Windows平臺下的監(jiān)控取證技術

Windows平臺下的監(jiān)控取證技術作者：泉哥主頁：前言監(jiān)控取證技術大多被國家政府公安部門采用的技術，主要用于針對計算機犯罪而進行取證，以此確保人民信息安全。當然對于我們一般的平民，掌握一定的取證技術也可以很好采取反監(jiān)控技術，以防止我們的個人隱私泄露，造成不必要的損失。但監(jiān)控取證技術的范圍很廣，本專題主要針對windows平臺下的監(jiān)控取證技術進行簡要分析，希望大家能有所得。一.NTFS屬性NTFS(NewTechnologyFileSystem)是WindowsNT操作環(huán)境和WindowsNT高級服務器網絡操作系統(tǒng)環(huán)境的文件系統(tǒng).NTFS的目標是提供：可靠性，通過可恢復能力(事件跟蹤)和熱定位的容錯特征實現(xiàn)；增加功能性的一個平臺；對POSIX需求的支持；消除FAT和HPFS文件系統(tǒng)中的限制。NTFS提供長文件名、數(shù)據(jù)保護和恢復，并通過目錄和文件許可實現(xiàn)安全性。NTFS支持大硬盤和在多個硬盤上存儲文件(稱為跨越分區(qū))。例如，一個大公司的數(shù)據(jù)庫可能大得必須跨越不同的硬盤。NTFS提供內置安全性特征，它控制文件的隸屬關系和訪問。從DOS或其他操作系統(tǒng)上不能直接訪問NTFS分區(qū)上的文件。如果要在DOS下讀寫NTFS分區(qū)文件的話可以借助第三方軟件；現(xiàn)如今，Linux系統(tǒng)上已可以使用NTFS-3G進行對NTFS分區(qū)的完美讀寫，不必擔心數(shù)據(jù)丟失。這是WindowsNT安全性系統(tǒng)的一部分，但是，只有在使用NTFS時才是這樣。說白了，NTFS就是一種文件系統(tǒng)，而非文件格式，F(xiàn)AT16，F(xiàn)AT32均是如此。你查看一下磁盤的屬性就可查看是何種文件系統(tǒng)了，如圖1：

圖1在NTFS文件系統(tǒng)中，文件亦是按簇進行分配的，文件通過主文件表MFT（MasterFileTable）來確定其在磁盤上的存儲位置、大小、屬性等信息。每個文件都有一個文件記錄（FileRecord)數(shù)據(jù)結構,其中第一個記錄就是MFT自己本身。MFT結構如圖2，3所示：

圖2

圖3關于MFT更詳細的資料可參考《NTFS中的$MFT詳解》一文：/sc_wolf/blog/item/e3f6d35cb063b345faf2c05b.html下面是FILE

Record的結構：

Offset

Size

Description

0x00

4

Magic

number

'FILE'

//標志，一定是“FILE”

0x04

2

Offset

to

the

update

sequence

//更新序列US的偏移

0x06

2

Size

in

words

of

Update

Sequence

Number

&

Array

(S)

//更新序列號USN的大小與數(shù)組，包括第一個字節(jié)

0x08

8

$LogFile

Sequence

Number

(LSN)

//

日志文件序列號LSN

0x10

2

Sequence

number

//序列號（SN）

0x12

2

Hard

link

count

//硬連接數(shù)

0x14

2

Offset

to

Update

Sequence

Array

//

第一個屬性的偏移地址

0x16

2

Flags

//標志，1表示記錄正在使用，2表示該記錄為目錄

0x18

4

Real

size

of

the

FILE

record

//記錄頭和屬性的總長度，即文件記錄的實際長度

0x1C

4

Allocated

size

of

the

FILE

record

//總共分配給記錄的長度

0x20

8

File

reference

to

the

base

FILE

record

//基本文件記錄中的文件索引號

0x28

2

Next

Attribute

Id

//下一屬性ID

0x2A

2

Align

to

4

byte

boundary

//XP中使用，邊界

0x2C

4

Number

of

this

MFT

Record

//XP中使用，本文件記錄號

2

Update

Sequence

Number

(a)

//更新序列號，大小為2B，是為了保證該扇區(qū)是否正確，以扇區(qū)的最后兩個字節(jié)與該值比較，如果一樣，則說明該扇區(qū)是正確的，否則就是有問題。

2S-2

Update

Sequence

Array

(a)

//更新序列數(shù)組，大小一般為2*2B=4B，如果該扇區(qū)正確，在解析的時候，則將該數(shù)組中的兩個2B大小的數(shù)字依次復制到該File

Record所在的兩個扇區(qū)的最后兩個字節(jié)。

在日志文件$LogFile中包含有所有文件系統(tǒng)操作日志,刪除文件會在$LogFile中留有記錄，因此找到一些不在磁盤上的文件是完全有可能的，在$LogFile上還可以找到一些被系統(tǒng)調用過的文件。在NTFS中包含有四個時間戳:創(chuàng)建時間，最后訪問時間，最后寫入時間以及最后修改時間，因此能過它我們可以查看我們的秘密文件是否被復制，查看等操作。剛好這里在網上找到一篇關于NTFS分區(qū)格式化數(shù)據(jù)恢復的文件，有興趣的可以看下：NTFS分區(qū)格式化后用WINHEX手工提取數(shù)據(jù)：/html/44/t-46244.html二．注冊文件注冊文件*.reg文件是一種注冊表腳本文件,通過它將數(shù)據(jù)導入注冊表中,以此來操作注冊表，因此在該文件中包含有各類軟件、硬件、用戶的相關信息及設置。在注冊表包含有一組主鍵或根鍵（HKEY）、鍵（key）、子鍵(subkey)、鍵值(value),通過它可以進行數(shù)據(jù)備份。在win98中，注冊文件命名為user.dat與system.dat；在windowsmillenniumedition中則為classes.dat,user.dat和system.dat;而在2000\xp及vista中是在C:\windows\system32\config文件。通過查看備份的數(shù)據(jù)可以獲得一些已刪除文件或程序的相關信息，對于取證有一定的幫助。另外能過注冊表還可以用于確定用戶進行了哪些操作，比如攻擊者經常要運行一些指令，而且經常是通過啟動->運行……然后輸入需要運行的程序名，接著啟動程序或指令。而在windows中就記錄了大部分注冊表中當前用戶通過該方式執(zhí)行的最近26條指令，只需查看HKCU、Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU這里舉個實例，先用啟動->運行->輸入regedit,然后查看以上鍵值，結果如圖4所示：

圖4另外還有一個地方可以用來查看當前用戶最近打開的文件名：HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs如圖5所示：

圖5除此之外，還有hkcu\software\microsoft\internetexplorer\typedurls可以查看所有IE中URL，hkcu\software\realvnc\vncviewer4\mru可以查看黑客進入到的系統(tǒng)的歷史記錄。在《miningdigitalevidenceinmicrosoftwindows》一文中提到注冊表中包含下列事件：systemanduser-specificsettingsUserAssistMuiCache

MRULists

ProgramsCacheStreamMRUShellbagsUsbstor

IEpasswordsandmanymore!三.預讀取文件prefetchfile（*.pf）MS在WinXP以后的操作系統(tǒng)中加入了預讀取文件的功能，用于提高系統(tǒng)啟動，程序加載及文件讀取的速度。通過緩存正在被使用的程序，可以幫助系統(tǒng)分配用戶可能即將訪問的系統(tǒng)資源，以此來提高訪問速度。預讀取文件保存在c:\windows\Prefetch目錄中，每個應用程序都會在Prefetch目錄中留下相應的預讀取文件,預讀取文件描述了應用程序或系統(tǒng)啟動時各個模塊的裝載順序,其命名方式是以應用程序的可執(zhí)行文件名為基礎,加上一個"-"和描述執(zhí)行文件完整路徑的十六進制值,再加上文件擴展名PF構成的,例如opera.exe-0065A2A1.pf.不過，windowsXP啟動的預讀取文件總是同一個名稱，即NTOSBOOT-B00DFAAD.PF，其中包含著啟動時載入文件的記錄。預讀取文件的功能可能過修改注冊表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\MemoryManagement\PrefetchParameters來設置，如圖6

圖6可修改EnablePrefetcher的“DWORD”值為：“0”——取消預讀取功能；

“1”——系統(tǒng)將只預讀取應用程序；

“2”——系統(tǒng)將只預讀取Windows系統(tǒng)文件，此為WindowsXP/Server2003的默認設置；

“3”——系統(tǒng)將預讀取Windows系統(tǒng)文件和應用程序。

預讀取文件的分析可借助WFA（windowsfileanalyzer）來進行，如圖7所示：

圖7通過上圖可知，*.pf文件中包含程序的最新訪問時間，嵌入數(shù)據(jù)的時間，運行次數(shù)及文件路徑hash值等信息。四.后臺打印文件(printspoolerfile)在打印作業(yè)完成之后，會在C:\Winnt\System32\Spool\Printers目錄中留下幾個SPL和SHD文件。SPL文件是實際的后臺打?。ù蛴∽鳂I(yè)）文件。

SHD文件提供有關的打印機打印作業(yè)已發(fā)送與其打印作業(yè)一起提供的信息。一個SHD文件是"影子"文件跟蹤的哪些邏輯打印機（同一號碼）xxxxx.spl文件轉到。它還包含隊列，發(fā)送該的打印機和其他信息的文件在用戶中的文件的順序。除非邏輯打印機設置否則狀態(tài)，通常會刪除這些文件.可以通過Splview.exe（）來查看這類文件的元數(shù)據(jù)，如圖8所示:

圖8也可通過EMFSpoolviewer（/dotnet/EMFSpoolViewer/EMFSpoolViewer.zip）來查看實際的后臺打印工作，如圖9所示：

圖9五.info2文件info2文件中記錄著每個被刪除后放入回收站的文件的相應信息,比如驅動器指示器dirvedesignator

,原刪除文件的完整文件名，文件大小，存放的位置（路徑）以及文件被移到回收站的時間。當一文件被移動到回收站時，該文件被重命名為：D%DriveLetter%_%IndexNumber%_%FileExtension%.

D%DriveLetter%:“D”代表Drive，%DriveLetter%為文件放置的磁盤，第一磁盤均有其自已的Recycler目錄以及info2文件。

%IndexNumber%:每一被放入回收站的文件或文件夾均會被分配一索引號，用來標記刪除次序，索引號越大，說明越晚刪除。但當加收站清空或系統(tǒng)重啟時，索引號將會從新開始分配。

%FileExtension%:

原始文件的擴展名。當一文件夾被刪除時，它將沒有擴展名。例如：一個文件名為hacker.txt被刪除而放入回收站后，該文件將會被重命名為Dc2.txt，文件入口可在C:\Recycler\%SID%\INFO2文件中找到。關于INFO2文件結構可參考下圖(來源：)：

圖10六.thumbs.db文件thumbs.db文件是用于緩存文件中的縮略圖，以提高圖片的讀取速度，它保存在每個包含圖片的目錄中，里面保存了這個目錄下所有圖像文件的縮略圖(格式為jpeg)，相當于一個縮略圖數(shù)據(jù)庫，當以縮略圖查看圖片時，就會生成一個Thumbs.db文件。OLE（ObjectLinkingandEmbedding：對象連接與嵌入，是在一個文件或一個程序中能夠包含多種不同數(shù)據(jù)格式的數(shù)據(jù)內容而產生的）就在thumbs.db文件中嵌入當前數(shù)據(jù)。在一些情況下，當圖片從目錄中被刪除后，圖片仍然保存在thumbs.db緩存中，因此該文件也存在一定的安全風險。下面引用百度百科上的一個例子：比如當你上傳電腦的數(shù)碼相片，在查看時，刪除了其中的一張“SSA2501”，再將其后的“SSA2502”改成了“SSA2501”，看，“SSA2502”的照片立刻換成了“SSA2501”的照片，不只是名字換了，照片也變了。如果再將“SSA2503”的名字重命名成“SSA2502”，奇跡發(fā)生了，原來的“SSA2502”照片又回來了，“SSA2503”的照片不見了！在WindowsXP/2003中，用戶可以通過以下操作來關閉它，如圖11所示：

1.打開工具欄——文件夾選項

2.點擊查看

3.打勾，不緩存縮略圖

4.確定

圖11

但在windowsvista中,微軟取消了thumbs.db文件，而是使用把縮略圖數(shù)據(jù)庫"thumbcache_xxxx.db"文件集中保存于\Users\[username]\AppData\Local\Microsoft\Windows\Explorer該目錄中。

如果你想查看thumbs.db文件中緩存的圖片，那么可以借助windowsfileanalyzer來查看，如圖12所示：

圖12接下來直接點“saveimage”保存圖片即可。也可采用司法分析軟件FTK進行查看，如圖13所示：

圖13七.日志文件（*.evt）windows系統(tǒng)中的日志文件提供了系統(tǒng)中發(fā)生的重要事件，再結合注冊表數(shù)據(jù)可用于追蹤之前發(fā)生的系統(tǒng)事件，它主要有三種形式：應用程序，系統(tǒng)，安全性，通過打開開始菜單>運行,輸入Eventvwr.msc或打開開始>控制面版>管理工具>事件查看器即可查看相關的日志文件，如圖14所示：

圖14本文我是在網吧寫，開始里面作了限制，不能打開運行，因此寫了一個內容為cmd.exe的批處理文件1.bat，打開運行進入dos后，輸入Eventvwr.msc亦可打開事件查看器。通過查看日志文件，我們可以知曉：1.失敗的登陸嘗試，2.成功的權限提升嘗試，3.更改系統(tǒng)時間，4.突破登陸時間限制，5.登陸/退出時間，6.成功/失敗的對象訪問。默認情況下，windows的安全設置是不支持日志文件，另外，可惜的是，日志文件只記錄NetbiosName，而不記錄IP地址。八.網絡歷史文件網絡瀏覽器將用戶瀏覽過的站點及圖片，還有cookie文件等保存在硬盤上，對于調查用戶的網站瀏覽行為提供幫助，如圖1所示：

圖15圖15是IE瀏覽器保存在硬盤上的歷史文件，不同的瀏覽器保存的歷史文件路徑不一樣，但騰訊TT瀏覽器與IE是共用歷史文件的，因此路徑也是一樣。我們也可以通過一些閱讀工具來讀取這些網絡歷史文件，比如：Encase,NetAnalysis,WebHistorian。通過IE的歷史文件我們就可以獲得用戶瀏覽過的站點，cookie以及相關的臨時文件。如果我們能夠竊取cookie文件，我們就可以獲得用戶的登陸權限了。九.快捷方式文件(*.lnk)快捷方式文件(*.lnk)用于鏈接到目標文件的一種文件,目標文件可為應用程序,目錄,文檔或者數(shù)據(jù)文件,在link文件中包含有目標文件的各種屬性:

*

目標文件的完整路徑

*

目標文件或者目錄所在的卷標(volumelabel)和卷序列號(volumeserialnumber),這些將有利于將文件連接到一唯一的卷(volume)

*

文件大小(bytes)

*

目標文件的MAC時間戳

*

媒體類型(如圖1)

*

工作目錄

*

MAC地址

*

遠程共享文件名

圖16快捷方式文件的整體結構如圖17所示:

圖17關于該文件更為詳細的資料可參考此文(Windows快捷方式文件格式解析):/document/viewdoc/?id=1411link文件可在未分配的集群(clusters)與交換(swap)內存空間找到.我們也可借助相關工具來讀取link文件所包含的信息,比如EncaselinkparserEnScript和WindowsFileAnalyzer,如圖18所示:

圖18十.系統(tǒng)還原點(SystemRestorePoint)

系統(tǒng)還原是Windows操作系統(tǒng)默認的一個功能，它用來幫助你恢復你的電腦到預設的狀態(tài)，同時不會丟失你的數(shù)據(jù)文件,可通過“開始-程序-附件-系統(tǒng)工具-系統(tǒng)還原”來建立系統(tǒng)還原點,如果你選擇系統(tǒng)還原，你就可以看到最新的系統(tǒng)還原點了.

關于系統(tǒng)還原更多的資料可參考下面兩篇文章：《windowsvista系統(tǒng)還原專題》:/2007-05/117852074823533.html《windowsxpProfessional系統(tǒng)恢復淺談》：/china/community/program/originalarticles/techdoc/WinxpSys.mspxrp.log文件是存儲在還原點(RestorePoint)目錄的日志文件，設置系統(tǒng)還原點后，就會生成該文件。通過rp.log文件，我們可以獲得以下信息：*

還原點類型（APPLICATION_INSTALL，CANCELLED_OPERATION……）*

還原點創(chuàng)建事件的名稱（i.e，應用程序或設備驅動程序安裝/卸載等）*

通過64-bitFILETIMEobject可取得還原點的創(chuàng)建時間

CHANGE.LOG.x文件（x為一數(shù)字）是系統(tǒng)還原所用的一個記錄文件是系統(tǒng)更改日志，通過它我們可以獲得以下信息：*

當系統(tǒng)記錄發(fā)生更改時，原始文件名會連同一序列號及其它信息（比如：記錄更改類型：文件刪除，屬性更改或內容更改等）存入change.log文件中*

有時整個文件可能被保存（Axxxxxx.ext格式）

通過還原點，我們可以獲得以下信息：*

應用程序的安裝或卸載*

系統(tǒng)時間更改*

刪除/卸載的應用程序的碎片*

被刪除的文件的碎片*

曾被訪問過的文件跡象十一.P2P軟件調查取證

P2P（pointtopoint）即點對點的意思，當一臺主機從其它服務器下載文件時，它作為客戶端；當其它主機從它機上下載文件時，它就作為服務端，像BT,eMule,PPLive等均為P2P軟件，本文主要以BT為例來講解P2P軟件的調查取證，其它P2P軟件的取證可以此為參考。P2P軟件調查取證的主要目的是為了查找不良信息或危害言論的傳染源，以及時切斷傳染源，防止其繼續(xù)傳播并追究相關人員的法律責任。BT的運行原理我們需要先從WEB服務器上下載種子文件*.torrent，該文件中包含tracker服務端地址列表以及下載文件的哈希值，通過種子文件中的服務端地址，我們就可以向其發(fā)送以下載文件名哈希值為參數(shù)的HTTPget請求，服務端再查找種子列表，提供各下載服務器地址給我們，我們就可以從這些服務器上下載文件片段了。種子文件格式：

BT種子文件使用了一種叫bencoding的編碼方法來保存數(shù)據(jù)。

bencoding現(xiàn)有四種類型的數(shù)據(jù)：srings(字符串)，integers(整數(shù))，lists(列表)，dictionaries(字典)

整個文件為一個字典結構,包含如下關鍵字:

announce:tracker服務器的URL(字符串)

announce-list(可選):備用tracker服務器列表(列表)

creationdate(可選):種子創(chuàng)建的時間，Unix標準時間格式，從19701月1日00:00:00到創(chuàng)建時間的秒數(shù)(整數(shù))

comment(可選):備注(字符串)

createdby(可選):創(chuàng)建人或創(chuàng)建程序的信息(字符串)

info:一個字典結構，包含文件的主要信息，為分二種情況：單文件結構或多文件結構

單文件結構如下：

length:文件長度，單位字節(jié)(整數(shù))

md5sum(可選)：長32個字符的文件的MD5校驗和，BT不使用這個值，只是為了兼容一些程序所保留!(字符串)

name:文件名(字符串)

piecelength:每個塊的大小，單位字節(jié)(整數(shù))

pieces:每個塊的20個字節(jié)的SHA1Hash的值(二進制格式)

多文件結構如下：

files:一個字典結構

length:文件長度，單位字節(jié)(整數(shù))

md5sum(可選):同單文件結構中相同

pat