黑客攻击和取证的分析

admin 2024年12月3日13:14:24评论23 views字数 1054阅读3分30秒阅读模式

01

攻击及攻击后证据

黑客及攻击者在攻击后会采取一系列手段进行抹除入侵痕迹,如删除日志文件、清理缓存、覆盖数据等,但是在路由器、交换机、防火墙、入侵检测系统以及攻击者电脑等设备和网络中,依旧存在一些能找到一些可疑痕迹,例如异常的网络流量、被修改的文件或恶意软件等。

下面是入侵一般涉及到的流程

1、收集信息:深入研究目标网站,尽可能多的收集信息;

2、枚举和扫描:确定开放端口,运行的服务和网站可能存在的漏洞;

3、提权和攻击:尝试利用找到的漏洞,进入网站的后台或数据库;

4、维持的访问:一旦成功入侵,攻击者可能会尝试保持其访问权限,以备未来使用;

5、痕迹的清理:删除日志文件和其他痕迹,防止被发现

攻击的证据分类:

日志文件证据:日志文件是记录电脑或网络中发生的事件和操作的文件,例如系统日志、应用日志、安全日志、网络日志等可以反映黑客攻击的时间、来源、目标、方式、结果等信息。

网络流量证据:网络流量是指在电脑网络中传输的数据包,它们可以包含一些源地址、目的地址、协议类型、数据内容有用的信息。

物理设备证据:黑客团伙使用的电脑、手机、存储介质等硬件设备,它们可以存储一些与黑客攻击相关的数据,例如配置文件、浏览器历史、缓存文件、删除文件等。

恶意代码证据:一些病毒、蠕虫、木马、及后门等程序,可以在被攻击的计算机系统或网络中执行一些恶意的功能,例如窃取数据、破坏数据、控制系统、传播感染等。

02

取证和鉴定

保护现场:在发现攻击者入侵攻击后,采取一系列措施保护被攻击的计算机系统或网络不受进一步的损害或篡改,确定被攻击范围、状态和特征,同时保留现场的原始状态,避免证据的丢失或破坏。

采集数据:采集数据是指在现场保护的基础上,使用专业的工具和技术,从被攻击的计算机系统或网络中提取与攻击者攻击行为相关的数据,例如日志文件、恶意代码、网络流量、设备信息等,同时记录数据的来源、时间、方式等信息。

分析数据:分析数据是指对采集的数据进行深入的研究和解读,从数据中提取有用的信息,例如入侵攻击的时间、来源、目标、方式、结果等,恢复和重建黑客攻击的过程和结果,提取和筛选与案件相关的关键信息和证据,同时比对和验证数据的真实性、完整性、关联性等。

展现数据:将分析的结果以清晰的形式展示出来,使用专业的格式和语言,编写电子数据取证的鉴定报告,同时提供数据的证据链、证据价值、证据保全等信息,必要时可经公诉人、当事人和辩护人、诉讼代理人申请,在法院同意情况下,到庭对发表专业意见辅助诉讼。

原文始发于微信公众号(安全架构):黑客攻击和取证的分析

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年12月3日13:14:24
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   黑客攻击和取证的分析https://cn-sec.com/archives/3452672.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息