雷竞技app官网入口|raybet雷竞app

raybet雷竞app

咨询热线

0354-3118151

Classification

技术文库

0354-3118151
传真:
手机:13103543152
邮箱:1044412950@qq.com
地址:山西省晋中市榆次区迎宾街
当前位置: 首页 > 技术文库 > 技术探讨

谈服务器静态与动态分析取证

发布时间:2019-06-08 09:39:11 丨 浏览次数:161

前言

随着互联网技术的蓬勃发展,诸如像大数据、云计算、人工智能、物联网、虚拟现实等新一代科学技术不断涌现。

互联网技术带给我们极大的方便,“网网互联,物物互联,连接一切”已经深入到我们每天的生活中,我们随时随地都可以连接到互联网。

但是同样风险也随之而生,服务器案件数量与日俱增。市面上大部分服务器都是使用的Linux操作系统,对取证人员的技术要求会比较高。今天给大家分享下我们平常遇到服务器案件的取证思路和方法,希望能有所帮助。

一般我们服务器取证会从两个角度来看:一是静态分析,二是动态分析。

静态分析

静态分析在计算机行业中指的是不运行代码的方式下,通过词法分析、语法分析、控制流、数据流分析等技术对程序代码进行扫描,验证代码是否满足规范性、安全性、可靠性、可维护性等指标的一种代码分析技术。

我这里的静态分析指的是对服务器硬盘/镜像通过常见的介质取证软件镜像基本信息&文件分析。

这里我使用的是火眼证据分析软件,这款软件对主流的服务器镜像格式(raw、aff、e01、ex01、dd、vmdk、vhd 、vhdx 、vdi、qcow、zvhd等等)都能够准确快速的解析,尤其是从阿里云和华为云拿到的服务器镜像,都可以不用进行任何转换,就能直接使用。

1、创建案件后添加镜像文件作为证据;

谈服务器静态与动态分析取证 (图1)

2、在实际案件中,我们会碰到很多服务器,它们使用了LVM(Logical Volume Manager 逻辑卷管理),这是一种在Linux环境下对磁盘分区进行管理的一种机制; 

添加证据后,会发现火眼会把LVM分区作为一个虚拟证据进行处理;

谈服务器静态与动态分析取证 (图2)

3、可以看到,在证据详情这边,这个LVM虚拟证据,它存在了两个ext4文件系统的分区,分别是vm1和vm2;

谈服务器静态与动态分析取证 (图3)

4、在证据信息右上角,点击快速分析,找到Linux的分析功能,通过这个功能,无需自己人工找对应的配置文件,即可得到服务器的基本信息和服务器上部署的站点信息;

谈服务器静态与动态分析取证 (图4)

5、可以分析得到像操作系统信息、Bash命令历史(默认是顺序)、服务器信息(域名、端口、根目录等)等重要的信息;

谈服务器静态与动态分析取证 (图5)

6、通过文件系统中的搜索,我们也能很快速的过滤到自己想要的目标文件;

谈服务器静态与动态分析取证 (图6)

7、点击文件,可以快速的进行文件内容的查看;

谈服务器静态与动态分析取证 (图7)

动态分析

所谓动态分析是个广义的概念,主要是指两种分析方法:

第一种是在线远程连接到目标服务器进行固定分析,这种适用于:

① 服务器所在地可能是在境外,无法现场调证;

② 服务器运营商无法提供镜像,服务器不能断电等;

第二种是服务器镜像已经拿到了,通过对镜像进行仿真后,进行动态的取证分析;

下面我通过一个案例,帮助大家学习这两种方法:

1、首先我们需要有一个服务器的镜像文件,通过火眼仿真取证软件,我们对这个镜像进行仿真;

谈服务器静态与动态分析取证 (图8)

2、点击创建虚拟机,添加镜像后,软件会自动识别到操作系统,如果没有识别到操作系统,需要手动指定下(像上文提到的LVM,没有办法自动识别到,我们需要手动指定它是CentOS系统)

谈服务器静态与动态分析取证 (图9)

3、在高级设置中,我们可以进行密码的绕过/重置(Windows、MacOS可以绕过密码,Linux重置密码后默认为123456)

注意:如果后续还需要对服务器中的站点进行重构和网页固定,请把禁用网卡功能取消掉

谈服务器静态与动态分析取证 (图10)

4、点击创建虚拟机后,通过VMware即可打开仿真好的机器;

谈服务器静态与动态分析取证 (图11)

5、使用 ifconfig 命令,查看虚拟机的ip地址;

使用 vi /etc/ssh/sshd_config 命令,查看虚拟机SSH连接端口号(一般SSH端口默认是22,但是有些对象会对端口进行修改);

拿到 ip 和 SSH端口号后,使用网探勘验软件连接仿真好的服务器;

谈服务器静态与动态分析取证 (图12)

6、通过网探勘验软件可以实时获取到服务器的基本信息(系统版本、历史命令、用户列表等)、网站配置信息(主流的Apache、Nginx等);

谈服务器静态与动态分析取证 (图13)

7、通常服务器上还会部署数据库软件,网探支持MySQL、MongoDB、PostgreSQL、SQLServer等主流数据的连接访问;

这里以MySQL为例,数据库的登录用户名和登录密码通常都会在网站的配置文件中找到,最常见的目录就是/www/wwwroot这类目录下的config目录中,通过上文提到的静态分析或者本文提到的动态分析,都可以访问到这些文件。这是个细致活,需要我们取证人员耐心的搜索过滤。

谈服务器静态与动态分析取证 (图14)

8、连接成功后,通过点击数据库概览右侧的管理按钮,可以进入数据库的查询搜索功能。

谈服务器静态与动态分析取证 (图15)

可以通过这个界面,进行数据库的SQL语句查询;

正下方的状态栏,可以看到数据库的丰富的状态信息(版本号、连接时长等);

常见问题

① Linux运维面板

在平时的案件中,我们会经常遇到服务器上安装了AppNode、宝塔、AMH、WDCP等这类Linux运维面板(他们通常的默认端口都是8888、9999这类),通常仿真后,我们可以通过命令行的方式,修改这些面板的管理员密码。  

举一个平时最常见的宝塔为例,通过搜索就能在它官网的论坛中找到修改密码的方式:

谈服务器静态与动态分析取证 (图16)

其他的面板也类似。

② 仿真起来的服务器上的网站域名如何解析

通常我们处理的方式是修改hosts文件,hosts文件主要作用是定义IP地址和主机名的映射关系,是一个映射IP地址和主机名的规定。

Windows xp/2003/vista/2008/7/8/10用户HOSTS文件是在c:\windows\system32\drivers\etc,注意这个文件一定是在系统盘,如果你的系统在D盘请自行修改前面的盘符。

通过记事本/Notepad++等,编辑hosts文件中的内容,即可实现域名的解析。


网站如何固定?

通常我们一般动态分析最后把网站重构好后,需要进行一个网站的在线固定,这里我使用的是网镜互联网取证软件

1、例如上面的例子,我们再hosts文件修改后,使用网镜打开需要在线固定的页面URL;

通过手动固定任务,我们可以自由的固定单页的网站;

谈服务器静态与动态分析取证 (图17)

2、网镜提供了丰富的固定功能供选择;

谈服务器静态与动态分析取证 (图18)

遇到疑难的网站,联系技术支持,也能第一时间得到脚本支持的服务。


Copyright © 2017-2019雷竞技app官网入口 版权所有Powered by EyouCms
电 话:0354-3118151    手 机:13103543152   传 真:    E-mail:1044412950@qq.com
地 址:山西省晋中市榆次区迎宾街
晋ICP备19005586号-1

扫一扫关注微信公众帐号

免费咨询 投诉建议