文章目录
1.审计系统
审计系统是一种为事后观察、分析操作或安全违规事件提供支持的系统,它广泛地存在于操作系统、数据库系统和应用系统中,记录、分析并报告系统中的普通或安全事件。
- 日志( logging ) 可以由任何系统或应用生成,记录了这些系统或应用的事件和统计信息,反映了他们的使用情况和性能情况。
- 审计( auditing ) 一方面生成审计记录,提供更清晰、简洁、更易于理解的系统事件和统计信息,另一方面记录所定义的审计事件的发生情况。
2.Windows 审计系统组件
- 安全参考监视(SRM):监视安全策略运行状况
- 时间记录器(Event Logger):记录全局信息
- 本地安全中心(LSA):检测是否受到攻击
3.审计事件类型
4.审计系统的事件记录
事件记录是指当审计事件发生时,由审计系统用审计日志记录相关的信息。相比于普通日志,审计日志的生产一般由统一的机制完成,数据存储的结构也更一致、层次更分明,由于受到系统保护,审计数据的存储一般也更安全,这增加了攻击者消除攻击痕迹的困难。
5.审计系统事件记录种类
- 内核级:由审计系统的内核模块生成
- 应用级:由用户态生成
6.Windows 审计日志
7.记录分析
系统管理员可以通过分析审计日志得到新的事件定义,这些新的事件可以通过合并已有的事件而简化日志信息或使原来的事件定义更合理。
8.审计系统分类
- 基于状态的审计系统:记录资源的状态变化,如Windows
- 记录转移的审计系统:记录资源操作行为
8.事件分析与跟踪
当系统遭受攻击后,可以通过检查进程或线程活动、网络通信、用户活动、审计日志和文件系统等的情况进行事件分析,还可以通过对地址和假冒地址的追踪了解攻击的来源和攻击者所处的物理位置或国家、机构等信息。
9.追踪攻击者手段
1.检查进程
攻击者在入侵了计算机系统后,往往会在操作系统中运行某个进程,这样做的目的可能包括:监听网络通信、向攻击者提供远程控制服务、监视其他用户的操作、等待下一步攻击的时机等。
2.检查通信连接
操作系统一般提供相应的命令查看本机的网络连接状况。当获得当前被监听或正在通信的端口号后,若它是熟知端,需要确定对应的服务是否是由操作系统或合法用户启动的,若不是,则很可能是攻击者在利用熟知端口隐蔽通信的存在;若发现不明端口,则需要查明是否由合法的用户打开。
3.检查登录用户
攻击者在系统中的活动需要在某个账户下得到相应的权限,因此通过监视账户的活动,可能能够发现问题。
4.分析日志
对安全事件调查和追踪有帮助的日志包括系统和应用程序日志、审计日志及网络安全防护设备的日志。
5.文件系统分析
在入侵者攻击过程中,往往会出于一些目的更改文件系统,尤其是对相应日志或文件的修改直接反映了攻击者的目的。因此检查日志文件和审计记录之间不一致的情况来分析攻击者行为也是安全审计中的重要手段。
6.地址追踪
- 基于主机的追踪: 分析连接的主机名称
- 基于网络的追踪: 追踪IP地址,IP地址备案情况
7.假冒地址追踪:针对Dos攻击,区分僵尸电脑
10.数字取证
利用计算机和其他数字工具进行犯罪的一些证据以电子信息的形式存储在计算机存储系统或网络中,它们就是电子证据,将这些电子信息作为法律证据进行采集就是数字取证,也称电子取证。
11.数字取证特征
12.十大最危险cmd指令(易破坏性,无法取证)
BiBili视频链接
1 蓝屏死机
2 更改文件后缀名
3 删除system32
4 使PC永久崩溃
5 删除所以的注册表
6 永远禁用网络
7 一直按回车
8 启动电脑后自动关机
9 开启CD蜂鸣器
10 格式化硬盘
13.数字取证的原则
14.电子取证过程
15.数字指纹
- 数字指纹从技术上看类似于鲁棒数字水印,但这里的指纹水印内容承载了数字多媒体内容购买者的基本信息,用于在发现非授权散布版本时,追查散布源头。
- 数字指纹的有效性在于∶若攻击者消除数字指纹,由于数字指纹具有鲁棒性,而其嵌入过程有密钥参与,因此攻击者也将降低数字媒体的感知质量,这样会使盗版制品在质量方面处于劣势。
16.追踪码
- 由于同一个数字内容制品需要根据不同的购买者嵌入不同的指纹水印,因此存在多个发布版本,当这些版本的购买者联合起来时,有可能生成一个指纹难以检测的版本,这个版本可以作为盗版制品发售。
- 当w个用户实施合谋攻击时,仍然可以推知其中至少一个用户的指纹编码,这种追踪码被称为w-可识别父码,简称w-IPP码。
思考题
1.什么是审计系统?
2.什么是事件记录?
3.什么是数字取证?
4.数字取证的原则有哪些?