服務器痕跡提取的方法研究

孫 亮，楊開開

（南通市公安局，江蘇 南通 226006）

服務器痕跡提取的方法研究

孫 亮，楊開開

（南通市公安局，江蘇 南通 226006）

隨著網絡技術的不斷發(fā)展，網絡技術已經應用于人們生活的方方面面，同時網絡犯罪也應運而生?，F如今，日益猖獗的計算機犯罪發(fā)展態(tài)勢和計算機犯罪取證難的矛盾是當前公安機關迫切需要解決的問題。面對這樣的矛盾，必須使用有效、高效的方法和優(yōu)秀的計算機取證工具。文章針對這個需求展開了研究。

電子數據取證；后門排查；服務器

隨著科技的高速發(fā)展，計算機帶給人們極大的效率和便利，已成為人們生活中不可缺少的一部分，人們使用計算機時難免會留下蛛絲馬跡。再加上以計算機為平臺的各種信息系統(tǒng)、應用軟件和外部設備的不斷增加，這些軟、硬件的使用痕跡越來越多。所有的計算機用戶的正常行為和惡意行為，都會反映到記錄數據中，不論是正常行為還是異常行為，都會留下一條或多條記錄。

當前，計算機作為一種先進的生產力工具，在社會生活領域產生了一種新形態(tài)的犯罪—計算機犯罪，其中包括網絡黑客入侵，未經他人允許非法操作他人計算機等。計算機犯罪也是一種查證率極高的高技術犯罪，如何保證計算機安全和非法操作計算機的取證保存和分析成為需要迫切解決的問題，而通過計算機分析和取證系統(tǒng)提取有用信息是一種有效的手段。

1 服務器痕跡的定義及特點

計算機服務器生成痕跡是全部由計算機等電子設備自動生成的痕跡，這些痕跡完全是由計算機等電子設備的內部命令執(zhí)行運行的，而電子設備的存儲痕跡則是由人為輸入電子信息生成的痕跡，電子設備得到輸入的信息后根據其內部的命令運行所生成的痕跡，兩者的區(qū)別在于有無加入人為的主觀意志。

依照計算機等電子設備自身的結構特征及工作運行的原理，在設備上進行操作處理需要設備自身的系統(tǒng)和內部軟件一起配合運行完成的，在處理此信息中，用戶自主訪問的控制下，用戶只有通過驗證身份才能獲得讀取的權限，包括對目錄文件、IPC等進行讀取，執(zhí)行命令或刪除。當然這些操作會在系統(tǒng)文件、設備存儲、注冊表中留下操作的相關記錄，這些操作記錄雖然不能直接證明此操作用戶的操作目的，但是能夠從這些記錄信息中提取分析與此操作用戶相關的行為信息，這些提取的信息對幫助警方對案件進行信息采集、數據樣本查看以及恢復數據都有重要的作用和意義。

2 掌握服務器情況下的痕跡提取的方法

2.1 日志提取

（1）數據庫日志提取。數據庫包括MySQL數據庫、MSSQL數據庫、Oracle數據庫等，查閱不同的數據庫日志。

（2）系統(tǒng)日志提取。操作系統(tǒng)分為Windows操作系統(tǒng)和Linux操作系統(tǒng)，針對不同的操作系統(tǒng)進行日志查看和分析。

（3）用戶登錄日志提取。包含Windows系統(tǒng)登錄日志的查看和分析，Linux用戶的登錄日志和用戶的Finger信息。

（4）Web訪問日志的提取。Web服務器包括Apache，Ngnix，IIS等各種類型，不同的Web服務器采用不同的方式提取Web訪問日志。

（5）FTP/VPN/MAIL服務訪問日志提取。如圖1所示，微軟的IIS提供了FTP服務、遠程路由訪問提供了VPN服務、第三方FTP軟件如ServU服務、Linux下的Wu-ftp，vsftp等服務，均可獲取日志。

圖1 第三方軟件查閱服務日志

2.2 后門排查

后門排查包括：（1）使用Webshell掃描工具進行Web目錄下的Webshell排查；（2）使用系統(tǒng)木馬查殺軟件掃描服務器，提取痕跡樣本進行分析；（3）使用內核后門掃描軟件掃描服務器，提取痕跡樣本進行分析，主要針對Linux操作系統(tǒng)。

2.3 通訊異常

通訊異常是敏感數據外流的依據。當服務器出現通訊異?，F象時，對服務器進行旁路鏡像抓包，分析異常的通訊數據流量，主要用于分析木馬通訊，追蹤木馬來源的IP地址。

2.4 數據恢復

對服務器存儲設備進行專業(yè)級數據恢復，可以對被刪除的日志、重要電子物證進行恢復和分析。

如圖2所示，在計算機中硬盤儲存數據的基本單位是扇區(qū)，當進行數據恢復時先對硬盤進行分區(qū)，并在第一個扇區(qū)中標注硬盤的分區(qū)大小、數量和起始位置等信息，當這些標注的信息因硬盤損壞、病毒入侵或者操作失誤等原因遭到破壞或損毀消除時，分區(qū)數據信息就會部分或全部丟失?？梢岳脭祿畔⒌奶攸c，重新計算出分區(qū)的位置和大小，手動標出分區(qū)信息，這樣丟失的分區(qū)數據就會恢復。

圖2 數據恢復

2.5 備份比對

如果存在備份服務器，可以將備份服務器數據與正在使用的服務器數據進行比對，如圖3所示，找出被修改的文件。針對Web文件的對比，可以發(fā)現Web后門和被惡篡改的邏輯，并進行修正。針對日志文件的對比，可以恢復重要的日志記錄。

圖3 數據備份

2.6 蜜罐取證

蜜罐取證方式是設計成專門被攻擊、掃描和入侵的網絡資源，是一種包含系統(tǒng)漏洞的安全資源。在系統(tǒng)被攻擊或探測后對這些行為進行檢測和分析，從而收集電子證據，并且此方式能夠將真實的服務器IP地址進行隱藏。蜜罐能夠起到發(fā)現、預警、追蹤、記錄等作用，必要的時候可以利用此方式收集記錄的信息證據警告或起訴入侵者。

（1）針對Web服務器，可以修改入侵者預留的后門代碼，記錄目標的訪問的IP地址和瀏覽器信息；（2）針對Web后臺功能，可以修改代碼，記錄目標訪問的IP地址和瀏覽器信息；（3）針對FTP等服務，可以使用“虛假服務器”記錄目標行為；（4）構造虛假的且“有價值”目標，例如數據庫、文件服務器等吸引入侵者上鉤。

2.7 內部人員排查

排查內部工作人員，查找內鬼，這是最傳統(tǒng)的方式，非技術范疇。

3 結語

本文研究了在掌握服務器情況下進行痕跡提取的方法，包括日志提取、后門排查、通訊異常、數據恢復、備份比對、蜜罐取證、傳統(tǒng)方式內部排查，每種方法還需根據實際情況進行靈活運行。只有通過靈活部署不同的服務器痕跡提取方式，服務器被操作過的痕跡必將顯現出來。

[1]徐仙偉.存儲原理與數據恢復講義[D].南京：南京森林警察學院，2012.

[2]湯艷君.電子取證檢驗與分析[M].北京：清華大學出版社，2014.

[3]賈鐵軍.網絡安全技術及應用[M].北京：機械工業(yè)出版社，2013.

Research on the method of server trace extraction

Sun Liang, Yang Kaikai
（Nantong Municipal Public Security Bureau, Nantong 226006, China）

With the continuous development of network technology, network technology has been applied to all aspects of people’s lives, at the same time, the network crime has emerged along with this. Nowadays, the contradiction between the development trend of the increasingly rampant computer crime and computer crime forensics difficult is an urgent need to address the issue of public security organs. Faced with this contradiction, it is necessary to take efficient methods and excellent computer forensics tools to solve this problem. This article aims at the needs to carry out research.

electronic data forensics; back door investigation; server

孫亮（1978— ），男，江蘇南通，碩士，助理工程師；研究方向：Web安全。