反黑风暴-第40章

按键盘上方向键 ← 或 → 可快速上下翻页，按键盘上的 Enter 键可回到本书目录页，按键盘上方向键 ↑ 可回到本页顶部！
————未阅读完？加入书签已便下次继续阅读！


息与时间信息即可。

●tree命令。利用tree命令可以图形显示驱动器或文件夹的结构，这样能够更方便用户对分区中的文件进行核查。比如，要查看D盘中的文件，可在命令提示符窗口中输入命令“treed：/f｜more”，即可在命令行界面分屏检查。

2．法证工具信息核查

取证工具可以将计算机中的使用痕迹扫描出来，如系统日志、防火墙与入侵检测系统的工作记录、反病毒软件日志、网络监控流量、电子邮件、操作系统文件、、Web浏览器数据缓冲、历史记录或会话日志、实时聊天记录等。而有些取证工具还可以依照某些关键字，如HTTP、Cookie，自动扫描驱动器中的敏感信息。

下面介绍一款数字取证工具X…WaysTrace3。1，它不仅可以搜索用户指定的整个目录和子目录，以及整个硬盘（或者硬盘的RAW格式镜像）中已用空间、未用/闲置空间，追查是否有人曾在Inter上冲浪，也可记录对本地文件的访问，还可以通过分析InterExplorer的内部历史记录和缓存文件index。dat，显示所有URL/上次访问的时间和日期/用户名/文件大小/文件扩展名等。

利用X…WaysTrace3。1扫描驱动器的具体操作步骤如下：

步骤01运行X…WaysTrace3。1，进入其主界面中。选择【File】→【OpenDisk】菜单项，打开【OpenDisk】对话框。在对话框中选择要进行全面扫描的磁盘C。

步骤02单击【OK】按钮，扫描一会后，即可列出扫描的结果，其中包括从磁盘C中获取到的URLs、redirections等信息。

步骤03X…WaysTrace除了支持系统分区扫描，还支持非系统分区扫描。在【OpenDisk】对话框中选择磁盘D，即可对磁盘D进行全面扫描，并列出扫描的结果。

11。6。2击溃数字证据

数字证据在司法中并不能真正地充当证据，因为所有的证据都要证明它的真实性和惟一性。而电子数据证据的特殊数据信息形式，需要计算机技术和原有的操作系统环境才能再现数据形式。此外，从目前数字技术来说，所有的数字记录都很难说明是否是原存储介质中的资料，是否进行了修改，在证据中很难鉴别。击溃数字证据很简单，只需利用它本身的特性来进行反取证即可。

1．软件反监控与自我销毁

当前绝大部分单位和个人热衷于监控，监控本身就折射了人性的阴暗和不信任，如果被不法分子获取了个人隐私资料（特别是账号密码、私密文件、照片等），后果可能不堪设想。因此，我们要了解一些软件来反监控，对付系统中隐藏的取证软件。

反监控软件必须要具有木马性质，主要监控计算机中的进程、网络和系统。

●进行监控：进程监控主要监视进程列表中是否有取证软件的进行，如WinHex、X…WAY及隐藏进程。若反监控软件发现计算机中存在取证软件的进程，可立即对数据进行自我销毁。

●网络监控：必须要确保主机连接上网络，而一旦检测到网络流量异常以及人为中断，就会启动自我销毁。

●系统监控：关于系统监控比较复杂，它主要着重于开机与关机操作。用户可自己编写一个小程序替换掉系统的关机功能，除了正常的关机操作，小程序要求必须在关机前1分钟内输入任意数字才关机。若检测到没有，即启动自我销毁。

利用软件来反监控虽然也能够在一定程度上保护数据，防止数据被拷贝，但这种方法存在很多缺陷。例如，在网络监控时，有时会遇上突然断电的情况。此时，取证专家可以直接切断后备电源，并将硬盘拿到其它的平台对数据进行拷贝，以确保证据仍然存在。

2．硬件反监控与自我销毁

硬件反监控可以从根据上杜绝数据被拷贝，因为这种方法的自我销毁方式有两种：芯片型和物理型。一旦利用其中任意一种方式销毁数字证据，就可以彻底销毁。

●芯片型

芯片型的反监控需要先将硬盘及整个机箱都用外箱封闭起来，机箱外观可使用iPhone触感技术来检测机箱是否碰触了坚锐物和化学物品，并由机箱前方的智能芯片控制，该智能芯片需要开箱的密码验证。然后在硬盘相关接口插入可编程的构件并连接智能芯片，如果密码连续三次输入错误及检测到机箱外部碰触到可疑物体时，可编程的构件即可破坏硬盘盘片。

●物理型

物理型的反监控需要将硬盘与外箱紧密焊接在一起，内部的构造彼此间都要关联起来，硬盘内部的关键部件要进行特殊处理，机箱不能倒置、倾斜。外壳不能太硬，同时将硬盘所有接口都铅封起来，开箱验证的方式是使用物理性密码。一旦有人试图使用铁制工具打开机箱，即使是轻微的震动，硬盘就会自动报废，数据也就自动销毁了。

第七章　专家课堂（常见问题与解答）

点拨1：利用FinalData等软件能恢复一些以前删除的文件，进而窃取文件。若希望某些文件删除后就不再恢复，该如何彻底删除这些文件呢？

解答：在文件被彻底删除之后，其实在硬盘上并没有删除，只是将存放这个文件的硬盘磁道标记出来，等待其他新文件的覆盖。这也是为何删除文件后，FinalData之类软件能够恢复的原因所在。知道了这个原理，只要往删除文件的地方添加一些新文件，把原来的文件覆盖，则恢复软件就无能为力了。

另外，还可以使用一些数据毁灭软件达到彻底删除的效果，例如SafeEarse。

点拨2：EFS加密功能默认是开启的，若要禁用EFS文件加密，应该如何操作呢？

解答：如果要禁止该功能，可以先打开【注册表编辑器】窗口，在其左侧列表中找到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionEFS，在下面新建一个EfsConfiguration的DWORD类型数值，并将其值设置为“1”（值为“0”时，表示启用EFS），再重新启动计算机即可。需要注意的是，如果禁用了EFS，原先的EFS加密文件不可访问，直到恢复EFS为止。

第一章　服务器安全防御

家庭、企业或办公网络中总有一些服务器在运作，如WEB、DNS、FTP、VPN等服务器，这样，自然少不了被攻击者虎视眈眈地利用代理来扫描这些扫描器，进而对服务器的安全构成威胁。为了减少电脑被攻击的可能，我们应做好服务器安全防御措施，使黑客们无计可施。

12。1。1强化服务器策略

加强服务器的安全也是安全威胁防御技术中的一种方式，它包括程序安装与配置系统两个方面。这两个方面都必须遵循“最小权限”的法则，也就是说它们要包括最小的服务提供、最小的端口开放、最小的特权分配。

1。程序安装

程序的安装包括从安装操作系统到安装与配置计算机中的应用程序，它们也必须遵循“最小权限”法则。

（1）安装最小化操作系统

在安装操作系统时，为了保证安装的系统最干净、最轻便，最好事先断开网络连接，并确认磁盘中原来的数据都被删除干净。另外，选择的操作系统版本最好是原版操作系统的相关版本，如WindowsXPProfessional版本，不要使用Ghost版系统。安装好系统后，若需要添加一些Windows组件，可对必需的服务进行安装，不要安装额外的服务。

添加Windows组件的具体操作方法如下：

步骤01单击【开始】→【控制面板】按钮，打开【控制面板】窗口。在该窗口中双击“添加或删除程序”图标。

步骤02打开【添加或删除程序】窗口，并单击左侧列表中的【添加/删除Windows组件】按钮。

步骤03此时，即可打开【Windows组件向导】对话框。在“组件”列表框中选中要添加的组件前的复选框。单击【下一步】按钮，根据提示进行安装即可。

（2）安装和配置应用程序

安装好操作系统后，可在计算机中安装需要使用的应用程序。但为了避免安装的软件给系统带来风险，如漏洞、病毒、恶评插件等，最好不要安装多余的应用程序。

（3）安装最新的安全补丁

补丁分为系统补丁与应用软件补丁，是用来修复系统或软件的已知缺陷及漏洞的。这些缺陷漏洞所带的后果是执行恶意命令（挂马）、提升权限或拒绝服务攻击等，因此，为了保证系统的安全，要定时对系统和软件进行扫描，查找需要安装的补丁。

一般来说，系统补丁的安装可以通过Windows自动更新功能进行修补。在桌面上的“我的电脑”图标上右键单击，在弹出菜单中选择【属性】菜单项，即可打开【系统属性】对话框。切换到【自动更新】选项卡，选中“自动（建议）”选项并设置自动更新的时间。单击【确定】按钮，即可按照设置的时间定期检查重要的更新，并安装它们。

另外，还可以通过第三方软件，如超级兔子、360安全卫士等检查并安装系统补丁。对于应用软件的补丁来说，可以直接下载最新版本的应用软件，进行缺陷漏洞的修补。

2．配置系统

（1）配置系统服务

遵循“最小权限”法则，必须停用和禁止系统不必要的服务。如何查看并修改系统中的服务呢？下面介绍其具体的操作方法。

步骤01单击【开始】→【控制面板】按钮，即可打开【控制面板】窗口。双击窗口中的“管理工具”图标，即可打开【管理工具】窗口。

步骤02双击“计算机管理”图标，即可打开【计算机管理】窗口。在窗口左侧的树形目录中单击“服务和应用程序”下的“服务”选项，在窗口右侧即可出现系统中的服务。选中要停用的服务并右击，在弹出菜单中选择【停止】菜单项，即可禁用该服务。

（2）配置系统端口

若系统中开放的端口较多，容易受到黑客的攻击，给系统带来危险。因此，为了保证系统的安全，可用系统的“TCP/IP筛选”过滤掉不必要的端口。其具体操作方法如下：

步骤01在【控制面板】窗口中双击“网络连接”图标，即可打开【网络连接】窗口。在“本地连接”图标上右键单击，在弹出的快捷菜单中选择【属性】菜单项。

步骤02此时，即可打开【本地连接属性】对话框。在“此连接使用下列项目”列表框中选择“Inter协议（TCP/IP）”选项，并单击【属性】按钮。

步骤03打开【Inter协议（TCP/IP）属性】对话框，单击【高级】按钮。打开【高级TCP/IP设置】对话框，在其中选择“可选的设置”列表框中的“TCP/IP筛选”选项，并单击【属性】按钮。

步骤04打开【TCP/IP筛选】对话框，在其中可进行端口过滤。若只允许TCP端口，选中“TCP端口”上方对应的“只允许”选项即可。

利用“TCP/IP筛选”过滤端口比较麻烦，还可以通过防火墙来配置。配置方法非常简单，只需在【高级TCP/IP设置】对话框中切换到【WINS】选项卡，在其中选择“禁用TCP/IP上的BIOS”选项，禁止BIOS接口即可进行端口过滤。

（3）设置文件权限

设置文件权限即在NTFS文件系统上限制分区与文件访问的条件，FAT、FAT32等系统文件不能对存储的数据进行用户级的保护，尤其是对用户本地登录缺乏保护。下面以取消D分区的“Administrators”组对磁盘的安全控制权限为例，介绍其具体的操作步骤。

步骤01�