打开通向高效证据的搜集和响应的一扇门.ppt

实时计算机取证和应急响应的演化打开通向高效证据的搜集和响应的一扇门 介绍 简介 Matthew M. Shannon,信息系统安全认证专家 ,计算机取证调查员 Matthew Shannon, 自2004年1月开始担任Agile风险管理有限公司负责人，是信息安全和计算机取证方面的专家，他有10年企业工作的经历，曾在毕马威会计事务所、埃克森美孚公司、联合技术公司等企业工作过。 Matthew 也是F-Response软件的主要设计者之一，它是首款真正采用与供应商无关技术实现远程计算机取证、应急响应和电子发现。 F-Response在美国和其他国家，包括澳大利亚、巴西、中国、德国和波兰都得到广泛应用，包括政府部门、法律部门和企业。 Matthew 作为一名演讲嘉宾出席过很多会议，包括第11届DEFCON 黑客大会、美国保密会议等，不仅如此，最近他又受邀参加即将在中国北京举行的中国计算机取证峰会和在香港举行的国际高科技犯罪调查协会。 Mr. Shannon 在1999年以优等生身份毕业于美国佛罗里达大学决策和信息科学专业，此外，在2004年他还因他的专业和市场成就被Tampa海湾商业杂志评为当地30岁以下最成功的30人之一。 摘要介绍 当前计算机取证和应急响应的简要概述 实时计算机取证和应急响应概要 实时计算机取证出现趋势 F-Response作为实时取证工具 问题和讨论 当前计算机取证 在物理世界和数字世界的证据收集 当前计算机取证实际操作步骤 典型做法是对一台脱机或关机的计算机的硬盘进行取证操作 下述经典的计算机取证步骤现在依然十分重要 : 获取阶段 (保护和搜集) 认证阶段(委托第三方) 分析和报告 当前计算机取证实际操作步骤应急响应时间轴  时间轴详细内容 3:12– 攻击发生 7:12– 开始发现并注意. 11:12– 开始获取和认证 17:12- 开始分析 在可能获得更多信息之前流失了14个小时。 获取 正如期望的那样，获取阶段集中在对硬盘设备上的证据搜集上面。 典型地，这个阶段包括从主盘生成一个或多个磁盘镜像这一过程。 任何工具都可以使用，包括如TASK/DD/Sleuthkit等开源软件和X-Ways, SMART, Encase MacForensicsLab等商业软件。 认证 认证过程可以发生在证据获取时或证据获取后。 在这个阶段对原始证据的镜像或副本进行认证。 典型的，这个过程通过使用MD5或者SHA1哈希匹配来完成。 分析 第三阶段操作步骤包括对新获取的证据镜像或副本进行研究和调查的过程。 有很多软件可用于证据分析，最好多种工具一起使用，能对分析结果相互验证，或能帮助找到更多证据。 开源工具(TASK/Sleuthkit/Autopsy) 商业工具 (X-Ways, SMART, Encase, MacForensicsLab, FTK,等等) 需要关注的问题 随着磁盘容量不断增大，获取磁盘镜像的时间越来越长，因而获取阶段的下一步骤分析阶段耽搁的时间也就越久。 分析过程之后经常得不到一个实质性的结果，造成证据获取和认证过程做了无用功，浪费了时间。 实时计算机取证 实时计算机取证 什么是实时取证？ 按定义说，实时取证就是对正在运行的计算机进行证据的获取、认证和分析。 为什么要实时取证? 灵活性: 取证是一个不断变化的领域，不同情况下的案件要区别对待，实时取证必能给取证调查多提供一个有用的选择。 速度：实时取证就是快速获取答案和快速保存那些易失信息。 传统证据搜集：实时取证技术是对物理世界犯罪情况调查人员使用的传统证据搜集技术的回归。 实时取证获取 不是所有案例需要全部的获取阶段。 让我们看几个案例，实时取证在其中是有用且重要的。 应急响应 基于服务器的RAID 阵列 普通案例调查 逻辑文件获取 实时取证应急响应时间轴 实时取证时间轴细节 3:12– 攻击发生 7:12– 开始发现并注意 7:12- 全盘分析开始 在可能获取更多信息前流逝了4个小时 应急响应案例 使用实时分析工具和技术可以立即分析遭到攻击的服务器，而这些操作和改动对磁盘上潜在的证据的影响微乎其微。 不是所有攻击都会立即显现，通常需要预分析。 如果没有合适的工具进行操作，则这种预分析的行为可能会改变和破坏潜在的关键证据。 基于服务器的RAID阵列 使用传统方法很难获得基于服务器的RAID阵列 (廉价磁盘冗余阵列 ) 数据。 通过获取每一个磁盘的数据，最后获得整个磁盘上的数据，这种方法有时很难访问到RAID阵列上的原始数据。 让RAID作为一个逻辑的物理磁盘对其进行实时镜像，通常效果会更好，效率更高。 一般案例调查 不是所有的调查都能称之为案例 一般情况下的调查都只是找找看看形式的查看，不带有怀疑其中某部分内容的倾向