论文投稿_医学论文投稿_核心期刊,职称论文投稿发表_论文部落

　　NetThreatAnalyzer:网络取证分析软件，用于识别公司互联网络账号滥用.

　　M-Sweep:-种周围环境数据清除工具.

　　NTI-DOC:-种文件程序，用于记录文件的日期、时间以及属性.

　　PTable:用于分析及证明硬盘驱动器分区的工具.

　　Seized:-种用于对证据计算机上锁及保护的程序.

　　ShowFL:用于分析文件输出清单的程序.

　　TextSearchPlus:用来定位文本或图形文件中的字符串的工具.

　　4.基于OpenBSD，Linux或者Solaris系统的技术取证过程实验

    案例基于以上讨论，下面我们研究一个使用基于OpenBSD，Linux或者Solaris的取证工具和有关命令进行取证的实验过程。

　　4.1有关命令和软件工具的功能

　　vmstat是一个可以快速查看内存、CPU和磁盘子系统的统计信息的命令.它的执行时间短，以便可以查看子系统利用的趋势.vmstat经常可以在系统性能有一些问题的时候帮助我们知道哪些地方应该去深究.mpstat命令在Linux和Solaris上都有，可以用它查看处理器利用情况的统计数据.mpstat提供一个选项，允许在多处理器系统中查看指定CPU的统计数据，vmstat则没有这个功能.iostat显示比vmstat更详细的与子系统相关的统计信息，主要用来监控IO设备、磁盘的负载、平均传输速度及相关活动记录.sar，sa，lastcomm，last是用来检查历史数据和一些近来的系统事件的工具.sar是一个Solaris和Linux的系统性能分析工具.这些可以用于检查的性能数据类似于vmstat,mpstat和iostat的显示.sar的数据是一段时间保存的内容，因此可以查看过去的信息.lastcomm可以再现系统最近被执行的命令.这些可以用在系统审计中.sa可以在*BSD和Linux中找到,它在系统审计中给用户更多的选项来收集信息.ps立足于进程状态，用于显示系统执行的进程和他们的信息.top显示的信息与ps接近，但是top可以了解到CPU消耗，可以根据用户指定的时间来更新显示.lsof列举打开的文件，显示系统当前打开的所有文件.Unix系统的所有东西几乎都可以看作是文件，因此，lsof也显示了系统的状态中有重要意义的内容.file判断文件是什么，不同的文件格式可以16进制的形式显示文件的内容.readelf显示二进制文件的ELF(可执行链接和格式)头的细节.这些内容可以判断可执行文件提供的函数.od以用户指定的格式输出文件内容.od对于在文件内容中有一些解释的情况下查看原始内容是有帮助的.ldd读取ELF头的内容，并显示可执行文件依赖的对象库.string显示文件中的ASCII字符串.对于在二进制文件中查找其中可读的字符串是非常有用处的.find用于在文件系统中查找指定的对象.strace这个工具位于一个当前运行的进程的开始或者附加到一个当前运行的进程中，显示这个进程所作的所有系统调用.这可以用来判断程序运行的行为，并且用来决定是否是合适的程序.strace存在于Linux.在Solaris中是truss，*BSD提供的ktrace可以达到相似的功能效果.sudo可以让管理员给用户以其他用户的权限执行命令的能力，而不用给该用户密码.grep用于按照用户指定的模式查询.grep使用匹配规则.less页面调度程序，用来按页显示文本。

　　4.2实验案例研究

　　假如突然发现某个Web服务器上CPU负载很高，而这个服务器正常情况下每天的浏览量仅仅几千而已.从这种迹像可以初步断定存在问题.以下是分析过程及其系统的显示。

　　vmstat和mpstat(只在*BSD系统上)表明CPU被用户空间的一个或者多个进程消耗掉了，但是内存和I/O子系统还没有大量使用，iostat也显示出磁盘系统不正常。

　　Experimentalresultofvmstat，mpstatandiostatvmstat，mpstat(只在*BSD系统上)和iostat的运行结果同时，sar(*BSD的sa)显示CPU从凌晨03:17就开始被使用.lastcomm显示FTP客户端在03:17以root运行了几次，last这个命令显示最近的登录，没有显示出这个时间段有root从什么地方登录进来.另外，这个服务器

　　又使用sudo来管理root权限.这里有两个系统管理员账号可以用root登录，但是他们并没有登录过，特别是在凌晨3:00这个时间附近.根据这一点，决定使用CD上准备好的二进制工具.现在运行top-d1,并且发现apache这个进程占用了100%的CPU。