由于公司網(wǎng)絡(luò)上擁有的珍貴資源,許多不法分子總是想方設(shè)法尋找漏洞,潛入系統(tǒng)作一些不法勾當(dāng)。作為單位的安全工作人員需要時(shí)刻關(guān)注其單位是否遭受了損害或攻擊。但有些損害或攻擊是清楚可見的,而有些攻擊卻留下很少痕跡。作為安全工作人員善于利用一些取證工具顯得尤為重要。
就目前來看,在遭受攻擊的單位中,有很多人員還不知道自己遭受了攻擊。許多人相信,主要的攻擊來自于公司外部。其實(shí),很多重大的損害來自于內(nèi)部。人稱禍起蕭墻。
那么,安全人員面臨的挑戰(zhàn)就是如何找到這些攻擊,并判斷其進(jìn)入系統(tǒng)的方法和途徑。因?yàn)樽烂嬗脩粲玫米疃嗟氖荳indows系統(tǒng),所以我們要看幾個(gè)可以針對(duì)這種系統(tǒng)進(jìn)行取證的簡(jiǎn)單工具。
◆Live View
使用此軟件首要的一點(diǎn)是為用戶的現(xiàn)有系統(tǒng)創(chuàng)建一個(gè)虛擬機(jī),還要結(jié)合使用開源的Live View軟件。此軟件會(huì)檢測(cè)用戶的系統(tǒng),如果沒有檢測(cè)到安裝有Vmware Server 1.x或工作站版本的虛擬軟件,它會(huì)為用戶下載一個(gè)。
Live View是一個(gè)基于Java的圖形化的取證工具,它可以創(chuàng)建原始磁盤映象或物理磁盤的一個(gè) VMware虛擬機(jī)。它準(zhǔn)許取證人員可以啟動(dòng)這個(gè)鏡象或磁盤,并獲得一個(gè)交互性的、用戶級(jí)的環(huán)境視圖。因?yàn)閷?duì)磁盤的所有更改都被寫往一個(gè)獨(dú)立的文件,檢查人員可以很快地恢復(fù)到磁盤的原始狀態(tài)。其最終的結(jié)果是用戶不需要?jiǎng)?chuàng)建額外的磁盤映象來構(gòu)建虛擬機(jī)。
不過,目前此軟件僅支持Windows 2003、XP、2000等系統(tǒng),也Linux也僅是有限支持。
![]() |
圖1 |
◆OpenFilesView
這是一款可以列示系統(tǒng)上所有基于本地或網(wǎng)絡(luò)的文件。此軟件只有區(qū)區(qū)82.88k,其安裝后的界面如圖:
![]() |
圖2 |
此軟件可窮舉系統(tǒng)中的所有句柄。在過濾了非句柄之后,它使用臨時(shí)設(shè)備驅(qū)動(dòng)程序來從內(nèi)核存儲(chǔ)區(qū)讀取每一個(gè)句柄。在用戶從該軟件退出之后,這個(gè)設(shè)備驅(qū)動(dòng)程序又可以自動(dòng)地將其從系統(tǒng)中釋放。顯然,在這一點(diǎn)上,這是其它的任務(wù)管理程序所不能及的。
如果用戶試圖刪除或移動(dòng)或打開一個(gè)文件時(shí),收到了類似于下面的錯(cuò)誤消息,那么此軟件就極為有用:“無法刪除*共享文件,源文件或目標(biāo)文件正在使用”
此外,如果與網(wǎng)絡(luò)連接的過程中,打開此軟件可以監(jiān)視網(wǎng)絡(luò)進(jìn)程,如果用戶懷疑某進(jìn)程有問題,可以在其上單擊,如圖:
![]() |
圖3 |
然后在彈出的菜單中選擇“properties”,打開如圖所示的窗口:
![]() |
圖4 |
軟件對(duì)文件的多種屬性進(jìn)行了描述,如句柄、進(jìn)程ID、刪除共享等。在確信了某句柄是可疑句柄之后,可以單擊“OK”按鈕。再次在此文件上右擊,選擇“kill processes of selected files”。
共2頁: 1 [2] 下一頁 | ||||
|