联机的Linux的系统分析（第一部分）（第一版）

联机的Linux的系统分析（第一部分）（第一版）

======================================================================

-----原著:Mariusz Burdach

翻译:西安邮电学院电科0101 徐兆元   02985384887

译文版权: 徐兆元 西安邮电学院156# FLxyzsby@163.com/FLxyzsby@yahoo.com.cn

2004.8.15

转载请通知

======================================================================

1.绪论

 在对一些情况的处理中,我们经常会遇到这样的情况:一个危及安全的系统没有被用户或管理者很好的清除.这是一个很好的机会去得到很有用的即使在漏洞被清除后也无法挽回的信息.

我会谈及以下这些概念:

正在运行的进程,

开放TCP/UDO端口,

被删除的程序镜象但仍在主存中运行的程序,

已建立的连接和被载入部分Linux系统内核的虚拟内存的模块.

所有以上的数据都可以帮助分析人员在离线的情况下找到确切的证据(入侵证据).此外,如果

当一个侵入事件仍在更新中,我们可以恢复几乎所以的被入侵者利用的数据.

有时这里描述的连接过程是能获得入侵所需要的数据的唯一途径,因为特定类型的恶意代码.

比如基于rootkits工具的LKM,是只有被加载到内存并且它不会改变任何文件或目录.一个相似的过程也存在于Windows视窗操作系统中----红色代码蠕虫是一很好的例子,这个恶意代码不被保存为任何一个文件但可以插入目录之中,然后它会从内存中运行.

另一方面,以下所用的方法也有严重的局限性并且对于数字分析它违反了信息收集的第一要务----一个并不能轻松完成的必要条件.这就是:所有的用户和内核级工具在收集数据时候会很自然地改变系统的状态.在联机的系统上运行任何的工具,我们在将它们加载到内存和系统为它们建立至少一个进程时候可能覆盖非常明显的入侵证据.在建立一个新的进程时,操作的内存管理器在主存中为它分配空间的时候的可能会覆盖其他未被分配到的数据空间,这在主存和交换分区都会发生.其他的问题发生在我们准备进行法律上的行动并且需要按照当地法律去做的时候.在主存的镜象中发现的数字签名是不可信的,因为它们可以用我们获得的工具伪造.所以在进行任何行动之前我们要决定是否需要在这个非安全系统上收集信息(译者注:你的收集可能是徒劳的,因为你可能不能确定入侵者的身份).我们非常值去了解这些.在主存中镜象中我们可以发现密码和明文文件.利用/proc伪造文件系统我们可以恢复已经被删除了的但仍然在内存中分配了内存的程序.

在一个理想的环境下,我们可以设想一个硬件基于Intel框架的计算机允许我们在没有操作系

统的情况下转储个内存到一个外部存储设备中.其实这一个解决方案已经存在在Sparc(译者注:Sparc是SUN公司的工作站系统)机器上,在这个系统上我们可以用固件来启动系统而进行整个物理存储器的转储.可不幸的是,没有类似的解决方案存在于硬件基于Intel和AMD的计算机上.尽管有上面的问题,基于软件的方法对法律意图还是有利的,我将把这些有利条件在文章中展示出来.本问的主要目的是介绍一种在证据收集过程中使用的方法.所有收集到的数据将被用于后面的离线法定分析.在整个收集周期中,一些提出的任务也被在准备和鉴定阶段完成---这是六个过程其中的两个被定义为"逐步事件处理"的两个过程,此方法由SANS学会发明.

2.定性分析

  本部分分为四个相互关联的小节:

  ●2.1 环境配置

  ●2.2 准备分析工具包

  ●2.3 从联机系统上收集数据---逐步过程

  ●2.4 原始数据分析和关键字查找

  2.1,2.2,2.3三部分将在这一篇文章中讨论,余下的过程和离线分析过程在下一篇中讨论.

2.1 环境配置

    在从系统中收集数据之前我们必须将自己的东西配置到系统环境中.首先我们必须运行一个网络嗅觉器(sniffer),它可以监视非安全系统网络的信息输入输出传递情况.这个操作是必须的.通过这种实时信息记录和分析,我们可以删除一定类型的恶意活动.tcpdump是一种极其卓越的工具来实现这种操作.我的建议是用原始的方式去记录数据包,因为其性能可能引起

其它的结果.

在非安全系统进行任何活动之前我们应该建立一个收集数据过程的列表.在本问的第三部分你可以看到一个关于此的实例.这个过程可以消除任何在我们进行分析时的要犯的错误.我们也必须在每个步骤完成之后进行一次总结以确定我们没有什么错误发生.文挡很重要,他可以让我们决定是否要将我们的结果带到法院去(注:对入侵者进行起诉).

下一步是在数据收集阶段记录命令的结果.我们将连接一台目标主机到本地网络上,并且这台

目标主机必须正在接受非安全主机信息.请紧记,我们不能在非安全系统上进行任何写操作.在非安全系统上进行数据记录的话会删除入侵的信息.为了避免以上的这些影响我们必须将我们的数据发送到一个远程的目标主机.这在分析过程中是一个饿非常重要的规则.需要再重复一次的是,象先前提及的这个要求其实是不容易做到的.

如果我们还没有得到存储在可移动存储设备上的可用的分析工具包,则现在是你为我们非安全系统准备这些工具的好机会.当利用这些工具包里的工具收集重要信息的时候,请根据工具分析结构的可靠信的从底到和高的顺序开始.

以下的方法向你展示如何为我们的工具准备外部存储设备.

2.2 准备分析工具包

   在进行数据收集时请记住我们必须做到以下要求:

   ●尽量不要在非安全系统上运行程序.为什么?因为入侵者可以修改系统命令(如netstat) 

     或系统库文件(如libproc),导致这些命令的结果不可靠.为了达到这个要点我们可以准 

     备静态编译版本的工具.

   ●尽量不要运行那些会修改文件和目录的程序

   ●所以的分析结果必须写到远程主机中.为了达到这个要求我们将远程主机当作我们的目标主机.我们将利用netcat工具来传送数据.

   ●你必须利用工具计算数据的hash值.这是一种确保我们的数据没有被改变过的方法.一个很好的做法是:为了确保数据没有被改变并且被恰当地保存在目标主机上,我们可以比较源文件和目标文件的hash值是否一致.有时在非安全主机上是计算hash值是可行的-----一个很好的例子是在内存中.当我们在/dev/mem设备中用md5sum两次的话,每次的hash值都不同. 这是因为我们每次在将程序加载到内存中（建立一个需要内存的进程）都会改变存储器的状态.在我们收集的过程中我们要立即计算hash值,当收集完成后.如果可能,这个过程最好在源主机和目标主机都进行.为了维护结果的完整性我们将使用md5sum工具

●     其实,确保我们的工具不会在非安全系统的主存和交换分区中进行写操作在一些步骤中是不可实现.这些将会在2.3节中详细讨论.现在,我们要确保我们已经有了合适的的工具存储在可移动设备上,工具列表如下(表1):

表 1: 分析所需要的工具(必须存储在可移动设备上).

程序名

来源 和 相关配置

  1  

nc

http://www.atstake.com/research/tools/network_utilities/nc110.tgz
How to build: $tar zxvf nc110.tgz; make linux
How to verify: file nc or ldd nc

2

dd

http://www.gnu.org/software/fileutils/fileutils.html
(added to core utilities)

3

datecat

http://www.gnu.org/software/coreutils/
How to build: $ tar zxvf coreutils-5.0.tar.gz; configure CC="gcc -static", make
How to verify: file date cat or ldd date cat

4

[1] [2] [3]  下一页

Copyright ＠ 2007-2012 敏韬网(敏而好学，文韬武略--MinTao.Net)（学习笔记） Inc All Rights Reserved.
闵涛 E_mail:admin@mintao.net(欢迎提供学习资源)

鄂公网安备 42011102001154号

站长：MinTao ICP备案号：鄂ICP备11006601号-18