徐　坤錦州師范高等專科學(xué)校，遼寧錦州　121000

?

SQL Server數(shù)據(jù)庫的證據(jù)收集與分析

徐坤
錦州師范高等專科學(xué)校，遼寧錦州121000

摘要本文將對SQL Server數(shù)據(jù)庫概念及特點(diǎn)進(jìn)行分析和研究，并在此基礎(chǔ)上提出證據(jù)收集與分析系統(tǒng)的構(gòu)建。

關(guān)鍵詞SQL Server數(shù)據(jù)庫；證據(jù)收集；分析

互聯(lián)網(wǎng)時(shí)代下，網(wǎng)絡(luò)安全防范技術(shù)取得了進(jìn)一步發(fā)展，但是防火墻等安防產(chǎn)品僅是一種被動(dòng)的防御措施，難以有效打擊網(wǎng)絡(luò)犯罪。而計(jì)算機(jī)取證作為一種新型安防手段，能夠通過計(jì)算機(jī)取證技術(shù)獲取黑客攻擊全過程，成為呈堂證供，在一定程度上打擊了網(wǎng)絡(luò)犯罪行為。其中數(shù)據(jù)庫以其自身容量大等優(yōu)勢成為取證技術(shù)研究的重要方向，能夠收集更多犯罪行為，為偵破案件提供依據(jù)。因此加強(qiáng)對數(shù)據(jù)庫證據(jù)收集的研究具有現(xiàn)實(shí)意義。

1　SQL Server數(shù)據(jù)庫概述

SQL是指結(jié)構(gòu)化查詢語言，對于其功能的分析，可以了解到它能夠在不同數(shù)據(jù)庫之間發(fā)揮橋梁作用。而SQL Server是一個(gè)具有可拓展、高性能的數(shù)據(jù)庫管理系統(tǒng)，能夠?qū)崿F(xiàn)與WindowsNT有機(jī)結(jié)合，提供建立在事務(wù)基礎(chǔ)之上的企業(yè)級信息管理系統(tǒng)方案。

在實(shí)踐中，其具有高性能、先進(jìn)的系統(tǒng)管理等特點(diǎn)，不僅能夠?qū)崿F(xiàn)對數(shù)據(jù)庫的分布存儲和訪問，還能夠顯著降低系統(tǒng)負(fù)荷，增強(qiáng)系統(tǒng)運(yùn)行穩(wěn)定性、可靠性。因此將其引入到取證系統(tǒng)設(shè)計(jì)及開發(fā)中具有較強(qiáng)可行性，減少黑客的攻擊。

2證據(jù)收集及分析

數(shù)據(jù)庫取證作為一種新型取證方式和方法，需要建立在傳統(tǒng)電子物證取證檢驗(yàn)技術(shù)基礎(chǔ)之上。本章將從證據(jù)收集與分析探討數(shù)據(jù)庫取證技術(shù)的實(shí)施過程。

2.1模擬攻擊環(huán)境

網(wǎng)絡(luò)數(shù)據(jù)庫中擁有大量數(shù)據(jù)，其中包含一些具有經(jīng)濟(jì)價(jià)值的數(shù)據(jù)信息，成為黑客攻擊的主要對象。一般情況下，黑客并不會采取直接物理接觸方式攻擊數(shù)據(jù)庫，而是獲取數(shù)據(jù)庫的控制權(quán)限之后，對數(shù)據(jù)進(jìn)行相應(yīng)的改動(dòng)?；诖?，本文將在內(nèi)部網(wǎng)絡(luò)中構(gòu)建數(shù)據(jù)庫應(yīng)用平臺，并開發(fā)一個(gè)遠(yuǎn)程訪問端，模擬一臺置于開放網(wǎng)絡(luò)環(huán)境中的數(shù)據(jù)庫，通過此探討數(shù)據(jù)庫調(diào)查取證的方法及技術(shù)路線[1]。

具體實(shí)驗(yàn)環(huán)境如下：操作系統(tǒng)為Window Server2003,Web服務(wù)器等。在實(shí)驗(yàn)過程中，利用端口掃描程序?qū)μ囟ňW(wǎng)段進(jìn)行掃描，確定主機(jī)存活后，開放其端口。通過對數(shù)據(jù)庫服務(wù)器密碼進(jìn)行暴力破解后，通過遠(yuǎn)程數(shù)據(jù)庫對數(shù)據(jù)進(jìn)行修改等非合法操作。通過上述步驟能夠模擬黑客對數(shù)據(jù)的攻擊，為后續(xù)取證和證據(jù)分析做好鋪墊。

2.2取證過程

通過數(shù)據(jù)庫進(jìn)行取證，能夠回放用戶對數(shù)據(jù)庫操作的全過程，對比數(shù)據(jù)前后變化，找到被破壞的數(shù)據(jù)，以此來恢復(fù)原有數(shù)據(jù)內(nèi)容，并證明黑客攻擊過數(shù)據(jù)庫，同時(shí)還能夠確定數(shù)據(jù)庫入侵范圍及危害程度等。SQL Server數(shù)據(jù)庫取證建立在數(shù)字取證規(guī)則基礎(chǔ)之上，采取DDDCFLDD、系統(tǒng)自帶視圖、函數(shù)等多項(xiàng)取證分析工具獲取相應(yīng)的證據(jù)。

確定分析工具后，我們需要鎖定取證范圍。就理論層面來說，獲取犯罪證據(jù)的關(guān)鍵在于證據(jù)并未被完全覆蓋或者消除?？梢姡痉ㄨb定范圍過于狹小，僅關(guān)注計(jì)算機(jī)內(nèi)部，如軟盤、硬盤及DVD等、而SQL Server在Windows系統(tǒng)當(dāng)中，為了確保證據(jù)連貫性及完整性，在取證時(shí)，需要收集存在于操作系統(tǒng)中的證據(jù)文件及其相關(guān)證據(jù)記錄。一旦出現(xiàn)黑客攻擊，如果未及時(shí)采集犯罪證據(jù)，將會被合法或者惡意系統(tǒng)覆蓋，而這將直接增加取證的難度。因此數(shù)據(jù)庫取證應(yīng)預(yù)先確定證據(jù)范圍。具體來說，應(yīng)按照動(dòng)態(tài)數(shù)據(jù)——事務(wù)日志——數(shù)據(jù)文件等順序進(jìn)行。

最后對于取證來說，如果面臨的是計(jì)算機(jī)運(yùn)行環(huán)境、內(nèi)存等可以采取WFT自動(dòng)獲取，另外，還可以借助數(shù)據(jù)庫系統(tǒng)自身提供的SQLCMD及內(nèi)置的函數(shù)等保存證據(jù)。具體操作時(shí)，用戶發(fā)出指令，系統(tǒng)相應(yīng)指令并加載SQLCMD，獲取數(shù)據(jù)庫登陸賬戶信息，將此過程中記錄在文件中。然后收集數(shù)據(jù)文件等，最后關(guān)閉數(shù)據(jù)庫，完成該環(huán)節(jié)操作后，使用取證工具對數(shù)據(jù)文件、事務(wù)日志等進(jìn)行鏡像保存，與原始文件進(jìn)行對比，最后確定數(shù)據(jù)在復(fù)制時(shí)是否被改動(dòng)。

取證作為關(guān)鍵關(guān)節(jié)，是整個(gè)系統(tǒng)開發(fā)的重中之重，只有確定證據(jù)的完整性、準(zhǔn)確性，才能夠找到黑客攻擊的痕跡，制裁黑客，可見，取證是消除黑客攻擊的重要基礎(chǔ)。

2.3取證分析

完成取證后，需要對證據(jù)進(jìn)行深入分析，具體來說，可以從3個(gè)層面入手：

第一，建立時(shí)間線索。收集線索后，可以在信任度較高的取證平臺上進(jìn)行證據(jù)分析?；谠擁?xiàng)工作復(fù)雜性、繁瑣性等特點(diǎn)的考慮，可以構(gòu)建攻擊時(shí)間時(shí)間進(jìn)程，按

照時(shí)間標(biāo)準(zhǔn)進(jìn)行證據(jù)分析，找到數(shù)字證據(jù)的范圍。通過對提取證據(jù)全過程的觀察來看，數(shù)據(jù)庫錯(cuò)誤日志中記錄了登陸情況、數(shù)據(jù)庫服務(wù)器啟動(dòng)等相關(guān)信息。本文對數(shù)據(jù)庫最后一次SQL Eroor Log文件能夠發(fā)現(xiàn)諸多問題，如某段時(shí)間發(fā)現(xiàn)了登陸失敗事件等。數(shù)據(jù)庫business中的文件證明了客戶端曾被惡意攻擊過。

第二，分析證據(jù)。在具體分析之前，我們應(yīng)先了解系統(tǒng)內(nèi)置的日志分析函數(shù)命令，該命令包括大量信息，但是DBCC LOG輸出字段中僅有本次數(shù)據(jù)庫取證需要用到數(shù)據(jù)信息。通過對比數(shù)據(jù)信息，能夠發(fā)現(xiàn)其中多處數(shù)據(jù)與原來的文件存在不同，最終確定黑客攻擊證據(jù)。

最后，恢復(fù)數(shù)據(jù)。在數(shù)據(jù)庫中，當(dāng)其中的記錄被刪除，會被標(biāo)記一個(gè)ghost值，以此來提醒數(shù)據(jù)庫引擎在后續(xù)查詢過程中要將其隱藏，即便真實(shí)的數(shù)據(jù)仍然被物理保存在數(shù)據(jù)頁當(dāng)中，也將出現(xiàn)隱藏情況。一般情況下，數(shù)據(jù)庫會重新啟動(dòng)一個(gè)垃圾清理程序，定期對刪除的記錄進(jìn)行重復(fù)利用[2]。而數(shù)據(jù)的事務(wù)日志會被詳細(xì)的記錄下來，被刪除的數(shù)據(jù)也能夠被恢復(fù)到原來的狀態(tài)。由此，模擬數(shù)據(jù)庫攻擊時(shí)間的整個(gè)過程將被還原，黑客攻擊的證據(jù)也會被提取，成為有力證據(jù)。

計(jì)算機(jī)取證是計(jì)算機(jī)技術(shù)發(fā)展的產(chǎn)物，研究該系統(tǒng)的最終目的是為了避免黑客攻擊，確保用戶重要信息的安全。因此在研究中，我們要掌握黑客攻擊的規(guī)律及特點(diǎn)，在此基礎(chǔ)上設(shè)計(jì)和開發(fā)數(shù)據(jù)庫取證技術(shù)，最大限度上保障用戶信息的安全。

3　結(jié)論

根據(jù)上文所述，數(shù)據(jù)庫取證系統(tǒng)的構(gòu)建是一個(gè)綜合性、復(fù)雜性過程，需要取證人員具備專業(yè)知識。數(shù)據(jù)庫攻擊事件較為頻繁，在一定程度上增加了取證難度。因此相關(guān)人員應(yīng)加大對計(jì)算機(jī)取證方法的研究，不斷引進(jìn)先進(jìn)技術(shù)，增強(qiáng)系統(tǒng)抗攻擊能力，了解和掌握黑客攻擊行為，為數(shù)據(jù)庫取證提供更多支持和幫助，從而構(gòu)建安全、和諧的互聯(lián)網(wǎng)環(huán)境。

參考文獻(xiàn)

[1]閆旭.淺談SQL Server數(shù)據(jù)庫的特點(diǎn)和基本功能[J].價(jià)值工程，2012（22）：229-231.

[2]裴發(fā)根，仇根根,李立.基于VB和SQL Server大地電磁測深成果數(shù)據(jù)庫的設(shè)計(jì)與實(shí)現(xiàn)[J].物探與化探，2013（1）：155-159.

作者簡介：徐坤，碩士，講師，工作單位為錦州師范高等專科學(xué)校，從事計(jì)算機(jī)教學(xué)

中圖分類號TP39

文獻(xiàn)標(biāo)識碼A

文章編號1674-6708（2015）155-0122-01