对于 IT 专业人员来说,有关如何阻止入侵和攻击的信息多得就像汪洋大海。但是,如果您在安装了安全修补程序、防火墙并采取了其他措施后仍然发生了最坏的情况,您该怎么办呢?
鉴于巨大的停机成本、损失的工作效率和攻击带来的管理负荷,当黑客或病毒编写者被抓住并被起诉时,我们无一不拍手叫好,但这种结局似乎并不常见。这是因为,刑事诉讼(或民事诉讼)必须有确凿的、可被采纳的证据才能成功,而这样的证据很难获得。令人遗憾的是,证据往往在人们应对攻击的过程中受到了损害或破坏(就好像扑火用的水造成的破坏有时不次于火本身造成的破坏一样)。
如果某件事有可能诉诸法律,则任何有权访问数字证据的人都应当正确操作数字证据,这一点极其重要。将证据从一个人手中传递到另一个人手中这个过程叫做“保管链”,但当我们讨论的数字数据而非实物时,证据链就不那么清晰了。
关键的一点是,在事件发生之后,如果某个处理证据的人对证据作了某种更改,那么证据就变得不可采纳了。文件一旦被打开就会发生更改(例如,上次修改日期可能会更改),那么如何使数字证据保持可采纳状态呢?
答案是:检查证据时不要操作原始数据,而应操作专为检查证据而创建的完整副本。若想达到法庭的严格标准,这并不像听起来这么简单。此副本必须是原始磁盘的位级别映像,该映像一个扇区一个扇区地创建所有二进制数据的副本,包含所有的松弛空间、空闲空间和其他环境数据。这需要使用专用于此目的的映像软件。取证用的映像软件还需要使用一些验证方法,以确保副本与原始数据完全相同。因此,最好不要使用用于其他目的的磁盘映像软件(例如 Norton Ghost,它用于创建供多台计算机安装的克隆映像,不是专为取证设计的 — 取证强调保证副本的绝对完整性)。
基于取证的映像系统通常使用专用计算机,该计算机通过它的一个通信端口与一台目标计算机相连,通过此端口,可以将磁盘的完整副本复制到另一磁盘、磁带或其他电子媒体。但在某些情况下,需要将磁盘从目标计算机上卸下来再进行复制。映像过程应当采用一种不会在目标计算机上留下任何痕迹(不做任何更改)的方式进行。
在您拥有了一份可靠的取证副本后,应将原始磁盘收起来,使之保持当前状态。所有的检查工作都应在副本上进行。您还需要能够证明发现事件后目标计算机立即与网络分离了,物理上是安全的,所以没有人能够在发现事件到对磁盘进行映像这段时间内对其进行任何更改。您不要执行任何操作。在对磁盘进行映像之前,不要开机或关机或检查日志。磁盘映像应当由合格的取证调查员来执行。这不意味着不相信您作为 IT 专业人员的能力或您的人格的正直,而是因为辩护律师很可能在法庭审判中针对证据向执行映像操作并/或进行检查的人提出质问;如果证据是由计算机取证专业人员收集的,就会被给予较高的可信度。
本文摘自:http://www.microsoft.com/china/technet/community/columns/secmvp/sv0105.mspx