Linux 环境计算机取证工具使用.docx
《Linux 环境计算机取证工具使用.docx》由会员分享,可在线阅读,更多相关《Linux 环境计算机取证工具使用.docx(13页珍藏版)》请在冰点文库上搜索。
Linux环境计算机取证工具使用
Linux环境计算机取证工具使用
简介:
计算机取证过程中要用到很多工具,目前可用的取证工具也比较多,根据取证工具的功能,主要可以将取证工具分为三大类:
实时响应工具、取证复制工具及取证分析工具。
近年来Linux系统的发展势头非常迅猛,用户日益增多,了解Linux环境下的计算机取证工具具有非常重要的意义。
本文主要介绍Linux环境下的两个取证工具:
guymager和pyflag的使用。
计算机取证简介
随着计算机取证越来越成为国内外技术领域关注的焦点,计算机取证以及相关产品也在相关企业中发展迅速。
计算机取证是从西方传来的词汇,最早就是ComputerForensics中国大陆地区有的技术专家叫做计算机取证。
计算机取证的定义:
计算机取证也称计算机法医学,它是把计算机看作是犯罪现场,运用先进的辨析技术,对电脑犯罪行为进行法医式的解剖,搜寻确认罪犯及其犯罪证据,并且据此提起诉讼。
电子物证与传统证据取证的对比:
不同点:
传统证据的取证一般是犯罪过程终止后进行,凶杀、强奸、爆炸、纵火案件。
电子物证的取证有时需要在犯罪正在实施的过程中进行,如黑客攻击等。
电子物证挥发、变化较快,如正在运行系统中内存、寄存器中的数据,时刻都在发生变化,提取时较困难。
传统证据存留时间较长(当然是现场不受到破坏的情况下)。
电子物证在法庭上举证时容易受到质疑,所以取证时必须采取一定的技术手段或方法保证证据源的真实、可靠。
传统证据不会受到质疑。
电子物证取证难度大,涉及计算机、通信、网络等多种技术。
相同点:
与许多传统证据取证一样,需要借助专门的工具、方法提取,如指纹、鞋印等也必须借助显现、灌模等方法才能辨认、提取和分析。
电子数据依附于电子设备或电子设备的介质中,仅靠肉眼难以辨认,必须借助专门的工具,人们才能解读其含义。
回页首
计算机取证的步骤
计算机取证的步骤如图1。
图1.计算机取证的步骤
1.保护现场和现场勘查
现场勘查是取证的第一步,这项工作可为下面的环节打下基础。
冻结目标计算机系统,避免发生任何的改变、数据破坏或病毒感染。
绘制犯罪现场图、网络拓朴图,在移动或拆卸任何设备之前都要拍照存档,为今后模拟和犯罪现场还原提供直接依据。
2.询问当事人
现场勘察同时,取证人员应依据案情对主要当事人进行询问,以了解案件发生前后的情况。
包括计算机运行状态,有什么异常现象,做过那些操作等,询问时注意不要泄露与案件有关的情况,因为当事人也许就是犯罪嫌疑人。
3.进行来源追踪
传统计算机取证步骤是静态的,事件发生后对目标系统的静态分析。
随着计算机犯罪技术手段的升级,这种静态的分析已经无法满足要求。
可以通过将计算机取证与入侵检测等网络安全工具和网络体系结构技术相结合,进行动态取证。
4.证据提取复制数据
驱动器精确复制,不仅能获得所有文件,且包括所有的已被删除或隐藏的文件、未分配区域、磁盘闲散空间等(如果做数据恢复,需采用克隆方式)
5.提交结果
打印对目标计算机系统的全面分析和追踪结果,然后给出分析结论,并给出专家证明,以证据的形式按照合法的程序提交给司法机关。
建立一个规范且有利于实务操作的基于Linux系统的计算机取证标准体系,对计算机取证的人员和工具、证据的收集、证据的包装和运输、证据的分析、证据的审查和证据的出示等方面均做较详细的标准规定。
由于篇幅有限,下面仅列出基于Linux系统的计算机证据收集标准流程如图2。
图2.证据收集标准流程
Linux计算机取证工具的使用
计算机取证过程中要用到很多工具,目前可用的取证工具也比较多,根据取证工具的功能,主要可以将取证工具分为三大类:
第一类是实时响应工具,第二类是取证复制工具,第三类是取证分析工具。近年来Linux系统的发展势头非常迅猛,用户日益增多,了解Linux环境下的计算机取证工具具有非常重要的意义。目前Linux环境下的取证工具也有不少,有兴趣的读者可参阅网址http:
//www.opensourceforensics.org/tools/unix.html。本文主要介绍Linux环境下的两个主要取证工具:
guymager、pyflag。
镜像拷贝上传工具guymager
计算机取证时需要为计算机生成一个位镜像拷贝,这需要在系统还在运行的时候,或至少要在系统关闭之前进行。
“位镜像拷贝”是指对硬件驱动器上每一位进行拷贝,它不考虑操作系统是如何解析这些位的,所以它不是对每一个文件的拷贝。
因为位镜像拷贝包含了一些被删除了的数据和文件的分段,而这些分段是被操作系统隐藏的,所以位镜像拷贝比文件级的镜像拷贝更优越。
在生成一个磁盘的镜像并将其通过网络存放在另一台电脑的过程中,你仅仅需要两个工具:
通用的GNU/Linux工具dd/dcfldd。
guymager是将dd与dcfldd命令转换为图形化接口,方便取证人员及事件恢复人员建立镜像,但其只支持Linux系统;使用者可选择利用dd或是dcfldd來制作镜像、可透过MD5或是SHA-1來验证镜像、镜像可利用gzip/bzip2进行压缩等。
guymager(
在终端使用guymager命令启动,首先选择源设备或文件,它可以是一个特定的驱动器/分区。
这里我选择一个驱动器作为源文件。
下一步选择目标设备/文件,我们将选择一个分区如图3。
图3.选择源驱动器
在选项栏目您可以选择是否使用压缩、散列方法否想验证哈希等如图4。
图4.设置选项
最后按“Ok”按钮开始工作,guymager工作完成界面如图5。
图5.guymager工作完成界面
图5的状态窗口会显示一个详细的记录摘要。
在这里您可以查看数据文件大小和哈希验证结果。
使用PyFlag分析镜像文件
PyFlag是一个使用python语言编写电子取证工具软件。
PyFlag工作流程如图6。
图6.PyFlag工作流程
安装PyFlag
PyFlag安装比较困难,特别是对于Linux初级用户。
首先要建立一个完整的AMP环境,另外python语言软件包也要完整安装。
#apt-getinstalldarcsautomakeautoconflibtoolbuild-essentials
python-devlibz-devlibmagic-devpython-mysqldbpython-imagingpython-pexpect
python-dateutilpython-urwidlibgeoip-devlibjpeg62-dev
然后下载PyFlag源代码安装。
使用PyFlag
使用终端运行PyFlag命令启动程序,当PyFlag开始运行后,你不能关闭终端,因为PyFlag进程是作为终端的一个子进程在运行的,如果关闭终端的话,PyFlag进程也将终止运行。
现在使用浏览器打开http:
//127.0.0.1:
8000,此时开始显示下面的PyFlag界面如图7。
图7.PyFlag工作界面
PyFlag界面包括如下部分:
CaseManagement:
案件管理
LoadData:
加载数据
Configuration:
配置PyFlag
DiskForensics:
磁盘取证
KeywordIndexing:
关键字搜索
LogAnalysis:
日志分析
NetworkForensics:
网络取证
Preview:
预览
Test:
生成取证报告
开始工作前可以对PyFlag进行配置如图8。
图8.对PyFlag进行配置
单击“NewCase”,开始使用PyFlag。
下面添加磁盘或者分区的镜像文件完整路径,如/tmp/c3,接下来选择映像文件是类型(磁盘或扇区),如图9。
图9.映像文件是类型(磁盘或扇区)
然后按“Submit”按钮即成功加入镜像。
然后系统会分析这个虚拟文件系统(VFS)如图10。
图10.分析这个虚拟文件系统(VFS)
VFS是一种软件机制,也许称它为Linux的文件系统管理者更确切点,与它相关的数据结构只存在于物理内存当中。
所以在每次系统初始化期间,Linux都首先要在内存当中构造一棵VFS的目录树(在Linux的源代码里称之为namespace),实际上便是在内存中建立相应的数据结构。
VFS目录树在Linux的文件系统模块中是个很重要的概念。
还可以通过点击具体的单个文件查看详细情况包括被删除的文件,如图11。
图11.通过点击具体的单个文件查看详细情况包括被删除的文件
也可以使用Download按钮下载文件详细清单到本地,文件格式是csv。
最后可以把分析结果生成一个报表图12是报表选项。
图12.报表选项
回页首
总结
本文简单介绍了guymager、PyFlag两个Linux取证工具的使用。
需要说明的是pyflag功能非常强大除了本文介绍的对文件系统进行取证外,还可以进行日志分析,网络取证(包括分析域名解析、电子邮件取证、网络浏览历史取证、FTP传输取证、MSN聊天记录取证)。
本文操作平台是Ununtu10.10。
由于公司网络上拥有的珍贵资源,许多不法分子总是想方设法寻找漏洞,潜入系统作一些不法勾当。
作为单位的安全工作人员需要时刻关注其单位是否遭受了损害或攻击。
但有些损害或攻击是清楚可见的,而有些攻击却留下很少痕迹。
作为安全工作人员善于利用一些取证工具显得尤为重要。
借助开源工具,我们就可以用较低的成本完成重要的取证工作。
Guymager
Pyflag
参考资料
学习
∙有关Guymager方面的知识,请参考:
∙有关Pyflag方面的只是,请参考:
。
∙取证和逻辑分析GUI教程:
∙在developerWorksLinux专区寻找为Linux开发人员(包括Linux新手入门)准备的更多参考资料,查阅我们最受欢迎的文章和教程。
∙在developerWorks上查阅所有Linux技巧和Linux教程。
∙随时关注developerWorks技术活动和网络广播。
升级会员 