01
攻击及攻击后证据
黑客及攻击者在攻击后会采取一系列手段进行抹除入侵痕迹,如删除日志文件、清理缓存、覆盖数据等,但是在路由器、交换机、防火墙、入侵检测系统以及攻击者电脑等设备和网络中,依旧存在一些能找到一些可疑痕迹,例如异常的网络流量、被修改的文件或恶意软件等。
下面是入侵一般涉及到的流程
1、收集信息:深入研究目标网站,尽可能多的收集信息;
2、枚举和扫描:确定开放端口,运行的服务和网站可能存在的漏洞;
3、提权和攻击:尝试利用找到的漏洞,进入网站的后台或数据库;
4、维持的访问:一旦成功入侵,攻击者可能会尝试保持其访问权限,以备未来使用;
5、痕迹的清理:删除日志文件和其他痕迹,防止被发现。
攻击的证据分类:
日志文件证据:日志文件是记录电脑或网络中发生的事件和操作的文件,例如系统日志、应用日志、安全日志、网络日志等可以反映黑客攻击的时间、来源、目标、方式、结果等信息。
网络流量证据:网络流量是指在电脑网络中传输的数据包,它们可以包含一些源地址、目的地址、协议类型、数据内容有用的信息。
物理设备证据:黑客团伙使用的电脑、手机、存储介质等硬件设备,它们可以存储一些与黑客攻击相关的数据,例如配置文件、浏览器历史、缓存文件、删除文件等。
恶意代码证据:一些病毒、蠕虫、木马、及后门等程序,可以在被攻击的计算机系统或网络中执行一些恶意的功能,例如窃取数据、破坏数据、控制系统、传播感染等。
02
取证和鉴定
保护现场:在发现攻击者入侵攻击后,采取一系列措施保护被攻击的计算机系统或网络不受进一步的损害或篡改,确定被攻击范围、状态和特征,同时保留现场的原始状态,避免证据的丢失或破坏。
采集数据:采集数据是指在现场保护的基础上,使用专业的工具和技术,从被攻击的计算机系统或网络中提取与攻击者攻击行为相关的数据,例如日志文件、恶意代码、网络流量、设备信息等,同时记录数据的来源、时间、方式等信息。
分析数据:分析数据是指对采集的数据进行深入的研究和解读,从数据中提取有用的信息,例如入侵攻击的时间、来源、目标、方式、结果等,恢复和重建黑客攻击的过程和结果,提取和筛选与案件相关的关键信息和证据,同时比对和验证数据的真实性、完整性、关联性等。
展现数据:将分析的结果以清晰的形式展示出来,使用专业的格式和语言,编写电子数据取证的鉴定报告,同时提供数据的证据链、证据价值、证据保全等信息,必要时可经公诉人、当事人和辩护人、诉讼代理人申请,在法院同意情况下,到庭对发表专业意见辅助诉讼。
原文始发于微信公众号(安全架构):黑客攻击和取证的分析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论