|
|
|
|
移动端

2.3.1 特殊文件处理

《UNIX/Linux网络日志分析与流量监控》第2章UNIX/Linux 系统取证,本章介绍了大量UNIX 平台下计算机取证的方法,用实例展示了硬盘数据收集和恢复技巧,并用两个案例展示了如何灵活运用各种工具来处理网络故障。本节为大家介绍特殊文件处理。

作者:李晨光来源:机械工业出版社|2014-11-26 20:17

开发者盛宴来袭!7月28日51CTO首届开发者大赛决赛带来技术创新分享

2.3 常用搜索工具

UNIX 环境下的搜索工具主要包括UNIX 系统自带的grep 之类的内容搜索命令和find 之类的文件搜索命令,以及一些提供了丰富搜索功能的外部综合性取证分析工具,例如Forensix、TCT(The Coroner’s Toolkit)等工具。在离线调查取证中,这些工具可以单独使用,也可以配合使用,从而更好地实现调查数据的范围缩小和可用证据数据的定位。

2.3.1 特殊文件处理

像grep、find 等UNIX 系统自带搜索工具通常只能鉴别现存的包含纯文本字符串的文件,对于那些被压缩、被加密或被删除的特殊文件,无法单独通过这些简单搜索技术找到相关内容。为保证搜索结果的有效性和准确性,我们应该在开始内容搜索前对这些文件进行相应的处理(解压缩、解密、恢复文件等)。

对于比较特殊的情况,例如特定图像和视频、音频的处理,由于此类二进制形式的信息不具有文本易识别的特征,普通搜索工具无法对其内容进行直接搜索,但调查人员可以通过文件名特征来进行间接搜索。例如,可以利用对指定的文件名后缀(.bmp、.avi、.mp3)进行关键字搜索来实现文件类型的匹配。调查人员也可以利用文件散列值匹配的方式进行搜索,即利用特定文件内容的散列值的唯一性,通过对每个现有文件进行散列操作,并将其散列值与已知的散列值进行比较,来查找指定的图像或音视频之类信息。

1.压缩文件处理

压缩文件和打包文件的格式众多,如tgz、Z、gz、zip、tar 等格式的文件。这些文件都会使传统的字符串搜索工具失效。在进行字符串搜索之前,调查人员需要先找出所有的压缩文件和打包文件,并将其解压缩或拆包。例如“.gz”为压缩文件,需要进行解压缩处理;“.tar”为打包文件,需要进行拆包处理;“.tgz”为打包后的压缩文件,需要解压缩和拆包处理。还需要指出,一些压缩文件中可能还包含压缩文件,这需要调查人员递归地处理每个文件,以确保将压缩文件中内含的压缩文件全部解压缩。这类问题通常比较棘手。

2.加密文件处理

对于加密的文件或文件系统在调查时,无法用传统方法完成查询工作,尤其是像使用了TrueCrypt 加密过的文件或者分区,面对这种问题有特殊的取证和还原方法,超出了本书范围,这里不做详细介绍。

3.grep 命令

grep(Global Regular Expression Print)命令是类UNIX 系统默认安装的命令行工具,但不同版本的grep 具有的功能略有不同,Linux 中包含的grep 命令是GNU 版本,它比UNIX系统中的grep 有更为丰富的功能。grep 命令功能强大,使用灵活,支持对文本文件进行关键字搜索,也支持对二进制文件进行关键字搜索。grep 还支持递归地搜索文件系统或搜索整个原始设备。

另外,在Linux 系统中,还有egrep 和fgrep 两个命令,它们与grep 功能相近,但略有差别。grep 命令一次只能检索一个指定的模式,而egrep 命令可检索扩展的“正则表达式”(包括表达式组和可选项),fgrep 命令可检索固定字符串,是快速搜索命令。

4.find 命令

find 命令也是类UNIX 系统的默认工具,不同版本的find 命令语法格式略有不同。find命令用于在指定的目录结构中搜索文件名,并执行指定的操作。此命令功能强大,提供了相当多的查找条件,可以在文件系统上根据文件的不同特征属性来搜索某一类文件,这些特征包括文件名的字符串、文件内部的字符串、文件修改或访问时间、文件所有者等。find 命令从指定的起始目录开始,可以递归地搜索其下的各个子目录。在具体的取证过程中,调查人员还可以使用参数“--exec”对查找到的符合条件的文件执行指定命令的功能,来提高搜索效率。

喜欢的朋友可以添加我们的微信账号:

51CTO读书频道二维码


51CTO读书频道活动讨论群:342347198

【责任编辑:book TEL:(010)68476606】

回书目   上一节   下一节
点赞 0
分享:
大家都在看
猜你喜欢

视频课程+更多

非常好的 C++入门 视频课程

非常好的 C++入门 视频课程

讲师:鲍松山91542人学习过

这可能是你见过“最牛逼”的C++课程

这可能是你见过“最牛逼”的C++课程

讲师:王桂林159335人学习过

C语言程序设计

C语言程序设计

讲师:谭科51814人学习过

读 书 +更多

精通JBuilder 2006

JBuilder 2006是一款强大的Java企业级开发平台,其集成了几乎所有的Java技术,涵盖了软件开发生命周期的各个过程。本书深入浅出地介绍了JBu...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊