如何从技术上处理Windows系统的入侵问题

首先，他们应该怎么做？

如果受害者保持打开此机器并非绝对必要，则必须将 其关闭。你想要防止攻击者继续前进，如果你足够幸运，你甚至可能没有给他们足够的时间来覆盖他们所有的踪迹。他们还应确保机器与任何有线网络正确断开连接。如果有人在此计算机上配置了W ake On L an，则攻击者可能能够将其重新打开，即使在WAN上也是如此。删除连接到潜在受损主机的任何外围设备也是安全的。

你该怎么办？

既然机器已经超出潜在攻击者的范围，你应该怎么做？

A）容器 - 保证机器的数据安全

1-制作磁盘的精确图像

如果您想调查此问题，则必须浏览受感染机器的文件。但是你不能打开机器或从另一台机器上的驱动器启动，你可能会改变有用的证据（日志，事件，标志，时间戳，注册表[...]）。你能做的就是彻底克隆受害者的硬盘。

重要的是要强调你将要制作的克隆的完整方面。正如您现在所做的那样，未映射的磁盘或分区扇区不一定是空的。这个看似未使用的空间可能仍然包含文件，临时数据，甚至是您绝对不想丢失的完整分区！

在取证调查之前复制驱动器的最佳方法是将其所有扇区复制到另一台设备上的映像文件中。将驱动器克隆到磁盘映像而不是将其克隆到另一个类似的物理驱动器的关键是，它将允许您更轻松地移动，装载和验证副本的完整性，并减少意外数据损坏的可能性。

有许多工具可用于此类操作，在所有可用的免费工具中我会推荐这些工具：

OSFClone，它似乎是当时最易用，可靠的开源和免费（如免费啤酒）解决方案。它可以作为可引导的ISO（即使你没有自己的机器也很容易使用），它包装了基于GNU / Linux dd实用程序的工具，并提供了非常方便的错误记录级别。它还允许创建 AFF文件，并包括用于完整性验证的SHA1和MD5哈希。

Dc3dd，这是一个免费（如自由）修补版本的 dd，为计算机取证使用添加了几个功能。它是GNU / Linux系统上的命令行工具，MacOS通过brew和Windows通过Cygwin，支持MD5，SHA-1，SHA-256和SHA-512散列，与单独的 dd相比提供增强的日志管理。

可能安装在类UNIX系统上，非常可靠和积极维护。据我所知，它不包括完整性验证（您必须自己完成）并且可能不会记录可能有用的I / O错误，但在一天结束时它仍然是最好的完整之一 - 磁盘克隆解决方案。

请注意我选择不包括似乎没有积极维护，不是开源或不是免费的软件。

警告：不要使用CloneZilla，Macrium，Paragon和其他“经典”磁盘实用程序，您可能会丢失有用的数据和无效证据。另外一条建议：在使用dd时，总是三重检查“of”和“if”参数的顺序！

2-保持严格的监管链

作为不是律师或具有广泛法律知识的人，这可能是最棘手的部分。如果您希望您所处理的潜在证据可以在法庭或法医调查员处使用，您绝对必须保持真实的监管链。监管链是一个精确的记录，记录有关您收集的证据的所有事件，它应该准确描述证据本身以及何时，何地，为何，如何以及由谁收集，分析，运输和保护。

它可以是物理或数字文档，应包括尽可能多的照片，精确描述，屏幕截图，哈希。根据我读过的文件，似乎你不能包含“太多”的材料，最坏的情况你可能会添加无关的信息，所以要详尽无遗。以下是您的数字监管链可以包含的信息的一般框架：

· 记者（您）的身份，您可能包括有关您与受害者关系的相关信息。

· 对证据的详尽描述（它是在线帐户，机器，硬盘驱动器还是文件？它看起来是什么，它的哈希，序列号或唯一标识符是什么？它是否有标记，划痕或任何明显可识别的内容？系统和软件安装？）应包括从不同角度拍摄的照片。

· 您拥有所述证据的理由和条件以及您收集的确切时间和地点。

· 如果证据必须转移到另一个地方，即使你只是将它从抽屉移到另一个地方，你必须记录什么，何时，为什么，通过谁，何处以及如何实现转移。

· 何时，何地，为何以及如何分析证据以及每项分析的结论是什么。

· 您是如何确保证据的安全性的？它存放在哪里？谁可以访问它，为什么？

如果您必须随身携带物证，如果您不再需要使用它，则应将其密封。密封防静电或自封袋可与强力胶带结合使用以包装证据。然后，您可以将其密封的日期写在包装上并签名。

免责声明：我不能理解这一点，我不是律师，如果你正在阅读这份文件，很可能你也不是。如果您正在处理潜在证据并且未接受过处理此类计算机证据的培训，您必须寻求专业人士的法律支持。您还应该注意，有关您所居住的州，国家或城市的有关数字证据的法律可能会有所不同。这是一份非详尽无权的指南，不能作为法律指南的替代。

B-识别 - 了解入侵及其范围

1-非数字评估

在您尝试使用数字方法重建入侵之前，重要的是尽可能多地获取受害者和目击事件的所有人的事件信息。

关于与信息安全相关的任何任务，一个好的经验法则是将所有内容写下来。你永远不知道什么时候它可能有用。

以下是您希望了解并报告计算机入侵的要点的示例清单：

· 谁首先发现了这个问题？

· 什么已经观察到？

· 什么时候发生？

· 受感染机器上有哪些信息？

· 什么可能的入侵对受害者及其雇主/公司的影响？

另一件重要的事情是，机器上是否包含任何数据备份。如果您需要重新安装整个操作系统或在某些时候更换机器的硬盘驱动器，它可能会派上用场。

2-法医调查

如果您具备所需的技能，现在可以开始对收集的数据进行取证分析。

法医计算机分析师本身就是一门专业，如果你没有经过适当的专业培训，我强烈建议你和合格的专业人士一起工作。但如果它不适合您，我们将通过一些您可以做的事情来调查Windows主机。

首先，您需要安装之前制作的图像。您可以在类UNIX操作系统上使用mount实用程序：

#> mount -t vfat -o loop,ro,noexec windows.dd /mnt/

有关更详尽的安装选项和配置，您可以查看Forensics Wiki，其中包含非常有用的帮助程序。

这里最重要的两个标志是ro和noexec。Ro意味着只读，这将阻止您更改映像，noexec将阻止您从挂载的文件系统运行任何可执行文件，因此如果它包含恶意软件，它将不太可能传播到您自己的计算机。

以下是您可以从以下位置收集有用信息的不同地点的非详尽列表：

· Windows事件

在我看来，Windows事件是开始搜索入侵痕迹的好方法。

它们位于％SystemRoot％/ System32 / winevt / Logs中，并存储为evtx文件。

阅读和使用evtx文件的便捷方法是使用由卡巴斯基实验室开发的parse-evtx。您可以使用它从Windows日志文件中包含的数据创建与CSV兼容的行。

#> parse-evtx /mnt/Windows/System32/winevt/Logs/Security.evtx > Security.evtx.parsed.csv

如果它使您更容易，您甚至可以使用您喜欢的CSV软件打开已解析的evtx文件

当您查找入侵者时，安全日志文件中最有趣的事件ID 是4624（帐户已成功登录），528（成功登录），540（成功登录网络），672（授权验证票证） 和673（授予服务票）。

根据您使用的Windows版本，其中一些eventID可能不可用。ultimatewindowssecurity.com上提供了更详尽的有用Windows事件列表。

· Amcache

从Windows 8开始，名为Amcache.hve的注册表文件正在执行程序跟踪。它位于Windows 8上的C： Windows AppCompat Programs Amcache.hve和最近的Windows 10主机上的C： Windows appcompat Programs Amcache.hve中，可以在Windows，MacOS或GNU /上进行分析Linux主机使用regripper的amcache模块：

#> regripper -r Amcache.hve -p amcache

输出将显示在Windows机器上运行的最新可执行文件及其上次执行时间和SHA-1哈希（如果要与已知的恶意软件签名进行比较，则会很方便）。

regripper输出

· 浏览器历史

大多数浏览器的数据将驻留在C： Users {Username}中自动创建的配置文件中。

例如，Google Chrome的 默认个人资料数据位于C： Users {用户名} AppData Google Chrome 用户数据默认。这是一个包含所有用户信息的目录，如SQLite3数据库（历史记录，Cookie，登录数据，最有用的登录数据日志）。

Firefox的配置文件位于C： Users {Username} Application Data Mozilla Firefox Profiles中。每个配置文件都包含一个places.sqlite文件，用于记录所有用户的书签，下载和历史记录。

对于Microsoft Edge的历史记录，您必须通过C： Users {Username} AppData Microsoft Windows WebCache。在此目录中是一个可扩展存储引擎（ESE）数据库文件，其中包含名为WebCacheV01.dat的 Internet Explorer和Edge的浏览历史记录。打开ESE数据库的唯一工具是ESE数据库视图（close-source，由NirSoft开发），目前仅适用于Windows。

WebCachev01.dat中可用数据的示例

如果这不足以让您确定是否以及如何发生入侵，您可以检查Windows的网络历史记录，驱动器的已删除文件，或者如果您正在寻找更具体的内容，可能是ForensicsWiki将会帮助你。

C-报告 - 为您的听众提供所有必要的信息

既然你的分析已经完成，那么剩下要做的调查还有一个重要的部分; 那个报告。根据您的报告的受众，它可能包括：

· 你的身份

· 分析的开始和结束日期

· 所分析项目的描述，包括其ID，品牌和序列号（如果适用）

· 您的分析过程的描述，其中可能包括您采取的分析步骤和屏幕截图

· 您获得的结果

· 你的结论

您可以添加与分析及其结果相关的任何内容，然后在报告中签名。

本文始发于微信公众号（飓风网络安全）：如何从技术上处理Windows系统的入侵问题