危险漫步博客
新鲜的“黑客思维”就是从全新的角度看待黑客技术,从更高的层面去思考;专注于黑客精神及技术交流分享的独立博客。
文章2289 浏览18790866

在被“取证之前”之前

其实很早以前危险漫步就想写篇关于我们同道之人在入侵检测的整个过程中要特别注意自身安全的稿子,可惜总未能如愿。好几次在电视上看到“黑客X某被抓获”之类的新闻,其中必然会有JC封检计算机以便日后取证的画面,甚至有时还会看到有我们非常熟悉的杂志摆在旁边,让人有一种说不上来的感觉。那年2月21日,CCTV的“焦点访谈”播放的是“网络扫‘黑’保安全”,大家可以百度这个题目或直接到中国网络电视台处观看一下。相信我们也都比较熟悉计算机犯罪的相关条例,都不想在某个凌晨被……那么,除了在平时的入侵检测中务必要把握住自己之外(比如不恶意删除资料、不篡改网站首页、不挂马、要在发现漏洞之后及时通知对方等),保护好自己的私人信息也是极为重要的,千万不能把“尾巴”留在了对方服务器的日志上。另外,在自己电脑上的N多“疑似”黑客操作痕迹也一定要处理好,别被人家一窝端地取了证,那就悲剧了。

上网查了一下关于“计算机取证”,其“百度名片”上是这样描述的:  “计算机取证( ComputerForenslcs)在打击计算机和网络犯罪中作用十分关锭,它的目的是要将犯罪者留在计算机中的‘痕迹’作为有效的诉讼证据提供给法庭,以便将犯罪嫌疑人绳之以法。”说白了其实就是获取、保存、分析和出示可信的入侵证据,其首要原则就是要尽早搜集,所以人家会在第一时间就搬走作案的计算机工具(主要是其中的硬盘)。比较专业的计算机取证工具有ENCASE、X-Ways Capture、FTK和Helix等,有机会大家可以研究一下,其实我们也可以来试一下比较民间的绿色小工具,在自己的电脑上查查自己到底有多暴露!

 一、“安全保密检查工具”

“安全保密检查工具”是由KernelSword针对目前安全行业的需要而针对性开发的一套功能齐全的检查工具。解压缩之后双击其中的“PCScan.exe”即可运行程序,共有“非法外联检查”、“涉密隐患检查”、“违规接入检查”、“文件信息检查”、“规避行为检查”和“系统基本检查”六大功能模块,其中又包括像是“URL记录”、“Cookies记录”、“深度上网检查”和“远程桌面检查”、“端口分析”、“开关机记录”、“U盘使用记录”等四十多项子功能模块。直接点击左上角的“一键检查”按钮,然后根据提示选择模块,一般默认全选,点击“确定”按钮即可开始扫描检查。

经过一段时间的等待,我们就可以点击各选项卡查看相关的记录了,比如“违规接入检查”下的“U盘使用记录”项,名称、硬件的ID、第一次和最后一次使用时间都显示出来了。当所有的检查结束之后,我们还可以点击“生成报告”按钮,填入“被检查单位”和“被检查计算机类型”等信息之后再点击“确定”按钮,很快就会生成一份“涉密计算机系统检查报告”;最后点击“保存报告”按钮将它以.html网页格式保存成文件,竟然有20多MB,信息可谓非常丰富!

二、“RG涉密信息自检查工具”

“RG涉密信息自检查工具”能够准确全面地检查出计算机存在的违规行为,据说“即使重新安装操作系统或格式化硬盘后仍可再现”,双击其中的“EvidenceToolkit.exe”即可运行程序,包括七大模块,分别是“系统运行痕迹”、“电脑外联痕迹”、“上网行为痕迹”、“URL缓存痕迹”、“文档处理痕迹”、“USB设备痕迹”和“删除文件检索”,各模块之下又细分为像“经常执行的程序”、“无线网络痕迹”、“Cookie文件”等二十多个子功能模块。使用起来也非常简单,先直接选中某模块,然后再点击“检查痕迹”按钮,最后就可以通过点击相关的选项卡进行各种记录的查询了。比如“系统运行痕迹”中的“应用程序缓存”,显示出了若干应用程序的路径及描述等详细信息。

三、使用360安全卫士的“清理”之后再进行试查

从“清理垃圾”到“清理痕迹”都运行完了之后,我们再来看一下“安全保密检查工具”和“RG涉密信息自检查工具”的检查结果。前者查到的“上网记录”仍有许多记录,包括若干的Cookie缓存记录:后者查到的“经常执行的文件/快捷方式”也有几百条之多(如图5),从最后执行时间和次数到执行项目和路径,都非常详细。

由此看来,如果不是360清理不彻底原因的话,那就是这两个小工具太牛13了,当然更不用提像是EnCase Forensic之类的旗舰级电脑犯罪鉴识软件了。

四、试试“葱头代理获取器”

当然,其实这仅只是冰山一角,因为在我们的入侵检测过程中还有另外一半的“尾巴”是留在了“肉鸡”服务器上,比如你的登录IP。如果说我们本地的计算机可以通过使用像是影子系统、虚拟机、沙盒等不留操作过程痕迹的话(或者再加上各种清理和N多次的反复擦除),那么我们如何来避免在远程的“被取证”呢?说到底,这无非就是一个IP隐藏的问题,或者说是借别人的IP进行代理跳板。之前试用过几个免费VPN软件觉得还不错,也能实现IP隐藏的目标,但最近貌似找不到好用的免费VPN了。由于我们一般都是通过浏览器操作进入WebShell,因此使用代理服务器的效果也很好;不过在试了若干个代理之后也不太满意,后来找到了“葱头代理获取器”。双击其中的“LoadProxy.exe”,先点击“控制界面”选项卡下的第一项”获取代理”按钮,开始连接服务器;然后会提示我们“代理获取结束,已成功获取2301个”的成功信息,并且询问我们是否要解析代理服务器的归属地区,点击“是”,此时360木马防火墙之类的安全软件会提示注册表项被修改,其实这是修改了浏览器的“使用IE代理设置”项,放行即可。双击选择某个代理(比如222.124.21.18),是印度尼西亚的,8080端口;再到浏览器中查一下本机的IP,OK,已经是跑到印尼了。现在登录你之前拿下的管理后台或WebShell就很安全了,因为你已经不是你了,呵呵。最后危险漫步祝大家玩儿黑高兴,安全玩儿黑!

相关推荐