yùn)行在多種硬件平臺上. 2） UNIX有些版本比如aix,hp-ux

3、是商業(yè)軟件是閉源的（不過solaris,*bsd等unix都是開源的），而Linux是自由軟件，免費(fèi)、公開源代碼的.6.1 LINUX系統(tǒng)現(xiàn)場證據(jù)獲取現(xiàn)場證據(jù)獲取的目的：保護(hù)現(xiàn)場，即保存當(dāng)前系統(tǒng)運(yùn)行狀態(tài)。凡是涉及計算機(jī)系統(tǒng)當(dāng)前狀態(tài)的數(shù)據(jù)都是收集的目標(biāo)。在現(xiàn)場收集的數(shù)據(jù)應(yīng)該優(yōu)先考慮揮發(fā)性數(shù)據(jù)。要完全收集一臺計算機(jī)的狀態(tài)是不可能的。僅僅是檢查高度易揮發(fā)的數(shù)據(jù)這種行為都會改變計算機(jī)的狀態(tài)。在系統(tǒng)的主存中查找字符串驗證在LINUX上數(shù)據(jù)的易揮發(fā)性，使用下面的命令：#grep abasasdc /dev/mem binary file /dev/mem matches/dev/mem 是一個特殊的設(shè)備文

4、件，對它的訪問其實是對主存進(jìn)行訪問，類似的，虛擬存儲器可以通過/dev/kmem 來訪問日期、時間等基本的信息可以首先收集起來獲取現(xiàn)場證據(jù)1.屏幕信息2.內(nèi)存信息3.網(wǎng)絡(luò)聯(lián)接狀態(tài)4.正在運(yùn)行的進(jìn)程6.1.1 屏幕信息所有的UNIX版本都已經(jīng)標(biāo)準(zhǔn)化了窗口操作標(biāo)準(zhǔn)-X Windows。它是一個網(wǎng)絡(luò)系統(tǒng)，允許正在運(yùn)行的進(jìn)程把它們的窗口顯示在對用戶來說最方便的任何工作站上。X Windows的轉(zhuǎn)儲命令xwd能夠轉(zhuǎn)儲一個單獨的窗口或者整個屏幕。#xwd display localhost:0 root screen.xwd#xwud in screen.xwdxwd 命令提供了 -root 選項，可以用

5、它通過捕獲 X Window 系統(tǒng)根窗口捕獲整個屏幕，X Window 系統(tǒng)根窗口是包含顯示的所有其他 X Window 系統(tǒng)窗口和對話框的全屏窗口。下面的命令捕獲整個屏幕并把它寫到 full-screen.xwd 文件中： wd -root -out full-screen.xwd X-Window環(huán)境下截圖用X-Window中的截圖工具 xwd與xwud是X-Window中自帶的截圖工具。xwd是一個非常傳統(tǒng)的屏幕截圖軟件，它可以截取程序窗口和全屏圖像。xwud是X11圖形工具客戶程序，可以用它來顯示由xwd程序創(chuàng)建的圖形文件。這兩個程序包含在X-Window的標(biāo)準(zhǔn)發(fā)布版中。截取圖像的方法

6、如下: #xwd myscreen.xwd 查看圖像使用如下命令： #xwud -in myscreen.xwd 實際使用中，可以用xwd結(jié)合其它圖形轉(zhuǎn)換程序直接獲得想要的輸出文件。6.1.1 內(nèi)存信息在linux上，每個東西都被當(dāng)作文件來對待，這使復(fù)制和保存系統(tǒng)存儲器的內(nèi)容變得容易。實例假定在一個文件系統(tǒng)中有一個具有很大自由空間的數(shù)據(jù)收集系統(tǒng)步驟一：在數(shù)據(jù)收集系統(tǒng)上設(shè)置兩個監(jiān)聽netcat進(jìn)程：#nc l p 10005suspect.mem.images &#nc l p 10006suspect.kmem.images &步驟二從受嫌疑的機(jī)器上復(fù)制內(nèi)存：#dd bs=10

7、24 /dev/mem l nc 10005 w 332678 +0 records in32678 +0 records out#dd bs=1024 /dev/mem l nc 10005 w 322 +0 records in22 +0 records out注意：當(dāng)復(fù)制高度異變的對象時，如系統(tǒng)的內(nèi)存，是不可能驗證其準(zhǔn)確性的。6.1.3 網(wǎng)絡(luò)連接使用netstat命令來捕獲正在進(jìn)行中的網(wǎng)絡(luò)活動的信息。在典型的linux系統(tǒng)內(nèi)，大多數(shù)的網(wǎng)絡(luò)連接是能兼容X Windows的。即使只是在本地運(yùn)行，X Windows也要使用網(wǎng)絡(luò)機(jī)制。在LINUX中

8、，使用-p選項來顯示與特定的網(wǎng)絡(luò)連接相關(guān)的進(jìn)程。HTTP是無狀態(tài)的，因為這些連接都具有很短暫的生存期，并且它們的狀態(tài)迅速地循環(huán)到FIN_WAIT狀態(tài)，然后到CLOSE_WAIT狀態(tài)。同時，HPPT連接還提供了正在連接的機(jī)器的名字。當(dāng)netstat不能夠在本地的/etc/hosts中查找到這些機(jī)器名時，它會嘗試一下反向DNS查詢，以確定與IP地址相關(guān)的主機(jī)名。6.1.4正在運(yùn)行的進(jìn)程LINUX提供了許多工具，這些程序能夠提供關(guān)于所有運(yùn)行進(jìn)程的信息，或者提供關(guān)于特定運(yùn)行進(jìn)程的細(xì)節(jié)。在捕獲正在運(yùn)行的機(jī)器狀態(tài)時，主要的一個任務(wù)就是收集一份所有運(yùn)行進(jìn)程的列表，以及一份所有打開文件的列表。/proc目錄是

9、一個偽文件系統(tǒng)，它為/dev/kmem提供一個結(jié)構(gòu)化的接口，便于系統(tǒng)診斷并查看每一個正在運(yùn)行的可執(zhí)行文件的環(huán)境。在內(nèi)存中的每一個進(jìn)程在/proc中都有一個目錄，按它的進(jìn)程ID來命名?？梢酝ㄟ^/proc來完善收集到的進(jìn)程列表信息。6.2 linux中計算機(jī)證據(jù)獲取6.2.1 文件系統(tǒng)6.2.2日志文件6.2.3其它信息源6.2.4數(shù)據(jù)恢復(fù)6.2.1 文件系統(tǒng)目錄在LINUX的文件系統(tǒng)中發(fā)揮很重要的作用，它比Windos的目錄要簡單的多，只包括文件名的列表和文件的索引節(jié)點號。每個文件都在索引節(jié)點表里有相關(guān)項，它包括除文件名外的所有與文件相關(guān)的信息，這些項可以通過索引節(jié)點號訪問。索引節(jié)點包含了一個文

10、件除去文件名以外的所有信息。一個索引節(jié)點占用128字節(jié)的磁盤空間。索引結(jié)點包含的信息文件類型：普通文件、目錄、塊設(shè)備文件、字符設(shè)備文件、鏈接等文件權(quán)限：讀、寫、執(zhí)行權(quán)限的組合文件的硬鏈接數(shù)文件所有者的用戶ID文件所屬的組ID文件大?。ㄗ止?jié)數(shù)）一個包含有15個磁盤塊地址的數(shù)組文件最近的訪問時間和日期文件最后一次修改的日期和時間文件創(chuàng)建的日期和時間LINUX所有文件均存放于目錄中，目錄本身也是一個文件。目錄存放文件的機(jī)制：1.目錄本身也和普通文件一樣，占用一個索引節(jié)點2.由這個索引節(jié)點得到目錄內(nèi)容的存放位置3.從其內(nèi)容中取出一個個的文件名和它對應(yīng)的節(jié)點號，從而訪問一個文件目錄結(jié)構(gòu)：索引節(jié)點號（2字

11、節(jié)）.（本目錄）（14字節(jié)）索引節(jié)點號（2字節(jié)）.（父目錄）（14字節(jié)）索引節(jié)點號（2字節(jié)）文件名 （14字節(jié)）索引節(jié)點號（2字節(jié)）文件名 （14字節(jié)）由上可知，文件名是依靠目錄來描述的，文件的內(nèi)容和其它信息則由索引節(jié)點來描述。在對文件的調(diào)查過程中，應(yīng)該重點分析這些索引節(jié)點以及其中的內(nèi)容。任何應(yīng)用都會在磁盤上留下痕跡，有的直接在臨時文件中留下，有的通過交換空間間接留下。在另外的一臺計算機(jī)上使用所保存的文件系統(tǒng)的映像有兩種方式：1.把映像復(fù)制進(jìn)一個與該映像具有相同大小的分區(qū)內(nèi)。首先使用dd把這個分區(qū)清除干凈，然后使用dd把這個映像復(fù)制到該分區(qū)上。2.把這個映像文件復(fù)制進(jìn)一個足夠大的能夠容納它的文

12、件系統(tǒng)中，然后把驅(qū)動映像文件作為一個文件系統(tǒng)來加載。Redhat LINUX的缺省配置在/dev中具有一系列的回送設(shè)備，使同時安裝多個文件系統(tǒng)映像變得很方便。#mkdir /mnt/suspecthost#mount t ext2 o ro,loop=/dev/loop0 suspect.hdb5.image /mnt/suspecthost如果有一個DOS文件系統(tǒng)的映像，也可以使用下面這種方法來訪問它：#mkdir /mnt/suspecthost2#mount t dos o ro,loop=/dev/loop1 suspect.dos.image /mnt/suspecthost26.2

13、.2日志文件logon和logoff或LINUX系統(tǒng)的任意事件都可以在一個或多個系統(tǒng)日志文件中產(chǎn)生記錄。lastlog文件中的記錄可以通過lastlog命令進(jìn)行查看 last命令可以用來查看wtmp和utmp文件中的記錄。日志文件的詳細(xì)程度各不相同，取決于日志記錄機(jī)制是如何配置的。LINUX系統(tǒng)可以配置為記錄每個用戶賬號、記錄該賬號執(zhí)行的命令，或者通過Solaris系統(tǒng)的BSM（基本安全模塊）進(jìn)行記錄。系統(tǒng)日志、登錄日志、http日志、進(jìn)賬日志系統(tǒng)日志系統(tǒng)日志可能是最有價值的系統(tǒng)活動的信息源。如果滿足下面兩個條件，日志記錄對取證會很有用。1.日志記錄功能是激活的，而且記錄必須足夠詳細(xì)。2.記錄

14、必須是完整的。在信息量的記錄方面，syslog兼容的進(jìn)程通常有較大的靈活性。檢查一個系統(tǒng)的時候，查閱一下etc/syslog.conf，看看對每一個系統(tǒng)服務(wù)，日志記錄機(jī)制是怎樣設(shè)置的，日志信息被送到什么地方。syslog的主要的弱點就是它缺少認(rèn)證服務(wù)。制造假的系統(tǒng)日志很容易。如何進(jìn)行日志檢查？對日志可疑情況的分析日志丟失 日志在預(yù)期時間之后開始 日志的第一個記錄的時間信息一段時間內(nèi)沒有日志 有缺口的區(qū)域丟失的日志記錄 使用其它方法來推測日志記錄應(yīng)該已經(jīng)產(chǎn)生了特殊時間的異?；顒硬幻鱽碓吹牡卿?來自該組織范圍外部的登錄失敗的登錄失敗或者未經(jīng)授權(quán)地使用su 為了獲得根權(quán)限，攻擊者會用到su命令試圖訪

15、問/etc/passwd 有散列化的口令文件，攻擊者就能夠破解口令來自網(wǎng)絡(luò)服務(wù)的錯誤 某個網(wǎng)絡(luò)服務(wù)已經(jīng)被用于獲取對系統(tǒng)的訪問權(quán)過大的日志 企圖利用緩沖區(qū)溢出的漏洞登錄日志在LINUX系統(tǒng)中，登錄進(jìn)程對每個控制臺登錄、遠(yuǎn)程登錄、X會話、rsh的使用、FTP等會話維護(hù)一個記錄為了適應(yīng)不同的目的，該記錄分散在三個不同的文件里。這些登錄日志在所有的UNIX平臺上都按照相同的方法使用。三種linux系統(tǒng)下的登錄日志：/var/log/utmp /var/log/wtmp /var/log/lastlog幾種利用日志來報告用戶活動的工具：last lastlog who wX會話 在人機(jī)交互，會話管理是保

16、持用戶的整個會話活動的互動與計算機(jī)系統(tǒng)跟蹤過程。會話管理分類：桌面會話桌面會話管理、瀏覽器會話管理、管理、瀏覽器會話管理、WebWeb服務(wù)器的會話管理服務(wù)器的會話管理（通常指的SESSION以及COOKIE）。 在X Window系統(tǒng)中，X會話管理器是一個會話管理程序，這個程序能夠保存和恢復(fù)一組程序的當(dāng)前運(yùn)行狀態(tài)。在Linux操作系統(tǒng)中，很多操作都是有可能的，其中包括可以同時運(yùn)行兩個圖形化桌面。在OS X或者Windows操作系統(tǒng)中，如果想讓其它用戶使用你的桌面，或者想同時使用兩個不同的圖形用戶界面，那么你必須使用到“用戶轉(zhuǎn)化開關(guān)（user switching）”，這將會臨時終止一個桌面而進(jìn)入

17、到另一個桌面。 桌面會話管理器是一個程序，可以保存和恢復(fù)桌面會話。桌面會話是所有正在運(yùn)行的窗口和當(dāng)前的內(nèi)容。會話管理器基于Linux系統(tǒng)是由X會話管理器。在Microsoft Windows系統(tǒng)，沒有會話管理器包含在系統(tǒng)中。會話管理是由第三方提供類似twinsplay第三方應(yīng)用程序。 從X X會話管理器會話管理器的角度來看，一個會話是指給定時間的桌面狀態(tài)：一組窗口以及它當(dāng)前的內(nèi)容。更精確的說，一個會話是一組管理窗口或與窗口有關(guān)的客戶端以及允許這些程序恢復(fù)所需窗口的相關(guān)信息。 使用會話管理器最顯著的效果是再次登錄進(jìn)入時所有窗口和狀態(tài)與登出時完全一致。rsh是“remote shell”（遠(yuǎn)程 s

18、hell）的縮寫，該命令在指定的遠(yuǎn)程主機(jī)上啟動一個shell并執(zhí)行用戶在rsh命令行中指定的命令；如果用戶沒有給出要執(zhí)行的命令，rsh就用rlogin命令使用戶登錄到遠(yuǎn)程機(jī)上。rshrsh配置過程配置過程FTP（File Transfer Protocol, FTP）是TCP/IP網(wǎng)絡(luò)上兩臺計算機(jī)傳送文件的協(xié)議，F(xiàn)TP是在TCP/IP網(wǎng)絡(luò)和INTERNET上最早使用的協(xié)議之一，它屬于網(wǎng)絡(luò)協(xié)議組的應(yīng)用層。FTP客戶機(jī)可以給服務(wù)器發(fā)出命令來下載文件，上載文件，創(chuàng)建或改變服務(wù)器上的目錄。HTTP日志如果檢查的是一個Web服務(wù)器，應(yīng)該檢查http日志。許多常見的web攻擊都會在http日志中留下非常明

19、顯的痕跡。使用grep命令，尋找奇怪的URL的證據(jù)。它們可能被用來獲取超級用戶或者shell的訪問權(quán)限。例如，用字符串“passwd”做一次grep檢索，可能返回一份所有收集/etc/passwd的企圖。許多常見的Web攻擊在http日志中都會留下非常明顯的痕跡。進(jìn)程記賬進(jìn)程記賬最初用作建立進(jìn)賬記錄來生成內(nèi)部的賬單，而現(xiàn)在的主要目的是安全。運(yùn)行進(jìn)程記賬所要求的系統(tǒng)資源較低，但卻能提供一份有用的系統(tǒng)活動的記錄。記賬程序維護(hù)了一份詳細(xì)的關(guān)于每個被調(diào)用的進(jìn)程的記錄，它追蹤時間、二進(jìn)制文件名稱和調(diào)用該進(jìn)程的用戶。在unix系統(tǒng)下，記賬文件一般放置在/var/adm/pact /var/adm/acct

20、 /var/adm/pacct 閱讀這些文件的命令是acctcom或lastcomm默認(rèn)情況下，linux系統(tǒng)并沒有運(yùn)行進(jìn)程記賬程序，因此，要使用記賬記錄需要預(yù)先配置。linux grep命令1.1.作用作用Linux系統(tǒng)中g(shù)rep命令是一種強(qiáng)大的文本搜索工具，它能使用正則表達(dá)式搜索文本，并把匹 配的行打印出來。grep全稱是Global Regular Expression Print，表示全局正則表達(dá)式版本，它的使用權(quán)限是所有用戶。2.2.格式格式 grep options3 3. .options主要參數(shù)：c：只輸出匹配行的計數(shù)。I：不區(qū)分大 小寫(只適用于單字符)。h：查詢多文件時不顯

21、示文件名。l：查詢多文件時只輸出包含匹配字符的文件名。n：顯示匹配行及 行號。s：不顯示不存在或無匹配文本的錯誤信息。v：顯示不包含匹配文本的所有行。pattern正則表達(dá)式主要參數(shù)： 忽略正則表達(dá)式中特殊字符的原有含義。：匹配正則表達(dá)式的開始行。$: 匹配正則表達(dá)式的結(jié)束行。：到匹配正則表達(dá)式的行結(jié)束。 ：單個字符，如A即A符合要求 。 - ：范圍，如A-Z，即A、B、C一直到Z都符合要求 。：所有的單個字符。* ：有字符，長度可以為0。grepgrep命令使用簡單實例命令使用簡單實例$ grep test d*顯示所有以d開頭的文件中包含 test的行。$ grep test aa bb

22、cc顯示在aa，bb，cc文件中匹配test的行。$ grep a-z5 aa顯示所有包含每個字符串至少有5個連續(xù)小寫字符的字符串的行。$ grep w(es)t.*1 aa如果west被匹配，則es就被存儲到內(nèi)存中，并標(biāo)記為1，然后搜索任意個字符(.*)，這些字符后面緊跟著 另外一個es(1)，找到就顯示該行。如果用egrep或grep -E，就不用”號進(jìn)行轉(zhuǎn)義，直接寫成w(es)t.*1就可以了。6.2.3其它信息源賬號信息 被攻擊系統(tǒng)上的口令文件往往顯示篡改的信息未經(jīng)授權(quán)的信任關(guān)系不可見的文件和目錄 #find . type d name *.* -print0|cat -A/tmpcr

23、ontab和at任務(wù) crontab定時運(yùn)行程序/dev中非專用的文件在用戶目錄下的可執(zhí)行文件內(nèi)核轉(zhuǎn)儲文件shell和應(yīng)用程序歷史內(nèi)存轉(zhuǎn)儲是用于系統(tǒng)崩潰時，將內(nèi)存中的數(shù)據(jù)轉(zhuǎn)儲保存在轉(zhuǎn)儲文件中，供給有關(guān)人員進(jìn)行排錯分析使用，（如果是個人用戶，選擇 “無”對普通用戶來說，一點用處也沒有，甚至?xí)?dǎo)致泄密）。小內(nèi)存轉(zhuǎn)儲，就是只保存內(nèi)存前64KB的基本空間數(shù)據(jù)的內(nèi)存轉(zhuǎn)儲文件。這樣可以節(jié)省磁盤空間，也方便文件的查看。 右鍵點擊“我的電腦”，選“屬性高級啟動和故障恢復(fù)設(shè)置”，打開“啟動和故障恢復(fù)”選項卡，在“寫入調(diào)試信息”下拉列表中選中“小內(nèi)存轉(zhuǎn)儲（64KB）”選項。這個概念源于UNIX系統(tǒng)，當(dāng)程序在執(zhí)行的

24、時候，由于編寫的失誤或未經(jīng)過充分的測試，程序?qū)ο到y(tǒng)構(gòu)成威脅，就可能會導(dǎo)致核心轉(zhuǎn)儲（core dump）令人摸不著頭腦。在UNIX系統(tǒng)中，常將“主內(nèi)存”（main memory）稱為核心（core），因為在使用半導(dǎo)體作為內(nèi)存材料之前，便是使用核心（core）。而核心映像（core image）就是“進(jìn)程”執(zhí)行當(dāng)時的內(nèi)存內(nèi)容。當(dāng)進(jìn)程發(fā)生錯誤或收到“信號”而終止執(zhí)行時，系統(tǒng)會將核心映像寫入一個文件，以作為調(diào)試之用，這就是所謂的核心轉(zhuǎn)儲（core dump）。6.2.4數(shù)據(jù)恢復(fù)UNIX系統(tǒng)下文件被刪除后很難恢復(fù)，這是由UNIX獨特的文件系統(tǒng)結(jié)構(gòu)決定的。UNIX文件刪除的過程很簡單，那就是釋放索引節(jié)點表和文件占用的數(shù)據(jù)塊，清空文件占用的索引節(jié)點，但不清除文件內(nèi)容。刪除文件與刪除目錄的處理不盡相同，不同命令刪除文件的過程也不相同。刪除一個文件刪除一個目錄幾種不同的刪除命令1.rm命令2.mv命令3.命令數(shù)據(jù)恢復(fù)根據(jù)磁盤現(xiàn)場進(jìn)行恢復(fù)根據(jù)內(nèi)容恢復(fù)1.關(guān)鍵字搜索法2.精確長度搜索法3.內(nèi)容關(guān)聯(lián)法4.環(huán)境比較法6.3 簡單的取證推理6.3.1 尋找關(guān)鍵字6.3.2 分析惡意的進(jìn)程6.3.3 分析未知代碼6.3.1 尋找關(guān)鍵字找到一個特定的關(guān)鍵字的文件的過程步驟一：搜索一個特定的關(guān)鍵字的出處，把整個文件系統(tǒng)作為一個文件來看待。在文件系統(tǒng)的映像上用grep檢索關(guān)鍵字在代表該設(shè)備的特殊文件上執(zhí)行搜索步