第5章-Windows系统取证

1河南公安高等专科学校计算机取证技术第5章Windows系统取证2河南公安高等专科学校计算机取证技术5.1Windows系统现场证据获取5.2Windows系统中计算机证据的获取5.3简单的证据推理分析5.4Windows系统反取证技术5.5Windows取证工具5.6小结主要内容3河南公安高等专科学校计算机取证技术5.1Windows系统现场证据获取5.1.1易失性数据的等级5.1.2易失性数据收集4河南公安高等专科学校计算机取证技术为了收集易失性数据，调查人员必须在运行的计算机上提取，计算机系统现场证据获取就是这个含义。本节的主要内容是关注调查人员如何从运行的可疑计算机中收集数据。首先讨论易失性数据的特征(包括它们是什么，不同的类型，易失性数据的等级以及为什么要收集)以及收集易失性数据的工具，然后通过例子来介绍收集易失性数据的步骤、方法和使用工具。将来可以通过分析这些数据确定计算机当时的状态。5河南公安高等专科学校计算机取证技术5.1.1易失性数据的等级存储在RAM中的易失性数据可以显示当前计算机的状态，这些数据包括登录用户、运行中的进程以及打开的链接。这些数据可以帮助调查人员判断计算机入侵的活动时间表。当调查人员收集到足够多的数据后，便可以判断下一步的行动。当从运行的计算机中收集可疑证据的时候，要考虑易失性数据的等级。如不及时处理．等级越高的数据意味着这些数据被修改、丢失的可能性越大。6河南公安高等专科学校计算机取证技术寄存器、Cache路由表、进程表、内核统计临时文件系统硬盘离线日志、监视数据物理配置、网络拓扑备份介质、磁带等高低易失性数据等级7河南公安高等专科学校计算机取证技术5.1.2易失性数据收集1．易失性数据收集步骤步骤1取证准备·取证工具准备(软件、硬件)·数字调查小组建立·建立收集策略步骤2建立概要文档·建立取证概要文档(包括涉及到的软硬件等)·证据收集日志(取证人、取证工具、取证时间等)步骤3决策核实·确定证据收集过程中的权力范围·确定证据收集的方式8河南公安高等专科学校计算机取证技术步骤4易失性数据收集策略·确定收集的易失性数据的类型·确定可以有助于证据收集的工具和技术·取证工具收集到信息的输出位置步骤5易失性数据收集工具·建立一个可信的命令解释程序要求使用自带的工具盘上的cmd.exe。·建立传输和存储程序的途径。例如网络收集，Netcat·确保取证工具有完整的输出为了确保取证工具输出的完整性，通常要计算MD5散列值。步骤6易失性数据收集①收集更新时间，日期，时间，命令记录。②执行取证工具或命令的时候，将产生的数据和时间建立审计追踪。③建立命令历史记录，将所有的取证活动记录下来。④收集涉及系统和网络的易失性信息。9河南公安高等专科学校计算机取证技术Netcat参数列表10河南公安高等专科学校计算机取证技术2．易失性系统信息包括：系统概要文件当前系统时间、日期、命令历史记录当前系统运行时间当前运行进程打开文件、启动文件和剪贴板数据登录用户dll和共享的程序库11河南公安高等专科学校计算机取证技术系统概要12河南公安高等专科学校计算机取证技术命令执行时间显示13河南公安高等专科学校计算机取证技术收集系统运行时间14河南公安高等专科学校计算机取证技术收集当前运行进程15河南公安高等专科学校计算机取证技术3.现场取证小工具及应用实例date／time／netstatPslnfo.exesysteminfo.exenetstatistics评价当前运行的进程实用工具信息转储Afind登录用户16河南公安高等专科学校计算机取证技术信息转储17河南公安高等专科学校计算机取证技术搜索某一文件访问时间18河南公安高等专科学校计算机取证技术5.2Windows系统中计算机证据的获取5.2.1文件系统5.2.2日志文件5.2.3注册表19河南公安高等专科学校计算机取证技术5.2.1文件系统(1)文件系统类型：(2)内容(3)元数据：包含描述文件信息的数据，例如文件的存储位置、文件大小、文件的读写时间、访问控制等。(4)文件名分类(5)应用分类20河南公安高等专科学校计算机取证技术1.内容范畴包括组成文件或文件目录的数据。2.元数据元数据包括描述文件或目录的数据，内容存储的位置、时间、日期、权限。我们使用这个数据来获得文件或可疑目录的额外信息。针对windows的FAT文件系统:21河南公安高等专科学校计算机取证技术3．文件名FAT32长文件名目录项32个字节的表示定义22河南公安高等专科学校计算机取证技术4．文件的时间属性变化FAT/NTFS文件系统时间戳的变化规律23河南公安高等专科学校计算机取证技术5.2.2日志文件1．Windows系统日志Windows操作系统维护三个相互独立的日志文件：系统日志、应用程序日志、安全日志。同时还有DNS日志、防火墙日志、HIDS日志、NIDS日志等。24河南公安高等专科学校计算机取证技术（1）系统日志系统日志记录系统进程和设备驱动程序的活动。它审核的系统事件包括启动失败的设备驱动程序、硬件错误、重复的IP地址，以及服务的启动、暂停和停止。文件位置：%systemroot%\system32\config\SysEvent.EVT25河南公安高等专科学校计算机取证技术（2）应用程序日志应用程序日志包括关于用户程序和商业通用应用程序的运行方面的错误活动，它审核的应用程序事件包括所有错误或应用程序需要报告的信息。文件位置：%systemroot%\system32\config\AppEvnet.EVT26河南公安高等专科学校计算机取证技术（3）安全日志安全日志主要用于管理员记载用户登录上网的情况。在安全日志中可以找到它使用的系统审核和安全处理。文件位置：%systemroot%\system32\config\SecEvent.EVT27河南公安高等专科学校计算机取证技术（4）其它日志DNS日志文件：%systemroot%\system32\configInternet信息服务FTP日志默认位置：％systemroot％\system32\logfiles\msftpsvcl\Internet信息服务日志默认位置:％systemroot％\system32\logfiles\w3svcl\Scheduler服务日志默认位置：％systemroot％\schedlgu.txt28河南公安高等专科学校计算机取证技术2.查看日志在计算机上维护有关应用程序、安全性系统事件的日志，可以使用事件查看器查看并管理事件日志。它用于收集计算机硬件、软件和系统整体方面的错误信息，也用来监视一些安全方面的问题。它可根据应用程序日志、安全日志和系统日志来源将记录分成3类。29河南公安高等专科学校计算机取证技术事件ID及说明30河南公安高等专科学校计算机取证技术事件查看器显示以下几种事件类型：error是指比较严重的问题，通常是出现了数据丢失或功能丢失。Warning给出警告则表明情况暂时不严重，但可能会在将来引起错误。Information描述应用程序、驱动程序或服务的成功操作事件。Successaudit审核访问尝试成功。Failureaudit审核安全尝试失败。31河南公安高等专科学校计算机取证技术5.2.3注册表1.注册表（1）注册表结构（2）键值每个主键有一个或多个键值。键值由名字、类型和数据3部分组成。键值描述32河南公安高等专科学校计算机取证技术Windows注册表逻辑结构33河南公安高等专科学校计算机取证技术（3）注册表根键的组织形式HKER_USER：包含每个用户的信息。HKEY_CURRENT_USER：包含了计算机每个用户的配置信息。HKEY_CLASSES_ROOT：包含两类用户设置，文件关联和COM对象所注册的类。HKEY_CURRENT_CONFIG：是一个符号连接到当前的硬件摘要配置文件的键值。34河南公安高等专科学校计算机取证技术2．注册表中有价值的若干信息(1)注册表键值的上次写时间(2)注册表中的数据隐藏(3)注册表键值(4)不同编码方式(5)注册表编辑器漏洞35河南公安高等专科学校计算机取证技术Reg命令查看键值36河南公安高等专科学校计算机取证技术5.3简单的证据处理分析5.3.1进行关键字搜索5.3.2识别未授权的用户帐号或用户组5.3.3识别恶意进程37河南公安高等专科学校计算机取证技术5.3.1进行关键字搜索有许多不同的关键字对于调查过程可能很关键，其中包括用户ID、密码、敏感数据(代码字符)、已知文件名和特定主题词。字符串搜索可以在逻辑文件结构或物理级对整个驱动器的内容进行检查。磁盘搜索工具：dtSearch、Encase、NTI等。38河南公安高等专科学校计算机取证技术5.3.2识别未授权的用户帐号或用户组(1)在UserManager(用户管理器)中查找未授权的用户账户(在现场系统响应期间)。(2)检查注册表重点SID。39河南公安高等专科学校计算机取证技术5.3.3识别恶意进程由于大多数的恶意进程监听网络连接或者嗅探网络以寻找明文用户ID和密码，因此这些程序在其运行时很容易被发现。PsList列出正在运行的进程的名称ListDLLs提供每个正在运行的完整命令行参数Fport显示正在侦听端口信息的进程及其所侦听的端口40河南公安高等专科学校计算机取证技术5.4Windows系统反取证技术5.4.1反取证技术简介5.4.2Windows反取证工具介绍41河南公安高等专科学校计算机取证技术5.4.1反取证技术简介计算机反取证就是删除或者隐藏证据使取证工作无效。目前的计算机反取证技术主要有数据擦除、数据隐藏、数据加密等。1.数据隐藏(1)更改文件的扩展名(2)隐写术(3)改变系统环境2．清除与伪造日志42河南公安高等专科学校计算机取证技术5.4.2Windows反取证工具介绍(1)磁盘擦除工具如：TracksEraserPro,Wipeit等。(2)StealthDisk(3)SecurelT2000(4)Cloak(5)InvisibleSecrets43河南公安高等专科学校计算机取证技术5.5Windows取证工具5.5.1Encase5.5.2ForensicTookit44河南公安高等专科学校计算机取证技术5.6小结本章首先介绍了获取计算机系统运行现场数据的方法，示范性地操作结果；然后阐述了从windows文件系统、windows系统相关日志、windows注册表获取证据，介绍了反取证技术以友Windows环境的两种集成取证工具Encase与FTK。45河南公安高等专科学校计算机取证技术习题五•Windows现场证据获取的重点？•Windows现场证据获取的步骤？•获取系统概要文件的目的及方法？•理解FAT和NTFS文件系统取证过程中的异同点？•注册表的取证重点？•理解反取证技术的意义，反取证技术的重点。46河南公安高等专科学校计算机取证技术谢谢大家！