时间:2016-02-02 13:43 文章来源:http://www.lunwenbuluo.com 作者:丁丽萍,王永吉 点击次数:
用grep检查apche的错误日志,这个GNU工具可以有更多有用的参数,-A,-B和-C可以指定想从哪一个匹配的行的开始、之前或者周围查看.grep可以通过-E来使用扩展的模式匹配表达式.可以检查系统日志.但是并没有在这些日志里面检查到什么奇怪的地方。
继续进行检查.运行ps-ef!cyL(Solaris9),ps-ef!cym-headers(Deb3.0,RH8.0)或者psauwxhkwvl(OBSD3.2),找到进程apache,发现了问题.这里只有一个apache进程和多个httpd进程.httpd是在apachectl文件执行的,运行的apache是之前派生的,因此,如果二进制文件被重命名为"apache",那么也应该有多个进程存在.这就是问题所在。
使用lsof-p〈pid〉,发现这个apache进程打开了一个叫john.pot的文件.立刻查询到这是一个叫"JohntheRipper"的密码破解工具,正是它让CPU满负荷了.现在来检查这个所谓的apache二进制程序.通过运行fileapache,表明这个文件是ELF可执行的.现在进行进一步的挖掘,执行readelf-aapache,确信这是一个ELF可执行程序.od-xcapache|less在文件的开始显示ELF数字(7f454c46),ldd显示apache连接的共享对象库比实际的httpd进程要小,这表明一定存在问题.执行strings|grep-ijohn.进一步用strace-fp'pgrepapache'(Deb3.0,RH8.0),tmss-fp'pgrepapache'(Sol9),或者ktrace-dip〈pid〉(OBSD3.2),来查看apache进程到底在做什么。
用grep-n在JohntheRipper的源代码中找到在crk_password_loop()函数中有一个叫sig_timer_emu_tick()的函数,它在timer_emu_max到达之后产生SIGALRM.这就是strace显示的SIGALRM.通过lsof-p'pgrepapache'以及在读取数据的文件描述器发现那个文件的文件描述符fd4,以及fd4相关联的叫all.chr的文件.查看john.ini文件,找到在负担增大的区域所引用的all.chr文件。
所有证据表明,这个JohntheRipper的确是一个密码破解工具。
至此,技术取证过程的前几个步骤就完成了,接下来就要进行证据的分析、犯罪分子的追踪,最后形成证据结果。
5.存在的问题及其发展趋势
5.1法律法规的健全和取证工作的规范化
目前,我国还没有设立计算机取证方面专门的法律法规,计算机证据也没有作为一种单独的证据类型加以确认.所以,立法势在必行.相关的法律法规有《刑法》、《刑事诉讼法》、有关的网络法律法规以及和被调查案件相关的其他法律法规.计算机取证工作的程序没有标准和规范,取证工作随意性太大,获取证据的证明力差.法庭上律师和审判人员对电子证据的质疑很少,律师和其他司法工作人员缺乏计算机取证的起码常识.获取证据的过程没有严格的规定,使计算机取证工作不具备权威性和科学性.没有制定取证人员的认证和培训机制.任何具备一定技能的人员,都可以取证,由于取证人员水平偏低,或缺乏经验或法律知识匮乏,取得的证据不具备可靠性.所以,取证工作的标准和规范化以及取证人员的资格认定是当务之急。
计算机取证工具已有很多,但缺乏评价机制和标准.什么样的证据应该适用什么样的取证工具,进行怎样的
操作过程才能使获取的证据具有证明力,这些都是需要通过制定标准来确定的.由于取证软件的特殊性,不能像一般软件那样,任何软件公司都可以制作,然后拿到市场上去销售.应当制定行业规范,只有符合资质要求的软件企业才可以从事取证软件的开发研制.所以行业规范也是需要解决的问题。
5.2计算机取证技术的完善和发展
现在的计算机取证,很大程度上是手工操作硬件或者使用工具软件,能够在作案的同时或一定的时限内取得证据的可能性几乎没有.取证工作的成败主要取决于技术人员的经验和智力[1],证据的自动获取技术还没有.所以,取证技术的发展方向之一就是取证技术的自动化.
由于对计算机证据数据进行各种分析操作的过程越复杂、越频繁,就越容易损坏证据,从而降低其证明力,所以计算机取证技术的另一个发展趋势就是设计对证据数据的操作尽可能少的取证工具。
取证技术还不能完全击败反取证技术。反取证技术也在不断发展.例如,数据隐藏技术、数据擦除技术等.反取证工具Runefs就利用了取证工具TCT不能检查磁盘坏块的缺陷,把敏感文件的数据块标记为坏块来逃避检查[1].所以,如同病毒和反病毒软件的发展一样,取证技术必须在研究反取证技术的基础上进一步发展.
在未来的几年里,计算机取证技术将充分应用人工智能、数据挖掘、实时系统、反向工程技术、软件水印技术?,使用更加安全的操作系统.计算机取证学将会作为一门新兴学科飞速发展,形成一套系统的理论,并会研制出大量的专门用于取证的自动化程度较高的工具,培养一批"电子法医"(取证人员),为打击犯罪获取强有力的证据。
6.结论
联系方式
随机阅读
热门排行