ggppss2004

玄天邪帝

正式会员

守望者

贴子 254

精华 0

积分 154

信用 0

竞猜 0

魅力 53

威望 0

现金 522 CZB

银行 0 CZB

黄金 0

比特币 0

注册时间 2007-09-01

发表于:2007-09-07 13:09:31   |  显示全部帖子   |  本帖随机奖励楼主:0 CZB   |  转账至  ggppss2004

黑客与网警的较量(转)

作为一名信息安全爱好者,经常在网上见到某某黑客攻击某某网站被抓,真的令我很痛心,所以今天就写一篇有关网警与黑客的文章。希望能够让各位朋友知道网警是利用哪些技术抓黑客的,以及在以后入侵的时候要注意的地方。
目前网警抓黑客的主要技术是计算机取证技术,又称为数字取证或电子取证。它是一门计算机科学与法学的交叉科学,是对计算机犯罪的证据进行获取、保存、分析和出示的一个过程。而黑客与网警较量的技术自然就叫计算机反取证技术,即删除或者隐藏证据从而使网警的取证工作无效。
本文着重讲解怎么去进行反取证。俗话说的好“知己知彼,百战百胜”,因此了解一下网警是怎么取证的,用到哪些技术及工具,然后有针对性的去进行反取证,这些都是非常必要的,只有这样我们才能够在与网警之间的较量中占有更大的优势。

网警

从上面我们知道,网警的主要技术是取证,下面我们就来了解一下什么是取证技术。一般看刑警电视剧比较多的人都知道,发生了什么案子首先是封锁和保护现场,不让任何人破坏现场,然后就是给现场做技术鉴定,使用各种手段尽量还原当时案发现场的情况并寻找凶手留下来的信息(比如指纹、凶器等等)。
而网警破案的第一步也是封锁现场,让调查人员来到计算机犯罪现场或入侵现场,寻找并扣留相关的计算机硬件。这一步在计算机取证上也叫物理证据获取,一般网警在这一步做的主要事情是:保护寄存器、数据文件、交换区、隐藏文件、空闲磁盘空间、打印机缓存、网络数据区、用户进程存储区、堆栈、日志、缓冲区、文件系统中的数据不被破坏和修改。还有就是获取内存和硬盘中的数据,顺序为先内存后硬盘,因为内存为易灭失数据而硬盘为相对稳定数据。对内存数据的获取主要用内存检查命令和内存数据分析工具(如内存数据分析编辑器)来实现,而硬盘数据的获取也是通过专门的工具(如“美亚网警”多功能硬盘克隆机)对硬盘进行逐扇区的读取,将硬盘数据完整地克隆出来;第二步是就是对保护和提取的数据进行分析,它的范围包括现存的正常文件、已经删除但没有被新文件覆盖的文件、隐藏文件、受到密码保护的文件及加密文件等等。
分析数据常用的手段有:
1.用搜索工具搜索所有的逻辑文件Slack磁盘空间、自由空间、未分配的空间中所有特定的数据。打个比方说:在上午10点的时候发生了入侵事件,那么在使用搜索工具时肯定是首先搜索记录时间为10点左右的文件
2.由于黑客在入侵时会删除数据,所以我们还要用数据恢复工具对没有覆盖的文件进行恢复
3.对系统中所有加密的文件进行解密
4.用MD5对原始证据上的数据进行摘要,然后把原始证据和摘要信息保存。
上面的就是网警在取证时所要进行技术处理的地方,然后根据分析的结果(如IP地址等等)来抓人。

下面介绍一些网警在取证时常用到的专业软件,对此方向感兴趣的朋友可以到网上去下载。
文件浏览器:专门用来查看数据文件的阅读工具,只可以查看但没有编辑和恢复功能,可以防止数据的破坏,Quick View Plus是其中的代表。
图片检查工具:ThumbsPlus是一个可以对图片进行全面检查的工具。
反删除工具:Easy Undelete是一款Windows下强大的数据恢复和反删除软件。
文本搜索工具:dtSearch是一个很好的用于文本搜索的工具。
驱动器映像程序:就是拷贝和建立驱动器的映像,可以满足取证分析的磁盘映像软件,包括:SafeBack SnapBack Ghost等等。
Forensic Toolkit:是一系列基于命令行的工具,可以帮助推断Windows NT文件系统中的访问行为。
EnCase:主要功能有数据浏览、搜索、磁盘浏览、数据预览、建立案例、建立数据、 保存案例等。
CRCMD5:可以验证一个或者多个文件内容的CRC工具。
DiskScrub:一个可以清除硬盘驱动器中所有数据的工具。
DiskSig:用于验证映像备份的精确性。
FileList:一个磁盘目录工具,用来建立用户在系统上的行为时间表。
GetSlack:一个周围环境数据收集工具,用于捕获未分配的数据。
GetTime:一个周围环境数据收集工具,用于捕获分散的文件。
Net Threat Analyzer:网络取证分析软件,用于识别公司账号滥用。
NTI-DOC:一个文件程序,用于记录文件的日期、时间以及属性。
PTable:用于分析及证明硬盘驱动器分区的工具。
Seized:用于对证据计算机上锁及保护的程序
ShowFL:用于分析文件输出清单的程序。
TextSearch Plus:用来定位文本或者图形软件中的字符串的工具。

黑客


通过上面的学习,相信大家对网警的取证工作都有一定的了解了吧。取证的最终的目的就是要从海量的数据中提取出黑客入侵后留下来的证据;作为黑客的反取证而言,就是要想尽一切办法阻止网警进行取证。目前比较有效的反取证技术有:数据擦除、数据隐藏。
数据擦除就是清除所有可能的证据,这样取证就无法进行了,这是最有效的反取证方法。数据隐藏就是将暂时还不能被删除的文件伪装成其他类型或者将隐藏在图形文件中,还可以隐藏在磁盘上的Slack、交换空间等等,目的是让别人永远也找不到有用信息,这些都被称为数据隐藏。
1.数据擦除:很多朋友入侵在入侵之后把日志文件删除了以为就万事大吉,其实这远远不够。如果用手工删除那几乎是等于没有删除,因为系统删除文件之后它在硬盘上的数据并没有覆盖,只要用一些数据恢复软件就可以把原来的数据还原。用工具删除还比较好,至少它会对硬盘进行反复的读写操作,但是一般至少要进行7次以上的反复覆盖才能够把数据完全删除,不然还会留下一些碎片文件。这里推荐一款Windows下优秀的删除工具:WYWZ,据说是采用美国国防部的标准。


本人建议擦除标准为7次以上,这样就很难留下痕迹了。日志文件是取证中一个最重要的工作,但这只是取证的一部分,所以删除日志文件还是远远不够的。从上面我们知道网警要在哪些地方取证,所以利用工具还要进一步擦除,比如内存、缓冲区、硬盘中的数据,还有CPU中Cache中的数据等等。
2.数据隐藏:常用的数据隐藏技术有数据加密、更改文件后缀名、隐写术等等。学过密码学的朋友都知道密码学上有两条原则:一是如果破解密码所花的代价超过了密码本身的价值那么就放弃;二是如果破解密码所花的时间超过了密码的有效期也放弃。所以我们在对数据加密的时候最好符合上面的两条原则,啫哩可以利用多种加密算法对数据加密,而且密码尽量要长一些,让网警在短时间内无法破解甚至根本无法破解出来。
隐写术说的通俗一点就是把一些证据隐写在正常文件下,从而躲过网警的数据分析。比如我要把文件“黑客与网警的较量.doc”隐藏在“我的相片.bmp”中。


然后利用DOS中的Copy命令将两个文件合成并生成haha.bmp。


打开看看并比较两张图片的大小。


与图2比较是不是发现haha.bmp大了一点点呢,大出来的就是我们“黑客与网警的较量.doc”的大小,这样就起到了一个隐藏的效果。一般隐写术是和数据加密结合起来用的,首先用对数据进行加密,然后在用隐写术将加密后的数据隐藏,这样就大大增加了取证的难度。 比较知名的隐写术工具有:
1.StealthDisk:能够隐藏计算机中所有的文件和文件夹,同时删除所有在线Internet的访问记录。
2.Cloak:一个非常好的隐写术软件,能读文件进行加密并将其隐藏在位图文件。
3.Invisible Secrets:一个数据隐藏工具,能将数据隐藏在JPEG PNG BMP HTML和WAV中。


                 实战

通过上面的学习,各位应该对网警的取证和黑客的反取证都有了一个大致的了解吧。前文已经说过本文的重点在黑客的反取证,所以下面就通过一个完整的模拟攻击过程来说明在攻防中所要注意的问题,以逃避网警的取证。入侵的过程大致为:踩点→入侵→清脚印。

踩点:这个时候主要注意的问题是IP地址有没有暴露,要是出现了“出师未捷身先死”的情况可就不好了。这里首先要纠正很多拨号及ADSL上网的朋友在攻防实验中一个不好的习惯,我们知道这些上网用户采用的是动态IP,在上网时拨通ISP(网络服务提供商)的主机后,自动获得一个动态IP地址,很多朋友以为这个IP地址是随便分给你的,所以在入侵的时候并没有隐藏IP,其实没有这么简单。这些IP地址不是任意的,而是该ISP申请
的网络ID与主机的ID的合法区间中的某个地址。这些用户任意两次连接时的IP地址很可能不同,但在每次连接的时间内的IP地址是不变的。所以网警要追查动态IP的情况,只要通过网络运营商的认证系统,找到与之捆绑的账户,就可以确定上网者。所以动态IP也和静态IP一样,是可以轻易找到上网者的。这是因为法律规定,为了保护计算机信息的安全,网络运营商 Interent服务机构,其IP地址等信息必须在公安机关公共信息网络勘察部门备案。7期的那篇小说,可算是把这种查找IP的方法发扬光大了。
在入侵时最重要就是隐藏好自己的IP地址,一般的方法是利用跳板(肉鸡)来进行入侵,最后把留在肉鸡上的日志删除,然后离开。对于没有肉鸡的朋友可以利用代理服务器来隐藏自己的IP地址,建议最好利用国外的代理服务器。上面两种都是比较常用的方法,可以满足一般的要求,而如果对方不惜一切代价要查你的话,那是肯定可以查到的。这是因为我们上网的所有信息其实在路由器上都有记录,所以查询路由器的信息就可以很快确定出入侵者的IP地址,真正的高手不仅会用到上面两种方法,同时他在入侵服务器之前,也会把他所要入侵的服务器之间的一些路由器干掉,在删除肉鸡的日志同时还会把路由器上的所有信息删除。就算对方把整个网络监控了也没有办法,即使利用IDS也很难查到你的IP地址,所以路由器的入侵在这里扮演了很重要的惧色,控制了对方的路由器就等于控制了对方的网络,剩下的只有任人宰割。对于有条件的朋友可以把三者结合起来,以保证自己的最大安全。

入侵:这个过程主要注意的问题是:不要被IDS或类似的软件发现有人入侵,至于利用什么技术什么入侵不是今天的重点,就不详细谈论了。

  清脚印:首先把所有日志文件删除,注意一定要用工具对原来日志文件进行反复覆盖,然后利用内存删除工具把内存数据删除,还有CPU的Cache中的数据及缓冲区也要做相同处理。接下来就是硬盘上的数据了,一般的删除工具会把扇区上的文件的都删除,特别需要注意的地方就是扇区之间的磁盘空间,这个地方一般存在很多碎片文件。还有如果控制了对方的路由器的话,上面的任何数据也要删除。以上所说的删除文件是指利用专门的删除工具对文件进行多次覆写操作;对于不能够删除的数据,首先把文件的后缀改掉,然后用数据加密软件对数据进行多次加密,且每次所用到的加密算法应该是不一样的;再利用隐写术对文件隐藏。
  
  以上就是一个入侵过程中需要重点注意的问题,虽然上面是一个反取证的过程,但是我想对于研究取证也是很有好处的,只有知道攻才知道怎么去防。在网络上,网警和黑客是对立较量的,但是从技术角度来讲他们又是统一的。这篇文章也不是教黑客怎么去对付网警,只是一个技术的交流过程。我想技术本身并没有对错正邪之分,一切都在于人心的作用。
我的地盘我做主!!!
楼主
编辑   |    引用    回帖
关闭    高亮    置顶   |    移动    回收站   |    -6删主题    删主题    |   
ggppss2004

玄天邪帝

正式会员

守望者

贴子 254

精华 0

积分 154

信用 0

竞猜 0

魅力 53

威望 0

现金 522 CZB

银行 0 CZB

黄金 0

比特币 0

注册时间 2007-09-01

发表于:2007-09-07 14:09:33   |  显示全部帖子   |  转账至  ggppss2004
谢谢斑竹的支持!!!!
有几篇都是老帖,不过多数都是原创!!!
以后有时间我会写些新的东西来和大家分享的!!!
我的地盘我做主!!!
沙发
编辑   |    引用    回帖
关闭    高亮    置顶   |    移动    回收站   |    -6删帖    删帖    |