HW:取证分析

admin 2022年7月27日15:23:34评论82 views字数 2030阅读6分46秒阅读模式
微信公众号:计算机与网络安全


一般网络安全事件中,入侵者或多或少会在操作系统上留下一些蛛丝马迹,因此,操作系统上的取证分析也是网络安全取证的重要一环。本文介绍 Windows 操作系统的取证,Linux系统取证情况类似。


1、系统信息分析


提取操作系统基本信息有利于开展安全事件的调查,常见的操作系统信息包括系统基本信息、用户信息、服务信息、硬件信息、网络配置、时区信息、共享信息等。取证软件通过解析系统注册表文件即可获得相关信息。


2、应用程序痕迹分析


在服务器或工作站被黑客入侵的网络安全事件中,往往需要对黑客在服务器或工作站上运行的应用程序及命令行工具进行痕迹提取,了解入侵的时间及过程。因此应用程序的痕迹提取与分析对于网络安全事件调查与取证的意义重大。

应用程序痕迹调查目前可以通过分析以下信息来了解用户运行应用程序的情况,即预读文件分析(Prefetch或Super Prefetch)和注册表(User Assist)中应用程序运行痕迹。


3、USB设备使用记录分析


Windows系统默认自动记录在计算机USB接口插入的所有USB设备,包括USB接口的存储设备(如优盘、移动硬盘、数码相机存储卡等)、手机、平板电脑以及USB接口的键盘、鼠标及加密狗等。

在很多网络安全事件(如政府单位机密文件或企业商业机密泄露)调查时,往往需要对可疑的计算机进行取证分析,提取曾经插拔过的USB存储介质(U盘、移动硬盘等)。

USB设备使用记录对调查的意义有:掌握对象计算机接入过USB设备的历史记录信息;掌握USB设备的使用情况(第一次使用时间、最后一次使用时间、系列号等)。


4、事件日志分析


系统中“事件日志”(Event Log)记录了Windows系统在运行过程中发生的各种事件,包括硬件设备的接入、驱动安装、系统用户的登录(成功或失败)、各种系统服务及应用软件的严重错误、警告等信息。


5、内存数据分析


计算机内存是操作系统及各种软件交换数据的区域,数据易丢失,通常在关机后数据就消失。内存取证的研究起步较晚,但近年来越来越受到关注。内存中存在着一些无法从硬盘中获取的重要信息(如密码/密钥信息、木马程序等),对取证具有重大的意义。

计算机内存中数据种类很多,需要进行分析的信息包括以下内容。

1)明文密码、密钥等信息 (如BitLocker、TrueCrypt等密钥)。
2)用户访问过的网页、打开的图片、文档文件等。
3)即时通信信息(如聊天软件的聊天内容)。
4)各种虚拟身份ID(如QQ号、Skype账号、IP地址,电子邮件地址等)。
5)文件系统元数据信息(如$MFT记录)。
6)用户密码Hash(如Windows用户的LM/NTLM Hash)。
7)注册表信息。
8)系统进程(可获取和提取出Rootkit驱动级隐藏进程)。
9)网络通信连接信息。
10)已打开的文件列表。
11)加载的动态链接库信息。
12)驱动程序信息。
13)服务信息。

6、动态取证及常用工具


动态仿真取证技术是一种基于仿真技术的取证方法,它可以将物理磁盘或磁盘镜像中的操作系统进行模拟运行,以所见即所得的方式运行起来。通过动态仿真技术,可以让服务器、笔记本、台式机等硬件中的各种操作系统(Windows/Linux/Mac OSX)及应用服务模拟运行起来,然后对系统中的各种应用服务(如Web服务、数据库服务、邮件系统服务等)进行数据的访问及分析。

动态仿真取证可获取到静态取证分析时无法获得的个人敏感信息以及计算机使用痕迹,对计算机取证领域的动态仿真分析能力提升有重大意义。在网络安全事件中,对服务器的安全事件调查、恶意程序调查等均有重要的价值。通过动态仿真取证系统可以模拟原始操作系统的环境,可以无限次数地还原安全事件发生时的状态。恶意程序在操作系统不运行的状态下,也不工作,无法进行动态的行为跟踪与分析,只有将系统模拟运行起来后,恶意程序在特定的时间、特定的事件驱动下开始工作,取证人员就可以对其行为(文件访问、注册表访问、网络通信等)进行综合分析。

目前国际上常用的动态仿真取证工具主要有:LiveView(开源工具)、GetData VFC及国内自主研发的ATT-3100等。不同动态仿真取证工具存在差异,LiveView开源免费,但是已停止维护多年,兼容性存在一定问题。实际取证工作中,推荐使用商用软件GetData VFC或ATT-3100。

通过动态仿真取证系统,还可屏蔽操作系统中的账号密码,直接进入系统进行调查取证。借助商业软件或者第三方工具,可以对系统中的一些动态数据进行提取,例如保存在系统中的账户和密码(VPN拨号、ADSL拨号及各种软件保存的账户及密码),甚至可制作为密码字典。

此外,在动态仿真虚拟系统中,取证人员要对操作系统中的恶意代码或木马进行行为分析,还可以借助第三方工具(如“Wireshark抓包工具”)进行网络通信行为分析。



- The end -




HW:取证分析

原文始发于微信公众号(计算机与网络安全):HW:取证分析

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月27日15:23:34
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   HW:取证分析https://cn-sec.com/archives/1204160.html

发表评论

匿名网友 填写信息