上个星期,某安全机构的Aetk在QQ里问,有没有关计算机安全取证的工具,我跟他推荐了EnCase,随后在qq中他谈到,他跟踪到了一个hack的大概位置,但由于他们没有执法权,联系有关部门,有关部门很不配合他的工作。之前我也配合过有关部门做过安全取证,在这里谈下有关安全取证注意的事项。

    首先,我们在接到一个企事业求助报警,说他们的站点或者服务器给***或者***的时候,我们应该断开有关被***的设备,才可以进行安全检查。现在的社会现象就是一个法盲的社会,由于影视媒体的过分渲染,一些孩子,拿着工具左扫右攻,就当自己是hack,虚拟的荣誉感经常让他们变的过分嚣张。

   断开设备后,我们接着就要先对案发现场(这个案发现场不是电影中的什么凶杀现场,呵呵,是只被***设备的存储设备)进行勘察。值的注意的一点就是,在做有关取证前,一定要做好备份工作,防止有关操作破坏有关犯罪证据。

    接着,我们要与求助单位商讨有关安全策略问题,首先找设备管理人员,从他那里了解有关物理及软件安全策略,并且要求他/她配合相关工作;接着找到该单位的相关负责人及其法律顾问等,咨询是否追究***者法律责任(民事的或者是刑事的)以及是否报警等。在这里大象提醒下大家,如果你的站点已经意识到***但是没有采取措施阻止,一般网管需要承担部分法律责任的(好象是玩忽执法),还有一个最重要的是非执法部门的参与你是无权去追查有关***者的。最后一点就很明显说明某安全机构的Aetk跟踪非法***者都可能属于不合法的。

   跟着,我们可以开始进行相应的工作,并详细记录有关工作内容等。

1、检查iis日志

   IIS日志,用来记录服务器所有访问记录。我们可以择取部分iis日志进行查找有关事件记录,一般是选择***前后间隔1小时到24小时。在***前,hack一般会先采用有关工具进行嗅探的,对于现在网络犯罪的低龄化来说,一般一些***者只会简单的使用工具,所以在技术层面上不难追踪到实际的***源。对于比较老鸟的hack来说,他们会采用跳板或者肉鸡来***你的服务器,但,他们同样都会犯一个致命的错误,就是会先用他自己的主机来尝试连接你的服务器。有关iis日志分析方法可以查看我之前整理的一篇文章《***检测简介
2、.检查系统文件
   
   对于有关病毒分析者来说这一步是很熟悉的,通常通过简单的排列下系统最后更新时间来查看最后修改文件。

或者你也可以采用某些工具进行对应的检查。
3、检查系统配置1)检查是否可疑用户帐号
A、你的服务器是NT系统
在“控制面板”→“计算机管理”→“本地用户组”→“用户”那里检查下是否有可疑帐号

B、如果你的服务器是UNIX/Linux系统
检查/etc/passwd文件中是否有可疑的用户
2)检查启动项、服务是否被修改
A、你的服务器是NT系统
这个跟检查病毒一样,检查注册表可以直接在运行那里输入regedit;检查服务可以在“控制面板”→“计算机管理”→“服务”那里查找。可以采用一些软件进行检查,比如我们动物家园计算机安全咨询中心 smallfrogs 开发的系统辅助工具SReng 

B、如果你的服务器是UNIX/Linux系统
       检查/etc/inet.conf文件是否被修改   
如果系统允许使用r命令,例如rlogin、rsh、rexec,则要检查/etc/hosts.equiv或者.rhosts文件。
4、检查被篡改的文件
主要对web页面文件、ftp存档文件、用户目录下的文件以及其它的文件进行校验。一般hack***后为了显耀自己来过,都会去修改网站的首页文件,留下他/她所谓的杰作。




5、检查hack留下的作案工具跟数据
***者在获得你服务器webshell权限后,都会上传工具再做深一步的进入,比如:海阳顶端、pcanywhere等。有的会在你的服务器挂马,触发更多计算机终端成为网络傀儡。

总结:当然安全取证不像上面说的那么简单,还要涉及很多东西。有关执法部门会有专门的“黑匣子”工具,对事件的审计数据、日志、BIT流、分析、还原、统计、报告事件等。对于非执法机关,我们能做的只能算是安全分析.