- 论坛徽章:
- 0
|
|
作为一名信息安全爱好者,经常在网上见到某某黑客攻击某某网站被抓,真的令我很痛心,所以今天就写一篇有关网警与黑客的文章。希望能够让各位朋友知道网警是利用哪些技术抓黑客的,以及在以后入侵的时候要注意的地方。\r\n目前网警抓黑客的主要技术是计算机取证技术,又称为数字取证或电子取证。它是一门计算机科学与法学的交叉科学,是对计算机犯罪的证据进行获取、保存、分析和出示的一个过程。而黑客与网警较量的技术自然就叫计算机反取证技术,即删除或者隐藏证据从而使网警的取证工作无效。\r\n本文着重讲解怎么去进行反取证。俗话说的好“知己知彼,百战百胜”,因此了解一下网警是怎么取证的,用到哪些技术及工具,然后有针对性的去进行反取证,这些都是非常必要的,只有这样我们才能够在与网警之间的较量中占有更大的优势。\r\n\r\n网警\r\n\r\n从上面我们知道,网警的主要技术是取证,下面我们就来了解一下什么是取证技术。一般看刑警电视剧比较多的人都知道,发生了什么案子首先是封锁和保护现场,不让任何人破坏现场,然后就是给现场做技术鉴定,使用各种手段尽量还原当时案发现场的情况并寻找凶手留下来的信息(比如指纹、凶器等等)。\r\n而网警破案的第一步也是封锁现场,让调查人员来到计算机犯罪现场或入侵现场,寻找并扣留相关的计算机硬件。这一步在计算机取证上也叫物理证据获取,一般网警在这一步做的主要事情是:保护寄存器、数据文件、交换区、隐藏文件、空闲磁盘空间、打印机缓存、网络数据区、用户进程存储区、堆栈、日志、缓冲区、文件系统中的数据不被破坏和修改。还有就是获取内存和硬盘中的数据,顺序为先内存后硬盘,因为内存为易灭失数据而硬盘为相对稳定数据。对内存数据的获取主要用内存检查命令和内存数据分析工具(如内存数据分析编辑器)来实现,而硬盘数据的获取也是通过专门的工具(如“美亚网警”多功能硬盘克隆机)对硬盘进行逐扇区的读取,将硬盘数据完整地克隆出来;第二步是就是对保护和提取的数据进行分析,它的范围包括现存的正常文件、已经删除但没有被新文件覆盖的文件、隐藏文件、受到密码保护的文件及加密文件等等。\r\n分析数据常用的手段有:\r\n1.用搜索工具搜索所有的逻辑文件Slack磁盘空间、自由空间、未分配的空间中所有特定的数据。打个比方说:在上午10点的时候发生了入侵事件,那么在使用搜索工具时肯定是首先搜索记录时间为10点左右的文件\r\n2.由于黑客在入侵时会删除数据,所以我们还要用数据恢复工具对没有覆盖的文件进行恢复\r\n3.对系统中所有加密的文件进行解密\r\n4.用MD5对原始证据上的数据进行摘要,然后把原始证据和摘要信息保存。\r\n上面的就是网警在取证时所要进行技术处理的地方,然后根据分析的结果(如IP地址等等)来抓人。\r\n\r\n下面介绍一些网警在取证时常用到的专业软件,对此方向感兴趣的朋友可以到网上去下载。\r\n文件浏览器:专门用来查看数据文件的阅读工具,只可以查看但没有编辑和恢复功能,可以防止数据的破坏,Quick View Plus是其中的代表。\r\n图片检查工具:ThumbsPlus是一个可以对图片进行全面检查的工具。\r\n反删除工具:Easy Undelete是一款Windows下强大的数据恢复和反删除软件。\r\n文本搜索工具:dtSearch是一个很好的用于文本搜索的工具。\r\n驱动器映像程序:就是拷贝和建立驱动器的映像,可以满足取证分析的磁盘映像软件,包括:SafeBack SnapBack Ghost等等。\r\nForensic Toolkit:是一系列基于命令行的工具,可以帮助推断Windows NT文件系统中的访问行为。\r\nEnCase:主要功能有数据浏览、搜索、磁盘浏览、数据预览、建立案例、建立数据、 保存案例等。\r\nCRCMD5:可以验证一个或者多个文件内容的CRC工具。\r\nDiskScrub:一个可以清除硬盘驱动器中所有数据的工具。\r\nDiskSig:用于验证映像备份的精确性。\r\nFileList:一个磁盘目录工具,用来建立用户在系统上的行为时间表。\r\nGetSlack:一个周围环境数据收集工具,用于捕获未分配的数据。\r\nGetTime:一个周围环境数据收集工具,用于捕获分散的文件。\r\nNet Threat Analyzer:网络取证分析软件,用于识别公司账号滥用。\r\nNTI-DOC:一个文件程序,用于记录文件的日期、时间以及属性。\r\nPTable:用于分析及证明硬盘驱动器分区的工具。\r\nSeized:用于对证据计算机上锁及保护的程序\r\nShowFL:用于分析文件输出清单的程序。\r\nTextSearch Plus:用来定位文本或者图形软件中的字符串的工具。 |
|
免费注册
发表于 2007-07-12 13:43
