国产日韩欧美一区二区三区三州_亚洲少妇熟女av_久久久久亚洲av国产精品_波多野结衣网站一区二区_亚洲欧美色片在线91_国产亚洲精品精品国产优播av_日本一区二区三区波多野结衣 _久久国产av不卡

?

從破壞計(jì)算機(jī)信息系統(tǒng)案件看Windows系統(tǒng)日志取證實(shí)踐

2014-04-27 09:51:03羅文華張
關(guān)鍵詞:關(guān)鍵字計(jì)算機(jī)系統(tǒng)IP地址

羅文華張 謙

(1 中國(guó)刑警學(xué)院 遼寧 沈陽 110035;2 長(zhǎng)治市公安局刑事技術(shù)支隊(duì) 山西 長(zhǎng)治 046000)

從破壞計(jì)算機(jī)信息系統(tǒng)案件看Windows系統(tǒng)日志取證實(shí)踐

羅文華1張 謙2

(1 中國(guó)刑警學(xué)院 遼寧 沈陽 110035;2 長(zhǎng)治市公安局刑事技術(shù)支隊(duì) 山西 長(zhǎng)治 046000)

Windows系統(tǒng)日志能夠記錄系統(tǒng)中發(fā)生的各類事件,為涉計(jì)算機(jī)犯罪案件的破獲提供重要證據(jù)或線索。本文以一起真實(shí)的破壞計(jì)算機(jī)信息系統(tǒng)案件為背景,通過Windows系統(tǒng)日志記錄具體格式的分析,詳細(xì)說明針對(duì)系統(tǒng)日志的電子數(shù)據(jù)取證步驟與方法。

Windows系統(tǒng)日志 SecEvent.Evt特征標(biāo)識(shí) 事件ID 事件描述 IP地址

1 案件背景

2012年5月6日,某政府部門網(wǎng)站負(fù)責(zé)人周某報(bào)案稱,其部門網(wǎng)站(http://www.XXXXX.com.cn,為保密起見部分信息用字符X代替,下同)及公共服務(wù)業(yè)務(wù)無法正常運(yùn)行,懷疑有人非法侵入該部門計(jì)算機(jī)系統(tǒng)并破壞其內(nèi)部數(shù)據(jù)資料,從而導(dǎo)致政務(wù)運(yùn)行受到嚴(yán)重影響。取證人員對(duì)該部門計(jì)算機(jī)系統(tǒng)進(jìn)行了初步調(diào)查,發(fā)現(xiàn)該系統(tǒng)中的C盤安裝有Web服務(wù)器和MySQL數(shù)據(jù)庫(kù),D盤則已被格式化。針對(duì)D盤執(zhí)行數(shù)據(jù)恢復(fù)操作后,恢復(fù)出大量網(wǎng)站文件、業(yè)務(wù)數(shù)據(jù)以及管理信息。上述信息由于格式化操作而遭到損壞,導(dǎo)致網(wǎng)站業(yè)務(wù)無法正常運(yùn)營(yíng)。同時(shí)根據(jù)D盤下NTFS文件系統(tǒng)元文件時(shí)間屬性信息判斷,獲知該分區(qū)于時(shí)間05/05/2012 23:15:14被格式化(圖1)。為獲取更為全面詳盡的案情信息,取證人員重點(diǎn)針對(duì)系統(tǒng)日志文件開展深入細(xì)致分析。

圖1 依據(jù)NTFS文件系統(tǒng)元文件時(shí)間屬性信息判斷分區(qū)格式化時(shí)間

2 Windows系統(tǒng)日志取證實(shí)踐

2.1 針對(duì)現(xiàn)存日志記錄的取證分析

在C盤下,取證人員發(fā)現(xiàn)一個(gè)Windows Server 2003系統(tǒng)安全日志(SecEvent.Evt)文件。圖2所示為該安全日志中的第1條記錄具體信息,表示05/05/2012 23:28:09有人使用系統(tǒng)賬戶“bXXXX2”登錄了該部門計(jì)算機(jī)系統(tǒng)(計(jì)算機(jī)名稱為“BXXXX-SRV”),并將該時(shí)間之前的安全日志記錄清除(事件ID517,日志描述為“The audit log was cleared”)。

圖2 安全日志信息被惡意清除

之后該人于05/05/2012 23:28:42登出了計(jì)算機(jī)系統(tǒng)。在緊接下來的05/05/2012 23:29:25,有人通過遠(yuǎn)程方式(“Logon Type:10”表示登錄方式為RemoteInteractive),使用系統(tǒng)賬戶“bXXXX2”再一次成功登錄了該計(jì)算機(jī)系統(tǒng)(計(jì)算機(jī)名稱為“BXXXX-SRV”),而調(diào)用方用戶名為“BXXXX-SRV”,所對(duì)應(yīng)的遠(yuǎn)程登錄IP地址為210.153.XXX.XXX,使用端口號(hào)1263(圖3)。

圖3 通過遠(yuǎn)程交互方式登錄部門計(jì)算機(jī)系統(tǒng)

之后,該用戶于05/05/2012 23:30:05從部門系統(tǒng)登出(圖4)。事件ID551表示用戶登出成功;S-1-5-21-4096344289-2173091205-2588847971-XX X則為登錄用戶的 SID(安全標(biāo)識(shí)符,Security Identifiers),表示標(biāo)識(shí)符頒發(fā)機(jī)構(gòu)和域內(nèi)特定的賬戶及組等信息。

圖4 用戶bXXXX2從計(jì)算機(jī)系統(tǒng)登出

2.2 針對(duì)被刪除日志記錄的取證分析

由于部分關(guān)鍵日志信息已被刪除,因此取證人員決定針對(duì)未分配空間利用關(guān)鍵字搜索技術(shù)找尋殘余日志信息。依據(jù)微軟公司官方網(wǎng)站提供的資料,可知Windows XP/2003系統(tǒng)日志記錄采用如下表所示的結(jié)構(gòu)格式。從記錄頭開始的4字節(jié)表示該日志記錄的長(zhǎng)度,后接日志記錄特征標(biāo)識(shí)“LfLe”;記錄號(hào)后則是日志記錄的生成與寫入時(shí)間信息,該信息采用“Unix/C日期+時(shí)間”方式表示,需解析后才能獲知具體時(shí)間;再后便是和具體記錄緊密相關(guān)的事件ID、事件類型、事件描述等信息。

若要獲知已被刪除的日志記錄信息,可利用特征標(biāo)識(shí)“LfLe”(4C 66 4C 65)進(jìn)行關(guān)鍵字搜索。為避免命中信息數(shù)量過多,還可配合已知線索作為組合關(guān)鍵字,圖5所示即為利用“LfLe”及已知的IP地址(210.153.XXX.XXX,Unicode編碼格式)命中的日志記錄信息。根據(jù)表所示記錄格式,可知該記錄長(zhǎng)度為0x128字節(jié),日志記錄的生成和寫入時(shí)間均為“4F A5 3F 32”,解析后可得05/05/2012 22:54:42;事件ID為540(0x21C),事件類型為8;String Offset為0x0000007C,表示該記錄頭部偏移124字節(jié)處為日志描述信息。從圖5可以看出,除了已知的IP地址信息外,該記錄還包含有用于遠(yuǎn)端控制的計(jì)算機(jī)名稱信息“PC25”。

圖5 被刪除日志中出現(xiàn)有用于遠(yuǎn)端控制的計(jì)算機(jī)名稱信息

表 Windows XP/2003系統(tǒng)日志記錄格式

在其他的殘余信息中,取證人員還發(fā)現(xiàn)有人于05/05/2012 22:55:38使用遠(yuǎn)程控制軟件WinVNC4以匿名身份(anonymous)與該部門計(jì)算機(jī)系統(tǒng)建立連接,并于05/05/2012 22:55:47成功登錄了該計(jì)算機(jī)系統(tǒng),遠(yuǎn)程登錄IP地址均為210.153.XXX.XXX(圖6)。

圖6 被刪除日志中的遠(yuǎn)程登錄信息

2.3 基于獲取到的日志信息展開后續(xù)偵查

經(jīng)調(diào)查,日志中提取到的IP地址210.153.XXX. XXX為聯(lián)通網(wǎng)苑XXX網(wǎng)吧所擁有。在網(wǎng)吧業(yè)主協(xié)助下,偵查人員尋找到了名稱為“PC25”的計(jì)算機(jī)(經(jīng)確認(rèn),此網(wǎng)吧內(nèi)只有該臺(tái)計(jì)算機(jī)以此名稱命名)?;诰W(wǎng)吧上網(wǎng)歷史記錄,偵查人員確定家住沈陽市皇姑區(qū)的郝某某有重大作案嫌疑。通過對(duì)郝某某家中筆記本電腦的檢驗(yàn),發(fā)現(xiàn)該電腦F盤下有一名為“BXXXX”的RAR壓縮文件,該文件的生成時(shí)間為2012年5月7日09:55:51;對(duì)該壓縮文件解壓后,其內(nèi)含有大量被入侵政府部門的政務(wù)文件與數(shù)據(jù)信息。在強(qiáng)大的證據(jù)鏈面前,郝某某供認(rèn)了自己的犯罪事實(shí)。

3 結(jié)束語

對(duì)于檢材中完整的系統(tǒng)日志文件,可將其導(dǎo)入電子數(shù)據(jù)取證綜合平臺(tái),利用系統(tǒng)自帶的“事件查看器”進(jìn)行解析。而對(duì)于已徹底刪除日志文件,則需要利用關(guān)鍵字搜索技術(shù)才能夠發(fā)現(xiàn)殘留的痕跡。Windows XP/2003下可選擇日志記錄特征標(biāo)識(shí)“LfLe”(4C 66 4C 65)作為關(guān)鍵字;Win7下日志文件可通過關(guān)鍵字“ElfFile”(45 6C 66 46 69 6C 65)定位,日志記錄則可利用“ElfChnk”(45 6C 66 43 68 6E 6B)搜尋。需要指出的是,Win7系統(tǒng)日志采用XML(Extensible Markup Language,可擴(kuò)展標(biāo)記語言)進(jìn)行描述,需深入理解其格式規(guī)范才能正確解析記錄內(nèi)容。另外,實(shí)際操作時(shí)可將已獲知的線索(如用戶名稱、時(shí)間信息、事件ID、域名、IP地址等,使用時(shí)需注意編碼格式)與特征標(biāo)識(shí)作為組合關(guān)鍵字一并搜索,以減少命中項(xiàng)數(shù)量。

[1]秦景旺,張宇.淺析Windows系統(tǒng)中電子證據(jù)的發(fā)現(xiàn)和提取[J].警察技術(shù),2010,(3).

[2]鄒錦沛,羅越榮.NTFS文件系統(tǒng)的時(shí)間規(guī)則[J].警察技術(shù),2012,(1).

[3]張俊,麥永浩.網(wǎng)絡(luò)傳銷案件中電子證據(jù)的獲取與分析[J].信息網(wǎng)絡(luò)安全,2013,(8).

(責(zé)任編輯:孟凡騫)

D918.2

A

2013-11-6

羅文華(1977-),男,遼寧沈陽人,中國(guó)刑警學(xué)院網(wǎng)絡(luò)犯罪偵查系副教授,碩士,主要從事電子數(shù)據(jù)取證研究。

猜你喜歡
關(guān)鍵字計(jì)算機(jī)系統(tǒng)IP地址
履職盡責(zé)求實(shí)效 真抓實(shí)干勇作為——十個(gè)關(guān)鍵字,盤點(diǎn)江蘇統(tǒng)戰(zhàn)的2021
鐵路遠(yuǎn)動(dòng)系統(tǒng)幾種組網(wǎng)方式IP地址的申請(qǐng)和設(shè)置
成功避開“關(guān)鍵字”
IBM推出可與人類“辯論”的計(jì)算機(jī)系統(tǒng)
英語文摘(2019年3期)2019-04-25 06:05:32
基于SNMP的IP地址管理系統(tǒng)開發(fā)與應(yīng)用
黑龍江電力(2017年1期)2017-05-17 04:25:16
分布處理計(jì)算機(jī)系統(tǒng)研究
MIMD 并行計(jì)算機(jī)系統(tǒng)結(jié)構(gòu)與定量分析
基于國(guó)產(chǎn)CPU的立方星星載計(jì)算機(jī)系統(tǒng)設(shè)計(jì)
基于用戶反饋的關(guān)系數(shù)據(jù)庫(kù)關(guān)鍵字查詢系統(tǒng)
誘導(dǎo)性虛假下載鏈接不完全評(píng)測(cè)
晋城| 江西省| 子洲县| 盐山县| 洞头县| 仲巴县| 高安市| 兰州市| 庆元县| 疏附县| 龙江县| 洛宁县| 砚山县| 绥中县| 金山区| 德清县| 闽侯县| 福鼎市| 阳山县| 柘城县| 黑龙江省| 中阳县| 萨迦县| 五华县| 兰西县| 习水县| 揭东县| 天镇县| 鹤峰县| 印江| 阜阳市| 武定县| 饶阳县| 诸城市| 丘北县| 台中县| 介休市| 故城县| 白玉县| 枣阳市| 余姚市|