Windows取证分析.ppt

Windows取证分析 开机取证：数据收集 主要内容 开机取证 收集什么数据 非易变信息 开机取证方法 传统调查方法 现场调查人员直接关闭计算机 取得系统硬盘的按位镜像 简单但不符合实际 有些案例不能通过硬盘镜像找到答案，例如即时聊天 很多案件中 最佳的证据和信息源存在于内存中 网络连接 即时聊天客户端内容 即时聊天进程的内存数据 etc. 开机取证 Live Response 现场取证 访问在线、运行的系统并收集易变（或者非易变）的信息 为什么要开机取证 ？ 一些时候，关闭系统并获取硬盘镜像并不可行 服务品质 有些程序的代码仅仅存在于内存中，从不写盘 有时候仅仅对一个进程信息感兴趣 一些案件需要收集一些系统的在线信息 在线信息通常存在于物理内存中 在线信息易变（进程、网络连接、剪贴板数据etc.） 诺卡德交换原理 当两个对象接触时，物质会在这两个对象之间产生交换或者传送。 例如 两台计算机通过网络通信时，信息会在两者之间交换 一台计算机中的信息会出现在另外一台计算机的内存、日志中 一个可移动的存储设备连接到Windows计算机时，设备信息会保存在这台计算机上 调查人员和运行的系统进行交互时，运行程序并复制数据会导致系统的改变 重要原则 无论是作为用户还是调查员，当与在线系统交互时，都会对系统造成改变。 时间的流逝、进程运行、数据的保存或删除、网络连接或终止等活动会造成系统的改变 即时没有任何交互，运行的系统也处于不断变化中 当运行指令收集信息时，会造成系统的改变 易变信息的次序 RFC3227 2002年2月发布，定义了准确收集系统信息的原则： registers, cache routing table, arp cache, process table, kernel statistics,memory temporary file systems disk remote logging and monitoring data that is relevant to the system in question physical configuration, network topology archival media 何时进行开机取证 异常网络流量 系统可能存在入侵或恶意程序 系统不能被关机 法律要求 … 收集什么数据 系统时间 当前登录用户 打开的文件 网络信息 网络连接 进程信息 进程到端口的映射 进程内存 网络状态 剪贴板内容 服务/驱动信息 命令行历史 映射的驱动器 共享 开机取证工具 开机取证过程中，命令行工具（CLI）比图形界面工具（GUI）有特殊的优势： 占用更小的内存，对内存的影响会比较小 依赖的动态链接库（DLLs）更少，对系统的影响也较少 其他？ 开机取证要求对系统的影响最小，所以要避免写文件，并且在获取数据的时候越快越好 选CLI还是GUI应根据实际情况 系统时间 事件调查过程中，首先要获取的信息包括系统时间。系统时间为以后获取的数据信息构建了时间上下文环境，并且会为系统事件时间线的正确分析提供帮助。 系统时间systemtime 运行时间uptime 真实时间 时区设置 当前登录用户 调查过程中，有时需要知道系统的当前登录用户是谁，包括本地登录用户（通过控制台或键盘登录）和远程登录用户（通过net use命令或共享）。登录用户为收集的其他系统信息提供了上下文线索，例如，运行进程的用户上下文、文件宿主、文件最后访问事件等。 Psloggedon.exe net sessions logonsessions.exe Netusers.exe 打开的文件 如果通过psloggedon找到有用户远程登录到系统中，那么同时也要了解该用户打开了什么文件。远程登录的用户总是要执行一些命令或者打开文件。 Net file Psfile.exe Openfiles.exe 网络信息（缓存的netbios名字列表） 入侵者获得访问权限后，有时想要知道网络中还有哪些其他系统可以通过被入侵的系统访问。 如果通过netbios通信和其他系统建立了连接（如共享），系统将会维护一个连接过的系统名字列表，通过查看缓存的名字列表，调查人员可以知道哪些系统已经受到影响。 Nbtstat 网络连接 一旦发生了安全事件，就应该收集针对被影响系统的网络连接信息。随着时间的流逝，连接信息会慢慢过期，时间越久，丢失的信息越多。 netstat 进程信息 调查人员对可能的被入侵系统的运行进程信息总是应该很关注。通过任务管理器查看进程信息时，可以看到每个进程的一些信息，不过，很多需要收集的信息并不能通过任务管理器看到，例如“ 可执行文件的全路径 启动进程时的命令行参数信息 进程运行的时间 进程运行的安全/用户上下文环境 进