如何抓住******Windows系统

devil20

相对安全环境的取得可以通过不断地完善系统程序（及时给系统漏洞打上不同的补丁和给系统升级）、装上防火墙，同时对那些胆敢在网络上破坏秩序做出不义行为的人给予恰如其分的处理。这必然要牵涉到证据的收集，本文正是对这一方面的内容针对Windows系统进行研究。

Windows系统的应用范围几乎是最为广泛的，随着计算机的发展，Windows系统也随之进化着，但是***Windows的行为而随之产生了，不仅如此，随着网络的不断扩大，网络安全更加会成为人们的一个焦点，同时也成为是否能进一步投入到更深更广领域的一个基石。当然网络的安全也是一个动态的概念，世界上没有绝对安全的网络，只有相对安全的网络。

Windows系统特性

Windows操作系统维护三个相互独立的日志文件：系统日志、应用程序日志、安全日志。

1.系统日志

系统日志记录系统进程和设备驱动程序的活动。它审核的系统事件包括启动失败的设备驱动程序、硬件错误、重复的IP地址，以及服务的启动、暂停和停止。系统日志包含由系统组件记录的事情。例如在系统日志中记录启动期间要加载的驱动程序或其他系统组件的故障。由系统组件记录的事件类型是预先确定的。系统日志还包括了系统组件出现的问题，比如启动时某个驱动程序加载失败等。

2.应用程序日志

应用程序日志包括关于用户程序和商业通用应用程序的运行方面的错误活动，它审核的应用程序事件包括所有错误或应用程序需要报告的信息。应用程序日志可以包括性能监视审核的事件以及由应用程序或一般程序记录的事件，比如失败登录的次数、硬盘使用的情况和其它重要的指针；比如数据库程序用应用程序日志来记录文件错误；比如开发人员决定所要记录的事件。

3.安全日志

安全日志通常是在应急响应调查阶段最有用的日志。调查员必须仔细浏览和过滤这些日志的输出，以识别它们包含的证据。安全日志主要用于管理员记载用户登录上网的情况。在安全日志中可以找到它使用的系统审核和安全处理。它审核的安全事件包括用户特权的变化、文件和目录访问、打印以及系统登录和注销。安全日志可以记录诸如有效的登录尝试等安全事件以及与资源使用有关的事件，例如创建、打开或删除应用文件。管理员可以指定在安全日志中记录的事件。例如如果你启用了登录审核，那么系统登录尝试就记录在安全日志中。

“隐形”证据的查找

由于***者的诡密性日益提高，他们还使用隐蔽信道的方法躲避检测。我们将隐蔽信道定义为所有秘密的、隐藏的、难以检测的通信方式。所有与此相关的证据称为“隐形”证据。

1.难以检测、回放的行为

所捕捉或被监视到的，但是还需要进行进一步详细检查才能识别出的那些未经授权的流量。这些行为包括诸如Loki 2.0 HTTP命令信道和邮件隧道效应等ICMP和UDP隐蔽信道。查找办法就是仔细检查所监视到的流量，提高鉴别能力。包括任何类型通信中的那些利用任何工具都不能按人们可读的方式显示或重构的各种行为。查看会话的最常见阻碍就是加密。更多的经验丰富的***者可以建立加密信道，使得网络监视失效。许多网络协议本质上就是难以回放的，X Windows通信、Netbus通信和其它传输大量图形信息的远程会话都是很难再现的。监视加密通信并不是完全没用，因为它可以证明在确定的IP地址之间没有进行通信。所需的证据就在于这些端点上。

2.难以跟踪到源IP地址的***行为

它可以通过拒绝服务***得到最好的证明。源IP地址通常是被伪装的，这就使得通过源地址跟踪源计算机是非常困难的。以日志文件或嗅探器捕获文件形式保存的电子证据所报告的是错误数据。被伪装的邮件或欺骗性的电子邮件也对按电子邮件跟踪到这些消息的原始计算机提出了挑战。人们会发现中继电子邮件服务器位于一个法律上不合作的国家，并通过此服务器发送伪造电子邮件。这些中继电子邮件服务器通常记录了原始计算机的IP地址，但是由于位于不合作的外国，所以无法获得这些信息。加大在网络边界的监视，充分发挥网关的识别作用，才是解决此类问题的唯一所选。

3.使得证据难以收集

通过下列方式可以使证据难以收集——加密文件、安装可装载的核心模块以便利用你的操作系统来对付你，以及对二进制文件使用“特洛伊***”使***者的痕迹不过于明显。***者阻碍收集证据的另一个技巧是不断改变远程系统的端口。当***者以一种看起来随机的方式频繁地修改端口以初始化与受***系统的连接时，调查员很难实施获得相关信息的过程。

对于此种证据的查找，我们采取在线被动的网络监视办法以及通过IDS、 防火墙和其他信息源知道有关***的多种标志,同时不断总结有效的分析网络通信的调查方法。在网络中发现非法的服务器或通信的非法通道，这是最有效的方法。它为确定可疑行为的程度和确定以非法方式通信的相关系统提供了一种方法，以便确定将系统保持在线状态所冒的风险和系统脆弱程度。根据这些信息，可以采取适当的后续步骤或防范措施。同时并加大培训力度，不断提高监视技巧，加强有力的自动分析工具的开发。

4.免受监视的行为

包括ICMP通信、SMTP通信、POP通信、Usenet通信、在外部介质保存文件、看上去无害的Web通信，以及源于内部IP地址的通信。查找此类证据的唯一方法就是监视尽可能多的通信。

为了维持对***者的优势，预见***的变革是十分必要的。只有了解***者的目标才能知道可能遭受***的地方。只有了解这些目标才有可能预见到在网络上发生的***，由此我们既要熟悉合法通信的标准，又要深入了解各种网络协议本身然后进行网络监视并仔细检查网络通信以便确认各种不同类型的隐蔽通道，查找出不同的隐形证据。

计算机取证技术的研究是一个相当复杂的课题，本文力图从两个方面来对计算机取证技术的过程和步骤进行探讨，提出了一种较为完善的由易到难、由简单到复杂的方法。我们可以通过对“显形”证据查找的办法支持在小局域网、军队网进行计算机取证，也支持在英特网上查找一些简易的取证，通过对“隐形”证据查找的办法支持在大的局域网甚至在英特网上查找复杂的取证，为调查人员提供重要的调查线索和证据来源。

Windows系统是一个智能复杂的操作系统，它是很多人努力的结晶，我们一定要尽全力阻止***的***行为。