关于黑客入侵网络的证据收集与分析

如果有未经授权的入侵者入侵了你的网络，且破坏了数据，除了从备份系统中恢复数据之外，还需要做什么呢?

　　从事网络安全工作的人都知道，黑客在入侵之后都会想方设法抹去自己在受害系统上的活动记录。目的是逃脱法律的制裁。

　　而许多企业也不上报网络犯罪，其原因在于害怕这样做会对业务运作或企业商誉造成负面影响。他们担心这样做会让业务运作因此失序。更重要的是收集犯罪证据有一定困难。因此，CIO们应该在应急响应系统的建立中加入计算机犯罪证据的收集与分析环节。

　　什么是“计算机犯罪取证”?

　　计算机取证又称为数字取证或电子取证，是指对计算机入侵、破坏、欺诈、攻击等犯罪行为利用计算机软硬件技术，按照符合法律规范的方式进行证据获取、保存、分析和出示的过程。从技术上，计算机取证是一个对受侵计算机系统进行扫描和破解，以及对整个入侵事件进行重建的过程。

　　计算机取证包括物理证据获取和信息发现两个阶段。物理证据获取是指调查人员到计算机犯罪或入侵的现场，寻找并扣留相关的计算机硬件;信息发现是指从原始数据(包括文件，日志等)中寻找可以用来证明或者反驳的证据，即电子证据。

　　除了那些刚入门的“毛小子”之外，计算机犯罪分子也会在作案前周密部署、作案后消除蛛丝马迹。他们更改、删除目标主机的日志文件，清理自己的工具软件，或利用反取证工具来破坏侦察人员的取证。这就要求我们在反入侵的过程中，首先要清楚我们要做什么?然后才是怎么做的问题。

　　物理取证是核心任务

　　物理证据的获取是全部取证工作的基础。获取物理证据是最重要的工作，保证原始数据不受任何破坏。无论在任何情况下，调查者都应牢记5点:(1)不要改变原始记录;(2)不要在作为证据的计算机上执行无关的操作;(3)不要给犯罪者销毁证据的机会;(4)详细记录所有的取证活动;(5)妥善保存得到的物证。如果被入侵的计算机处于工作状态，取证人员应该设法保存尽可能多的犯罪信息。

　　要做到这5点可以说困难重重，首先可能出现的问题就是无法保证业务的连续性。由于入侵者的证据可能存在于系统日志、数据文件、寄存器、交换区、隐藏文件、空闲的磁盘空间、打印机缓存、网络数据区和计数器、用户进程存储器、文件缓存区等不同的位置。由此看见，物理取证不但是基础，而且是技术难点。

　　通常的做法是将要获取的数据包括从内存里获取易灭失数据和从硬盘获取等相对稳定数据，保证获取的顺序为先内存后硬盘。案件发生后，立即对目标机和网络设备进行内存检查并做好记录，根据所用操作系统的不同可以使用的内存检查命令对内存里易灭失数据获取，力求不要对硬盘进行任何读写操作，以免更改数据原始性。利用专门的工具对硬盘进行逐扇区的读取，将硬盘数据完整地克隆出来，便于今后在专门机器上对原始硬盘的镜像文件进行分析。

　　“计算机法医”要看的现场是什么？(日志)

　　有的时候，计算机取证(Computer Forensics)也可以称为计算机法医学，它是指把计算机看作是犯罪现场，运用先进的辨析技术，对电脑犯罪行为进行法医式的解剖，搜寻确认罪犯及其犯罪证据，并据此提起诉讼。好比飞机失事后，事故现场和当时发生的任何事都需要从飞机的“黑匣子”中获取。说到这里您可能就猜到了，计算机的黑匣子就是自身的日志记录系统。从理论上讲，计算机取证人员能否找到犯罪证据取决于:有关犯罪证据必须没有被覆盖;取证软件必须能找到这些数据;取证人员能知道这些文件，并且能证明它们与犯罪有关。但从海量的数据里面寻找蛛丝马迹是一件非常费时费力的工作，解决这一难题方法的就是切入点，所以说从日志入手才是最直接有效的手段。

　　这里还需要指出，不同的操作系统都可以在“Event Viewer Security”(安全事件观察器)中能够检查到各种活动和日志信息，但是自身的防护性能都是非常低，一旦遭受到入侵，很容易就被清除掉。从中我们可以看到，专业的日志防护与分析软件在整个安全产品市场中的地位之重，无需置疑。