|
|
|
|
移动端

2.2.5 硬盘证据的收集方法

《UNIX/Linux网络日志分析与流量监控》第2章UNIX/Linux 系统取证,本章介绍了大量UNIX 平台下计算机取证的方法,用实例展示了硬盘数据收集和恢复技巧,并用两个案例展示了如何灵活运用各种工具来处理网络故障。本节为大家介绍硬盘证据的收集方法。

作者:李晨光来源:机械工业出版社|2014-11-26 19:59

年前最后一场技术盛宴 | 1月27日与京东、日志易技术大咖畅聊智能化运维发展趋势!


2.2.5 硬盘证据的收集方法

网络证据收集完成后,就可开始收集服务器的硬盘及分区信息、文件系统等证据。

1.复制硬盘驱动器

在关闭系统前,最好收集一些看起来没被入侵者更改的磁盘信息。如果对一个版本的fdisk 的列表选项无访问权的话,那就得以交互式方式运行。但是此时一定不要对其分区作出任何改变(不要存盘)。

2.建立取证映像

取证调查分析前,调查人员首先使用LiveCD 光盘中的dd 工具对被入侵的服务器进行完整的数据映像采集,并通过计算映像数据的MD5 校验值来确保数据的完整性。将受侵害的系统上的所有文件系统做成一份列表之后,就可以开始收集文件系统了。根据所拥有的存储设备,可以有很多收集方法,下面使用dd 工具来制作文件系统的映像。dd 能使用任何指定的块大小来复制数据,当它完成后,会报告它处理过多少个块。另外,还可以保存一份错误日志作为成功的文件备份的证据:

  1. #dd if=/dev/sda1 of=/home/bak.img 2>/home/error_log 

将原始设备的MD5 与复制的MD5 做比较。在已收集数据之后,一定要记住使用自带的MD5 工具创建这些数据的散列值,并且将其记录下来。

(1)在受威胁的主机上执行MD5 工具,输入以下命令:

  1. Bt~#/usr/local/bin/md5 /dev/sdc1 2>error_log  
  2. E7d944236113a7c22571f30ce72e2286 /dev/sdc1 

(2)然后在收集主机上对映像文件执行MD5:

  1. # md5 hdb5.image 

然后对比这两次MD5 值。

DHash 是一个校验文件(或磁盘分区)MD5、SHA1 的工具,同时可以生成SFV 简单文件校验码,以方便确认文件的真实完整性,操作完成后可以将检测结果生成html 的日志文件。可以在DEFT 8.2 光盘启动系统后在磁盘镜像工具中找到它。

为什么要进行校验呢?在现场取证时,分析人员从证据源中找到的证据必须是没有被修改过的,也就是原始日志,加工过的日志信息都属于被篡改过的,不能作为司法证据,所以无效。所以从取证实践上看,为了确保电子证据的完整性,就要依据RFS3227 提供的保障原则和要求来做,例如在找到源数据后立即对它们进行MD5 计算并保留结果。图2-4 中就是通过Dhash 计算MD5 和SHA1 的界面。

在证据收集主机上运行备份命令:

  1. #dd if=/dev/sda bs=16065b |netcat 192.168.150.100 1234 

在镜像收

  1. #netcat -l -p 1234 |dd of=/dev/sdc bs=16065b 

这条命令稍作变形,采用bzip2 或gzip 对数据压缩,并将备份文件保存在当前目录:

  1. #netcat -l -p 1234 bzip2>hd.img 

3.计算机取证工具之磁盘克隆——Guymager

Guymager 是dd 的图形化工具,它方便取证人员及时建立镜像。这一工具可以直接在DEFT 8.2 光盘中找到,使用起来非常方便。

从图2-5 中可以看出,/dev/sr0 为设备文件,这里代表光驱;“VB2-01700376”代表序列号。“VBf1f3454c-e15141ee”代表硬盘序列号,如图2-6 所示。

喜欢的朋友可以添加我们的微信账号:

51CTO读书频道二维码


51CTO读书频道活动讨论群:342347198

【责任编辑:book TEL:(010)68476606】

回书目   上一节   下一节
点赞 0
分享:
大家都在看
猜你喜欢

读 书 +更多

Microsoft SQL Server 2005技术内幕:T-SQL程序设

SQL Server 2005微软官方权威参考手册。 是Inside Microsoft SQL Server 2005系列书中的第一本,SQL Server类的顶尖之作。 全球公认SQL S...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊