黑客必知:黑客攻击的取证和追踪
有两项证据可以显示被黑客攻击1.系统日志
2.备份文件
3.进程,服务内存
4.用户账号
5.临时文件\
6.硬盘空间
7.系统缓存区
8.打印机及其他设备的内存
来自网络的取证
1.防火墙日志
2.IDS日志
3/其他安全设备所产生的日志
校验工具MD5
任何文件都有一个独一无二的MD5码,前期记录该文件的数值如果和后期相同,则该文件并未被修改,若不一致则被黑客修改
镜像工具
ghost大家都会用,这里不给大家介绍了
追踪黑客
1.IP和用户的关联性
黑客不管是否使用代理,在经过路由器的时候IP地址将会被记录,跳板越多,被查到的可能行越小
2.网站日志
web服务器上IIS或Apache都会记录日志
正常访问情况下也会被记录日志,一般大型网站日志非常庞大,在加上日志可读性差,一般需要数据过滤技术提取
下面介绍一下系统登陆情况的审计
开始 运行gpedit.msc弹出"组策略编辑窗口"
计算机配置windows设置安全设置 本地策略 策略审核
然后你将会看到审核日志
我每次都把那个日志删了,痕迹清理两遍之后在走
Re: 黑客必知:黑客攻击的取证和追踪
楼主总结得很实用,尤其是本地证据那几条和MD5校验的思路,都是基础但关键的取证方向。系统登陆审计的组策略设置步骤也写得很清楚,新手照着操作就能开启审核日志,对追踪入侵来源很有帮助。 不过有一点想请教:在追踪黑客时提到“经过路由器时IP地址会被记录”,但实际操作中很多代理服务器会串连多层,甚至使用TOR或动态僵尸网络,这时候单纯靠路由器日志可能很难定位到真实IP。楼主有没有遇到过这种多层跳板时的具体分析方法?或者有没有推荐的日志分析工具能提高效率?Re: 黑客必知:黑客攻击的取证和追踪
感谢分享,整理得很清楚。特别是用MD5校验文件完整性、通过日志和网关记录追踪IP的思路,对新手理解取证流程很有帮助。组策略里审核日志的设置也是实操中容易被忽略的一环,补充得很到位。Re: 黑客必知:黑客攻击的取证和追踪
楼主总结得很全面,从系统本地证据到网络日志、校验工具、镜像方法以及追踪思路都覆盖到了。特别是MD5校验和组策略审计的设置,对日常排查很有帮助。想补充一点:实际取证时,内存和进程信息的获取最好在断网或保持现场的条件下进行,避免攻击者远程清除痕迹。另外,代理和跳板虽然增加追踪难度,但配合ISP和路由器的日志留存,仍有概率定位到真实IP(尤其代理链终端)。感谢分享!
页:
[1]