《计算机取证技术》课件
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
现场证据获取的目的:保护现场,即保存当前系统 运行状态。
凡是涉及计算机系统当前状态的数据都是收集的目 标。
在现场收集的数据应该优先考虑挥发性数据。
要完全收集一台计算机的状态是不可能的。仅仅是 检查高度易挥发的数据这种行为都会改变计算机的 状态。
在系统的主存中查找字符串验证在LINUX上数据的 易挥发性,使用下面的命令:
UNIX是一个功能强大、性能全面的多用户、多任务操作系统, 可以应用从巨型计算机到普通PC机等多种不同的平台上,是应 用面最广、影响力最大的操作系统。
Linux并不是UNIX,而是一个类似于 UNIX的产品,它成功的实 现并超越了UNIX系统和功能,具体讲Linux是一套兼容于System V以及BSD UNIX的操作系统,对于System V来说,目前把软件程 序源代码拿到Linux底下重新编译之后就可以运行,而对于BSD UNIX来说它的可执行文件可以直接在Linux环境下运行。
《计算机取证技术》
步骤二
从受嫌疑的机器上复制内存:
#dd bs=1024< /dev/mem l nc 192.168.0.2 10005 – w3
3267百度文库 +0 records in
32678 +0 records out
#dd bs=1024< /dev/mem l nc 192.168.0.2 10005 – w3
在LINUX中,使用-p选项来显示与特定的网络连接相关 的进程。
HTTP是无状态的,因为这些连接都具有很短暂的生存 期,并且它们的状态迅速地循环到FIN_WAIT状态,然后 到CLOSE_WAIT状态。
同时,HPPT连接还提供了正在连接的机器的名字。当 netstat不能够在本地的/etc/hosts中查找到这些机器名 时,它会尝试一下反向DNS查询,以确定与IP地址相关 的主机名。
#grep abasasdc /dev/mem
binary file /dev/mem matches 《计算机取证技术》
/dev/mem 是一个特殊的设备文件,对它的访问其 实是对主存进行访问,类似的,虚拟存储器可 以通过/dev/kmem 来访问
日期、时间等基本的信息可以首先收集起来 获取现场证据 1. 屏幕信息 2. 内存信息 3. 网络联接状态 4. 正在运行的进程
《计算机取证技术》
另外两大区别: 1) UNIX系统大多是与硬件配套的,而Linux则可
运行在多种硬件平台上. 2) UNIX有些版本比如aix,hp-ux是商业软件是闭源 的(不过solaris,*bsd等unix都是开源的),而Linux 是自由软件,免费、公开源代码的.
《计算机取证技术》
6.1 LINUX系统现场证据获取
商业版本:Solaris、AIX、HP-UX 免费操作系统:LINUX、OpenBSD、FreeBSD 鉴于其基于网络的设计,UNIX系统是作为 Internet和小型网络上的关键部分的理想平台。许 多电子商务网站、公司财务数据库等都运行于 UNIX平台。
《计算机取证技术》
与Linux的区别和联系
《计算机取证技术》
6.1.1 内存信息
在linux上,每个东西都被当作文件来对待,这使复制和保存系统存 储器的内容变得容易。 实例 假定在一个文件系统中有一个具有很大自由空间的数据收集系统 步骤一: 在数据收集系统上设置两个监听netcat进程: #nc –l –p 10005>suspect.mem.images & #nc –l –p 10006>suspect.kmem.images &
《计算机取证技术》
6.1.1 屏幕信息
所有的UNIX版本都已经标准化了窗口操作标准-X Windows。
它是一个网络系统,允许正在运行的进程把它们的窗 口显示在对用户来说最方便的任何工作站上。
X Windows的转储命令xwd能够转储一个单独的窗口 或者整个屏幕。
#xwd –display localhost:0 –root >screen.xwd
22 +0 records in
22 +0 records out
注意:当复制高度异变的对象时,如系统的内存, 是不可能验证其准确性的。
《计算机取证技术》
6.1.3 网络连接
使用netstat命令来捕获正在进行中的网络活动的信息。
在典型的linux系统内,大多数的网络连接是能兼容X Windows的。即使只是在本地运行,X Windows也要使 用网络机制。
《计算机取证技术》
6.1.4正在运行的进程
LINUX提供了许多工具,这些程序能够提供关于所有运 行进程的信息,或者提供关于特定运行进程的细节。 在捕获正在运行的机器状态时,主要的一个任务就是 收集一份所有运行进程的列表,以及一份所有打开文 件的列表。 /proc目录是一个伪文件系统,它为/dev/kmem提供一 个结构化的接口,便于系统诊断并查看每一个正在运 行的可执行文件的环境。 在内存中的每一个进程在/proc中都有一个目录,按它 的进程ID来命名。可以通过/proc来完善收集到的进程 列表信息。
full-screen.xwd
《计算机取证技术》
X-Window环境下截图 用X-Window中的截图工具 xwd与xwud是X-Window 中自带的截图工具。xwd是一个非常传统的屏幕截图 软件,它可以截取程序窗口和全屏图像。xwud是X11 图形工具客户程序,可以用它来显示由xwd程序创建 的图形文件。这两个程序包含在X-Window的标准发 布版中。截取图像的方法如下: #xwd > myscreen.xwd 查看图像使用如下命令: #xwud -in myscreen.xwd 实际使用中,可以用xwd结 合其它图形转换程序直接获得想要的输出文件。
#xwud –in screen.xwd
• xwd 命令提供了 -root 选项,可以用它通过捕获 X
Window 系统根窗口捕获整个屏幕,X Window 系统
根窗口是包含显示的所有其他 X Window 系统窗口
和对话框的全屏窗口。下面的命令捕获整个屏幕并
把它写到 full-screen.xwd 文件中: wd -root -out
计算机取证技术
第六章 linux系统取证
《计算机取证技术》
UNIX ,是一个强大的多用户、多任务操作系统, 支持多种处理器架构,按照操作系统的分类,属于 分时操作系统,最早由KenThompson、 DennisRitchie和DouglasMcIlroy于1969年在AT&T的 贝尔实验室开发。
凡是涉及计算机系统当前状态的数据都是收集的目 标。
在现场收集的数据应该优先考虑挥发性数据。
要完全收集一台计算机的状态是不可能的。仅仅是 检查高度易挥发的数据这种行为都会改变计算机的 状态。
在系统的主存中查找字符串验证在LINUX上数据的 易挥发性,使用下面的命令:
UNIX是一个功能强大、性能全面的多用户、多任务操作系统, 可以应用从巨型计算机到普通PC机等多种不同的平台上,是应 用面最广、影响力最大的操作系统。
Linux并不是UNIX,而是一个类似于 UNIX的产品,它成功的实 现并超越了UNIX系统和功能,具体讲Linux是一套兼容于System V以及BSD UNIX的操作系统,对于System V来说,目前把软件程 序源代码拿到Linux底下重新编译之后就可以运行,而对于BSD UNIX来说它的可执行文件可以直接在Linux环境下运行。
《计算机取证技术》
步骤二
从受嫌疑的机器上复制内存:
#dd bs=1024< /dev/mem l nc 192.168.0.2 10005 – w3
3267百度文库 +0 records in
32678 +0 records out
#dd bs=1024< /dev/mem l nc 192.168.0.2 10005 – w3
在LINUX中,使用-p选项来显示与特定的网络连接相关 的进程。
HTTP是无状态的,因为这些连接都具有很短暂的生存 期,并且它们的状态迅速地循环到FIN_WAIT状态,然后 到CLOSE_WAIT状态。
同时,HPPT连接还提供了正在连接的机器的名字。当 netstat不能够在本地的/etc/hosts中查找到这些机器名 时,它会尝试一下反向DNS查询,以确定与IP地址相关 的主机名。
#grep abasasdc /dev/mem
binary file /dev/mem matches 《计算机取证技术》
/dev/mem 是一个特殊的设备文件,对它的访问其 实是对主存进行访问,类似的,虚拟存储器可 以通过/dev/kmem 来访问
日期、时间等基本的信息可以首先收集起来 获取现场证据 1. 屏幕信息 2. 内存信息 3. 网络联接状态 4. 正在运行的进程
《计算机取证技术》
另外两大区别: 1) UNIX系统大多是与硬件配套的,而Linux则可
运行在多种硬件平台上. 2) UNIX有些版本比如aix,hp-ux是商业软件是闭源 的(不过solaris,*bsd等unix都是开源的),而Linux 是自由软件,免费、公开源代码的.
《计算机取证技术》
6.1 LINUX系统现场证据获取
商业版本:Solaris、AIX、HP-UX 免费操作系统:LINUX、OpenBSD、FreeBSD 鉴于其基于网络的设计,UNIX系统是作为 Internet和小型网络上的关键部分的理想平台。许 多电子商务网站、公司财务数据库等都运行于 UNIX平台。
《计算机取证技术》
与Linux的区别和联系
《计算机取证技术》
6.1.1 内存信息
在linux上,每个东西都被当作文件来对待,这使复制和保存系统存 储器的内容变得容易。 实例 假定在一个文件系统中有一个具有很大自由空间的数据收集系统 步骤一: 在数据收集系统上设置两个监听netcat进程: #nc –l –p 10005>suspect.mem.images & #nc –l –p 10006>suspect.kmem.images &
《计算机取证技术》
6.1.1 屏幕信息
所有的UNIX版本都已经标准化了窗口操作标准-X Windows。
它是一个网络系统,允许正在运行的进程把它们的窗 口显示在对用户来说最方便的任何工作站上。
X Windows的转储命令xwd能够转储一个单独的窗口 或者整个屏幕。
#xwd –display localhost:0 –root >screen.xwd
22 +0 records in
22 +0 records out
注意:当复制高度异变的对象时,如系统的内存, 是不可能验证其准确性的。
《计算机取证技术》
6.1.3 网络连接
使用netstat命令来捕获正在进行中的网络活动的信息。
在典型的linux系统内,大多数的网络连接是能兼容X Windows的。即使只是在本地运行,X Windows也要使 用网络机制。
《计算机取证技术》
6.1.4正在运行的进程
LINUX提供了许多工具,这些程序能够提供关于所有运 行进程的信息,或者提供关于特定运行进程的细节。 在捕获正在运行的机器状态时,主要的一个任务就是 收集一份所有运行进程的列表,以及一份所有打开文 件的列表。 /proc目录是一个伪文件系统,它为/dev/kmem提供一 个结构化的接口,便于系统诊断并查看每一个正在运 行的可执行文件的环境。 在内存中的每一个进程在/proc中都有一个目录,按它 的进程ID来命名。可以通过/proc来完善收集到的进程 列表信息。
full-screen.xwd
《计算机取证技术》
X-Window环境下截图 用X-Window中的截图工具 xwd与xwud是X-Window 中自带的截图工具。xwd是一个非常传统的屏幕截图 软件,它可以截取程序窗口和全屏图像。xwud是X11 图形工具客户程序,可以用它来显示由xwd程序创建 的图形文件。这两个程序包含在X-Window的标准发 布版中。截取图像的方法如下: #xwd > myscreen.xwd 查看图像使用如下命令: #xwud -in myscreen.xwd 实际使用中,可以用xwd结 合其它图形转换程序直接获得想要的输出文件。
#xwud –in screen.xwd
• xwd 命令提供了 -root 选项,可以用它通过捕获 X
Window 系统根窗口捕获整个屏幕,X Window 系统
根窗口是包含显示的所有其他 X Window 系统窗口
和对话框的全屏窗口。下面的命令捕获整个屏幕并
把它写到 full-screen.xwd 文件中: wd -root -out
计算机取证技术
第六章 linux系统取证
《计算机取证技术》
UNIX ,是一个强大的多用户、多任务操作系统, 支持多种处理器架构,按照操作系统的分类,属于 分时操作系统,最早由KenThompson、 DennisRitchie和DouglasMcIlroy于1969年在AT&T的 贝尔实验室开发。