歡迎來到Linux教程網
Linux教程網
Linux教程網
Linux教程網
您现在的位置: Linux教程網 >> UnixLinux >  >> Unix知識 >> Unix教程

基本 Unix 操作系統法則分析的步驟


  介紹
  "Techniques of Crime Scene Investigation" 的序文開始:
  一解決的對罪行的尤其重要的元素是科學和技術的有效使用。 科學和技術適用於犯罪行為的解決 , 或法證科學, 由協助警察調查員解決罪行識別嫌疑犯和受害人 , 清掃懷疑的無罪人而且最後地使做壞事的人受審並接受法律制裁。
  
  科學是聚集而且分析證據的有方法的, 預先想過的行動。 技術,在計算機的情況,是計畫那一組隨員證據的聚集和分析的特別角色。 罪行現場是它被連接到的計算機和網絡 ( 和其他的網絡裝置) 。
  你的工作,如一個法院的調查員, 要盡全力梳頭發過證據的來源 -- 磁盤推進力, 系統文件,可移去的媒體文件, 無論什麼 -- 而且做二件事物:確定你保護區如它的最初形式的許多這一筆數據, 和試著再構造在一個犯罪行為期間發生並且為警察和檢察官生產一個意義深長的出發點做他們的工作事件。
  
  每個事件將會是不同的。 在一情況,你可能在計算機系統的捕獲中只是協助,被執法代理分析。 在另外的一個情形中,你可能收集信息 , 文件系統 , 和第一只手來自你的組織幾十個系統的觀察活動的報告,跋涉經過數據的所有這一座山,而且重建一件時間期限的產生非常大的事件一張照片的事件。
  
  除此之外,當你開始一個事件調查的時候,你不知道你所將會找的, 或哪裡。 你起先可能什麼也不看 (尤其如果 "rootkit" 在適當的位置)。 你可能找一個程序由於開著的網絡插座跑在一個相似的系統上不出現。 你可能找分割表現 100% 利用, 但是增加事物向上由於 du 只復蘇 50%. 你可能找網絡浸透, 從一個單身的主人 ( 經由追蹤它的以太網絡住址或儲存器在它的開關上的計數) 開始, 一個計畫吃光 100% 的處理器 , 但是和那一個名字的文件系統的無。
  
  在每一個這些例證中被拿的步驟可能是完全地不同的,而且一個能干的調查員將會使用經驗而且彎腰駝背有關該找尋什麼的事, 和如何,為了要正在繼續的東西到達底部。 他們不可能必然地被跟隨 1,2,3. 他們可能是方法超過是必需的。 他們可能僅僅是包括找回的計畫 De- 編輯,而且包括儲存器的相互關系來自多樣的網絡垃圾場的詳細分析的開始。
  
  而不是身為一本你跟隨的 "cookbook", 考慮這技術的一個收集一個主廚使用構造傳說的和獨特的美食者一餐。 有學問的一次, 你將會發現有很多的較多步驟比較正直的那些列出的在這裡。
  
  它的也重要的步驟在保存和收集證據方面應該在慢慢地被做,小心地,有系統的, 和故意地。 各種不同筆的數據 -- 證據 -- 在系統上是將會發生的東西看得出故事的東西。 要回應的第一個人有確定的職責當這一種證據的一點點如可能的被損害,由此在發生的東西對意義深長的重建有助益方面使它無用。
  
  一件事物對每調查是通常的,而且它不能夠夠緊張。 你在你的調查期間做的使一本一般的舊筆記本保持便利的而且小心。 這些可能對必需的生氣蓬勃是你的數記憶數個月之後, 對一個接管情形的新執法代理人說相同的長故事, 或使你自己的記憶生氣蓬勃當/如果它來時間在法院中證明。它也將會幫助你正確地計算回應事件,避免已經在一些最近的計算機罪行情形中被看到的可能地誇大的估計費用。 罪行該得到正義,但是正義應該是公平的和合理的。
  
  至於技術方面,被提供在這裡的基本法院的分析步驟的描述承擔在 i386(任何的英代爾可並立的主板) 硬件上的紅色帽子 Linux 。 步驟對 Unix 的其他版本 , 但是 i386 系統的某事物特性感到基本上相同 (舉例來說,IDE 控制器的使用,個人計算機基本輸出入系統等的限制.) 意志從其他的 Unix 工作站改變。 商量對你的 Unix 的版本系統行政或安全手冊特性。
  
  建立一個熱衷的分析系統是有幫助的在該哪一做你的分析之上。 一個法院的中心一個例子分析系統可能是建立依下列各項:
  
  和 2個 IDE 控制器的快速 i386 可並立的主板
  
  在主要的 IDE 控制器上的至少大的 (>8 GB) 難的推進力 ( 適合操作系統和工具, 加號走開有房間復印分割音帶或復原從受害人推進力劃除文件空間)
  
  休假秒 IDE 電纜倒空。 這意謂你將不和在圓盤上的跳躍者弄糟 -- 正直的塞子他們在而且他們將會出現當做 / dev/ hdc(master) 或 / dev/ hdd(slave)
  
  SCSI 接口卡片 (舉例來說,Adaptec 1542)
  
  DDS-3 或 DDS-4 4 mm 音帶推進力 ( 你充足的能力處理最大的分割你將會支持)
  
  如果這一個系統在網絡上, 它應該被完全補綴並且沒有網絡服務跑除 SSH( 為文件移動和安心的遙遠通路)-- 和巴士底監獄- Linux 變硬的紅色帽子 Linux 6.2 是好選擇
  
  (它可能被服務應該不在跑, 不安全的 SSH,在你的分析系統上。 你能使用 netcat 以管輸送數據進系統之內,為安全用 DES 或 Blowfish 水流零編加密碼它。 這是懲罰,提供你不遙遠的通路給系統.)
  另外的便利分析系統是一台新的膝上型電腦。 拿中心給受害人的優良方法 , 和填補的情形和 10/100張小型爵士樂團以太網絡卡片,一個 18+ 億位元組硬盤和挑運的一台快速的膝上型電腦, 允許你容易地攜帶你獲得文件系統圖像 ( 比較遲的寫為長期的儲藏以帶子綁起) 的每件事物,分析他們,顯示結果,發現侵入者 () 你遇到的密碼,及其他。
  
  在 10 Base- T 電纜上的一個跨允許你經過不需要一個或開關就能, 和仍然使用網絡與在二個系統的一個隔離的迷你- 網絡上的受害人系統溝通。 (你將會建立靜電路徑桌子進入以使這工作)。
  
  一個 Linux 分析系統將會為分析來自一些不同的操作系統的文件系統工作以已經支援在 Linux 下面的文件系統,舉例來說,Sun UFS。 你只是用適當的類型和選項裝文件系統,舉例來說 (Sun UFS):
  
  # mount -r -t ufs -o ufstype=sun /dev/hdd2 /mnt
  
  對 Linux 的另外一種利益是 "loopback" 裝置,允許你裝一個文件包含圖像副本 (以 dd 獲得) 進分析系統的文件系統之內。 附加物一和 B 。
  
  Tactical/Strategic goals
  你的主要目標如一個附帶的調查員/ 協調者在你的位置要識別在你的被侵入者控制的權威下面的所有系統,用來得到進入的方法 (s), 和到然後確定這知識被分享而且所有的被影響的系統被保護。
  
  可能的實行是中級的到固定被影響的系統, 但是同樣地更早地是決定了的, 作為一個法院的調查員主要的工作要保護同樣地很多的證據在現場以可使用的形式當做可能的。 這可能低劣的從服務取出系統當每個人正在大叫把它拿回來在線的時候。
  
  如果適當的法院數據聚集不在調查期間被演說,你在一個較後的日期能破壞成功的實行任何的機會和在該哪一計算一個損害估計上將會沒有數據。 嘗試做有效率的,仍然完全,數據保存和分析的工作是最好的每當可能的。
  
  你一定學習該如何平衡這些個競爭目標, 而且有在適當的位置政策和程序允許程序平滑地去。 傲慢的考試是最高的優先權, 什麼然後來?
  
  冰凍的現場
  一旦你有指出你所一定承擔系統的系統一個妥協的證據事實上已經被妥協處理而且開始聚集證據在它被破壞之前,在圓木期滿之前,或任何事被改變之前,能夠不是被你有在手邊的其他證據駁倒的。
  有各種不同的類型證據, 由於不一致揮發性的水平, 在適當的位置如此的如處理器寄存器,核心數據記憶的結構,以貨易貨空間,網絡數據結構和櫃台,使用者程序記憶和堆疊,文件系統緩沖隱藏所, 文件系統它本身,及其他。 在侵入者活動正在發生的精確片刻聚集所有的這數據將會是困難的 ( 如果不不可能的) ,因此,沒有在偏愛的某類型的數據就算了將會是必需的到其他的更容易聚集了數據以能產生相同的結果 (決定闖入的方法 , 侵入者的活動 , 相同和侵入者的來源, 也許足夠找出並且進行他們。。.)。
  
  要阻止事物被改變的最容易的方法要停工並且系統停止。
  
  Report this post to a moderator | IP: Logged
  
  2003-10-02 11:14 AM
  
  phoenix
  Moderator
  
  Registered: May 2003
  Location: peking
  Posts: 71
  正常地, Unix 系統與關門指令一起停工。這被做確定服務是愛清潔的停工, 任何貯藏文件系統緩沖被臉發紅,使用者被通知,及其他。 那是罰款如果系統是尚未被人碰過的,但是在一個被妥協處理的系統上全部打賭是走開。 侵入者已經被知道裝配妥協處理系統劃除在系統上的一些或所有的文件如果網絡接口是無效的,否則一個正常的關門程序被跟隨。
  
  為了要避免文件系統的如此不必要的修正,它時常對只是強拉電線是最好的。然而,要知道,那個做損失任何的被諸存的仍未被寫到磁盤 , 網絡州的數據 , 流動的程序記憶的這危險,存取到核心記憶,以貨易貨空間等的內容。 這是一個你一定小心地考慮而且制造你自己的裁判呼叫。
  
  如果你確實願聚集什麼證據你能從在動力估計前的系統它走開,它由在手寫體期間內做這幫助到很快地管理的一些通常的工具而且捕獲每件事物。 (see man script) 普遍使用過的工具/ 手法會是:
  
  持續,w,
  在使用者,之前的登錄等項目表。
  
  ls
  得到在適當的位置長 (ls-Latvia 的貨幣單位) 文件的列出相似的嫌疑者家庭的目錄,/dev 目錄,植根pe from prison 目錄等。
  
  ps
  拿所有的程序一個長的項目表, 包括那些沒有 ttys(舉例來說, 在 Linux 上的 ps auxwww 和 ps elfwww-- 較多的 w 標示如果項目表被切斷)
  
  lsof
  拿柄給所有的開著文件的一個完整的項目表,能一些後門, sniffers , eggdrop IRC bots,再指導者喜歡 "bnc" 等。 (記下 cwd,當計劃被進行的時候是現在的工作目錄)。
  
  找
  識別所有的常態文件
Copyright © Linux教程網 All Rights Reserved