由于公司網(wǎng)絡(luò)上擁有的珍貴資源，許多不法分子總是想方設(shè)法尋找漏洞，潛入系統(tǒng)作一些不法勾當(dāng)。作為單位的安全工作人員需要時刻關(guān)注其單位是否遭受了損害或攻擊。但有些損害或攻擊是清楚可見的，而有些攻擊卻留下很少痕跡。作為安全工作人員善于利用一些取證工具顯得尤為重要。

就目前來看，在遭受攻擊的單位中，有很多人員還不知道自己遭受了攻擊。許多人相信，主要的攻擊來自于公司外部。其實，很多重大的損害來自于內(nèi)部。人稱禍起蕭墻。

那么，安全人員面臨的挑戰(zhàn)就是如何找到這些攻擊，并判斷其進入系統(tǒng)的方法和途徑。因為桌面用戶用得最多的是Windows系統(tǒng)，所以我們要看幾個可以針對這種系統(tǒng)進行取證的簡單工具。

◆Live View

使用此軟件首要的一點是為用戶的現(xiàn)有系統(tǒng)創(chuàng)建一個虛擬機，還要結(jié)合使用開源的Live View軟件。此軟件會檢測用戶的系統(tǒng)，如果沒有檢測到安裝有Vmware Server 1.x或工作站版本的虛擬軟件，它會為用戶下載一個。

Live View是一個基于Java的圖形化的取證工具，它可以創(chuàng)建原始磁盤映象或物理磁盤的一個 VMware虛擬機。它準許取證人員可以啟動這個鏡象或磁盤，并獲得一個交互性的、用戶級的環(huán)境視圖。因為對磁盤的所有更改都被寫往一個獨立的文件，檢查人員可以很快地恢復(fù)到磁盤的原始狀態(tài)。其最終的結(jié)果是用戶不需要創(chuàng)建額外的磁盤映象來構(gòu)建虛擬機。

不過，目前此軟件僅支持Windows 2003、XP、2000等系統(tǒng)，也Linux也僅是有限支持。

圖1

◆OpenFilesView

這是一款可以列示系統(tǒng)上所有基于本地或網(wǎng)絡(luò)的文件。此軟件只有區(qū)區(qū)82.88k，其安裝后的界面如圖：

圖2

此軟件可窮舉系統(tǒng)中的所有句柄。在過濾了非句柄之后，它使用臨時設(shè)備驅(qū)動程序來從內(nèi)核存儲區(qū)讀取每一個句柄。在用戶從該軟件退出之后，這個設(shè)備驅(qū)動程序又可以自動地將其從系統(tǒng)中釋放。顯然，在這一點上，這是其它的任務(wù)管理程序所不能及的。

如果用戶試圖刪除或移動或打開一個文件時，收到了類似于下面的錯誤消息，那么此軟件就極為有用：“無法刪除*共享文件,源文件或目標文件正在使用”

此外，如果與網(wǎng)絡(luò)連接的過程中，打開此軟件可以監(jiān)視網(wǎng)絡(luò)進程，如果用戶懷疑某進程有問題，可以在其上單擊，如圖：

圖3

然后在彈出的菜單中選擇“properties”,打開如圖所示的窗口：

圖4

軟件對文件的多種屬性進行了描述，如句柄、進程ID、刪除共享等。在確信了某句柄是可疑句柄之后，可以單擊“OK”按鈕。再次在此文件上右擊，選擇“kill processes of selected files”。