基本電腦鑑識指南


心懷不軌的人利用電腦進行非法活動的方法不勝枚舉,舉凡攻擊電腦、洩漏交易秘密、釋放新病毒、使用網路釣魚郵件來偷竊私人資訊等都是。而新的攻擊方法 和技巧也時有所聞,但是利用電腦來調查這類活動的方法就比較少見了。

雖然有些調查工作必須仰賴經過專業訓練的專家,使用昂貴的工具和複雜的技術,但是基本的調查和分析工作,只要採用簡單好用且價格便宜的方法就可以了。本文將著重介紹方便主流系統管理員 (就是您) 存取的各種電腦鑑識技術。

討論過程則藉由兩個免費下載的解決方案加速器協助完成,下載網址如下:《Windows 基本電腦調查指南》(go.microsoft.com/fwlink/?LinkId=80344) 和惡意程式碼移除工具之入門套件 (go.microsoft.com/fwlink/?LinkId=93103)。本文將告訴您如何結合這兩個解決方案,共同建置開機用的 Windows® PE 環境,讓您有效展開調查,並將發現結果保存起來作為報告及分析之用。請注意,此處所討論的方法,不能用來調查經過加密或屬於 RAID 磁碟區一部分的硬碟。而且萬一硬碟已經損毀,則必須事先執行其他步驟來還原它的狀態。

雖然我們的解決方案可以提出一套方便您從 Windows 電腦收集證據的方法,但它只是基本、臨機操作的方法而已。如果要更有效的執行此處所述的工作,可以採用市面上販售的幾種較複雜的解決方案。

另外還要注意的一點是,此處所討論的技術既不是保證有效的解決方案,也沒有經過國際電腦鑑識人員協會的認證。所以在調查之前,最好先考量一下硬碟上的證據是否可能成為法律訴訟的一部分。如果有這個可能,最好能夠安排專業認證的電腦鑑識人員來進行調查。另外您也必須考量是否要根據任何可能的法律訴訟種類,將調查工作直接移交給執法人員。其他相關資訊,請參閱《Windows 基本電腦調查指南》。


《Windows 基本電腦調查指南》探討的是進行內部電腦調查所用的程序和工具。它概略敘述了電腦調查模型的四個階段:評估、獲取、分析和報告。這是一套實用的模型,可幫助 IT 專家在進行調查的同時,保存重要的發現。

本 指南還將探討在哪些情況下需要執法人員的介入 — 在這種情況下作決定時,應該請法律顧問參與。您可以找到如何管理與電腦有關的犯罪、如何聯絡適當的執法機關,以及能夠協助調查工作的 Windows Sysinternals 工具和其他 Windows 工具等相關資訊。

本 文參考的另一個解決方案快速器 ─ 惡意程式碼移除工具之入門套件,則提供相關的指導方針,告訴我們如何建置和使用開機用的 Windows PE CD-ROM,來移除電腦上的惡意程式碼。本指南提出一份威脅清單及部分防護之道,協助降低它們對公司可能產生的衝擊,同時也強調開發事件因應計劃的重要 性,一旦發現可疑的惡意程式碼時,即可派上用場。惡意程式碼移除工具之入門套件還包括一套 4 階段的方法,幫助 IT 專家判斷所牽涉的惡意程式碼本質、遏制它們擴散、儘可能將它們移除、驗證它們已經移除,並且在必要時繼續下一步驟。

Windows PE CD-ROM

執行這類調查有兩個先決條件:Windows PE CD-ROM 和外部存放裝置,例如 USB 快閃磁碟。

您可能看過不少電視節目,知道警員應該將犯罪現場保持現狀。同樣的道理,您也應該將您在調查的資料保留在硬碟上。只不過我們所建置的 Windows PE 開機光碟片在執行工具時,並不會修改硬碟資料,這一點跟惡意程式碼移除工具之入門套件不同。

利 用 Windows PE 光碟片開機之後,會進入一個受限的 Windows 環境。當您建立這張開機光碟時,可以加入針對特殊目的事先設定的工具 (例如,惡意程式碼移除工具之入門套件中的工具)。請注意,電腦至少要具備 512MB 的 RAM 才行 — 這是 Windows PE 的需求。

建 立 Windows PE CD-ROM 的程序相當直接了當,相關細節請參閱<惡意程式碼移除工具之入門套件>。建立這張開機光碟片之前,必須先安裝 Windows 自動化安裝套件 (AIK)、Sysinternals Suite (可在 microsoft.com/technet/sysinternals/utilities/sysinternalssuite.mspx 取得),將 Sysinternals 工具放在惡意程式碼移除工具之入門套件第二項工作所述的工具清單中,然後再安裝其他惡意程式碼掃瞄工具和公用程式。有關建立光碟片的詳細指示,請使用<惡 意程式碼移除工具之入門套件>文件中所述的步驟。

USB 外接磁碟

這 個程序不會更改您要調查的磁碟機,因此您還要另外準備一個 USB 隨身碟或其他種類的外接硬碟,以便儲存所產生的輸出檔案 (建議使用 USB 隨身碟,因為 Windows PE 可以自動掛接 USB 裝置)。您也可以使用外部硬碟機來存放原始硬碟機的影像。正因為有這些需求和選擇的關係,您必須事先進行規劃,將調查所需的總磁碟空間列入考量。

您想要確定套件在調查開始時是空的,因此必須把儲存調查檔案所用的外部磁碟機當中,所有之前的資料完全移除。這個動作只要利用磁碟清除公用程式覆寫整個可寫入磁碟機表面,就可以輕鬆辦到。必要時,可以再將外部磁碟格式化,並且標示作為調查之用。此舉是為了確保裝置不含任何可能污染您在調查期間所收集之證據的檔案。

另 外最好也能加入監管鏈表,這麼一來就有一份官方記錄,記載整個調查期間由誰負責處理電腦了。《Windows 基本電腦調查指南》附有監管鏈表範例供您參考。完成包裝套件後 (此套件包含必要了的 Windows PE 開機光碟片、外部存放裝置和監管鏈表),就可以著手進行調查工作了。

進行調查

現 在您已經準備就緒,可以著手展開調查了。首先,請使用 Windows PE 光碟片啟動可疑的系統,確定電腦的開機順序是將 CD-ROM 光碟機視為主要開機裝置。當畫面出現提示時,請按下任何按鍵,完成從 CD-ROM 開機的程序。這時候,您就有權存取您安裝在光碟片上的工具了。

我 們將在測試機器上使用套件,示範從電腦 (我們將它稱為 Testbox1) 收集資訊的程序。Testbox1 上所指派的光碟機是 X:\,而提供給惡意程式碼移除工具之入門套件工具的預設位置是 X:\tools。若要存取套件內的工具,只要輸入:cd \tools 即可。

您 可以利用幾種工具,識別掛接在電腦上的目標磁碟機。而位於 Sysinternals 工具目錄的 Bginfo.exe 正可提供這項資訊,並將它放在桌面上的背景視窗內,以方便您參考。磁碟機管理員也可以識別電腦上所有的磁碟機,包括目標硬碟機和外部 USB 裝置。[圖 1] 所顯示的是 Testbox1 的磁碟資訊。開機磁碟機是 X:\,目標硬碟機是 C:\,而我們的外部 USB 磁碟機是 F:\。


Figure 1 Viewing disk information with Drive Manager
找出惡意程式碼

在開始調查之前,必須先執行防惡意程式碼工具,以確保調查工作不受到病毒或其他惡意程式碼的染指。必要時,還可以把防惡意程式碼工具所產生的報告作為證據。要是不檢查電腦是否含有惡意程式碼,不僅危及調查,也會降低鑑識人員調查準確性的可信度。我們建議您以唯讀或報告模式,執行它所提供的防惡意程式碼工具。

<惡意程式碼移除工具之入門套件>討論了幾項建議工具,其中包括惡意軟體移除工具和 McAfee AVERT Stinger。執行惡意軟體移除工具時,務必加入 /N 命令列選項,表示工具只報告惡意程式碼,而不會移除它。

x:\tools\windows-KB890830-v1.29.exe /N

得出的報告檔案將置於 %windir%\debug\mrt.log 中。

同樣的,在執行 McAfee AVERT Stinger 時,請將喜好設定改為 [僅產生報告 (Report only)],如 [圖 2] 所示,這樣它只會掃瞄電腦,但不會對硬碟做任何變更。另外,掃瞄完成時,一定要從工具儲存報告。


Figure 2 Use Report only mode in McAfee AVERT Stinger
儲存重要檔案

如果在調查之前未將整個磁碟備份,至少應該備份重要的使用者檔案。必要時,也可以將設定資訊作為日後複閱之用。開始時,請先收集登錄檔和設定,其中包含電腦的用途,以及系統所安裝的軟體等所有相關資訊。

為了儲存 Testbox1 的登錄 Hive,我們首先在卸除式 F:\ 磁碟機上建立一個資料夾,然後在開始進行調查時,以下列命令記錄日期和時間:

f:Mkdir f:\evidence_files Date /t >> f:\evidence_files\Evidence_start.txt Time /t >> f:\evidence_files\Evidence_start.txt

接下來我們再以 xcopy 命令儲存登錄 Hive,複製整個設定目錄及其內容。您感興趣的登錄檔就位於 %windows%\system32\config 下。在本例當中,我們要執行的命令如下:

xcopy c:\windows\system32\config\*.* f:\registrybkup /s /e /k /v

這個命令會複製 config 資料夾中所有的設定資訊。Textbox1 的 config 資料夾大約含有 95MB 的資訊。

接下來就是使用者資料了,硬碟的任何地方都有可能存有使用者資料。不過在本例當中,我們只複製 c:\HR 這個目錄的資料。為了確保資料完整收集,我們以下面這個 xcopy 命令來複製目錄及其子目錄中所有的資料:

Mkdir f:\evidence_files\HR_Evidence Mkdir f:\evidence_files\documents_and_settings Mkdir f:\evidence_files\users xcopy c:\HR\*.* f:\evidence_files\HR_Evidence /s /e /k /v

接下來是個人資料夾資訊。同樣的,我們想從這些目錄及其子目錄複製所有的資料。我們使用下列命令來進行這個動作:

Xcopy c:\documents and settings\*.* f:\evidence_files\documents_and_settings /s /e /k /v

Xcopy c:\users\*.* f:\evidence_files\users /s /e /k /v

這 個範例收集了大約 500MB 的資料,必要的話我們現在就可以進行分析。如您所見,您所收集的資料量有可能相當龐大 — 如果碰到音訊檔、視訊和相片的話,就更不在話下了。儘管如此,還是要儘可能保存原始資料,因為調查工作需要的不只是實際收集的證據,還要保證這項資訊在收集的過程中未經更改。因此在理想的情況下,最好能夠為調查工作製作一個完整的磁碟影像,但是這個動作可能會因大小的限制而難以辦到。現在您應該知道,為什麼一定要事先研究調查工作需要多少存放空間了吧。

收集其他資訊

系統檔案也是收集證據的有力幫手,但是要尋找這類資料可能需要花點時間搜索目標電腦,因為這些檔案不見得會放在同一個地方。雖然如此,有些類型的檔案還是值得一找,因為它們的確可以提供有用的內容。比方說,交換檔案含有記憶體存取了哪些檔案的相關資訊。另外,交換檔案甚至還提供詳細的使用活動。同樣的,網頁瀏覽器資料和 Cookie 也會提供瀏覽行為和模式的相關資訊。

尋 找這項資料可能需要進行一些偵查工作,特別是當使用者變更設定,把資料儲存到預設位置以外的地方時更是如此。不過您可以利用幾種 Sysinternals 工具,幫助您尋找重要的檔案。[圖 3] 一共列了五個有用的應用程式,並且說明這些應用程式如何協助您進行調查。

-----------------------------------------------------
Tom Cloward身兼 CCE、CISSP,在 Microsoft 擔任專案經理,主要工作是提供適用於 IT 專家的安全性和循規解決方案加速器。他在軟體和 IT 產業已有 15 年以上的工作經驗,熱衷於 IT 安全性、鑑識與法規遵循。

-----------------------------------------------------
Frank Simorjay身兼 CISSP、CET,同時也是 Microsoft Solution Accelerator ─ 安全性和法規遵循小組的技術專案經理暨安全性主題專家,專為 Microsoft 的客戶設計安全性解決方案。他的最新作品是惡意程式碼移除工具之入門套件 (Malware Removal Starter Kit),此套件可在 Microsoft TechNet 網站上取得。

出處:

Microsoft TechNet Magazine 2007/12


0 意見: