安全技巧之淺析網(wǎng)絡(luò)入侵之安全取證
很多單位都購買了一些安全工具進(jìn)行防范,但技術(shù)的不斷更新,使得黑客的攻擊頻頻得手。網(wǎng)絡(luò)犯罪可以跨地區(qū)、跨國之間進(jìn)行,因此對于打擊互聯(lián)網(wǎng)犯罪需要國際組織間進(jìn)行合作。一旦網(wǎng)絡(luò)已經(jīng)遭受入侵并造成損失,我們就希望訴諸法律來保護(hù)自己并獲取補(bǔ)償。一種新的證據(jù)形式——存在于計(jì)算機(jī)及相關(guān)外圍設(shè)備(包括網(wǎng)絡(luò)介質(zhì))中的電子證據(jù)逐漸成為新的訴訟證據(jù)之一。電子證據(jù)本身和取證過程的許多有別于傳統(tǒng)物證和取證的特點(diǎn)。這篇文章中跟大家介紹一些計(jì)算機(jī)取證的概念、流程、特點(diǎn)、來源等。
什么是計(jì)算機(jī)取證(Computer Forensics)呢?作為計(jì)算機(jī)取證方面的一名專業(yè)及資深人士,Judd Robbins給出了如下的定義:
計(jì)算機(jī)取證不過是簡單地將計(jì)算機(jī)調(diào)查和分析技術(shù)應(yīng)用于對潛在的、有法律效力的證據(jù)的確定與獲取上。
New Technologies是一家專業(yè)的計(jì)算機(jī)緊急事件響應(yīng)和計(jì)算機(jī)取證咨詢公司,擴(kuò)展了Judd的定義:
計(jì)算機(jī)取證包括了對以磁介質(zhì)編碼信息方式存儲的計(jì)算機(jī)證據(jù)的保護(hù)、確認(rèn)、提取和歸檔。
SANS的一篇綜述文章給出了如下的定義:
計(jì)算機(jī)取證是使用軟件和工具,按照一些預(yù)先定義的程序全面地檢查計(jì)算機(jī)系統(tǒng),以提取和保護(hù)有關(guān)計(jì)算機(jī)犯罪的證據(jù)。
因此我們認(rèn)為計(jì)算機(jī)取證是指對能夠?yàn)榉ㄍソ邮艿摹⒆銐蚩煽亢陀姓f服性的,存在于計(jì)算機(jī)和相關(guān)外設(shè)中的電子證據(jù)的確認(rèn)、保護(hù)、提取和歸檔的過程。
計(jì)算機(jī)取證流程一般包含如下四個(gè)步驟:
識別證據(jù):識別可獲取的信息的類型,以及獲取的方法。
保存證據(jù):確保跟原始數(shù)據(jù)一致,不對原始數(shù)據(jù)造成改動(dòng)和破壞。
分析證據(jù):以可見的方式顯示,結(jié)果要具有確定性,不要作任何假設(shè)!
提交證據(jù):向管理者、律師或者法院提交證據(jù)。
計(jì)算機(jī)取證又叫數(shù)字取證、電子取證,對計(jì)算機(jī)入侵、破壞、欺詐、攻擊等犯罪行為,利用計(jì)算機(jī)軟硬件技術(shù),按照符合法律規(guī)范的方式,進(jìn)行識別、保存、分析和提交數(shù)字證據(jù)的過程。計(jì)算機(jī)取證的目的是收集資料,分析解釋入侵者的入侵的過程,并以此為證據(jù)提交給執(zhí)法單位。
計(jì)算機(jī)取證與傳統(tǒng)證據(jù)的取證方式不一樣,計(jì)算機(jī)取證其自身有如下的特點(diǎn):
(1)容易被改變或刪除,并且改變后不容易被發(fā)覺。傳統(tǒng)證據(jù)如書面文件如有改動(dòng)或添加,都會(huì)留有痕跡,可通過司法鑒定技術(shù)加以鑒別。而數(shù)字證據(jù)與傳統(tǒng)證據(jù)不同,它們多以磁性介質(zhì)為載體易被修改,并且不易留下痕跡。
(2)多種格式的存貯方式。數(shù)字證據(jù)以計(jì)算機(jī)為載體,其實(shí)質(zhì)是以一定格式儲存在計(jì)算機(jī)硬盤、軟盤或CDROM 等儲存介質(zhì)上的二進(jìn)制代碼,它的形成和還原都要借助計(jì)算機(jī)設(shè)備。
(3)易損毀性。計(jì)算機(jī)信息是最終都是以數(shù)字信號的方式存在,易對數(shù)字證據(jù)進(jìn)行截收、監(jiān)聽、刪節(jié)、剪接等操作。或者由于計(jì)算機(jī)操作人員的誤操作或供電系統(tǒng)、通信網(wǎng)絡(luò)的故障等環(huán)境和技術(shù)方面的原因都會(huì)造成數(shù)字證據(jù)的不完整性。
(4)高科技性。計(jì)算機(jī)是現(xiàn)代化的計(jì)算和信息處理工具,其證據(jù)的產(chǎn)生、儲存和傳輸,都必須借助于計(jì)算機(jī)軟硬技術(shù),離開了高科技含量的技術(shù)設(shè)備,電子證據(jù)無法保存和傳輸。如果沒有外界的蓄意篡改或差錯(cuò)的影響,電子證據(jù)就能準(zhǔn)確地儲存并反映有關(guān)案件的情況。正是以這種高技術(shù)為依托,使它很少受主觀因素的影響,其精確性決定了電子證據(jù)具有較強(qiáng)的證明力。
(5)傳輸中通常和其他無關(guān)信息共享信道。
計(jì)算機(jī)取證其自身的特點(diǎn)導(dǎo)致取證的方式和來源不同,計(jì)算機(jī)證據(jù)的來源主要來自兩個(gè)方面,一個(gè)是系統(tǒng)方面的,另一個(gè)是網(wǎng)絡(luò)方面的。
其中,來自系統(tǒng)方面的證據(jù)包括:
系統(tǒng)日志文件
備份介質(zhì)
程序、腳本、進(jìn)程、內(nèi)存映象
交換區(qū)文件
臨時(shí)文件
硬盤未分配的空間
系統(tǒng)緩沖區(qū)
打印機(jī)及其它設(shè)備的內(nèi)存
來自網(wǎng)絡(luò)方面的證據(jù)有:
防火墻日志
IDS日志
其它網(wǎng)絡(luò)工具所產(chǎn)生的記錄和日志等。
上面提到的計(jì)算機(jī)取證概念、流程、特點(diǎn)及來源,是計(jì)算機(jī)取證的初步了解過程。葉子將在后續(xù)的文章中對計(jì)算機(jī)取證的其它操作和方式進(jìn)一步的分析。
【編輯推薦】
