介绍
"Techniques of Crime Scene Investigation" 的序文开始:
一解决的对罪行的尤其重要的元素是科学和技术的有效使用。 科学和技术适用于犯罪行为的解决 , 或法证科学, 由协助警察调查员解决罪行识别嫌疑犯和受害人 , 清扫怀疑的无罪人而且最后地使做坏事的人受审并接受法律制裁。
科学是聚集而且分析证据的有方法的, 预先想过的行动。 技术,在计算机的情况,是计画那一组随员证据的聚集和分析的特别角色。 罪行现场是它被连接到的计算机和网络 ( 和其他的网络装置) 。
你的工作,如一个法院的调查员, 要尽全力梳头发过证据的来源 -- 磁盘推进力, 系统文件,可移去的媒体文件, 无论什么 -- 而且做二件事物:确定你保护区如它的最初形式的许多这一笔数据, 和试着再构造在一个犯罪行为期间发生并且为警察和检察官生产一个意义深长的出发点做他们的工作事件。
每个事件将会是不同的。 在一情况,你可能在计算机系统的捕获中只是协助,被执法代理分析。 在另外的一个情形中,你可能收集信息 , 文件系统 , 和第一只手来自你的组织几十个系统的观察活动的报告,跋涉经过数据的所有这一座山,而且重建一件时间期限的产生非常大的事件一张照片的事件。
除此之外,当你开始一个事件调查的时候,你不知道你所将会找的, 或哪里。 你起先可能什么也不看 (尤其如果 "rootkit" 在适当的位置)。 你可能找一个程序由于开着的网络插座跑在一个相似的系统上不出现。 你可能找分割表现 100% 利用, 但是增加事物向上由于 du 只复苏 50%. 你可能找网络浸透, 从一个单身的主人 ( 经由追踪它的以太网络住址或储存器在它的开关上的计数) 开始, 一个计画吃光 100% 的处理器 , 但是和那一个名字的文件系统的无。
在每一个这些例证中被拿的步骤可能是完全地不同的,而且一个能干的调查员将会使用经验而且弯腰驼背有关该找寻什么的事, 和如何,为了要正在继续的东西到达底部。 他们不可能必然地被跟随 1,2,3. 他们可能是方法超过是必需的。 他们可能仅仅是包括找回的计画 De- 编辑,而且包括储存器的相互关系来自多样的网络垃圾场的详细分析的开始。
而不是身为一本你跟随的 "cookbook", 考虑这技术的一个收集一个主厨使用构造传说的和独特的美食者一餐。 有学问的一次, 你将会发现有很多的较多步骤比较正直的那些列出的在这里。
它的也重要的步骤在保存和收集证据方面应该在慢慢地被做,小心地,有系统的, 和故意地。 各种不同笔的数据 -- 证据 -- 在系统上是将会发生的东西看得出故事的东西。 要回应的第一个人有确定的职责当这一种证据的一点点如可能的被损害,由此在发生的东西对意义深长的重建有助益方面使它无用。
一件事物对每调查是通常的,而且它不能够够紧张。 你在你的调查期间做的使一本一般的旧笔记本保持便利的而且小心。 这些可能对必需的生气蓬勃是你的数记忆数个月之后, 对一个接管情形的新执法代理人说相同的长故事, 或使你自己的记忆生气蓬勃当/如果它来时间在法院中证明。它也将会帮助你正确地计算回应事件,避免已经在一些最近的计算机罪行情形中被看到的可能地夸大的估计费用。 罪行该得到正义,但是正义应该是公平的和合理的。
至于技术方面,被提供在这里的基本法院的分析步骤的描述承担在 i386(任何的英代尔可并立的主板) 硬件上的红色帽子 Linux 。 步骤对 Unix 的其他版本 , 但是 i386 系统的某事物特性感到基本上相同 (举例来说,IDE 控制器的使用,个人计算机基本输出入系统等的限制.) 意志从其他的 Unix 工作站改变。 商量对你的 Unix 的版本系统行政或安全手册特性。
建立一个热衷的分析系统是有帮助的在该哪一做你的分析之上。 一个法院的中心一个例子分析系统可能是建立依下列各项:
和 2个 IDE 控制器的快速 i386 可并立的主板
在主要的 IDE 控制器上的至少大的 (8 GB) 难的推进力 ( 适合操作系统和工具, 加号走开有房间复印分割音带或复原从受害人推进力划除文件空间)
休假秒 IDE 电缆倒空。 这意谓你将不和在圆盘上的跳跃者弄糟 -- 正直的塞子他们在而且他们将会出现当做 / dev/ hdc(master) 或 / dev/ hdd(slave)
SCSI 接口卡片 (举例来说,Adaptec 1542)
DDS-3 或 DDS-4 4 mm 音带推进力 ( 你充足的能力处理最大的分割你将会支持)
如果这一个系统在网络上, 它应该被完全补缀并且没有网络服务跑除 SSH( 为文件移动和安心的遥远通路)-- 和巴士底监狱- Linux 变硬的红色帽子 Linux 6.2 是好选择
(它可能被服务应该不在跑, 不安全的 SSH,在你的分析系统上。 你能使用 netcat 以管输送数据进系统之内,为安全用 DES 或 Blowfish 水流零编加密码它。 这是惩罚,提供你不遥远的通路给系统.)
另外的便利分析系统是一台新的膝上型电脑。 拿中心给受害人的优良方法 , 和填补的情形和 10/100张小型爵士乐团以太网络卡片,一个 18+ 亿位元组硬盘和挑运的一台快速的膝上型电脑, 允许你容易地携带你获得文件系统图像 ( 比较迟的写为长期的储藏以带子绑起) 的每件事物,分析他们,显示结果,发现侵入者 () 你遇到的密码,及其他。
在 10 Base- T 电缆上的一个跨允许你经过不需要一个或开关就能, 和仍然使用网络与在二个系统的一个隔离的迷你- 网络上的受害人系统沟通。 (你将会建立静电路径桌子进入以使这工作)。
一个 Linux 分析系统将会为分析来自一些不同的操作系统的文件系统工作以已经支援在 Linux 下面的文件系统,举例来说,Sun UFS。 你只是用适当的类型和选项装文件系统,举例来说 (Sun UFS):
# mount -r -t ufs -o ufstype=sun /dev/hdd2 /mnt
对 Linux 的另外一种利益是 "loopback" 装置,允许你装一个文件包含图像副本 (以 dd 获得) 进分析系统的文件系统之内。 附加物一和 B 。
Tactical/Strategic goals
你的主要目标如一个附带的调查员/ 协调者在你的位置要识别在你的被侵入者控制的权威下面的所有系统,用来得到进入的方法 (s), 和到然后确定这知识被分享而且所有的被影响的系统被保护。
可能的实行是中级的到固定被影响的系统, 但是同样地更早地是决定了的, 作为一个法院的调查员主要的工作要保护同样地很多的证据在现场以可使用的形式当做可能的。 这可能低劣的从服务取出系统当每个人正在大叫把它拿回来在线的时候。
如果适当的法院数据聚集不在调查期间被演说,你在一个较后的日期能破坏成功的实行任何的机会和在该哪一计算一个损害估计上将会没有数据。 尝试做有效率的,仍然完全,数据保存和分析的工作是最好的每当可能的。
你一定学习该如何平衡这些个竞争目标, 而且有在适当的位置政策和程序允许程序平滑地去。 傲慢的考试是最高的优先权, 什么然后来?
冰冻的现场
一旦你有指出你所一定承担系统的系统一个妥协的证据事实上已经被妥协处理而且开始聚集证据在它被破坏之前,在圆木期满之前,或任何事被改变之前,能够不是被你有在手边的其他证据驳倒的。
有各种不同的类型证据, 由于不一致挥发性的水平, 在适当的位置如此的如处理器寄存器,核心数据记忆的结构,以货易货空间,网络数据结构和柜台,使用者程序记忆和堆叠,文件系统缓冲隐藏所, 文件系统它本身,及其他。 在侵入者活动正在发生的精确片刻聚集所有的这数据将会是困难的 ( 如果不不可能的) ,因此,没有在偏爱的某类型的数据就算了将会是必需的到其他的更容易聚集了数据以能产生相同的结果 (决定闯入的方法 , 侵入者的活动 , 相同和侵入者的来源, 也许足够找出并且进行他们。。.)。
要阻止事物被改变的最容易的方法要停工并且系统停止。
Report this post to a moderator | IP: Logged
2003-10-02 11:14 AM
phoenix
Moderator
Registered: May 2003
Location: peking
Posts: 71
正常地, Unix 系统与关门指令一起停工。这被做确定服务是爱清洁的停工, 任何贮藏文件系统缓冲被脸发红,使用者被通知,及其他。 那是罚款如果系统是尚未被人碰过的,但是在一个被妥协处理的系统上全部打赌是走开。 侵入者已经被知道装配妥协处理系统划除在系统上的一些或所有的文件如果网络接口是无效的,否则一个正常的关门程序被跟随。
为了要避免文件系统的如此不必要的修正,它时常对只是强拉电线是最好的。然而,要知道,那个做损失任何的被诸存的仍未被写到磁盘 , 网络州的数据 , 流动的程序记忆的这危险,存取到核心记忆,以货易货空间等的内容。 这是一个你一定小心地考虑而且制造你自己的裁判呼叫。
如果你确实愿聚集什么证据你能从在动力估计前的系统它走开,它由在手写体期间内做这帮助到很快地管理的一些通常的工具而且捕获每件事物。 (see man script) 普遍使用过的工具/ 手法会是:
持续,w,
在使用者,之前的登录等项目表。
ls
得到在适当的位置长 (ls-Latvia 的货币单位) 文件的列出相似的嫌疑者家庭的目录,/dev 目录,植根pe from prison 目录等。
ps
拿所有的程序一个长的项目表, 包括那些没有 ttys(举例来说, 在 Linux 上的 ps auxwww 和 ps elfwww-- 较多的 w 标示如果项目表被切断)
lsof
拿柄给所有的开着文件的一个完整的项目表,能一些后门, sniffers , eggdrop IRC bots,再指导者喜欢 "bnc" 等。 (记下 cwd,当计划被进行的时候是现在的工作目录)。
找
识别所有的常态文件