由于公司网络上拥有的珍贵资源,许多不法分子总是想方设法寻找漏洞,潜入系统作一些不法勾当。作为单位的安全工作人员需要时刻关注其单位是否遭受了损害或攻击。但有些损害或攻击是清楚可见的,而有些攻击却留下很少痕迹。作为安全工作人员善于利用一些取证工具显得尤为重要。
就目前来看,在遭受攻击的单位中,有很多人员还不知道自己遭受了攻击。许多人相信,主要的攻击来自于公司外部。其实,很多重大的损害来自于内部。人称祸起萧墙。
那么,安全人员面临的挑战就是如何找到这些攻击,并判断其进入系统的方法和途径。因为桌面用户用得最多的是Windows系统,所以我们要看几个可以针对这种系统进行取证的简单工具。
◆Live View
使用此软件首要的一点是为用户的现有系统创建一个虚拟机,还要结合使用开源的Live View软件。此软件会检测用户的系统,如果没有检测到安装有Vmware Server 1.x或工作站版本的虚拟软件,它会为用户下载一个。
Live View是一个基于Java的图形化的取证工具,它可以创建原始磁盘映象或物理磁盘的一个 VMware虚拟机。它准许取证人员可以启动这个镜象或磁盘,并获得一个交互性的、用户级的环境视图。因为对磁盘的所有更改都被写往一个独立的文件,检查人员可以很快地恢复到磁盘的原始状态。其最终的结果是用户不需要创建额外的磁盘映象来构建虚拟机。
不过,目前此软件仅支持Windows 2003、XP、2000等系统,也Linux也仅是有限支持。
图1 |
◆OpenFilesView
这是一款可以列示系统上所有基于本地或网络的文件。此软件只有区区82.88k,其安装后的界面如图:
图2 |
此软件可穷举系统中的所有句柄。在过滤了非句柄之后,它使用临时设备驱动程序来从内核存储区读取每一个句柄。在用户从该软件退出之后,这个设备驱动程序又可以自动地将其从系统中释放。显然,在这一点上,这是其它的任务管理程序所不能及的。
如果用户试图删除或移动或打开一个文件时,收到了类似于下面的错误消息,那么此软件就极为有用:“无法删除*共享文件,源文件或目标文件正在使用”
此外,如果与网络连接的过程中,打开此软件可以监视网络进程,如果用户怀疑某进程有问题,可以在其上单击,如图:
图3 |
然后在弹出的菜单中选择“properties”,打开如图所示的窗口:
图4 |
软件对文件的多种属性进行了描述,如句柄、进程ID、删除共享等。在确信了某句柄是可疑句柄之后,可以单击“OK”按钮。再次在此文件上右击,选择“kill processes of selected files”。
共2页: 1 [2] 下一页 | ||||
|