計(jì)算機(jī)取證技術(shù)6計(jì)算機(jī)取證技術(shù)6計(jì)算機(jī)取證技術(shù)6UNIX，是一個(gè)強(qiáng)大的多用戶、多任務(wù)操作系統(tǒng)，支持多種處理器架構(gòu)，按照操作系統(tǒng)的分類，屬于分時(shí)操作系統(tǒng)，最早由KenThompson、DennisRitchie和DouglasMcIlroy于1969年在AT&T的貝爾實(shí)驗(yàn)室開(kāi)發(fā)。商業(yè)版本:Solaris、AIX、HP-UX免費(fèi)操作系統(tǒng)：LINUX、OpenBSD、FreeBSD鑒于其基于網(wǎng)絡(luò)的設(shè)計(jì)，UNIX系統(tǒng)是作為Internet和小型網(wǎng)絡(luò)上的關(guān)鍵部分的理想平臺(tái)。許多電子商務(wù)網(wǎng)站、公司財(cái)務(wù)數(shù)據(jù)庫(kù)等都運(yùn)行于UNIX平臺(tái)。第一頁(yè)，共44頁(yè)。計(jì)算機(jī)取證技術(shù)6計(jì)算機(jī)取證技術(shù)6計(jì)算機(jī)取證技術(shù)6UNIX，UNIX，是一個(gè)強(qiáng)大的多用戶、多任務(wù)操作系統(tǒng)，支持多種處理器架構(gòu)，按照操作系統(tǒng)的分類，屬于分時(shí)操作系統(tǒng)，最早由KenThompson、DennisRitchie和DouglasMcIlroy于1969年在AT&T的貝爾實(shí)驗(yàn)室開(kāi)發(fā)。商業(yè)版本:Solaris、AIX、HP-UX免費(fèi)操作系統(tǒng)：LINUX、OpenBSD、FreeBSD鑒于其基于網(wǎng)絡(luò)的設(shè)計(jì)，UNIX系統(tǒng)是作為Internet和小型網(wǎng)絡(luò)上的關(guān)鍵部分的理想平臺(tái)。許多電子商務(wù)網(wǎng)站、公司財(cái)務(wù)數(shù)據(jù)庫(kù)等都運(yùn)行于UNIX平臺(tái)。第二頁(yè)，共44頁(yè)。UNIX，是一個(gè)強(qiáng)大的多用戶、多任務(wù)操作系統(tǒng)，支持多種處理與Linux的區(qū)別和聯(lián)系

UNIX是一個(gè)功能強(qiáng)大、性能全面的多用戶、多任務(wù)操作系統(tǒng)，可以應(yīng)用從巨型計(jì)算機(jī)到普通PC機(jī)等多種不同的平臺(tái)上，是應(yīng)用面最廣、影響力最大的操作系統(tǒng)。

Linux并不是UNIX，而是一個(gè)類似于UNIX的產(chǎn)品，它成功的實(shí)現(xiàn)并超越了UNIX系統(tǒng)和功能，具體講Linux是一套兼容于SystemV以及BSDUNIX的操作系統(tǒng)，對(duì)于SystemV來(lái)說(shuō)，目前把軟件程序源代碼拿到Linux底下重新編譯之后就可以運(yùn)行，而對(duì)于BSDUNIX來(lái)說(shuō)它的可執(zhí)行文件可以直接在Linux環(huán)境下運(yùn)行。第三頁(yè)，共44頁(yè)。與Linux的區(qū)別和聯(lián)系UNIX是一個(gè)功能強(qiáng)大、性能全面另外兩大區(qū)別：

1）UNIX系統(tǒng)大多是與硬件配套的，而Linux則可運(yùn)行在多種硬件平臺(tái)上.2）UNIX有些版本比如aix,hp-ux是商業(yè)軟件是閉源的（不過(guò)solaris,*bsd等unix都是開(kāi)源的），而Linux是自由軟件，免費(fèi)、公開(kāi)源代碼的.第四頁(yè)，共44頁(yè)。另外兩大區(qū)別：第四頁(yè)，共44頁(yè)。6.1LINUX系統(tǒng)現(xiàn)場(chǎng)證據(jù)獲取現(xiàn)場(chǎng)證據(jù)獲取的目的：保護(hù)現(xiàn)場(chǎng)，即保存當(dāng)前系統(tǒng)運(yùn)行狀態(tài)。凡是涉及計(jì)算機(jī)系統(tǒng)當(dāng)前狀態(tài)的數(shù)據(jù)都是收集的目標(biāo)。在現(xiàn)場(chǎng)收集的數(shù)據(jù)應(yīng)該優(yōu)先考慮揮發(fā)性數(shù)據(jù)。要完全收集一臺(tái)計(jì)算機(jī)的狀態(tài)是不可能的。僅僅是檢查高度易揮發(fā)的數(shù)據(jù)這種行為都會(huì)改變計(jì)算機(jī)的狀態(tài)。在系統(tǒng)的主存中查找字符串驗(yàn)證在LINUX上數(shù)據(jù)的易揮發(fā)性，使用下面的命令：#grepabasasdc/dev/membinarymatches第五頁(yè)，共44頁(yè)。6.1LINUX系統(tǒng)現(xiàn)場(chǎng)證據(jù)獲取現(xiàn)場(chǎng)證據(jù)獲取的目的：保護(hù)現(xiàn)/dev/mem是一個(gè)特殊的設(shè)備文件，對(duì)它的訪問(wèn)其實(shí)是對(duì)主存進(jìn)行訪問(wèn)，類似的，虛擬存儲(chǔ)器可以通過(guò)/dev/kmem來(lái)訪問(wèn)日期、時(shí)間等基本的信息可以首先收集起來(lái)獲取現(xiàn)場(chǎng)證據(jù)屏幕信息內(nèi)存信息網(wǎng)絡(luò)聯(lián)接狀態(tài)正在運(yùn)行的進(jìn)程第六頁(yè)，共44頁(yè)。/dev/mem是一個(gè)特殊的設(shè)備文件，對(duì)它的訪問(wèn)其實(shí)是對(duì)主6.1.1屏幕信息所有的UNIX版本都已經(jīng)標(biāo)準(zhǔn)化了窗口操作標(biāo)準(zhǔn)-XWindows。它是一個(gè)網(wǎng)絡(luò)系統(tǒng)，允許正在運(yùn)行的進(jìn)程把它們的窗口顯示在對(duì)用戶來(lái)說(shuō)最方便的任何工作站上。XWindows的轉(zhuǎn)儲(chǔ)命令xwd能夠轉(zhuǎn)儲(chǔ)一個(gè)單獨(dú)的窗口或者整個(gè)屏幕。#xwd–displaylocalhost:0–root>screen.xwd#xwud–inscreen.xwdxwd命令提供了-root選項(xiàng)，可以用它通過(guò)捕獲XWindow系統(tǒng)根窗口捕獲整個(gè)屏幕，XWindow系統(tǒng)根窗口是包含顯示的所有其他XWindow系統(tǒng)窗口和對(duì)話框的全屏窗口。下面的命令捕獲整個(gè)屏幕并把它寫到full-screen.xwd文件中：wd-root-outfull-screen.xwd

第七頁(yè)，共44頁(yè)。6.1.1屏幕信息所有的UNIX版本都已經(jīng)標(biāo)準(zhǔn)化了窗口操作X-Window環(huán)境下截圖

用X-Window中的截圖工具xwd與xwud是X-Window中自帶的截圖工具。xwd是一個(gè)非常傳統(tǒng)的屏幕截圖軟件，它可以截取程序窗口和全屏圖像。xwud是X11圖形工具客戶程序，可以用它來(lái)顯示由xwd程序創(chuàng)建的圖形文件。這兩個(gè)程序包含在X-Window的標(biāo)準(zhǔn)發(fā)布版中。截取圖像的方法如下:#xwd>myscreen.xwd查看圖像使用如下命令：#xwud-inmyscreen.xwd實(shí)際使用中，可以用xwd結(jié)合其它圖形轉(zhuǎn)換程序直接獲得想要的輸出文件。第八頁(yè)，共44頁(yè)。X-Window環(huán)境下截圖

用X-Window中的截圖工具6.1.1內(nèi)存信息在linux上，每個(gè)東西都被當(dāng)作文件來(lái)對(duì)待，這使復(fù)制和保存系統(tǒng)存儲(chǔ)器的內(nèi)容變得容易。實(shí)例假定在一個(gè)文件系統(tǒng)中有一個(gè)具有很大自由空間的數(shù)據(jù)收集系統(tǒng)步驟一：在數(shù)據(jù)收集系統(tǒng)上設(shè)置兩個(gè)監(jiān)聽(tīng)netcat進(jìn)程：#nc–l–p10005>suspect.mem.images&#nc–l–p10006>suspect.kmem.images&第九頁(yè)，共44頁(yè)。6.1.1內(nèi)存信息在linux上，每個(gè)東西都被當(dāng)作文件來(lái)對(duì)步驟二從受嫌疑的機(jī)器上復(fù)制內(nèi)存：#ddbs=1024</dev/memlnc10005–w332678+0recordsin32678+0recordsout#ddbs=1024</dev/memlnc10005–w322+0recordsin22+0recordsout注意：當(dāng)復(fù)制高度異變的對(duì)象時(shí)，如系統(tǒng)的內(nèi)存，是不可能驗(yàn)證其準(zhǔn)確性的。第十頁(yè)，共44頁(yè)。步驟二第十頁(yè)，共44頁(yè)。6.1.3網(wǎng)絡(luò)連接使用netstat命令來(lái)捕獲正在進(jìn)行中的網(wǎng)絡(luò)活動(dòng)的信息。在典型的linux系統(tǒng)內(nèi)，大多數(shù)的網(wǎng)絡(luò)連接是能兼容XWindows的。即使只是在本地運(yùn)行，XWindows也要使用網(wǎng)絡(luò)機(jī)制。在LINUX中，使用-p選項(xiàng)來(lái)顯示與特定的網(wǎng)絡(luò)連接相關(guān)的進(jìn)程。HTTP是無(wú)狀態(tài)的，因?yàn)檫@些連接都具有很短暫的生存期，并且它們的狀態(tài)迅速地循環(huán)到FIN_WAIT狀態(tài)，然后到CLOSE_WAIT狀態(tài)。同時(shí)，HPPT連接還提供了正在連接的機(jī)器的名字。當(dāng)netstat不能夠在本地的/etc/hosts中查找到這些機(jī)器名時(shí)，它會(huì)嘗試一下反向DNS查詢，以確定與IP地址相關(guān)的主機(jī)名。第十一頁(yè)，共44頁(yè)。6.1.3網(wǎng)絡(luò)連接使用netstat命令來(lái)捕獲正在進(jìn)行中的6.1.4正在運(yùn)行的進(jìn)程LINUX提供了許多工具，這些程序能夠提供關(guān)于所有運(yùn)行進(jìn)程的信息，或者提供關(guān)于特定運(yùn)行進(jìn)程的細(xì)節(jié)。在捕獲正在運(yùn)行的機(jī)器狀態(tài)時(shí)，主要的一個(gè)任務(wù)就是收集一份所有運(yùn)行進(jìn)程的列表，以及一份所有打開(kāi)文件的列表。/proc目錄是一個(gè)偽文件系統(tǒng)，它為/dev/kmem提供一個(gè)結(jié)構(gòu)化的接口，便于系統(tǒng)診斷并查看每一個(gè)正在運(yùn)行的可執(zhí)行文件的環(huán)境。在內(nèi)存中的每一個(gè)進(jìn)程在/proc中都有一個(gè)目錄，按它的進(jìn)程ID來(lái)命名。可以通過(guò)/proc來(lái)完善收集到的進(jìn)程列表信息。第十二頁(yè)，共44頁(yè)。6.1.4正在運(yùn)行的進(jìn)程LINUX提供了許多工具，這些程序能6.2linux中計(jì)算機(jī)證據(jù)獲取6.2.1文件系統(tǒng)6.2.2日志文件6.2.3其它信息源6.2.4數(shù)據(jù)恢復(fù)第十三頁(yè)，共44頁(yè)。6.2linux中計(jì)算機(jī)證據(jù)獲取6.2.1文件系統(tǒng)第十三6.2.1文件系統(tǒng)目錄在LINUX的文件系統(tǒng)中發(fā)揮很重要的作用，它比Windos的目錄要簡(jiǎn)單的多，只包括文件名的列表和文件的索引節(jié)點(diǎn)號(hào)。每個(gè)文件都在索引節(jié)點(diǎn)表里有相關(guān)項(xiàng)，它包括除文件名外的所有與文件相關(guān)的信息，這些項(xiàng)可以通過(guò)索引節(jié)點(diǎn)號(hào)訪問(wèn)。索引節(jié)點(diǎn)包含了一個(gè)文件除去文件名以外的所有信息。一個(gè)索引節(jié)點(diǎn)占用128字節(jié)的磁盤空間。第十四頁(yè)，共44頁(yè)。6.2.1文件系統(tǒng)目錄在LINUX的文件系統(tǒng)中發(fā)揮很重要的索引結(jié)點(diǎn)包含的信息文件類型：普通文件、目錄、塊設(shè)備文件、字符設(shè)備文件、鏈接等文件權(quán)限：讀、寫、執(zhí)行權(quán)限的組合文件的硬鏈接數(shù)文件所有者的用戶ID文件所屬的組ID文件大?。ㄗ止?jié)數(shù)）一個(gè)包含有15個(gè)磁盤塊地址的數(shù)組文件最近的訪問(wèn)時(shí)間和日期文件最后一次修改的日期和時(shí)間文件創(chuàng)建的日期和時(shí)間第十五頁(yè)，共44頁(yè)。索引結(jié)點(diǎn)包含的信息第十五頁(yè)，共44頁(yè)。LINUX所有文件均存放于目錄中，目錄本身也是一個(gè)文件。目錄存放文件的機(jī)制：目錄本身也和普通文件一樣，占用一個(gè)索引節(jié)點(diǎn)由這個(gè)索引節(jié)點(diǎn)得到目錄內(nèi)容的存放位置從其內(nèi)容中取出一個(gè)個(gè)的文件名和它對(duì)應(yīng)的節(jié)點(diǎn)號(hào)，從而訪問(wèn)一個(gè)文件第十六頁(yè)，共44頁(yè)。LINUX所有文件均存放于目錄中，目錄本身也是一個(gè)文件。第十目錄結(jié)構(gòu)：索引節(jié)點(diǎn)號(hào)（2字節(jié)）.（本目錄）（14字節(jié)）索引節(jié)點(diǎn)號(hào)（2字節(jié)）..（父目錄）（14字節(jié)）索引節(jié)點(diǎn)號(hào)（2字節(jié)）文件名（14字節(jié)）索引節(jié)點(diǎn)號(hào)（2字節(jié)）文件名（14字節(jié)）……由上可知，文件名是依靠目錄來(lái)描述的，文件的內(nèi)容和其它信息則由索引節(jié)點(diǎn)來(lái)描述。在對(duì)文件的調(diào)查過(guò)程中，應(yīng)該重點(diǎn)分析這些索引節(jié)點(diǎn)以及其中的內(nèi)容。第十七頁(yè)，共44頁(yè)。目錄結(jié)構(gòu)：第十七頁(yè)，共44頁(yè)。任何應(yīng)用都會(huì)在磁盤上留下痕跡，有的直接在臨時(shí)文件中留下，有的通過(guò)交換空間間接留下。在另外的一臺(tái)計(jì)算機(jī)上使用所保存的文件系統(tǒng)的映像有兩種方式：把映像復(fù)制進(jìn)一個(gè)與該映像具有相同大小的分區(qū)內(nèi)。首先使用dd把這個(gè)分區(qū)清除干凈，然后使用dd把這個(gè)映像復(fù)制到該分區(qū)上。把這個(gè)映像文件復(fù)制進(jìn)一個(gè)足夠大的能夠容納它的文件系統(tǒng)中，然后把驅(qū)動(dòng)映像文件作為一個(gè)文件系統(tǒng)來(lái)加載。第十八頁(yè)，共44頁(yè)。任何應(yīng)用都會(huì)在磁盤上留下痕跡，有的直接在臨時(shí)文件中留下，有的RedhatLINUX的缺省配置在/dev中具有一系列的回送設(shè)備，使同時(shí)安裝多個(gè)文件系統(tǒng)映像變得很方便。#mkdir/mnt/suspecthost#mount–text2–oro,loop=/dev/loop0suspect.hdb5.image/mnt/suspecthost如果有一個(gè)DOS文件系統(tǒng)的映像，也可以使用下面這種方法來(lái)訪問(wèn)它：#mkdir/mnt/suspecthost2#mount–tdos–oro,loop=/dev/loop1suspect.dos.image/mnt/suspecthost2第十九頁(yè)，共44頁(yè)。RedhatLINUX的缺省配置在/dev中具有一系列的回6.2.2日志文件logon和logoff或LINUX系統(tǒng)的任意事件都可以在一個(gè)或多個(gè)系統(tǒng)日志文件中產(chǎn)生記錄。lastlog文件中的記錄可以通過(guò)lastlog命令進(jìn)行查看last命令可以用來(lái)查看wtmp和utmp文件中的記錄。日志文件的詳細(xì)程度各不相同，取決于日志記錄機(jī)制是如何配置的。LINUX系統(tǒng)可以配置為記錄每個(gè)用戶賬號(hào)、記錄該賬號(hào)執(zhí)行的命令，或者通過(guò)Solaris系統(tǒng)的BSM（基本安全模塊）進(jìn)行記錄。系統(tǒng)日志、登錄日志、http日志、進(jìn)賬日志第二十頁(yè)，共44頁(yè)。6.2.2日志文件logon和logoff或LINUX系統(tǒng)的系統(tǒng)日志系統(tǒng)日志可能是最有價(jià)值的系統(tǒng)活動(dòng)的信息源。如果滿足下面兩個(gè)條件，日志記錄對(duì)取證會(huì)很有用。日志記錄功能是激活的，而且記錄必須足夠詳細(xì)。記錄必須是完整的。在信息量的記錄方面，syslog兼容的進(jìn)程通常有較大的靈活性。檢查一個(gè)系統(tǒng)的時(shí)候，查閱一下etc/syslog.conf，看看對(duì)每一個(gè)系統(tǒng)服務(wù)，日志記錄機(jī)制是怎樣設(shè)置的，日志信息被送到什么地方。syslog的主要的弱點(diǎn)就是它缺少認(rèn)證服務(wù)。制造假的系統(tǒng)日志很容易。如何進(jìn)行日志檢查？第二十一頁(yè)，共44頁(yè)。系統(tǒng)日志系統(tǒng)日志可能是最有價(jià)值的系統(tǒng)活動(dòng)的信息源。第二十一頁(yè)對(duì)日志可疑情況的分析日志丟失日志在預(yù)期時(shí)間之后開(kāi)始日志的第一個(gè)記錄的時(shí)間信息一段時(shí)間內(nèi)沒(méi)有日志有缺口的區(qū)域丟失的日志記錄使用其它方法來(lái)推測(cè)日志記錄應(yīng)該已經(jīng)產(chǎn)生了特殊時(shí)間的異?；顒?dòng)不明來(lái)源的登錄來(lái)自該組織范圍外部的登錄失敗的登錄失敗或者未經(jīng)授權(quán)地使用su為了獲得根權(quán)限，攻擊者會(huì)用到su命令試圖訪問(wèn)/etc/passwd有散列化的口令文件，攻擊者就能夠破解口令來(lái)自網(wǎng)絡(luò)服務(wù)的錯(cuò)誤某個(gè)網(wǎng)絡(luò)服務(wù)已經(jīng)被用于獲取對(duì)系統(tǒng)的訪問(wèn)權(quán)過(guò)大的日志企圖利用緩沖區(qū)溢出的漏洞第二十二頁(yè)，共44頁(yè)。對(duì)日志可疑情況的分析第二十二頁(yè)，共44頁(yè)。登錄日志在LINUX系統(tǒng)中，登錄進(jìn)程對(duì)每個(gè)控制臺(tái)登錄、遠(yuǎn)程登錄、X會(huì)話、rsh的使用、FTP等會(huì)話維護(hù)一個(gè)記錄為了適應(yīng)不同的目的，該記錄分散在三個(gè)不同的文件里。這些登錄日志在所有的UNIX平臺(tái)上都按照相同的方法使用。三種linux系統(tǒng)下的登錄日志：/var/log/utmp/var/log/wtmp/var/log/lastlog幾種利用日志來(lái)報(bào)告用戶活動(dòng)的工具：lastlastlogwhow第二十三頁(yè)，共44頁(yè)。登錄日志在LINUX系統(tǒng)中，登錄進(jìn)程對(duì)每個(gè)控制臺(tái)登錄、遠(yuǎn)程登X會(huì)話在人機(jī)交互，會(huì)話管理是保持用戶的整個(gè)會(huì)話活動(dòng)的互動(dòng)與計(jì)算機(jī)系統(tǒng)跟蹤過(guò)程。會(huì)話管理分類：桌面會(huì)話管理、瀏覽器會(huì)話管理、Web服務(wù)器的會(huì)話管理（通常指的SESSION以及COOKIE）。在XWindow系統(tǒng)中，X會(huì)話管理器是一個(gè)會(huì)話管理程序，這個(gè)程序能夠保存和恢復(fù)一組程序的當(dāng)前運(yùn)行狀態(tài)。在Linux操作系統(tǒng)中，很多操作都是有可能的，其中包括可以同時(shí)運(yùn)行兩個(gè)圖形化桌面。在OSX或者Windows操作系統(tǒng)中，如果想讓其它用戶使用你的桌面，或者想同時(shí)使用兩個(gè)不同的圖形用戶界面，那么你必須使用到“用戶轉(zhuǎn)化開(kāi)關(guān)（userswitching）”，這將會(huì)臨時(shí)終止一個(gè)桌面而進(jìn)入到另一個(gè)桌面。第二十四頁(yè)，共44頁(yè)。X會(huì)話在人機(jī)交互，會(huì)話管理是保持用戶的整個(gè)會(huì)話活動(dòng)的互動(dòng)與桌面會(huì)話管理器是一個(gè)程序，可以保存和恢復(fù)桌面會(huì)話。桌面會(huì)話是所有正在運(yùn)行的窗口和當(dāng)前的內(nèi)容。會(huì)話管理器基于Linux系統(tǒng)是由X會(huì)話管理器。在MicrosoftWindows系統(tǒng)，沒(méi)有會(huì)話管理器包含在系統(tǒng)中。會(huì)話管理是由第三方提供類似twinsplay第三方應(yīng)用程序。

從X會(huì)話管理器的角度來(lái)看，一個(gè)會(huì)話是指給定時(shí)間的桌面狀態(tài)：一組窗口以及它當(dāng)前的內(nèi)容。更精確的說(shuō)，一個(gè)會(huì)話是一組管理窗口或與窗口有關(guān)的客戶端以及允許這些程序恢復(fù)所需窗口的相關(guān)信息。

使用會(huì)話管理器最顯著的效果是再次登錄進(jìn)入時(shí)所有窗口和狀態(tài)與登出時(shí)完全一致。第二十五頁(yè)，共44頁(yè)。桌面會(huì)話管理器是一個(gè)程序，可以保存和恢復(fù)桌rsh是“remoteshell”（遠(yuǎn)程shell）的縮寫，該命令在指定的遠(yuǎn)程主機(jī)上啟動(dòng)一個(gè)shell并執(zhí)行用戶在rsh命令行中指定的命令；如果用戶沒(méi)有給出要執(zhí)行的命令，rsh就用rlogin命令使用戶登錄到遠(yuǎn)程機(jī)上。rsh配置過(guò)程FTP（Protocol,FTP）是TCP/IP網(wǎng)絡(luò)上兩臺(tái)計(jì)算機(jī)傳送文件的協(xié)議，F(xiàn)TP是在TCP/IP網(wǎng)絡(luò)和INTERNET上最早使用的協(xié)議之一，它屬于網(wǎng)絡(luò)協(xié)議組的應(yīng)用層。FTP客戶機(jī)可以給服務(wù)器發(fā)出命令來(lái)下載文件，上載文件，創(chuàng)建或改變服務(wù)器上的目錄。第二十六頁(yè)，共44頁(yè)。rsh是“remoteshell”（遠(yuǎn)程shell）的縮HTTP日志如果檢查的是一個(gè)Web服務(wù)器，應(yīng)該檢查http日志。許多常見(jiàn)的web攻擊都會(huì)在http日志中留下非常明顯的痕跡。使用grep命令，尋找奇怪的URL的證據(jù)。它們可能被用來(lái)獲取超級(jí)用戶或者shell的訪問(wèn)權(quán)限。例如，用字符串“passwd”做一次grep檢索，可能返回一份所有收集/etc/passwd的企圖。許多常見(jiàn)的Web攻擊在http日志中都會(huì)留下非常明顯的痕跡。第二十七頁(yè)，共44頁(yè)。HTTP日志如果檢查的是一個(gè)Web服務(wù)器，應(yīng)該檢查http日進(jìn)程記賬進(jìn)程記賬最初用作建立進(jìn)賬記錄來(lái)生成內(nèi)部的賬單，而現(xiàn)在的主要目的是安全。運(yùn)行進(jìn)程記賬所要求的系統(tǒng)資源較低，但卻能提供一份有用的系統(tǒng)活動(dòng)的記錄。記賬程序維護(hù)了一份詳細(xì)的關(guān)于每個(gè)被調(diào)用的進(jìn)程的記錄，它追蹤時(shí)間、二進(jìn)制文件名稱和調(diào)用該進(jìn)程的用戶。在unix系統(tǒng)下，記賬文件一般放置在/var/adm/pact/var/adm/acct/var/adm/pacct閱讀這些文件的命令是acctcom或lastcomm默認(rèn)情況下，linux系統(tǒng)并沒(méi)有運(yùn)行進(jìn)程記賬程序，因此，要使用記賬記錄需要預(yù)先配置。第二十八頁(yè)，共44頁(yè)。進(jìn)程記賬進(jìn)程記賬最初用作建立進(jìn)賬記錄來(lái)生成內(nèi)部的賬單，而現(xiàn)在linuxgrep命令1.作用

Linux系統(tǒng)中g(shù)rep命令是一種強(qiáng)大的文本搜索工具，它能使用正則表達(dá)式搜索文本，并把匹配的行打印出來(lái)。grep全稱是GlobalRegularExpressionPrint，表示全局正則表達(dá)式版本，它的使用權(quán)限是所有用戶。2.格式grep[options]3.[options]主要參數(shù)：

－c：只輸出匹配行的計(jì)數(shù)。

－I：不區(qū)分大小寫(只適用于單字符)。

－h(huán)：查詢多文件時(shí)不顯示文件名。

－l：查詢多文件時(shí)只輸出包含匹配字符的文件名。

－n：顯示匹配行及行號(hào)。

－s：不顯示不存在或無(wú)匹配文本的錯(cuò)誤信息。

－v：顯示不包含匹配文本的所有行。第二十九頁(yè)，共44頁(yè)。linuxgrep命令第二十九頁(yè)，共44頁(yè)。pattern正則表達(dá)式主要參數(shù)：

\：忽略正則表達(dá)式中特殊字符的原有含義。

^：匹配正則表達(dá)式的開(kāi)始行。

$:匹配正則表達(dá)式的結(jié)束行。

\<：從匹配正則表達(dá)式的行開(kāi)始。

\>：到匹配正則表達(dá)式的行結(jié)束。

[]：?jiǎn)蝹€(gè)字符，如[A]即A符合要求。

[-]：范圍，如[A-Z]，即A、B、C一直到Z都符合要求。

。：所有的單個(gè)字符。

*：有字符，長(zhǎng)度可以為0。第三十頁(yè)，共44頁(yè)。pattern正則表達(dá)式主要參數(shù)：

\：忽略正則表達(dá)式中特grep命令使用簡(jiǎn)單實(shí)例

$grep‘test’d*

顯示所有以d開(kāi)頭的文件中包含test的行。

$grep‘test’aabbcc

顯示在aa，bb，cc文件中匹配test的行。

$grep‘[a-z]\{5\}’aa

顯示所有包含每個(gè)字符串至少有5個(gè)連續(xù)小寫字符的字符串的行。

$grep‘w\(es\)t.*\1′aa

如果west被匹配，則es就被存儲(chǔ)到內(nèi)存中，并標(biāo)記為1，然后搜索任意個(gè)字符(.*)，這些字符后面緊跟著另外一個(gè)es(\1)，找到就顯示該行。如果用egrep或grep-E，就不用”\”號(hào)進(jìn)行轉(zhuǎn)義，直接寫成’w(es)t.*\1′就可以了。第三十一頁(yè)，共44頁(yè)。grep命令使用簡(jiǎn)單實(shí)例

$grep‘test’d*

6.2.3其它信息源賬號(hào)信息被攻擊系統(tǒng)上的口令文件往往顯示篡改的信息未經(jīng)授權(quán)的信任關(guān)系不可見(jiàn)的文件和目錄#find.–typed–name*.**-print0|cat-A/tmpcrontab和at任務(wù)crontab定時(shí)運(yùn)行程序/dev中非專用的文件在用戶目錄下的可執(zhí)行文件內(nèi)核轉(zhuǎn)儲(chǔ)文件shell和應(yīng)用程序歷史第三十二頁(yè)，共44頁(yè)。6.2.3其它信息源賬號(hào)信息被攻擊系統(tǒng)上的口令文件往往顯內(nèi)存轉(zhuǎn)儲(chǔ)是用于系統(tǒng)崩潰時(shí)，將內(nèi)存中的數(shù)據(jù)轉(zhuǎn)儲(chǔ)保存在轉(zhuǎn)儲(chǔ)文件中，供給有關(guān)人員進(jìn)行排錯(cuò)分析使用，（如果是個(gè)人用戶，選擇“無(wú)”對(duì)普通用戶來(lái)說(shuō)，一點(diǎn)用處也沒(méi)有，甚至?xí)?dǎo)致泄密）。小內(nèi)存轉(zhuǎn)儲(chǔ)，就是只保存內(nèi)存前64KB的基本空間數(shù)據(jù)的內(nèi)存轉(zhuǎn)儲(chǔ)文件。這樣可以節(jié)省磁盤空間，也方便文件的查看。右鍵點(diǎn)擊“我的電腦”，選“屬性→高級(jí)→啟動(dòng)和故障恢復(fù)→設(shè)置”，打開(kāi)“啟動(dòng)和故障恢復(fù)”選項(xiàng)卡，在“寫入調(diào)試信息”下拉列表中選中“小內(nèi)存轉(zhuǎn)儲(chǔ)（64KB）”選項(xiàng)。第三十三頁(yè)，共44頁(yè)。內(nèi)存轉(zhuǎn)儲(chǔ)是用于系統(tǒng)崩潰時(shí)，將內(nèi)存中的數(shù)據(jù)轉(zhuǎn)儲(chǔ)保存在轉(zhuǎn)儲(chǔ)文件這個(gè)概念源于UNIX系統(tǒng)，當(dāng)程序在執(zhí)行的時(shí)候，由于編寫的失誤或未經(jīng)過(guò)充分的測(cè)試，程序?qū)ο到y(tǒng)構(gòu)成威脅，就可能會(huì)導(dǎo)致核心轉(zhuǎn)儲(chǔ)（coredump）令人摸不著頭腦。在UNIX系統(tǒng)中，常將“主內(nèi)存”（mainmemory）稱為核心（core），因?yàn)樵谑褂冒雽?dǎo)體作為內(nèi)存材料之前，便是使用核心（core）。而核心映像（coreimage）就是“進(jìn)程”執(zhí)行當(dāng)時(shí)的內(nèi)存內(nèi)容。當(dāng)進(jìn)程發(fā)生錯(cuò)誤或收到“信號(hào)”而終止執(zhí)行時(shí)，系統(tǒng)會(huì)將核心映像寫入一個(gè)文件，以作為調(diào)試之用，這就是所謂的核心轉(zhuǎn)儲(chǔ)（coredump）。第三十四頁(yè)，共44頁(yè)。這個(gè)概念源于UNIX系統(tǒng)，當(dāng)程序在執(zhí)行的時(shí)候，由于編寫的失誤6.2.4數(shù)據(jù)恢復(fù)UNIX系統(tǒng)下文件被刪除后很難恢復(fù)，這是由UNIX獨(dú)特的文件系統(tǒng)結(jié)構(gòu)決定的。UNIX文件刪除的過(guò)程很簡(jiǎn)單，那就是釋放索引節(jié)點(diǎn)表和文件占用的數(shù)據(jù)塊，清空文件占用的索引節(jié)點(diǎn)，但不清除文件內(nèi)容。刪除文件與刪除目錄的處理不盡相同，不同命令刪除文件的過(guò)程也不相同。第三十五頁(yè)，共44頁(yè)。6.2.4數(shù)據(jù)恢復(fù)UNIX系統(tǒng)下文件被刪除后很難恢復(fù)，這是由刪除一個(gè)文件刪除一個(gè)目錄幾種不同的刪除命令rm命令mv命令>命令第三十六頁(yè)，共44頁(yè)。刪除一個(gè)文件第三十六頁(yè)，共44頁(yè)。數(shù)據(jù)恢復(fù)根據(jù)磁盤現(xiàn)場(chǎng)進(jìn)行恢復(fù)根據(jù)內(nèi)容恢復(fù)關(guān)鍵字搜索法精確長(zhǎng)度搜索法內(nèi)容關(guān)聯(lián)法環(huán)境比較法第三十七頁(yè)，共44頁(yè)。數(shù)據(jù)恢復(fù)根據(jù)磁盤現(xiàn)場(chǎng)進(jìn)行恢復(fù)第三十七頁(yè)，共44頁(yè)。6.3簡(jiǎn)單的取證推理6.3.1尋找關(guān)鍵字6.3.2分析惡意的進(jìn)程6.3.3分析未知代碼第三十八頁(yè)，共44頁(yè)。6.3簡(jiǎn)單的取證推理6.3.1尋找關(guān)鍵字第三十八頁(yè)，共46.3.1尋找關(guān)鍵字找到一個(gè)特定的關(guān)鍵字的文件的過(guò)程步驟一：搜索一個(gè)特定的關(guān)鍵字的出處，把整個(gè)文件系統(tǒng)作為一個(gè)文件來(lái)看待。在文件系統(tǒng)的映像上用grep檢索關(guān)鍵字在代表該設(shè)備的特殊文件上執(zhí)行搜索步驟二：定位該字符串再次出現(xiàn)在其中文件的位置。如果在用戶主目錄的文件中找到該字符串，那么可以從那里開(kāi)始。用這種搜索方法，可鑒別所有現(xiàn)存的包含純文本字符串的文件。第三十九頁(yè)，共44頁(yè)。6.3.1尋找關(guān)鍵字找到一個(gè)特定的關(guān)鍵字的文件的過(guò)程第三十6.3.3分析未知代碼閱讀文件檢查日期檢查名字尋找附件的源代碼使用strings使用grep使用nm在受控環(huán)境下運(yùn)行未知的代碼第四十頁(yè)，共44頁(yè)。6.3.3分析未知代碼閱讀文件第四十頁(yè)，共44頁(yè)。6.4LINUX取證下的系統(tǒng)工具TCT用于UNIX系統(tǒng)被攻擊后進(jìn)行事后分析的程序集。主要包括以下幾部分：grave-robber\ilsandmactime\unrmandlazarus\findkey它提供了強(qiáng)大的調(diào)查能力。它的特點(diǎn)是可以對(duì)運(yùn)行著的主機(jī)的活動(dòng)進(jìn)行分析，并捕獲目前的狀態(tài)信息。數(shù)據(jù)基本上以揮發(fā)性順序收集。TCT包括數(shù)據(jù)恢復(fù)和瀏覽工具、獲取MAC時(shí)間的工具、還包括一些小工具。第四十一頁(yè)，共44頁(yè)。6.4LINUX取證下的系統(tǒng)工具TCT第四十一頁(yè)，共44頁(yè)TCT的設(shè)計(jì)并不是用于收集傳統(tǒng)的法庭證據(jù)，而是用來(lái)確定在被攻破的主機(jī)發(fā)生了什最不尋常的特點(diǎn)在于它可以對(duì)運(yùn)行著的主機(jī)進(jìn)行分析，并捕獲當(dāng)前的狀態(tài)信息。grave-robber工具可以收集大量的正在運(yùn)行的進(jìn)程、網(wǎng)絡(luò)連接以及硬盤驅(qū)動(dòng)器方面的信息。Macg工具可以對(duì)每個(gè)索引結(jié)點(diǎn)收集一個(gè)按照時(shí)間排序的修改/訪問(wèn)/改變時(shí)間列表，同時(shí)還有它們相關(guān)的文件名unrm可以試圖從比特流重構(gòu)成一系列連貫的數(shù)據(jù)，也可以從文件系統(tǒng)中創(chuàng)建一個(gè)比特流第四十二頁(yè)，共44頁(yè)。TCT的設(shè)計(jì)并不是用于收集傳統(tǒng)的法庭證據(jù)，而是用來(lái)確定在被攻ForensiX主要運(yùn)行于LINUX環(huán)境（支持更多的文件系統(tǒng)），是一個(gè)以收集數(shù)據(jù)及分析數(shù)據(jù)位主要目的的工具。任何它所支持的媒體都可以被快速的映像，進(jìn)行MD5核查，并且記錄到案例數(shù)據(jù)庫(kù)中。這種非常有效的批處理操作，使映像大量的軟盤驅(qū)動(dòng)器變得很方便。提供在不同的文件系統(tǒng)里自動(dòng)裝配映像等功能、能夠發(fā)現(xiàn)分散空間里的數(shù)據(jù)、可以分析UNIX系統(tǒng)是否含有木馬程序。包含許多的插件，可以進(jìn)行不同類型的搜索。幾個(gè)不同尋常的功能：漏洞檢查、建立文件系統(tǒng)的基線圖、存儲(chǔ)散列值和文件名、自動(dòng)搜索互聯(lián)網(wǎng)上的域名、建立和分析TCPdump、識(shí)別隱藏文件第四十三頁(yè)，共44頁(yè)。ForensiX第四十三頁(yè)，共44頁(yè)。謝謝！第四十四頁(yè)，共44頁(yè)。謝謝！第四十四頁(yè)，共44頁(yè)。計(jì)算機(jī)取證技術(shù)6計(jì)算機(jī)取證技術(shù)6計(jì)算機(jī)取證技術(shù)6UNIX，是一個(gè)強(qiáng)大的多用戶、多任務(wù)操作系統(tǒng)，支持多種處理器架構(gòu)，按照操作系統(tǒng)的分類，屬于分時(shí)操作系統(tǒng)，最早由KenThompson、DennisRitchie和DouglasMcIlroy于1969年在AT&T的貝爾實(shí)驗(yàn)室開(kāi)發(fā)。商業(yè)版本:Solaris、AIX、HP-UX免費(fèi)操作系統(tǒng)：LINUX、OpenBSD、FreeBSD鑒于其基于網(wǎng)絡(luò)的設(shè)計(jì)，UNIX系統(tǒng)是作為Internet和小型網(wǎng)絡(luò)上的關(guān)鍵部分的理想平臺(tái)。許多電子商務(wù)網(wǎng)站、公司財(cái)務(wù)數(shù)據(jù)庫(kù)等都運(yùn)行于UNIX平臺(tái)。第一頁(yè)，共44頁(yè)。計(jì)算機(jī)取證技術(shù)6計(jì)算機(jī)取證技術(shù)6計(jì)算機(jī)取證技術(shù)6UNIX，UNIX，是一個(gè)強(qiáng)大的多用戶、多任務(wù)操作系統(tǒng)，支持多種處理器架構(gòu)，按照操作系統(tǒng)的分類，屬于分時(shí)操作系統(tǒng)，最早由KenThompson、DennisRitchie和DouglasMcIlroy于1969年在AT&T的貝爾實(shí)驗(yàn)室開(kāi)發(fā)。商業(yè)版本:Solaris、AIX、HP-UX免費(fèi)操作系統(tǒng)：LINUX、OpenBSD、FreeBSD鑒于其基于網(wǎng)絡(luò)的設(shè)計(jì)，UNIX系統(tǒng)是作為Internet和小型網(wǎng)絡(luò)上的關(guān)鍵部分的理想平臺(tái)。許多電子商務(wù)網(wǎng)站、公司財(cái)務(wù)數(shù)據(jù)庫(kù)等都運(yùn)行于UNIX平臺(tái)。第二頁(yè)，共44頁(yè)。UNIX，是一個(gè)強(qiáng)大的多用戶、多任務(wù)操作系統(tǒng)，支持多種處理與Linux的區(qū)別和聯(lián)系

UNIX是一個(gè)功能強(qiáng)大、性能全面的多用戶、多任務(wù)操作系統(tǒng)，可以應(yīng)用從巨型計(jì)算機(jī)到普通PC機(jī)等多種不同的平臺(tái)上，是應(yīng)用面最廣、影響力最大的操作系統(tǒng)。

Linux并不是UNIX，而是一個(gè)類似于UNIX的產(chǎn)品，它成功的實(shí)現(xiàn)并超越了UNIX系統(tǒng)和功能，具體講Linux是一套兼容于SystemV以及BSDUNIX的操作系統(tǒng)，對(duì)于SystemV來(lái)說(shuō)，目前把軟件程序源代碼拿到Linux底下重新編譯之后就可以運(yùn)行，而對(duì)于BSDUNIX來(lái)說(shuō)它的可執(zhí)行文件可以直接在Linux環(huán)境下運(yùn)行。第三頁(yè)，共44頁(yè)。與Linux的區(qū)別和聯(lián)系UNIX是一個(gè)功能強(qiáng)大、性能全面另外兩大區(qū)別：

1）UNIX系統(tǒng)大多是與硬件配套的，而Linux則可運(yùn)行在多種硬件平臺(tái)上.2）UNIX有些版本比如aix,hp-ux是商業(yè)軟件是閉源的（不過(guò)solaris,*bsd等unix都是開(kāi)源的），而Linux是自由軟件，免費(fèi)、公開(kāi)源代碼的.第四頁(yè)，共44頁(yè)。另外兩大區(qū)別：第四頁(yè)，共44頁(yè)。6.1LINUX系統(tǒng)現(xiàn)場(chǎng)證據(jù)獲取現(xiàn)場(chǎng)證據(jù)獲取的目的：保護(hù)現(xiàn)場(chǎng)，即保存當(dāng)前系統(tǒng)運(yùn)行狀態(tài)。凡是涉及計(jì)算機(jī)系統(tǒng)當(dāng)前狀態(tài)的數(shù)據(jù)都是收集的目標(biāo)。在現(xiàn)場(chǎng)收集的數(shù)據(jù)應(yīng)該優(yōu)先考慮揮發(fā)性數(shù)據(jù)。要完全收集一臺(tái)計(jì)算機(jī)的狀態(tài)是不可能的。僅僅是檢查高度易揮發(fā)的數(shù)據(jù)這種行為都會(huì)改變計(jì)算機(jī)的狀態(tài)。在系統(tǒng)的主存中查找字符串驗(yàn)證在LINUX上數(shù)據(jù)的易揮發(fā)性，使用下面的命令：#grepabasasdc/dev/membinarymatches第五頁(yè)，共44頁(yè)。6.1LINUX系統(tǒng)現(xiàn)場(chǎng)證據(jù)獲取現(xiàn)場(chǎng)證據(jù)獲取的目的：保護(hù)現(xiàn)/dev/mem是一個(gè)特殊的設(shè)備文件，對(duì)它的訪問(wèn)其實(shí)是對(duì)主存進(jìn)行訪問(wèn)，類似的，虛擬存儲(chǔ)器可以通過(guò)/dev/kmem來(lái)訪問(wèn)日期、時(shí)間等基本的信息可以首先收集起來(lái)獲取現(xiàn)場(chǎng)證據(jù)屏幕信息內(nèi)存信息網(wǎng)絡(luò)聯(lián)接狀態(tài)正在運(yùn)行的進(jìn)程第六頁(yè)，共44頁(yè)。/dev/mem是一個(gè)特殊的設(shè)備文件，對(duì)它的訪問(wèn)其實(shí)是對(duì)主6.1.1屏幕信息所有的UNIX版本都已經(jīng)標(biāo)準(zhǔn)化了窗口操作標(biāo)準(zhǔn)-XWindows。它是一個(gè)網(wǎng)絡(luò)系統(tǒng)，允許正在運(yùn)行的進(jìn)程把它們的窗口顯示在對(duì)用戶來(lái)說(shuō)最方便的任何工作站上。XWindows的轉(zhuǎn)儲(chǔ)命令xwd能夠轉(zhuǎn)儲(chǔ)一個(gè)單獨(dú)的窗口或者整個(gè)屏幕。#xwd–displaylocalhost:0–root>screen.xwd#xwud–inscreen.xwdxwd命令提供了-root選項(xiàng)，可以用它通過(guò)捕獲XWindow系統(tǒng)根窗口捕獲整個(gè)屏幕，XWindow系統(tǒng)根窗口是包含顯示的所有其他XWindow系統(tǒng)窗口和對(duì)話框的全屏窗口。下面的命令捕獲整個(gè)屏幕并把它寫到full-screen.xwd文件中：wd-root-outfull-screen.xwd

第七頁(yè)，共44頁(yè)。6.1.1屏幕信息所有的UNIX版本都已經(jīng)標(biāo)準(zhǔn)化了窗口操作X-Window環(huán)境下截圖

用X-Window中的截圖工具xwd與xwud是X-Window中自帶的截圖工具。xwd是一個(gè)非常傳統(tǒng)的屏幕截圖軟件，它可以截取程序窗口和全屏圖像。xwud是X11圖形工具客戶程序，可以用它來(lái)顯示由xwd程序創(chuàng)建的圖形文件。這兩個(gè)程序包含在X-Window的標(biāo)準(zhǔn)發(fā)布版中。截取圖像的方法如下:#xwd>myscreen.xwd查看圖像使用如下命令：#xwud-inmyscreen.xwd實(shí)際使用中，可以用xwd結(jié)合其它圖形轉(zhuǎn)換程序直接獲得想要的輸出文件。第八頁(yè)，共44頁(yè)。X-Window環(huán)境下截圖

用X-Window中的截圖工具6.1.1內(nèi)存信息在linux上，每個(gè)東西都被當(dāng)作文件來(lái)對(duì)待，這使復(fù)制和保存系統(tǒng)存儲(chǔ)器的內(nèi)容變得容易。實(shí)例假定在一個(gè)文件系統(tǒng)中有一個(gè)具有很大自由空間的數(shù)據(jù)收集系統(tǒng)步驟一：在數(shù)據(jù)收集系統(tǒng)上設(shè)置兩個(gè)監(jiān)聽(tīng)netcat進(jìn)程：#nc–l–p10005>suspect.mem.images&#nc–l–p10006>suspect.kmem.images&第九頁(yè)，共44頁(yè)。6.1.1內(nèi)存信息在linux上，每個(gè)東西都被當(dāng)作文件來(lái)對(duì)步驟二從受嫌疑的機(jī)器上復(fù)制內(nèi)存：#ddbs=1024</dev/memlnc10005–w332678+0recordsin32678+0recordsout#ddbs=1024</dev/memlnc10005–w322+0recordsin22+0recordsout注意：當(dāng)復(fù)制高度異變的對(duì)象時(shí)，如系統(tǒng)的內(nèi)存，是不可能驗(yàn)證其準(zhǔn)確性的。第十頁(yè)，共44頁(yè)。步驟二第十頁(yè)，共44頁(yè)。6.1.3網(wǎng)絡(luò)連接使用netstat命令來(lái)捕獲正在進(jìn)行中的網(wǎng)絡(luò)活動(dòng)的信息。在典型的linux系統(tǒng)內(nèi)，大多數(shù)的網(wǎng)絡(luò)連接是能兼容XWindows的。即使只是在本地運(yùn)行，XWindows也要使用網(wǎng)絡(luò)機(jī)制。在LINUX中，使用-p選項(xiàng)來(lái)顯示與特定的網(wǎng)絡(luò)連接相關(guān)的進(jìn)程。HTTP是無(wú)狀態(tài)的，因?yàn)檫@些連接都具有很短暫的生存期，并且它們的狀態(tài)迅速地循環(huán)到FIN_WAIT狀態(tài)，然后到CLOSE_WAIT狀態(tài)。同時(shí)，HPPT連接還提供了正在連接的機(jī)器的名字。當(dāng)netstat不能夠在本地的/etc/hosts中查找到這些機(jī)器名時(shí)，它會(huì)嘗試一下反向DNS查詢，以確定與IP地址相關(guān)的主機(jī)名。第十一頁(yè)，共44頁(yè)。6.1.3網(wǎng)絡(luò)連接使用netstat命令來(lái)捕獲正在進(jìn)行中的6.1.4正在運(yùn)行的進(jìn)程LINUX提供了許多工具，這些程序能夠提供關(guān)于所有運(yùn)行進(jìn)程的信息，或者提供關(guān)于特定運(yùn)行進(jìn)程的細(xì)節(jié)。在捕獲正在運(yùn)行的機(jī)器狀態(tài)時(shí)，主要的一個(gè)任務(wù)就是收集一份所有運(yùn)行進(jìn)程的列表，以及一份所有打開(kāi)文件的列表。/proc目錄是一個(gè)偽文件系統(tǒng)，它為/dev/kmem提供一個(gè)結(jié)構(gòu)化的接口，便于系統(tǒng)診斷并查看每一個(gè)正在運(yùn)行的可執(zhí)行文件的環(huán)境。在內(nèi)存中的每一個(gè)進(jìn)程在/proc中都有一個(gè)目錄，按它的進(jìn)程ID來(lái)命名。可以通過(guò)/proc來(lái)完善收集到的進(jìn)程列表信息。第十二頁(yè)，共44頁(yè)。6.1.4正在運(yùn)行的進(jìn)程LINUX提供了許多工具，這些程序能6.2linux中計(jì)算機(jī)證據(jù)獲取6.2.1文件系統(tǒng)6.2.2日志文件6.2.3其它信息源6.2.4數(shù)據(jù)恢復(fù)第十三頁(yè)，共44頁(yè)。6.2linux中計(jì)算機(jī)證據(jù)獲取6.2.1文件系統(tǒng)第十三6.2.1文件系統(tǒng)目錄在LINUX的文件系統(tǒng)中發(fā)揮很重要的作用，它比Windos的目錄要簡(jiǎn)單的多，只包括文件名的列表和文件的索引節(jié)點(diǎn)號(hào)。每個(gè)文件都在索引節(jié)點(diǎn)表里有相關(guān)項(xiàng)，它包括除文件名外的所有與文件相關(guān)的信息，這些項(xiàng)可以通過(guò)索引節(jié)點(diǎn)號(hào)訪問(wèn)。索引節(jié)點(diǎn)包含了一個(gè)文件除去文件名以外的所有信息。一個(gè)索引節(jié)點(diǎn)占用128字節(jié)的磁盤空間。第十四頁(yè)，共44頁(yè)。6.2.1文件系統(tǒng)目錄在LINUX的文件系統(tǒng)中發(fā)揮很重要的索引結(jié)點(diǎn)包含的信息文件類型：普通文件、目錄、塊設(shè)備文件、字符設(shè)備文件、鏈接等文件權(quán)限：讀、寫、執(zhí)行權(quán)限的組合文件的硬鏈接數(shù)文件所有者的用戶ID文件所屬的組ID文件大?。ㄗ止?jié)數(shù)）一個(gè)包含有15個(gè)磁盤塊地址的數(shù)組文件最近的訪問(wèn)時(shí)間和日期文件最后一次修改的日期和時(shí)間文件創(chuàng)建的日期和時(shí)間第十五頁(yè)，共44頁(yè)。索引結(jié)點(diǎn)包含的信息第十五頁(yè)，共44頁(yè)。LINUX所有文件均存放于目錄中，目錄本身也是一個(gè)文件。目錄存放文件的機(jī)制：目錄本身也和普通文件一樣，占用一個(gè)索引節(jié)點(diǎn)由這個(gè)索引節(jié)點(diǎn)得到目錄內(nèi)容的存放位置從其內(nèi)容中取出一個(gè)個(gè)的文件名和它對(duì)應(yīng)的節(jié)點(diǎn)號(hào)，從而訪問(wèn)一個(gè)文件第十六頁(yè)，共44頁(yè)。LINUX所有文件均存放于目錄中，目錄本身也是一個(gè)文件。第十目錄結(jié)構(gòu)：索引節(jié)點(diǎn)號(hào)（2字節(jié)）.（本目錄）（14字節(jié)）索引節(jié)點(diǎn)號(hào)（2字節(jié)）..（父目錄）（14字節(jié)）索引節(jié)點(diǎn)號(hào)（2字節(jié)）文件名（14字節(jié)）索引節(jié)點(diǎn)號(hào)（2字節(jié)）文件名（14字節(jié)）……由上可知，文件名是依靠目錄來(lái)描述的，文件的內(nèi)容和其它信息則由索引節(jié)點(diǎn)來(lái)描述。在對(duì)文件的調(diào)查過(guò)程中，應(yīng)該重點(diǎn)分析這些索引節(jié)點(diǎn)以及其中的內(nèi)容。第十七頁(yè)，共44頁(yè)。目錄結(jié)構(gòu)：第十七頁(yè)，共44頁(yè)。任何應(yīng)用都會(huì)在磁盤上留下痕跡，有的直接在臨時(shí)文件中留下，有的通過(guò)交換空間間接留下。在另外的一臺(tái)計(jì)算機(jī)上使用所保存的文件系統(tǒng)的映像有兩種方式：把映像復(fù)制進(jìn)一個(gè)與該映像具有相同大小的分區(qū)內(nèi)。首先使用dd把這個(gè)分區(qū)清除干凈，然后使用dd把這個(gè)映像復(fù)制到該分區(qū)上。把這個(gè)映像文件復(fù)制進(jìn)一個(gè)足夠大的能夠容納它的文件系統(tǒng)中，然后把驅(qū)動(dòng)映像文件作為一個(gè)文件系統(tǒng)來(lái)加載。第十八頁(yè)，共44頁(yè)。任何應(yīng)用都會(huì)在磁盤上留下痕跡，有的直接在臨時(shí)文件中留下，有的RedhatLINUX的缺省配置在/dev中具有一系列的回送設(shè)備，使同時(shí)安裝多個(gè)文件系統(tǒng)映像變得很方便。#mkdir/mnt/suspecthost#mount–text2–oro,loop=/dev/loop0suspect.hdb5.image/mnt/suspecthost如果有一個(gè)DOS文件系統(tǒng)的映像，也可以使用下面這種方法來(lái)訪問(wèn)它：#mkdir/mnt/suspecthost2#mount–tdos–oro,loop=/dev/loop1suspect.dos.image/mnt/suspecthost2第十九頁(yè)，共44頁(yè)。RedhatLINUX的缺省配置在/dev中具有一系列的回6.2.2日志文件logon和logoff或LINUX系統(tǒng)的任意事件都可以在一個(gè)或多個(gè)系統(tǒng)日志文件中產(chǎn)生記錄。lastlog文件中的記錄可以通過(guò)lastlog命令進(jìn)行查看last命令可以用來(lái)查看wtmp和utmp文件中的記錄。日志文件的詳細(xì)程度各不相同，取決于日志記錄機(jī)制是如何配置的。LINUX系統(tǒng)可以配置為記錄每個(gè)用戶賬號(hào)、記錄該賬號(hào)執(zhí)行的命令，或者通過(guò)Solaris系統(tǒng)的BSM（基本安全模塊）進(jìn)行記錄。系統(tǒng)日志、登錄日志、http日志、進(jìn)賬日志第二十頁(yè)，共44頁(yè)。6.2.2日志文件logon和logoff或LINUX系統(tǒng)的系統(tǒng)日志系統(tǒng)日志可能是最有價(jià)值的系統(tǒng)活動(dòng)的信息源。如果滿足下面兩個(gè)條件，日志記錄對(duì)取證會(huì)很有用。日志記錄功能是激活的，而且記錄必須足夠詳細(xì)。記錄必須是完整的。在信息量的記錄方面，syslog兼容的進(jìn)程通常有較大的靈活性。檢查一個(gè)系統(tǒng)的時(shí)候，查閱一下etc/syslog.conf，看看對(duì)每一個(gè)系統(tǒng)服務(wù)，日志記錄機(jī)制是怎樣設(shè)置的，日志信息被送到什么地方。syslog的主要的弱點(diǎn)就是它缺少認(rèn)證服務(wù)。制造假的系統(tǒng)日志很容易。如何進(jìn)行日志檢查？第二十一頁(yè)，共44頁(yè)。系統(tǒng)日志系統(tǒng)日志可能是最有價(jià)值的系統(tǒng)活動(dòng)的信息源。第二十一頁(yè)對(duì)日志可疑情況的分析日志丟失日志在預(yù)期時(shí)間之后開(kāi)始日志的第一個(gè)記錄的時(shí)間信息一段時(shí)間內(nèi)沒(méi)有日志有缺口的區(qū)域丟失的日志記錄使用其它方法來(lái)推測(cè)日志記錄應(yīng)該已經(jīng)產(chǎn)生了特殊時(shí)間的異?；顒?dòng)不明來(lái)源的登錄來(lái)自該組織范圍外部的登錄失敗的登錄失敗或者未經(jīng)授權(quán)地使用su為了獲得根權(quán)限，攻擊者會(huì)用到su命令試圖訪問(wèn)/etc/passwd有散列化的口令文件，攻擊者就能夠破解口令來(lái)自網(wǎng)絡(luò)服務(wù)的錯(cuò)誤某個(gè)網(wǎng)絡(luò)服務(wù)已經(jīng)被用于獲取對(duì)系統(tǒng)的訪問(wèn)權(quán)過(guò)大的日志企圖利用緩沖區(qū)溢出的漏洞第二十二頁(yè)，共44頁(yè)。對(duì)日志可疑情況的分析第二十二頁(yè)，共44頁(yè)。登錄日志在LINUX系統(tǒng)中，登錄進(jìn)程對(duì)每個(gè)控制臺(tái)登錄、遠(yuǎn)程登錄、X會(huì)話、rsh的使用、FTP等會(huì)話維護(hù)一個(gè)記錄為了適應(yīng)不同的目的，該記錄分散在三個(gè)不同的文件里。這些登錄日志在所有的UNIX平臺(tái)上都按照相同的方法使用。三種linux系統(tǒng)下的登錄日志：/var/log/utmp/var/log/wtmp/var/log/lastlog幾種利用日志來(lái)報(bào)告用戶活動(dòng)的工具：lastlastlogwhow第二十三頁(yè)，共44頁(yè)。登錄日志在LINUX系統(tǒng)中，登錄進(jìn)程對(duì)每個(gè)控制臺(tái)登錄、遠(yuǎn)程登X會(huì)話在人機(jī)交互，會(huì)話管理是保持用戶的整個(gè)會(huì)話活動(dòng)的互動(dòng)與計(jì)算機(jī)系統(tǒng)跟蹤過(guò)程。會(huì)話管理分類：桌面會(huì)話管理、瀏覽器會(huì)話管理、Web服務(wù)器的會(huì)話管理（通常指的SESSION以及COOKIE）。在XWindow系統(tǒng)中，X會(huì)話管理器是一個(gè)會(huì)話管理程序，這個(gè)程序能夠保存和恢復(fù)一組程序的當(dāng)前運(yùn)行狀態(tài)。在Linux操作系統(tǒng)中，很多操作都是有可能的，其中包括可以同時(shí)運(yùn)行兩個(gè)圖形化桌面。在OSX或者Windows操作系統(tǒng)中，如果想讓其它用戶使用你的桌面，或者想同時(shí)使用兩個(gè)不同的圖形用戶界面，那么你必須使用到“用戶轉(zhuǎn)化開(kāi)關(guān)（userswitching）”，這將會(huì)臨時(shí)終止一個(gè)桌面而進(jìn)入到另一個(gè)桌面。第二十四頁(yè)，共44頁(yè)。X會(huì)話在人機(jī)交互，會(huì)話管理是保持用戶的整個(gè)會(huì)話活動(dòng)的互動(dòng)與桌面會(huì)話管理器是一個(gè)程序，可以保存和恢復(fù)桌面會(huì)話。桌面會(huì)話是所有正在運(yùn)行的窗口和當(dāng)前的內(nèi)容。會(huì)話管理器基于Linux系統(tǒng)是由X會(huì)話管理器。在MicrosoftWindows系統(tǒng)，沒(méi)有會(huì)話管理器包含在系統(tǒng)中。會(huì)話管理是由第三方提供類似twinsplay第三方應(yīng)用程序。

從X會(huì)話管理器的角度來(lái)看，一個(gè)會(huì)話是指給定時(shí)間的桌面狀態(tài)：一組窗口以及它當(dāng)前的內(nèi)容。更精確的說(shuō)，一個(gè)會(huì)話是一組管理窗口或與窗口有關(guān)的客戶端以及允許這些程序恢復(fù)所需窗口的相關(guān)信息。

使用會(huì)話管理器最顯著的效果是再次登錄進(jìn)入時(shí)所有窗口和狀態(tài)與登出時(shí)完全一致。第二十五頁(yè)，共44頁(yè)。桌面會(huì)話管理器是一個(gè)程序，可以保存和恢復(fù)桌rsh是“remoteshell”（遠(yuǎn)程shell）的縮寫，該命令在指定的遠(yuǎn)程主機(jī)上啟動(dòng)一個(gè)shell并執(zhí)行用戶在rsh命令行中指定的命令；如果用戶沒(méi)有給出要執(zhí)行的命令，rsh就用rlogin命令使用戶登錄到遠(yuǎn)程機(jī)上。rsh配置過(guò)程FTP（Protocol,FTP）是TCP/IP網(wǎng)絡(luò)上兩臺(tái)計(jì)算機(jī)傳送文件的協(xié)議，F(xiàn)TP是在TCP/IP網(wǎng)絡(luò)和INTERNET上最早使用的協(xié)議之一，它屬于網(wǎng)絡(luò)協(xié)議組的應(yīng)用層。FTP客戶機(jī)可以給服務(wù)器發(fā)出命令來(lái)下載文件，上載文件，創(chuàng)建或改變服務(wù)器上的目錄。第二十六頁(yè)，共44頁(yè)。rsh是“remoteshell”（遠(yuǎn)程shell）的縮HTTP日志如果檢查的是一個(gè)Web服務(wù)器，應(yīng)該檢查http日志。許多常見(jiàn)的web攻擊都會(huì)在http日志中留下非常明顯的痕跡。使用grep命令，尋找奇怪的URL的證據(jù)。它們可能被用來(lái)獲取超級(jí)用戶或者shell的訪問(wèn)權(quán)限。例如，用字符串“passwd”做一次grep檢索，可能返回一份所有收集/etc/passwd的企圖。許多常見(jiàn)的Web攻擊在http日志中都會(huì)留下非常明顯的痕跡。第二十七頁(yè)，共44頁(yè)。HTTP日志如果檢查的是一個(gè)Web服務(wù)器，應(yīng)該檢查http日進(jìn)程記賬進(jìn)程記賬最初用作建立進(jìn)賬記錄來(lái)生成內(nèi)部的賬單，而現(xiàn)在的主要目的是安全。運(yùn)行進(jìn)程記賬所要求的系統(tǒng)資源較低，但卻能提供一份有用的系統(tǒng)活動(dòng)的記錄。記賬程序維護(hù)了一份詳細(xì)的關(guān)于每個(gè)被調(diào)用的進(jìn)程的記錄，它追蹤時(shí)間、二進(jìn)制文件名稱和調(diào)用該進(jìn)程的用戶。在unix系統(tǒng)下，記賬文件一般放置在/var/adm/pact/var/adm/acct/var/adm/pacct閱讀這些文件的命令是acctcom或lastcomm默認(rèn)情況下，linux系統(tǒng)并沒(méi)有運(yùn)行進(jìn)程記賬程序，因此，要使用記賬記錄需要預(yù)先配置。第二十八頁(yè)，共44頁(yè)。進(jìn)程記賬進(jìn)程記賬最初用作建立進(jìn)賬記錄來(lái)生成內(nèi)部的賬單，而現(xiàn)在linuxgrep命令1.作用

Linux系統(tǒng)中g(shù)rep命令是一種強(qiáng)大的文本搜索工具，它能使用正則表達(dá)式搜索文本，并把匹配的行打印出來(lái)。grep全稱是GlobalRegularExpressionPrint，表示全局正則表達(dá)式版本，它的使用權(quán)限是所有用戶。2.格式grep[options]3.[options]主要參數(shù)：

－c：只輸出匹配行的計(jì)數(shù)。

－I：不區(qū)分大小寫(只適用于單字符)。

－h(huán)：查詢多文件時(shí)不顯示文件名。

－l：查詢多文件時(shí)只輸出包含匹配字符的文件名。

－n：顯示匹配行及行號(hào)。

－s：不顯示不存在或無(wú)匹配文本的錯(cuò)誤信息。

－v：顯示不包含匹配文本的所有行。第二十九頁(yè)，共44頁(yè)。linuxgrep命令第二十九頁(yè)，共44頁(yè)。pattern正則表達(dá)式主要參數(shù)：

\：忽略正則表達(dá)式中特殊字符的原有含義。

^：匹配正則表達(dá)式的開(kāi)始行。

$:匹配正則表達(dá)式的結(jié)束行。

\<：從匹配正則表達(dá)式的行開(kāi)始。

\>：到匹配正則表達(dá)式的行結(jié)束。

[]：?jiǎn)蝹€(gè)字符，如[A]即A符合要求。

[-]：范圍，如[A-Z]，即A、B、C一直到Z都符合要求。

。：所有的單個(gè)字符。

*：有字符，長(zhǎng)度可以為0。第三十頁(yè)，共44頁(yè)。pattern正則表達(dá)式主要參數(shù)：

\：忽略正則表達(dá)式中特grep命令使用簡(jiǎn)單實(shí)例

$grep‘test’d*

顯示所有以d開(kāi)頭的文件中包含test的行。

$grep‘test’aabbcc

顯示在aa，bb，cc文件中匹配test的行。

$grep‘[a-z]\{5\}’aa

顯示所有包含每個(gè)字符串至少有5個(gè)連續(xù)小寫字符的字符串的行。

$grep‘w\(es\)t.*\1′aa

如果west被匹配，則es就被存儲(chǔ)到內(nèi)存中，并標(biāo)記為1，然后搜索任意個(gè)字符(.*)，這些字符后面緊跟著另外一個(gè)es(\1)，找到就顯示該行。如果用egrep或grep-E，就不用”\”號(hào)進(jìn)行轉(zhuǎn)義，直接寫成’w(es)t.*\1′就可以了。第三十一頁(yè)，共44頁(yè)。grep命令使用簡(jiǎn)單實(shí)例

$grep‘test’d*

6.2.3其它信息源賬號(hào)信息被攻擊系統(tǒng)上的口令文件往往顯示篡改的信息未經(jīng)授權(quán)的信任關(guān)系不可見(jiàn)的文件和目錄#find.–typed–name*.**-print0|cat-A/tmpcrontab和at任務(wù)crontab定時(shí)運(yùn)行程序/dev中非專用的文件在用戶目錄下的可執(zhí)行文件內(nèi)核轉(zhuǎn)儲(chǔ)文件shell和應(yīng)用程序歷史第三十二頁(yè)，共44頁(yè)。6.2.3其它信息源賬號(hào)信息被攻擊系統(tǒng)上的口令文件往往顯內(nèi)存轉(zhuǎn)儲(chǔ)是用于系統(tǒng)崩潰