《计算机取证技术》PPT课件
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
7
精选课件
X-Window环境下截图 用X-Window中的截图工具 xwd与xwud是X-Window中自带 的截图工具。xwd是一个非常传统的屏幕截图软件,它可 以截取程序窗口和全屏图像。xwud是X11图形工具客户程 序,可以用它来显示由xwd程序创建的图形文件。这两个 程序包含在X-Window的标准发布版中。截取图像的方法 如下:
计算机取证技术
第六章 linux系统取证
1
精选课件
UNIX ,是一个强大的多用户、多任务操作系统,支 持多种处理器架构,按照操作系统的分类,属于分时 操作系统,最早由KenThompson、DennisRitchie和 DouglasMcIlroy于1969年在AT&T的贝尔实验室开发。
商业版本:Solaris、AIX、HP-UX
假定在一个文件系统中有一个具有很大自由空间的 数据收集系统 步骤一: 在数据收集系统上设置两个监听netcat进程: #nc –l –p 10005>suspect.mem.images & #nc –l –p 10006>suspect.kmem.images &
9
精选课件
步骤二 从受嫌疑的机器上复制内存:
现场证据获取的目的:保护现场,即保存当前系统运行 状态。 凡是涉及计算机系统当前状态的数据都是收集的目标。 在现场收集的数据应该优先考虑挥发性数据。
要完全收集一台计算机的状态是不可能的。仅仅是检查 高度易挥发的数据这种行为都会改变计算机的状态。 在系统的主存中查找字符串验证在LINUX上数据的易挥 发性,使用下面的命令:
3
精选课件
另外两大区别:
1) UNIX系统大多是与硬件配套的,而Linux则可 运行在多种硬件平台上.
2) UNIX有些版本比如aix,hp-ux是商业软件是闭源 的(不过solaris,*bsd等unix都是开源的),而Linux 是自由软件,免费、公开源代码的.
4
精选课件
6.1 LINUX系统现场证据获取
同时,HPPT连接还提供了正在连接的机器的名字。当netstat 不能够在本地的/etc/hosts中查找到这些机器名时,它会尝 试一下反向DNS查询,以确定与IP地址相关的主机名。
11
精选课件
6.1.4正在运行的进程
LINUX提供了许多工具,这些程序能够提供关于所有运行进 程的信息,或者提供关于特定运行进程的细节。
#dd bs=1024< /dev/mem l nc 192.168.0.2 10005 – w 3 32678 +0 records in 32678 +0 records out #dd bs=1024< /dev/mem l nc 192.168.0.2 10005 – w 3 22 +0 records in 22 +0 records out 注意:当复制高度异变的对象时,如系统的内存,是 不可能验证其准确性的。
#xwud –in screen.xwd
ቤተ መጻሕፍቲ ባይዱwd 命令提供了 -root 选项,可以用它通过捕获 X
Window 系统根窗口捕获整个屏幕,X Window 系统根窗
口是包含显示的所有其他 X Window 系统窗口和对话框
的全屏窗口。下面的命令捕获整个屏幕并把它写到 full-
screen.xwd 文件中: wd -root -out full-screen.xwd
#grep abasasdc /dev/mem binary file /dev/mem matches
5
精选课件
/dev/mem 是一个特殊的设备文件,对它的访问其实是 对主存进行访问,类似的,虚拟存储器可以通过 /dev/kmem 来访问
日期、时间等基本的信息可以首先收集起来
获取现场证据
1. 屏幕信息 2. 内存信息 3. 网络联接状态 4. 正在运行的进程
在捕获正在运行的机器状态时,主要的一个任务就是收集 一份所有运行进程的列表,以及一份所有打开文件的列表 。
10
精选课件
6.1.3 网络连接
使用netstat命令来捕获正在进行中的网络活动的信息。
在典型的linux系统内,大多数的网络连接是能兼容X Windows的。即使只是在本地运行,X Windows也要使用网 络机制。
在LINUX中,使用-p选项来显示与特定的网络连接相关的进 程。
HTTP是无状态的,因为这些连接都具有很短暂的生存期, 并且它们的状态迅速地循环到FIN_WAIT状态,然后到 CLOSE_WAIT状态。
6
精选课件
6.1.1 屏幕信息
所有的UNIX版本都已经标准化了窗口操作标准-X Windows 。
它是一个网络系统,允许正在运行的进程把它们的窗口 显示在对用户来说最方便的任何工作站上。
X Windows的转储命令xwd能够转储一个单独的窗口或者 整个屏幕。
#xwd –display localhost:0 –root >screen.xwd
Linux并不是UNIX,而是一个类似于 UNIX的产品,它成功的实 现并超越了UNIX系统和功能,具体讲Linux是一套兼容于System V 以及BSD UNIX的操作系统,对于System V来说,目前把软件程序 源代码拿到Linux底下重新编译之后就可以运行,而对于BSD UNIX来说它的可执行文件可以直接在Linux环境下运行。
免费操作系统:LINUX、OpenBSD、FreeBSD
鉴于其基于网络的设计,UNIX系统是作为Internet和 小型网络上的关键部分的理想平台。许多电子商务网 站、公司财务数据库等都运行于UNIX平台。
2
精选课件
与Linux的区别和联系
UNIX是一个功能强大、性能全面的多用户、多任务操作系统 ,可以应用从巨型计算机到普通PC机等多种不同的平台上,是 应用面最广、影响力最大的操作系统。
#xwd > myscreen.xwd 查看图像使用如下命令: #xwud -in myscreen.xwd 实际使用中,可以用xwd结合其它图形转换 程序直接获得想要的输出文件。
8
精选课件
6.1.1 内存信息
在linux上,每个东西都被当作文件来对待,这使复制 和保存系统存储器的内容变得容易。 实例