孫 亮，楊開(kāi)開(kāi)

（南通市公安局，江蘇 南通 226006）

服務(wù)器痕跡提取的方法研究

孫 亮，楊開(kāi)開(kāi)

（南通市公安局，江蘇 南通 226006）

隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)技術(shù)已經(jīng)應(yīng)用于人們生活的方方面面，同時(shí)網(wǎng)絡(luò)犯罪也應(yīng)運(yùn)而生?，F(xiàn)如今，日益猖獗的計(jì)算機(jī)犯罪發(fā)展態(tài)勢(shì)和計(jì)算機(jī)犯罪取證難的矛盾是當(dāng)前公安機(jī)關(guān)迫切需要解決的問(wèn)題。面對(duì)這樣的矛盾，必須使用有效、高效的方法和優(yōu)秀的計(jì)算機(jī)取證工具。文章針對(duì)這個(gè)需求展開(kāi)了研究。

電子數(shù)據(jù)取證；后門(mén)排查；服務(wù)器

隨著科技的高速發(fā)展，計(jì)算機(jī)帶給人們極大的效率和便利，已成為人們生活中不可缺少的一部分，人們使用計(jì)算機(jī)時(shí)難免會(huì)留下蛛絲馬跡。再加上以計(jì)算機(jī)為平臺(tái)的各種信息系統(tǒng)、應(yīng)用軟件和外部設(shè)備的不斷增加，這些軟、硬件的使用痕跡越來(lái)越多。所有的計(jì)算機(jī)用戶(hù)的正常行為和惡意行為，都會(huì)反映到記錄數(shù)據(jù)中，不論是正常行為還是異常行為，都會(huì)留下一條或多條記錄。

當(dāng)前，計(jì)算機(jī)作為一種先進(jìn)的生產(chǎn)力工具，在社會(huì)生活領(lǐng)域產(chǎn)生了一種新形態(tài)的犯罪—計(jì)算機(jī)犯罪，其中包括網(wǎng)絡(luò)黑客入侵，未經(jīng)他人允許非法操作他人計(jì)算機(jī)等。計(jì)算機(jī)犯罪也是一種查證率極高的高技術(shù)犯罪，如何保證計(jì)算機(jī)安全和非法操作計(jì)算機(jī)的取證保存和分析成為需要迫切解決的問(wèn)題，而通過(guò)計(jì)算機(jī)分析和取證系統(tǒng)提取有用信息是一種有效的手段。

1 服務(wù)器痕跡的定義及特點(diǎn)

計(jì)算機(jī)服務(wù)器生成痕跡是全部由計(jì)算機(jī)等電子設(shè)備自動(dòng)生成的痕跡，這些痕跡完全是由計(jì)算機(jī)等電子設(shè)備的內(nèi)部命令執(zhí)行運(yùn)行的，而電子設(shè)備的存儲(chǔ)痕跡則是由人為輸入電子信息生成的痕跡，電子設(shè)備得到輸入的信息后根據(jù)其內(nèi)部的命令運(yùn)行所生成的痕跡，兩者的區(qū)別在于有無(wú)加入人為的主觀意志。

依照計(jì)算機(jī)等電子設(shè)備自身的結(jié)構(gòu)特征及工作運(yùn)行的原理，在設(shè)備上進(jìn)行操作處理需要設(shè)備自身的系統(tǒng)和內(nèi)部軟件一起配合運(yùn)行完成的，在處理此信息中，用戶(hù)自主訪問(wèn)的控制下，用戶(hù)只有通過(guò)驗(yàn)證身份才能獲得讀取的權(quán)限，包括對(duì)目錄文件、IPC等進(jìn)行讀取，執(zhí)行命令或刪除。當(dāng)然這些操作會(huì)在系統(tǒng)文件、設(shè)備存儲(chǔ)、注冊(cè)表中留下操作的相關(guān)記錄，這些操作記錄雖然不能直接證明此操作用戶(hù)的操作目的，但是能夠從這些記錄信息中提取分析與此操作用戶(hù)相關(guān)的行為信息，這些提取的信息對(duì)幫助警方對(duì)案件進(jìn)行信息采集、數(shù)據(jù)樣本查看以及恢復(fù)數(shù)據(jù)都有重要的作用和意義。

2 掌握服務(wù)器情況下的痕跡提取的方法

2.1 日志提取

（1）數(shù)據(jù)庫(kù)日志提取。數(shù)據(jù)庫(kù)包括MySQL數(shù)據(jù)庫(kù)、MSSQL數(shù)據(jù)庫(kù)、Oracle數(shù)據(jù)庫(kù)等，查閱不同的數(shù)據(jù)庫(kù)日志。

（2）系統(tǒng)日志提取。操作系統(tǒng)分為Windows操作系統(tǒng)和Linux操作系統(tǒng)，針對(duì)不同的操作系統(tǒng)進(jìn)行日志查看和分析。

（3）用戶(hù)登錄日志提取。包含Windows系統(tǒng)登錄日志的查看和分析，Linux用戶(hù)的登錄日志和用戶(hù)的Finger信息。

（4）Web訪問(wèn)日志的提取。Web服務(wù)器包括Apache，Ngnix，IIS等各種類(lèi)型，不同的Web服務(wù)器采用不同的方式提取Web訪問(wèn)日志。

（5）FTP/VPN/MAIL服務(wù)訪問(wèn)日志提取。如圖1所示，微軟的IIS提供了FTP服務(wù)、遠(yuǎn)程路由訪問(wèn)提供了VPN服務(wù)、第三方FTP軟件如ServU服務(wù)、Linux下的Wu-ftp，vsftp等服務(wù)，均可獲取日志。

圖1 第三方軟件查閱服務(wù)日志

2.2 后門(mén)排查

后門(mén)排查包括：（1）使用Webshell掃描工具進(jìn)行Web目錄下的Webshell排查；（2）使用系統(tǒng)木馬查殺軟件掃描服務(wù)器，提取痕跡樣本進(jìn)行分析；（3）使用內(nèi)核后門(mén)掃描軟件掃描服務(wù)器，提取痕跡樣本進(jìn)行分析，主要針對(duì)Linux操作系統(tǒng)。

2.3 通訊異常

通訊異常是敏感數(shù)據(jù)外流的依據(jù)。當(dāng)服務(wù)器出現(xiàn)通訊異?，F(xiàn)象時(shí)，對(duì)服務(wù)器進(jìn)行旁路鏡像抓包，分析異常的通訊數(shù)據(jù)流量，主要用于分析木馬通訊，追蹤木馬來(lái)源的IP地址。

2.4 數(shù)據(jù)恢復(fù)

對(duì)服務(wù)器存儲(chǔ)設(shè)備進(jìn)行專(zhuān)業(yè)級(jí)數(shù)據(jù)恢復(fù)，可以對(duì)被刪除的日志、重要電子物證進(jìn)行恢復(fù)和分析。

如圖2所示，在計(jì)算機(jī)中硬盤(pán)儲(chǔ)存數(shù)據(jù)的基本單位是扇區(qū)，當(dāng)進(jìn)行數(shù)據(jù)恢復(fù)時(shí)先對(duì)硬盤(pán)進(jìn)行分區(qū)，并在第一個(gè)扇區(qū)中標(biāo)注硬盤(pán)的分區(qū)大小、數(shù)量和起始位置等信息，當(dāng)這些標(biāo)注的信息因硬盤(pán)損壞、病毒入侵或者操作失誤等原因遭到破壞或損毀消除時(shí)，分區(qū)數(shù)據(jù)信息就會(huì)部分或全部丟失?？梢岳脭?shù)據(jù)信息的特點(diǎn)，重新計(jì)算出分區(qū)的位置和大小，手動(dòng)標(biāo)出分區(qū)信息，這樣丟失的分區(qū)數(shù)據(jù)就會(huì)恢復(fù)。

圖2 數(shù)據(jù)恢復(fù)

2.5 備份比對(duì)

如果存在備份服務(wù)器，可以將備份服務(wù)器數(shù)據(jù)與正在使用的服務(wù)器數(shù)據(jù)進(jìn)行比對(duì)，如圖3所示，找出被修改的文件。針對(duì)Web文件的對(duì)比，可以發(fā)現(xiàn)Web后門(mén)和被惡篡改的邏輯，并進(jìn)行修正。針對(duì)日志文件的對(duì)比，可以恢復(fù)重要的日志記錄。

圖3 數(shù)據(jù)備份

2.6 蜜罐取證

蜜罐取證方式是設(shè)計(jì)成專(zhuān)門(mén)被攻擊、掃描和入侵的網(wǎng)絡(luò)資源，是一種包含系統(tǒng)漏洞的安全資源。在系統(tǒng)被攻擊或探測(cè)后對(duì)這些行為進(jìn)行檢測(cè)和分析，從而收集電子證據(jù)，并且此方式能夠?qū)⒄鎸?shí)的服務(wù)器IP地址進(jìn)行隱藏。蜜罐能夠起到發(fā)現(xiàn)、預(yù)警、追蹤、記錄等作用，必要的時(shí)候可以利用此方式收集記錄的信息證據(jù)警告或起訴入侵者。

（1）針對(duì)Web服務(wù)器，可以修改入侵者預(yù)留的后門(mén)代碼，記錄目標(biāo)的訪問(wèn)的IP地址和瀏覽器信息；（2）針對(duì)Web后臺(tái)功能，可以修改代碼，記錄目標(biāo)訪問(wèn)的IP地址和瀏覽器信息；（3）針對(duì)FTP等服務(wù)，可以使用“虛假服務(wù)器”記錄目標(biāo)行為；（4）構(gòu)造虛假的且“有價(jià)值”目標(biāo)，例如數(shù)據(jù)庫(kù)、文件服務(wù)器等吸引入侵者上鉤。

2.7 內(nèi)部人員排查

排查內(nèi)部工作人員，查找內(nèi)鬼，這是最傳統(tǒng)的方式，非技術(shù)范疇。

3 結(jié)語(yǔ)

本文研究了在掌握服務(wù)器情況下進(jìn)行痕跡提取的方法，包括日志提取、后門(mén)排查、通訊異常、數(shù)據(jù)恢復(fù)、備份比對(duì)、蜜罐取證、傳統(tǒng)方式內(nèi)部排查，每種方法還需根據(jù)實(shí)際情況進(jìn)行靈活運(yùn)行。只有通過(guò)靈活部署不同的服務(wù)器痕跡提取方式，服務(wù)器被操作過(guò)的痕跡必將顯現(xiàn)出來(lái)。

[1]徐仙偉.存儲(chǔ)原理與數(shù)據(jù)恢復(fù)講義[D].南京：南京森林警察學(xué)院，2012.

[2]湯艷君.電子取證檢驗(yàn)與分析[M].北京：清華大學(xué)出版社，2014.

[3]賈鐵軍.網(wǎng)絡(luò)安全技術(shù)及應(yīng)用[M].北京：機(jī)械工業(yè)出版社，2013.

Research on the method of server trace extraction

Sun Liang, Yang Kaikai
（Nantong Municipal Public Security Bureau, Nantong 226006, China）

With the continuous development of network technology, network technology has been applied to all aspects of people’s lives, at the same time, the network crime has emerged along with this. Nowadays, the contradiction between the development trend of the increasingly rampant computer crime and computer crime forensics difficult is an urgent need to address the issue of public security organs. Faced with this contradiction, it is necessary to take efficient methods and excellent computer forensics tools to solve this problem. This article aims at the needs to carry out research.

electronic data forensics; back door investigation; server

孫亮（1978— ），男，江蘇南通，碩士，助理工程師；研究方向：Web安全。