计算机系统应用2010年第19卷第8期 UNIX系统取证分析方法① 殷联甫(嘉兴学院数学与信息工程学院浙江嘉兴314001) 摘要：UNIX作为目前最常用的主流操作系统之一，研究UNIX系统的取证分析方法具有非常重要的现实意 义。本文首先介绍从UNIX系统中获取易失性数据的方法，然后介绍获取被入侵UNIX机器上的硬盘 数据，建立取证映像（forensicimage），然后进行取证分析的具体步骤和方法。 关键词：计算机犯罪；计算机取证；UNIX取证分析 UNIXForensicAnalysisMethod YINLian-Fu (CollegeofMathematics&InformationEngineering,JiaxingUniversity,Jiaxing314001,China) Abstract：UNIXisoneofthemostpopularoperatingsystems,ithasgreatpracticalsignificancetoresearchthe methodologyofUNIXforensicanalysis.Thispaperfirstlyintroducesthemethodtocapturethevolatile datafromUNIXsystems,thenintroducestheconcretestepsandmethodofUNIXforensicanalysis. Keywords：computercrime;computerforensics;UNIXforensicsanalysis 1引言好装有以下工具的光盘或软盘(要保证这些工具是绝 UNIX作为目前最常用的主流操作系统之一，研究对干净的)： UNIX系统的取证分析方法具有非常重要的意义。在对lsdddesfilepkginfo UNIX系统进行取证分析之前，首先必须获取取证数findicatlsofmd5sumnetcat 据。取证数据主要分为两大类，一类是易失性数据，netstatpcatperlpsstrace 另一类是非易失性数据。stringstrussdfvicat 易失性数据是指那些当计算机关机后就会全部消moregziplastwrm 失的数据，这些数据一般都在内存中，主要包括网络scriptbashmodinfoismodifconfig 连接状态、正在运行的进程状态等信息。所谓初始响2.2保存初始响应信息 应就是指收集受害者机器上的易失性数据，并据此进初始响应信息可采用以下方式保存： 行取证分析的过程。非易失性数据是指那些当计算机①将数据保存在本地硬盘中； 关机后依然存在的数据，这些数据一般都在硬盘上。②将数据保存在软盘、USB驱动器或磁带驱动器 本文首先介绍从UNIX系统中获取易失性数据的等远程介质中； 方法，然后介绍获取被入侵UNIX机器上的硬盘数据，③手动记录信息； 建立取证映像(forensicimage)，然后进行取证分析④使用netcat(或cryptcat)命令，通过网络将查 的具体步骤和方法。找到的数据传输到取证分析机。 尽量不要将数据保存在本地硬盘上，如果需要进 2UNIX系统初始响应方法[1]行数据恢复或取证分析的话，保存在本地硬盘上的数 2.1创建初始相应工具包据就会覆盖位于未分配空间中已被删除的数据，而这 为了能对UNIX系统做出初始响应，首先应准备些数据可能会有调查或者提供证据的价值。建议使用 ①收稿时间:2009-12-14;收到修改稿时间:2010-01-12 238经验交流ExperiencesExchange 2010年第19卷第8期计算机系统应用 netcat命令，通过网络将这些数据传送到配有USB驱#netstat–an 动器或其他具有足够空间的存储设备的取证分析机上。(6)执行w命令 2.3收集数据执行w命令可以显示当前登录用户的信息。使用 初始响应阶段至少应收集以下数据：w命令可显示出登录用户的用户ID以及他们是从哪 a.系统日期与时间；个系统登录的、当前在系统中执行什么操作等，还能 b．当前登录的用户清单；显示日期与系统时间。 c．整个文件系统的时间/日期戳；(7)执行ls命令 d．当前正在运行的进程列表；与Windows系统一样，UNIX系统中每个文件 e．当前打开的套接字列表；和目录都有三项时间/日期戳可以收集：访问时间 f．在打开的套接字上监听的应用程序；(atime)、修改时间(mtime)与inode更改时间 g．当前或最近连接到系统的系统列表。(ctime)。可以使用带有相应命令行参数的可信ls命 (1)执行可信shell令来获取文件的这些时间。以下命令行将告诉你如 所有响应的第一步是确定所执行的是可信任的何获得时间/