巧妙收集入侵Windows系統(tǒng)的證據(jù)

隨著網(wǎng)絡(luò)的不斷擴(kuò)大，網(wǎng)絡(luò)安全更加會(huì)成為人們的一個(gè)焦點(diǎn)，同時(shí)也成為是否能進(jìn)一步投入到更深更廣領(lǐng)域的一個(gè)基石。當(dāng)然網(wǎng)絡(luò)的安全也是一個(gè)動(dòng)態(tài)的概念，世界上沒有絕對(duì)安全的網(wǎng)絡(luò)，只有相對(duì)安全的網(wǎng)絡(luò)。相對(duì)安全環(huán)境的取得可以通過不斷地完善系統(tǒng)程序(及時(shí)給系統(tǒng)漏洞打上不同的補(bǔ)丁和給系統(tǒng)升級(jí))、裝上防火墻，同時(shí)對(duì)那些膽敢在網(wǎng)絡(luò)上破壞秩序做出不義行為的人給予恰如其分的處理。這必然要牽涉到證據(jù)的收集，本文正是對(duì)這一方面的內(nèi)容針對(duì)Windows系統(tǒng)進(jìn)行研究。
    一、Windows系統(tǒng)特性
    Windows操作系統(tǒng)維護(hù)三個(gè)相互獨(dú)立的日志文件：系統(tǒng)日志、應(yīng)用程序日志、安全日志。
    1.系統(tǒng)日志
    系統(tǒng)日志記錄系統(tǒng)進(jìn)程和設(shè)備驅(qū)動(dòng)程序的活動(dòng)。它審核的系統(tǒng)事件包括啟動(dòng)失敗的設(shè)備驅(qū)動(dòng)程序、硬件錯(cuò)誤、重復(fù)的IP地址，以及服務(wù)的啟動(dòng)、暫停和停止。系統(tǒng)日志包含由系統(tǒng)組件記錄的事情。例如在系統(tǒng)日志中記錄啟動(dòng)期間要加載的驅(qū)動(dòng)程序或其他系統(tǒng)組件的故障。由系統(tǒng)組件記錄的事件類型是預(yù)先確定的。系統(tǒng)日志還包括了系統(tǒng)組件出現(xiàn)的問題，比如啟動(dòng)時(shí)某個(gè)驅(qū)動(dòng)程序加載失敗等。
    2.應(yīng)用程序日志
    應(yīng)用程序日志包括關(guān)于用戶程序和商業(yè)通用應(yīng)用程序的運(yùn)行方面的錯(cuò)誤活動(dòng)，它審核的應(yīng)用程序事件包括所有錯(cuò)誤或應(yīng)用程序需要報(bào)告的信息。應(yīng)用程序日志可以包括性能監(jiān)視審核的事件以及由應(yīng)用程序或一般程序記錄的事件，比如失敗登錄的次數(shù)、硬盤使用的情況和其它重要的指針;比如數(shù)據(jù)庫程序用應(yīng)用程序日志來記錄文件錯(cuò)誤;比如開發(fā)人員決定所要記錄的事件。
    3.安全日志
    安全日志通常是在應(yīng)急響應(yīng)調(diào)查階段最有用的日志。調(diào)查員必須仔細(xì)瀏覽和過濾這些日志的輸出，以識(shí)別它們包含的證據(jù)。安全日志主要用于管理員記載用戶登錄上網(wǎng)的情況。在安全日志中可以找到它使用的系統(tǒng)審核和安全處理。它審核的安全事件包括用戶特權(quán)的變化、文件和目錄訪問、打印以及系統(tǒng)登錄和注銷。安全日志可以記錄諸如有效的登錄嘗試等安全事件以及與資源使用有關(guān)的事件，例如創(chuàng)建、打開或刪除應(yīng)用文件。管理員可以指定在安全日志中記錄的事件。例如如果你啟用了登錄審核，那么系統(tǒng)登錄嘗試就記錄在安全日志中。
    二、尋找“顯形”證據(jù)
    系統(tǒng)工具提供了對(duì)系統(tǒng)進(jìn)一步的監(jiān)視，在性能監(jiān)視器中可以看到其圖形化的變化情況。而計(jì)數(shù)器日志、跟蹤日志和警報(bào)則提供了對(duì)本地或遠(yuǎn)端系統(tǒng)的監(jiān)視記錄，并可根據(jù)預(yù)定的設(shè)定進(jìn)行特定的跟蹤和報(bào)警。還可利用不同的用于配置、管理COM組件及應(yīng)用的組件服務(wù)工具記錄或查找相關(guān)信息。
    1.查看三大日志
    在計(jì)算機(jī)上維護(hù)有關(guān)應(yīng)用程序、安全性系統(tǒng)事件的日志，可以使用事件查看器查看并管理事件日志。它用于收集計(jì)算機(jī)硬件、軟件和系統(tǒng)整體方面的錯(cuò)誤信息，也用來監(jiān)視一些安全方面的問題。它可根據(jù)應(yīng)用程序日志、安全日志和系統(tǒng)日志來源將記錄分成3類。
    事件查看器顯示以下幾種事件類型：error是指比較嚴(yán)重的問題，通常是出現(xiàn)了數(shù)據(jù)丟失或功能丟失。例如如果在啟動(dòng)期間服務(wù)加載失敗，則會(huì)記錄錯(cuò)誤。Warning給出警告則表明情況暫時(shí)不嚴(yán)重，但可能會(huì)在將來引起錯(cuò)誤，比如磁盤空間太少等。Information描述應(yīng)用程序、驅(qū)動(dòng)程序或服務(wù)的成功操作的事件。例如成功地加載網(wǎng)絡(luò)驅(qū)動(dòng)程序時(shí)會(huì)記錄一個(gè)信息事件。Success audit審核訪問嘗試成功。例如將用戶成功登錄到系統(tǒng)上的嘗試作為成功審核事件記錄下來。Failure audit審核安全嘗試失敗。例如如果用戶試圖訪問網(wǎng)絡(luò)驅(qū)動(dòng)器失敗，該嘗試就會(huì)作為失敗審核事件記錄下來。
    注意啟動(dòng)系統(tǒng)時(shí)事件日志服務(wù)會(huì)自動(dòng)啟動(dòng)，所有用戶都可以查看應(yīng)用程序日志和系統(tǒng)日志，但是只有管理員才能訪問安全日志。默認(rèn)情況下會(huì)關(guān)閉安全日志，所以管理員要記住設(shè)定啟用。管理員既可以使用組策略啟用安全日志記錄，也可以在注冊表中設(shè)置策略使系統(tǒng)在安全日志裝滿時(shí)停止運(yùn)行。
    基于主機(jī)的檢測器可以檢測到系統(tǒng)類庫的改變或敏感位置文件的添加。當(dāng)結(jié)合所有現(xiàn)有的基于網(wǎng)絡(luò)的證據(jù)片斷時(shí)，就有可能重建特定的網(wǎng)絡(luò)事件，諸如文件傳輸、緩沖區(qū)溢出攻擊，或在網(wǎng)絡(luò)中使用被盜的用戶帳號(hào)和密碼等。
    當(dāng)調(diào)查計(jì)算機(jī)犯罪時(shí)，會(huì)發(fā)現(xiàn)很多潛在證據(jù)的來源，不僅包括基于主機(jī)的日志記錄，而且還包括網(wǎng)絡(luò)的日志記錄以及其它的傳統(tǒng)形式，如指紋、證詞和證人。大多數(shù)的網(wǎng)絡(luò)流量在它經(jīng)過的路徑上都留下了監(jiān)查蹤跡。路由器、防火墻、服務(wù)器、IDS檢測器及其它的網(wǎng)絡(luò)設(shè)備都會(huì)保存日志，記錄基于網(wǎng)絡(luò)的突發(fā)事件。DHCP服務(wù)器會(huì)在PC請求IP租用時(shí)記錄網(wǎng)絡(luò)訪問?，F(xiàn)代的防火墻允許管理員在創(chuàng)建監(jiān)查日志時(shí)有很多種粒度。IDS檢測器可以根據(jù)簽名識(shí)別或異常的檢測過濾器來捕獲一個(gè)攻擊的一部分?；诰W(wǎng)絡(luò)的日志記錄以多種形式存儲(chǔ)，可能源自不同的操作系統(tǒng)，可能需要特殊的軟件才能訪問和讀取，這些日志在地理上是分散的，而且常常對(duì)當(dāng)前系統(tǒng)時(shí)間有嚴(yán)重錯(cuò)誤的解釋。調(diào)查人員的挑戰(zhàn)就在于查找所有的日志，并使之關(guān)聯(lián)起來。從不同系統(tǒng)獲得地理上分散的日志、為每個(gè)日志維護(hù)保管鏈、重建基于網(wǎng)絡(luò)的突發(fā)事件，這一切都需要消耗大量的時(shí)間和密集的資源。