电子数据取证发展到现在,由过去的个人计算机取证为重心,现在发展到服务器取证、流量分析、APK分析、内存分析等,主要载体发生了较大的变化,服务器出现在了较多的案件中。
一、服务器取证概述
服务器是电脑的一种,服务器有高速的CPU运算能力,可长时间稳定运行,强大的I/O外部数据吞吐能力,以及更好的扩展。
服务器能提供哪些服务?
----网站服务器,nginx、apache、tomcat、iis、python等;
----数据库,mysql sqlserver redis mongoDB等;
----文件共享,FTP、NTS、SAMBA等;
----代理服务器,负载均衡,反向代理,CDN缓存,VPN等;
----其它功能,邮件,DNS等。
二、服务器取证的目标
服务器系统信息和痕迹,IP、端口、历史命令、日志等数据;
服务器软件环境,网站服务,数据库服务,管理工具;
病毒、木马、后门文件和后续的功能鉴定;
服务器中保存的多媒体数据。
服务器取证最重要的是软件环境,难点也是环境的问题。
三、服务器取证可能涉及的技术领域
--操作系统取证技术,Linux操作系统;
--网站运维技术;
--数据库技术;
--入侵分析技术,涉及更广的技术,各种方向;
--程序逆向技术;
四、法律法规中关于服务器取证的条款介绍
服务器可能出现在哪些场景
--现场勘验;难度较高,需要较高的临场应变能力;时间比较紧张。
--远程勘验;较多的出现在案件中;
--介质分析;在实验室中操作难度较低,但是工作要更细致;
《公安机关办理刑事案件电子数据取证规则》
有相当价值的参考价值,对不同的勘验场景和检材有明确的规定和参考价值。
1、服务器的现场勘验;
2、有两种不同的远程取证场景:
----网络在线提取和网络远程勘验;
注意:提取使用的工具和方法,远程勘验和网络在线提取来说,因使用的工具不同,下载固定的数据想通,但是哈希值是有区别的;所以要记录所使用的工具和方法,软件还要精确到版本号;
五、服务器取证工具介绍
1、Windows服务器
可以把本地的驱动器挂载到服务器上,这样服务器可以直接运行本地磁盘中的程序,服务器上的数据可以方便的拷贝到本地磁盘。
2、linux服务器
基于ssh协议的各类工具,例如x-shell ,网探;
有两种不同的验证方法,一种是账户密码,一种是密钥;
3、数据库工具:
自带的工具:
通用工具:nacicat,heidisql;
4、其它工具:
屏幕录像工具:弘连取证录像;
代码查看工具:notepad++ vscode;
日志分析工具:log parser,emeditor(可以开几个G大小的文件),awk/grep;Windows自带有事件查看器;
恶意程序扫描工具:杀毒软件,安全软件;对备份的服务器镜像进行扫描,不要直接扫描。
仿真软件和虚拟机:
仿真软件:弘连火眼仿真取证软件;
虚拟机工具:VMware;
六、取证思路
常见的服务器案件类型:
1、违法网站类案件;
----获取权限;
----固定网站和数据;
2、网络入侵类案件;
偏向痕迹发现。