网络案件侦查及黑客追踪

网络案件侦查及黑客追踪

蓝盾安全实验室

网络案件侦查及黑客追踪

?网络案件的侦查过程

?蓝盾网络侦查&黑客追踪系统

蓝盾安全实验室

第一部分

网络案件的侦查过程

?黑客攻击手法

?网络入侵的痕迹

?手工侦查过程

?手工侦查的难点

蓝盾安全实验室

一、黑客攻击手法

?扫描目标主机安全漏洞

?选择可利用的漏洞

?针对该漏洞入侵目标主机

?获取目标主机的访问权限

?

获取目标主机信息或控制目标主机蓝盾安全实验室扫描选择漏洞攻击获取权限

控制目标

一、黑客攻击手法

1、扫描

扫描过程会在日志系统中留下痕迹。

如：扫描web-iis的漏洞时将在IIS日志文件中留下记录。

扫描日志系统

蓝盾安全实验室

一、黑客攻击手法

2、攻击

黑客的攻击过程时也会留下痕迹。

如：

植入木马会在注册表、进程表中留下痕迹；

使用缓冲溢出漏洞时系统日志中会留下痕迹。

蓝盾安全实验室

一、黑客攻击手法

3、获取权限

黑客入侵成功后通常会在用户帐号系统中建立新帐号，或提升其他帐号的访问权限，因此在用户帐号中也可能留有入侵的痕迹。

蓝盾安全实验室

一、黑客攻击手法

4、控制

黑客在控制目标主机的过程中也会留下痕迹。

如：远程控制时在网络连接、网络通信内容中会留下痕迹。

蓝盾安全实验室

一、黑客攻击手法

5、隐藏攻击源真实地址的攻击手法

黑客通过一台或多台肉机来隐藏自己。蓝盾安全实验室攻击发起主机肉机

被攻击主机

二、网络入侵的痕迹

?系统日志—缓冲溢出等攻击可在此留下痕迹

?服务日志—对服务的攻击会在日志中留下痕迹?电子邮件—有的入侵是通过邮件载入木马的?COOKIES —可从COOKIE和历史文件中找出网页类攻击的痕迹

?系统进程—木马程序会在进程、端口及其库文

件中留下痕迹

?网络连接—在网络连接中可能找到黑客入侵痕

迹

蓝盾安全实验室

二、网络入侵的痕迹

?注册表—从中可以找到木马程序的痕迹

?命名管道—可能找到黑客使用的可疑管道

?内核—可能存在被入侵者改变的内核配置信息?用户信息—入侵者建立用户帐号时留下的痕迹?共享资源—入侵者建立共享连接时留下的痕迹?其他信息—在垃圾箱、程序组、注册服务等中

留下的入侵痕迹

蓝盾安全实验室

三、手工侦查过程

1、获取被入侵主机的日志、

进程、注册表等相关信息

2、从中找出所有与入侵行为

相关的信息

3、找出攻击源IP 地址

4、获取攻击源主机的日志、

进程、注册表等相关信息肉机？攻击发起者地址

被入侵主机分析日志等信息攻击源地址不是

是

蓝盾安全实验室

三、手工侦查过程

5、分析攻击源主机的日志、进程、注册表等相关信息

6、判断攻击源主机是否被控制（肉机）

7、如果是肉机，则找出控制源IP地址

8、如果不是肉机，则为攻击者真实地址

蓝盾安全实验室

四、手工侦查的难点

?需要侦查人员具备丰富的经验和网络安全知识

?难于从海量的信息中找出真实的入侵痕迹

?有的信息难于手工获取，如进程关联的端口、使用的库文件等

?对肉机难于控制, 如当肉机在境外时难于进一步追查?不能快速获取肉机的相关信息

?当入侵痕迹被破坏时难于进行侦查

被入侵主机肉机攻击发起主机

蓝盾安全实验室

第二部分

蓝盾网络侦查&黑客追踪系统?侦查分析子系统

?实时监控子系统

?网络陷阱子系统

?远程追踪子系统

蓝盾安全实验室

一、系统特点

?可分析信息面广、自动化程度高

?分析快速、准确可靠

?可扩充性强

?跨越平台广

?可识别入侵类型多

?人机界面友好，功能强大

蓝盾安全实验室

二、系统组成蓝盾安全实验室

侦查分析软件网络陷阱软件远程追踪软件

服务监控软件

三、侦查分析子系统

原理结构

蓝盾安全实验室

功能介绍

?入侵痕迹分析

?信息排序检索

蓝盾安全实验室

特点

?可识别多达1800多种攻击手法留下的痕迹

?可由用户自定义入侵痕迹规则

?可分析包括日志、进程等所有可能留下入侵痕迹的计算机信息

?可获取攻击源的IP地址、攻击时间、攻击效果等攻击行为信息

?可给出攻击行为的危害等级

?可给出攻击行为采用的攻击手法

蓝盾安全实验室