識別黑客犯罪的蛛絲馬跡
來源:科技資訊網 更新時間:2007-10-17

 

隨著網絡信息技術的發展,計算機網絡逐漸成為人們生活和工作中不可或缺的組成部分,它改變了人們傳統的工作習慣和生活節奏。在人們越來越依賴網絡的今天,伴隨著計算機網絡的日新月異,計算機網絡犯罪也逐漸走進了我們的視線。黑客攻擊、網絡釣魚,僵尸網絡,這些以謀取非法利益為目的的新興犯罪手段,使人們誠惶誠恐。不僅僅是因為擔心數據丟失給企業和個人造成經濟損失,更重要的原因是當企業或個人發現了被黑客攻擊,被病毒侵害而造成損失后,往往不知道該怎么辦,舉報到相關部門,又缺乏足夠的證據,畢竟這是虛擬的世界,找證據非常的難。這也是本文要和大家探討的問題:計算機取證。

計算機證據是指在計算機系統運行過程中,產生用以證明案件事實的內容的一種電磁記錄物。針對網絡攻擊事件,可以作為證據有:系統日志、應用日志、服務器日志、網絡日志、防火墻日志、入侵檢測、磁盤驅動器、文件備份等等,其中入侵檢測、服務器日志是主要的證據來源。從企業信息網絡安全建設來看,計算機取證已經成為一個重要的領域。通過檢查計算機的訪問日志信息,可以了解犯罪嫌疑人在該計算機上做了哪些事情,找到可疑文件;通過黑客工具反向判定,可以追蹤黑客動向以及了解黑客活動。

但是從目前的情況來看,網絡取證還是非常困難的,因為到目前為止,國家還沒有一個成文的相關法規出臺。而且現在的犯罪分子也十分狡猾,網絡犯罪手段也非常隱蔽多樣,以色情犯罪為例,在罪犯建設的站點上,開辟隱藏的色情版塊,只給那些老成員訪問,有著長期的信任關系才能訪問嫌疑人到隱藏版塊,其他會員則不可見。有些甚至只有通過2層、3層網絡代理才可以訪問,還有人使用vpn做加密通道,在肉雞上放置色情資源,嫌疑人為了證明自己的清白,經常在主頁上植入木馬程序,自己不光賣流量,還賣信封,當你抓捕他的時候,他能詭辯的聲稱這個服務器空間是被別人給利用了,自己也是受害者。這些手段和行為在司法機關立案和定罪時,確實很難成為呈堂證供。計算機取證這條道路是漫長而深遠的,有時抓獲嫌疑人,卻因為證據不足而不能定罪,留下的是更多的無奈。

用事實說話

2006年6月,我所在城市的刑偵大隊,來找我幫忙做一次計算機技術分析和取證。起因是當地的一個犯罪分子在劫車殺人后,曾經來過當地的汽車配件市場中的一個商店,買過一個零件,而當時賣配件的售貨人員在他們使用的電腦上留有一些銷售記錄。我首先查看了機器上裝的銷售軟件,該銷售軟件是廣東開發的,操作平臺是基于DOS開發的,很BT(51CTO編者注:BT在這里可以理解成“變態”),竟然還調用了ucdos。經過一些行為分析和操作檢查后,發現里面有很多記錄,但是很多從登記的人員信息來看都是虛假的,更奇怪的是只有近幾天的銷售記錄,而沒有以前的。就打電話給商店老板,老板說這個電腦平時都是用來做銷售記錄,偶爾聽聽音樂的,沒有人懂電腦的,經過再三的確認,或許有人誤操作吧。不過這也難不倒我們,用EasyRacover(51CTO編者注:EasyRacover是一種數據恢復軟件)經過近3個小時的恢復,發現了不少東西。遺憾的是還沒發現有價值的信息,在一些數據庫文件中發現的銷售日期是近來幾天的。哎,看下表都已經夜里2點了,抽顆煙,繼續分析,期間用了很多工具,還是一無所獲。第2天早上,朋友買來早點,等著聽我的好消息,我只能兩手一擺,沒有結果。但是我不死心,因為從我個人研究的角度考慮,肯定還是有內在原因的,商店那邊肯定還是有問題。經過再三的詢問,終于才知道里面有一個銷售人員懂點基本的操作,晚上趁老板不在的時候,看一些自己買的色情影碟,后來機器中了病毒,他怕老板知道,就用了那種ghost版本的winxp安裝盜版光盤,哎,就是這個可怕的ghost,造成了永久不能復原,讓我們在第一時間損失了獲得嫌疑人第一手的信息,經過后來和一些數據恢復專家的探討,他們說這就相當于一次物理寫入,在數據恢復研究領域,物理擦寫是無法在還原記錄的,就是目前美國也無法完成物理擦寫后的數據恢復。

這是我當是第一次做取證方面的事情,雖然是失敗了,但是卻激發了我很濃厚的興趣,現在一直也在這個方面做一些研究,有時也和警察朋友一起做些配合。

那么黑客是怎么去消除證據的?

是不是真的象一些黑客電影里面演的那樣,把使用的數據光盤放入微波爐里面摧毀,把硬盤鎖定,敲任意鍵都進入數據倒計時自我毀滅狀態。說老實話,把光盤放入微波爐里面,消除證據我還沒有做過,不過以前和朋友到是真寫過一個毀壞硬盤的程序,程序運行的時候要對磁頭進行讀寫,硬盤盤片高速旋轉,cpu做大量計算的時候,突然之間停止,殺死他的馬達。主要思路是來自對軟驅的讀寫控制,因kill motor 這個命令而想到的,為此也報廢了一個硬盤。所以鍵入任意鍵,進入硬盤自毀程序,我是認可的。而放入微波爐的那個,想想太危險,就沒有做個這樣的測試。其實大多數黑客都不是只有一個硬盤的,一般情況下都是有2-3塊移動硬盤,把一些珍貴數據放在里面。在他們跑路的時候,用塑料帶罩著。放在隱藏的角落,具體什么位置,大家自己去想吧。每個人的思路不一樣,我這里不好多做解釋。現在還有的一些黑客把資料放在自己的pda手機里面,手機都是二手的,然后在把SIM卡進行擦寫,即使我們做了發射基站定位,也還是找不到他們真正的藏匿之所。黑客還喜歡把經過跳轉的路由節點都一個個的干掉,把犯罪信息抹除的干干凈凈。

如何查找證據呢?

一般黑客的常用做法就是以假亂真,通過注冊表來克隆帳戶,用克隆帳戶訪問一些核心信息,通過DOS修改文件時間等手段,造成一種迷惑的假象。很多木馬程序都是放在system32里面。很少有用戶留意這個目錄。黑客也會在肉雞上開vpn服務,不過通常訪問的時候都是過三層代理訪問肉雞,即使被發現和跟蹤也只能訪問到代理主機,同樣它也是一臺肉雞,而且多數都不是在國內。這給取證方面增加了很大難度。

黑客通常在訪問完肉雞(傀儡機)后,首先要做的工作,是清除系統訪問日志,國內的都喜歡用小榕的那個工具清除系統日志,一般我們瀏覽一些信息的時候,從“開始”菜單的“文檔”菜單可查看到Windows 系統自動記錄的最后使用的十五個文檔,實際上,這個信息存放在C:Documents and SettingsDefault UserRecent中(51CTO編者注:Default User是Windows操作系統登陸的用戶帳號,下同),它還包括有文件鏈接和訪問時間,檢查此文件夾,可以了解最近計算機的使用情況。

不僅如此,從開始菜單,運行regedit ,從注冊表中搜索recent ,將得到許多recent 記錄。例如:

在HKCU Software Microsof t DevStdio 6. 0 Recent File List 有開發工具Visual Studio 的最近使用的程序文件和工程文件;

在HKCU Software Adobe Acrobat Reader 8. 0 AdobeViewer 有該軟件最近閱讀過的文件;

在HKCU Sof tware Microsof t Office 9. 0 Excel Recent Files 有Excel 最近打開的文檔;

前述開始菜單的十五個文檔也存放在HKCU Sof tware Microf t Windows CurrentVersion Explorer RecentDocs ,只不過文件名使用的是Unicode 編碼;

在C:Documents and SettingsDefault User Local Settings History 中存有最近訪問所留下的所有文件;

IE 訪問歷史在C:Documents and SettingsDefault User LocalSettings Temporary Internet Files ,記錄了Internet 地址、標題和上次訪問時間等;

在HKCU sof tware Microsof t Internet Explorer Type2dURLS 路徑下可以看到上網的網址。

C:Documents and SettingsDefault User Favorites 是收藏夾,在作系統信息檢查時,應當在資源管理器中設置“顯示所有文件”,因為在默認情況下,系統文件夾設置成“隱藏”屬性。通過這些操作就可以看到我們訪問過的一些痕跡。

國外的是怎么樣做網絡取證的?

隨著美劇越獄的熱播,大家都對那個充滿著離奇色彩的電影而充滿想象,但是處于職業習慣,我更看中的是那個FBI探員的犯罪猜想以及FBI做的數據還原。FBI就是通過硬盤的數據恢復從而知道了男主角的全盤計劃。如果不想讓人看到自己的一些記錄,完全可以把硬盤進行分解,做物理性破壞。從近三年的計算機安全技術論壇(FIRST年會)看,計算機取證已經成為廣為關注的問題。國際上在計算機取證方面已有比較深入的研究,并且有不少公司推出了相關的應用產品。美國五個已建成和計劃建設中的計算機取證實驗室,專門用于恐怖活動追蹤和計算機犯罪調查。

一般國外慣用的取證手法還是通過專業工具,主要使用Encase和Ftk這兩個工具軟件,通過二進制數據還原技術來重現一些機器操作信息和軟件安裝數據信息等。在電子郵件取證方面是通過EmailTrackPro這個工具來做一些電子郵件定位,通過分析郵件來往信息頭做出判定,同時這也是捕捉網絡蠕蟲病毒,跟蹤源慣用的方法,還有通過Filemon等工具做一些信息比對,找出木馬和黑客軟件的容身之所,根據逆向分析來進行反跟蹤,偵查黑客的所在地。從而通過誘捕、抓捕犯罪嫌疑人,當然更多的也是通過高額的賞金來做情報收集。圈里有一種傳說:FBI可以對六次的重復擦寫的磁盤做出數據還原。我也和國外的朋友探討過,大家一致認為這絕對是不可能的,要不怎么說是傳說呢?

應該怎么取證

為了確保證據的安全、可信,計算機證據國際組織( International Organization on Computer Evidence ,IOCE) 對數字證據的采集、保存、檢驗和傳送提出的特別要求:“必須使用有效的軟硬件進行采集和檢驗;數字證據的采集、檢驗、傳送全過程都必須有記錄;任何有潛在可能對原始數字證據造成改變、破壞或毀壞的活動必須由有法律上承認的有資質的人進行。對現場計算機的一個處理原則是,已經開著的計算機不要關掉,關著的計算機不要打開。如果現場計算機是開著的,應避免使屏幕保護程序激活。檢查屏幕上的活動。如果發現系統正在刪除文件、格式化、上傳文件、系統自毀或進行其他危險活動,立即切斷電源。

現場取證時,應當記錄系統日期和時間、主存內容、當前執行的進程列表、在端口提供服務的程序列表、當前系統內用戶列表,如果是聯網系統,還應收集當前連入系統的用戶名和遠程系統名。還應當盡可能記錄使用者的個人情況、用戶名、口令、密碼等。

對于計算機硬盤數據,使用專用的取證工具進行硬盤復制,在實驗室對備份的硬盤進行檢驗,采集證據。原始硬盤封存保管。對于取證用的計算機,要進行病毒檢測,防止病毒傳染到被檢測的計算機。

計算機取證方面存在的問題總結:

計算機取證技術是相關法律法規賴以實施的基礎,是我國全面實現信息化的重要技術之一,但現在還存在以下問題:

(1)計算機取證涉及到磁盤分析、加密、數據隱藏、日志信息發掘、數據庫技術、介質的物理性質等多方面的知識,取證人員除了會使用取證工具外,還應具備綜合運用多方面知識的能力。

(2)在取證方案的選擇上應結合實時取證和事后取證兩種方案,以保證取證的效果,因此可以將計算機取證融合到入侵檢測等網絡安全工具中,進行動態取證。這樣,整個取證過程將更加系統并具有智能性。

(3)計算機取證只是一種取證手段,并不是萬能的,因此應與常規案件的取證手段相結合,比如詢問當事人、保護現場等,從而有效打擊計算機犯罪。

(4)到目前為止,盡管相關部門早已進行了計算機安全培訓,但還沒有一套成形的操作規范,使得取證結果的可信性受到質疑。為了能讓計算機取證工作向著更好的方向發展,制定取證工具的評價標準和取證工作的操作規范是非常必要的。

 



铁牛视频app下载苹果-铁牛视频app下载地址-铁牛视频app破解版ios