一、取證調查與應急響應的關係
• 計算機取證調查是應急響應工作展開的必
備基礎。
• 應急響應工作則是計算機取證調查能夠順
利展開的必要前提。
二、計算機與網路取證調查的關係
• 網路本身始終是計算機資訊交流的載體,
支撐網路本身的基礎支點仍然只可能是計
算機。
• 網路交換機,防火牆、入侵檢測系統(ids)
入侵保護系統(ips),最終都可以歸結為
一台計算機裝置。
繁雜的安全技術體系何處入手?
眾多的安全威脅誰最危險?
各樣的安全裝置誰最重要?
多種作業系統誰最安全?
調查的根本依據
資料的銷毀與復原
網路犯罪調查的起點——作業系統
• 終端桌面作業系統:關注病毒、木馬及系
統漏洞、弱口令。
• 伺服器作業系統:重點在應用程式的漏洞
(web應用,rdbms應用,ftp應用,郵件
應用),系統使用者的變化
調查的支點:網路裝置
• 網路裝置既是攻擊的目標,同時也是攻擊
者的跳板基石。
• 成為最終攻擊目標的可能較小,ddos服務
除外。
• 檢查的核心重點應該在當前登入使用者、路
由表和arp表
調查的重點:防火牆與ids
防火牆的不可隱藏性:黑客會使用隨機端
口、分散位址進行掃瞄繞過防火牆規則,
避免報警,日誌凌亂。
• ids的旁路接入位置:
防火牆之前——外部入侵檢測
防火牆之後——內網入侵檢測
防火牆與ids日誌調查的思路
• 不要在一開始便企圖找到攻擊從何處由誰
發起 • 重點在找到入侵者的攻擊目標
• 要找到的不是一種攻擊模式,而是多種攻
擊模式
• 調查日誌應包含安全事件發生前至少半月
的全部內容(需日誌備份機制配合)
最終調查——超越技術(1)
• 最終黑客技術:社會工程學
• 最終調查技術:計算機犯罪行為心理學
調查人員並非缺乏技術手段和能力
而是缺乏將技術細節與案件推理結合的能力
最終調查——超越技術(2)
• 最初的問題:我們想要追查的是什麼?
網路入侵攻擊事件的本質不是技術,而是案件
我們要追查的是掌握技術的手,
是製造案件的人
最終調查——超越技術(3)
乙個誤區:站得太近,以致看不見全貌。
過份關注技術細節本身,卻忽略了細節背後的內容
技術層面的細節解讀:
避免將目光侷限在單一情報**上,應通過區域性的線索
大膽假設入侵者可能的行動軌跡,然後循著該軌跡所經
過的各個順序,調取相關的素材進行小心求證,完成事
件的完整重演。
最終調查——超越技術(4)
非技術層面的細節解讀:
1.入侵目標的價值
入侵無價值目標行為:
a.純破壞發洩(謹慎判定是發洩行為還是消除痕跡
行為)
b.取樂與炫耀行為
最終調查——超越技術(5)
• 乙個例子:
unix中的鍵盤輸入日誌
1.大量錯誤命令的輸入
2.錯誤型別的再解讀:
如mount命令,多次誤輸為mont或mout與誤
輸為mounnt型別的不同解讀
最終調查——超越技術(6)
• 另乙個例子:
webshell的命名方式的解讀
1.asp
2.exe
3.haha.bat
4.yjh.asp
最終調查——超越技術(7)
• 外圍情報的調查:
1.黑客組織
2.利益鏈條
3.嫌疑人背景情況
this is it
《iOS取證實戰 調查 分析與移動安全》一導讀
本書適用於對iphone和其他ios裝置感興趣的讀者,尤其適合那些對裝置中能恢復的儲存資料型別感興趣的讀者閱讀。移動取證的需求隨著智慧型手機的發布在驚人地增長。隨著手機的應用不再侷限於通話功能,使得通過手機進行的交流互動逐漸被資料化了。當使用者用ios裝置傳送簡訊 查收個人或工作郵件 上網 管理財務...
網路輿情監測預警與聯動應急機制
網路輿情是通過網際網路傳播的公眾對現實生活中某些熱點 焦點問題所持的有較強影響力 傾向性的言論和觀點,主要通過bbs論壇 部落格 新聞跟貼 轉貼等實現並加以強化。由於網際網路具有虛擬性 隱蔽性 發散性 滲透性和隨意性等特點,越來越多的網民樂意通過這種渠道來表達觀點 傳播思想。當今,資訊傳播與意見互動...
試論網路安全技術與網路犯罪的關聯性
一 網路安全問題與計算機資訊系統 網路安全技術不但要求防治計算機病毒,而且要提高系統抵抗黑客非法入侵的能力,還要提高對遠端資料傳輸的保密性,避免在傳輸途中遭受非法竊取。網路安全產品有以下幾大特點 第一,網路安全 於安全策略與技術的多樣化,如果採用一種統一的技術和策略也就不安全了 第二,網路的安全機制...