返回
windows操作系统环境下的在线调查

windows操作系统环境下的在线调查

ID:33929442

大小:190.13 KB

页数:3页

时间:2019-02-28

windows操作系统环境下的在线调查_第1页
windows操作系统环境下的在线调查_第2页
windows操作系统环境下的在线调查_第3页
资源描述:

《windows操作系统环境下的在线调查》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、万方数据·经验交流·Windows操作系统环境下的在线调查罗文华(中同刑事警察学院计算机犯罪侦查系,沈阳ii0035)关键词:在线调查;易失数据;cmdFport;Pstools中图分类号:DF793.1文献标识码:B文章编号:1008-3650(2007)05—0042—02在计算机犯罪现场勘杳过程中,如发现现场中主机处于开机状态,除极特殊情况(如系统正在删除文件、格式化、系统自毁等)须立即拔掉电源线外,在关闭主机前一般都要进行在线调查操作。在线调查的主要目的是获取那些关机或审新启动系统后就立即消失的数据,一般指系统时问/日期、当前登录用户、当前运行进程

2、、套接字列表及相应监听程序等信息。正确执行在线调查操作通常需要有以下方面的保证:可信且完善的工具、规范的操作步骤以及数据签名。下文将从工具盘创建、具体步骤以及注意事项等方面洋细说明Windows系统环境下的在线橱查。1Windows操作系统环境下的在线调查1.1创建工具盘进行在线调查T作,勘查人员需要存现场主机中执行相关命令,应特别注意不要更改或破坏任何可能成为线索的数据,因此需要创建一个功能齐全的工具盘。工具盘通常为软盘或光盘,其中包含以下工具。1.1.1可靠的命令行Shell由于被勘查主机的命令行Shell可能被修改(通常在一个管理员账号被攻击后会出现

3、这种情况),勘查人员不应该相信它的输出。因此,工具盘中必须配有可信的命令行解释程序,将正常系统目录下的cmd.exe拷贝到]_具盘中即可(后文中提到的Windows系统工具也可应用此方法获得)。1.1.2用于端口查看的Fpor和netstatFport是由著名系统安全公司Foundstone免费发布的命令行工具软件,可在如下网址下载:http://www.founds—tone.COIn。该工具可以将被勘查主机上每个打开的TCP与L刀]P端口映射到系统正在运行的进程上,对于定位不同类型的后门程序具有十分重要的作用。netstat命令是Windows系统工具

4、,用于显示网络连接IP地址和所有打开的端口信息,但不能建立端口与进程问的关系。在只需了解端口的情况下,netstat是一种快速的解决方案。1.1.3arp与ipconfig使用arp命令,能够查看现·42·型事蕉术2007生釜5期场主机中arp高速缓存的当前内容,进而确定对应IP地址的网卡物理地址。需要注意的是,在许多操作系统(包括Windows与uNIX)中,具有足够权限的用户都可以更改自己的MAC或IP地址,因此案件分析时不可过分相信通过arp命令获取的信息。ipconfig命令则可以显示TcP/IP的具体配置,包括本地连接以及其他网络连接的lP地址、

5、子网掩码、默认网关等。在Windows98系统中没有该命令,可以通过Winipcfg命令来查询相关信息。1.1.4Pstools软件包Pstools是专门用于在线调查和应急响应的软件包,目前已广泛应用于计算机犯罪侦查领域。该软件包可以从http://www.sysin—ternals.com免费得到。该软件包中含有lz个命令行工具,分别是psinfo(获取系统详细信息)、pslist(获取进程信息)、psloggedon(确定系统用户与远程访客)、psservice(系统服务信息列表)、psexec(执行远程进程)、psfile(远程文件查看)、psget

6、sid(SID解析)、pskill(中止本地或远程进程)、psloglist(日志转储)、pspasswd(密码修改)、psshutdown(系统关机)和pssuspend(挂起或重新执行进程)。在线调查过程中,没有必要使用全部命令,通常情况下主要使川psinfo、pslist、psloggedon和psloglist等工具(具体描述见1.2节)。1.1.5Md5sum工具适用于Windows系统的Md5sum工具呵以从www.atstake.com下载得到。该工具主要用于计算所获信息的校验和,在后续分析工作巾可通过校验和判断数据是否完整。另外,工具盘中还

7、可存放一文本文件,专门用于存放所有命令行工具的校验和,以此作为判断命令行工具完整性的依据。表1列出了上文谈到的工具盘中所需的主要命令及其功能与获取方法。表1工具盘中所需的主要命令、完成功能吡及获取方法[具功能获取方法Cmd可信的命令行ShellArp得到网卡物理地址Ipconfig显玎}TCP/IP网络配置信息Fport端口与进程咖进行映射Netstat列出监听端口和网络连接Pshffo获取系统信息Pflist获取进程详细信息Psloggedon确定系统用户与远程访窖Psloglist日志转储Md5sum创建MD5枝验和从正常系统获得从止常系统获得w1F凯

8、foundstone,c0111从正常系统获得www.sysint

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。