關於黑客入侵網路的證據收集與分析

如果有未經授權的入侵者入侵了你的網路，且破壞了資料，除了從備份系統中恢復資料之外，還需要做什麼呢?

從事網路安全

工作的人都知道，黑客

在入侵之後都會想方設法抹去自己在受害系統上的活動記錄。目的是逃脫法律的制裁。

而許多企業也不上報網路犯罪，其原因在於害怕這樣做會對業務運作或企業商譽造成負面影響。他們擔心這樣做會讓業務運作因此失序。更重要的是收集犯罪證據有一定困難。因此，cio們應該在應急響應系統的建立中加入計算機犯罪證據的收集與分析環節。

什麼是「計算機犯罪取證」?

計算機取證又稱為數字取證或電子取證，是指對計算機入侵、破壞、欺詐、攻擊等犯罪行為利用計算機軟硬體技術，按照符合法律規範的方式進行證據獲取、儲存、分析和出示的過程。從技術上，計算機取證是乙個對受侵計算機系統進行掃瞄和破解

，以及對整個入侵事件進行重建的過程。

計算機取證包括物理證據獲取和資訊發現兩個階段。物理證據獲取是指調查人員到計算機犯罪或入侵的現場，尋找並扣留相關的計算機硬體;資訊發現是指從原始資料(包括檔案，日誌等)中尋找可以用來證明或者反駁的證據，即電子證據。

除了那些剛入門的「毛小子」之外，計算機犯罪分子也會在作案前周密部署、作案後消除蛛絲馬跡。他們更改、刪除目標主機的日誌檔案，清理自己的工具軟體，或利用反取證工具來破壞偵察人員的取證。這就要求我們在反入侵的過程中，首先要清楚我們要做什麼?然後才是怎麼做的問題。

物理取證是核心任務

物理證據的獲取是全部取證工作的基礎。獲取物理證據是最重要的工作，保證原始資料不受任何破壞。無論在任何情況下，調查者都應牢記5點:(1)不要改變原始記錄;(2)不要在作為證據的計算機上執行無關的操作;(3)不要給犯罪者銷毀證據的機會;(4)詳細記錄所有的取證活動;(5)妥善儲存得到的物證。如果被入侵的計算機處於工作狀態，取證人員應該設法儲存盡可能多的犯罪資訊。

要做到這5點可以說困難重重，首先可能出現的問題就是無法保證業務的連續性。由於入侵者的證據可能存在於系統日誌、資料檔案、暫存器、交換區、隱藏檔案、空閒的磁碟空間、印表機快取、網路資料區和計數器、使用者程序儲存器、檔案快取區等不同的位置。由此看見，物理取證不但是基礎，而且是技術難點。

通常的做法是將要獲取的資料報括從記憶體裡獲取易滅失資料和從硬碟獲取等相對穩定資料，保證獲取的順序為先記憶體後硬碟。案件發生後，立即對目標機和網路裝置進行記憶體檢查並做好記錄，根據所用作業系統

的不同可以使用的記憶體檢查命令對記憶體裡易滅失資料獲取，力求不要對硬碟進行任何讀寫操作，以免更改資料原始性。利用專門的工具對硬碟進行逐扇區的讀取，將硬碟資料完整地轉殖出來，便於今後在專門機器上對原始硬碟的映象檔案進行分析。

「計算機法醫」要看的現場是什麼？(日誌)

有的時候，計算機取證(computer forensics)也可以稱為計算機法醫學，它是指把計算機看作是犯罪現場，運用先進的辨析技術，對電腦犯罪行為進行法醫式的解剖，搜尋確認罪犯及其犯罪證據，並據此提起訴訟。好比飛機失事後，事故現場和當時發生的任何事都需要從飛機的「黑匣子」中獲取。說到這裡您可能就猜到了，計算機的黑匣子就是自身的日誌記錄系統。從理論上講，計算機取證人員能否找到犯罪證據取決於:有關犯罪證據必須沒有被覆蓋;取證軟體必須能找到這些資料;取證人員能知道這些檔案，並且能證明它們與犯罪有關。但從海量的資料裡面尋找蛛絲馬跡是一件非常費時費力的工作，解決這一難題方法的就是切入點，所以說從日誌入手才是最直接有效的手段。

這裡還需要指出，不同的作業系統

都可以在「event viewer security」(安全事件觀察器)中能夠檢查到各種活動和日誌資訊，但是自身的防護效能都是非常低，一旦遭受到入侵，很容易就被清除掉。從中我們可以看到，專業的日誌防護與分析軟體在整個安全產品市場中的地位之重，無需置疑。

關於黑客入侵網路的證據收集與分析

網路安全解析黑客網路入侵方法與一般步驟

關於openstack 網路相關的文章收集

網路上收集的mantis 與bugfree 的比較

關於黑客入侵網路的證據收集與分析

網路安全解析 黑客網路入侵方法與一般步驟

關於openstack 網路相關的文章收集

網路上收集的mantis 與bugfree 的比較

相關推薦

網路安全解析黑客網路入侵方法與一般步驟