HW:證據收集
HW:證據收集
網絡取證是指捕獲、記錄和分析網絡事件以發現安全攻擊或其他的問題事件的來源。
1、靜態數據獲取
在現場勘查時,網絡安全應急小組可能遇到各種存儲介質(計算機硬盤、移動硬盤、U盤、數碼存儲卡等)。如遇到存儲介質載體未通電或系統軟件暫時不會對介質進行寫入操作,那么此時其存儲的電子數據是保持不變的,常稱其存儲電子數據為靜態電子數據。
存儲于未通電介質中的靜態電子數據,通常需借助專業的取證設備來進行證據的獲取。常用靜態數據獲取方法有3種。
(1)寫保護設備+磁盤鏡像工具
采用寫保護設備(只讀鎖)對原始介質進行保護,避免數據被破壞或篡改。通常需要使用只讀鎖寫保護設備,并配合使用專門的鏡像制作工具(如EnCase Imager、FTK Imager、取證大師等)對原始介質進行精確的鏡像。
(2)硬盤復制設備
采用硬盤復制機設備將源硬盤的所有數據精確地復制到新的硬盤或制作為鏡像文件。國外主流的硬盤復制機有Tableau TD2/TD3、Logicube Falcon,ICS SOLO4。國內主流的硬盤復制機有DC-8811取證魔方、DC-8202高速硬盤復制機等。
(3)取證光盤系統
采用專門定制的取證引導系統(U盤或光盤)來啟動計算機,并借助光盤系統中提供的工具對原始硬盤進行精確的數據鏡像。該方式不需要將計算機中內置的硬盤拆卸下來。國外流行的取證光盤系統有 CAINE、DEFT、WinFE、Helix、EnCase Portable,國內常見的不拆機取證工具有:美亞柏科——多通道數據獲取系統(DC-8670)、上海盤石——SafeImager等。
2、動態易丟失數據獲取
(1)屏幕畫面拍攝
在計算機現場遇到計算機正在運行,如能順利進入系統,通常需將屏幕上的畫面(如正在聊天、已打開文檔、遠程操作等行為)進行證據保全,采用數碼攝像機或數碼相機進行拍攝記錄。拍攝完的數字照片文件、視頻文件需計算文件散列值(MD5/SHA-1),并記錄到相關的表單。
(2)網絡通信數據獲取
在網絡安全事件發生的過程中,往往網絡通信數據是很重要的一部分。可能遠程入侵者還在連接受控的計算機,也可能正在破壞計算機中的數據(例如遠程清理入侵后的痕跡)。應急響應人員應具備專業判斷能力,了解安全事件的狀況,并判斷決定是保持現有的網絡通信連接,還是及時斷開網絡,以便能較為全面獲取相關的電子證據。
常用的網絡命令行工具有:ping、tracert、netstat、nslookup、telnet,下面逐一介紹。
ping:用于測試網絡連通性,如ping 202.101.103.55。
tracert:是路由跟蹤實用程序,用于確定IP數據分組訪問目標所采取的路徑。
netstat:TCP/IP 網絡非常有用的工具,它可以顯示路由表、實際的網絡連接以及每一個網絡接口設備的狀態信息。常用的參數有netstat –an 顯示所有本地及遠程網絡連接信息。
nslookup:用于查詢 Internet域名信息或診斷DNS 服務器問題的工具,也可以查詢郵件交換記錄(MX)。
telnet:用于測試特定服務的運行狀態,如telnet 192.168.1.1 110。
常用的網絡數據抓包工具有: WireShark、IRIS、Sniffer Pro等。這里僅對WireShark做具體介紹。
WireShark是一款優秀的開源跨平臺的網絡數據包分析工具,前身為Ethereal。除了可以對網絡通信數據分組進行抓取,還可以解析豐富的通信協議,還原網絡會話內容。
WireShark抓包初始界面如圖1所示。
圖1 WireShark網絡數據抓包
WireShark抓包之后,可以查看數據分組里的實際數據,如圖2所示。
圖2 Wireshark網絡數據分組查看
利用WireShark查看TCP數據流中的數據,如圖3所示。
圖3 查看TCP數據流(Follow TCP Steam)
利用WireShark查看TCP數據流中的數據,經過識別,可以看出是一個JPG類型文件,如圖4所示。
圖4 解析出TCP數據分組中的JPG文件
(3)內存數據獲取
計算機內存是操作系統及各種軟件交換數據的區域。在內存中的數據易丟失,通常在關機后數據很快就消失。內存中臨時保存著大量的有價值信息,例如:
1)進程列表;
2)服務列表;
3)打開文件列表;
4)驅動信息;
5)網絡連接信息;
6)注冊表信息;
7)圖片/文檔信息;
8)明文密碼或密鑰;
9)即時通信信息;
10)網頁信息。
在內存獲取工具/方式上,常見的內存獲取工具有Dumpit、FTK Imager、EnCase Imager等,利用這些工具可以方便獲取計算機物理內存中的數據。這里給出 Dumpit、FTK Imager獲取內存數據的截圖畫面,如圖5和圖6所示。
圖5 Dumpit獲取物理內存
圖6 FTK Imager獲取物理內存
文章轉自公眾號: 計算機與網絡安全
