网络入侵案件的侦查与分析方法研究

网络入侵型案件的侦查与取证工作较为复杂,涉及网站架构、日志分析、恶意代码分析等多种知识。办理此类型案件时,采用合适的侦查与分析方法,可以提高破案率与侦办效率。总结提出了网络入侵型案件的侦查思路与分析方法,将传统的入侵线索侦查与木马逆向分析相结合,结合实战案例,对网站的源代码文件与网站服务器日志文件进行分析,成功定位入侵者植入在网站源文件中的木马程序,并利用逆向分析的方法确定木马程序的功能,对此类案件的侦查与取证工作具有借鉴作用。     

Windows下基于主机的安全日志服务器

越来越多的计算机犯罪需要进行电子取证,安全日志服务器在针对电子犯罪的监控、审计以及取证活动中发挥了重要作用。主机日志在电子取证以及入侵检测中有着不可替代的作用,通过深入分析主机日志可以发现系统的异常行为并记录下来作为日后的电子证据或进行实时的入侵检测分析。该文简要介绍了安全日志服务器系统的发展背景,分析了主机日志的构成,主机日志在计算机安全领域中的应用,详述了对主机日志信息的处理并给出了基于主机日志的安全系统的结构搭建。     

日志关联分析技术在计算机取证中的应用研究

日志文件是计算机取证的重要依据.分析现有日志取证技术的不足,提出基于日志关联分析的计算机取证模型,通过对犯罪入侵事件特征和序列的关联分析,提取犯罪入侵证据.     

微软ⅡS4.0／ⅡS5.0网站服务器防止入侵策略（2）

上期我们介绍了防止入侵策略一:防火墙无法防止网站服务器软件的漏洞;策略二:养成每日查看、分析网站记录文件及事件日志的习惯。本文我们继续介绍防止入侵策略三:删除或修改安装在IIS网站服务器的默认服务;防止入侵策略四:重新指定网站主目录的磁盘路径。     

一个日志完整性检测方法

通常入侵者在成功控制系统后会试图更改日志文件以消除入侵痕迹,隐藏入侵行为。为 了防止入侵者隐藏其入侵行为,提出了一个日志完整性检测方法,对日志的完整性进行检测,使得入 侵者不能不被发现地更改系统被其控制以前在日志文件中写入的记录,进而提供保护。并在日志完 整性受到破坏时,给出一个可信任日志记录集合以供其他程序使用。     

服务器日志玩儿“躲猫猫”

众所周知,日志文件就是服务器操作系统运行的日记,它能按照既定的设置来记录所发生的事件,包括应用程序日志、安全日志和系统日志三类,分别对应于AppEvent.Evt、SecEvent.Evt和SysEvent.Evt三个日志文件。在Windows2000服务器中,这些日志文件默认是存放于C:\WINNT\system32\config文件夹中的。当操作系统系统发生一些大大小小的故障时,有经验的网管就会从这些日志文件中找到一些蛛丝马迹,特别是一些与安全相关的网络入侵证据(比如黑客入侵时的出发IP地址或是登录账号等信息)。不过话又说回来,许多稍有些头脑的黑客也是深知这一点的,因此为防止被抓住入侵的把柄,很多情况下他们在撤退时使用工具或直接手工来清除所有的日志内容(这样的行为俗称擦脚印或擦PP),甚至是事先制作一份假日志文件再上传至config文件夹中以达到鱼目混珠的上的。因此,对于日志文件的保护工作必须要慎重,其中比较可行的简易方法是与黑客玩儿一下躲猫猫,也就是让日志文件撤离其默认的窝,躲藏到黑客所想不到的地方去!     

一种基于日志关联分析的取证模型

日志文件是计算机获取电子证据的重要资源.文章基于现有日志取证系统片面取证并且未考虑日志信息的安全性的不足,提出了基于日志关联分析的取证模型,通过事件特征关联、事件时间序列关联和事件空间序列关联各网络安全设备和应用程序的日志信息,把各种日志信息进行综合关联分析,使得到的取证结果更可靠、公正和客观.     

网络入侵分析与数字证据的研究

文章介绍了网络入侵和计算机取证的概念,描述了数字调查人员能够利用和处理的日志文件、状态表和其他同网络层和传输层有关的数据,最后将整个Internet作为证据源来讨论,解决了一些关键难题.     

一种有效支持计算机取证的审计机制研究

审计机制是获取原始证据的一种主要途径，针对目前访问控制模型在审计机制设计中的不足，采用Malkov链对主体访问客体的行为进行建模及预测，确定某次访问时主体的可疑程度，并根据可疑程度决定将原始证据写入不同等级的日志文件。按照这种方法生成的日志文件，能有效减小证据存储所需要的空间，缩短取证时间。     

系统日志的安全管理方案与分析处理策略

系统中的各类日志文件作为系统和网络用户行为的记录管理者，对及早发现入侵行为、恢复系统、统计系统资源使用状况和为打击计算机犯罪提供电子物证有着极其重要的作 用。因此，保护系统日志安全，不被内部用户或外部入侵者修改或删除显得尤为重要。但是，我们在制定网络信息安全策略时往往忽视系统日志安全，基本上还没有形成一套 套比较合理的系统日志安全管理方法。本文讨论了对各类系统日志文件进行集中式统一管理的问题，提出了对日志文件处理分析和完整性加密保护的办法，最后提出了相应的日志管理策略。     

Linux下木马技术研究

木马技术是网络安全的重要方面,也是网络攻防中获取信息的重要途径。从本质上讲,木马就是一个网络服务程序,由客户端进行控制,来执行某些特定的命令。但是由于其应用场合的特殊性,使得木马的设计实现在很多方面有别于普通的服务程序,其中最主要的是隐藏技术、控制手段和信息获取等三方面,本文将从这些方面着重讨论Linux环境下的木马技术。     

特洛伊木马隐藏技术分析

文章首先介绍了木马的定义,概括了木马的特征—隐蔽性、欺骗性、自启动性和自动恢复性,并简单介绍了木马的结构和功能。随后,从文件隐藏、进程隐藏、通信隐藏、芯片隐藏四个方面介绍了木马的隐藏技术,最后展望了木马技术的发展趋势。     

木马伪装技术的研究与仿真

基于当前网络安全的这种现状,我们究了当今网络上木马传播的手段和途径,并利用Vc＋＋6．0与MFC的有效结合,仿真木马常用的几种伪装技术,设计并实现了若干种木马伪装的手段：可执行文件与图片的捆绑伪装,可执行文件与．DOC文件的捆绑伪装,利用IE Dbject Data漏洞的网页进行可执行文件的传播。针对上述研究成果,描述了木马伪装的基本方法和原理,并介绍了木马伪装手段的设计与实现。     

特洛伊木马防范技术探析

特洛伊木马作为黑客常用的一种攻击工具,对计算机网络安全构成严重威胁。深入地研究木马技术,对防范木马攻击具有重要意义。本文介绍了木马的定义和功能及其工作原理,重点分析了木马的种植方式和隐藏技术,并对木马攻击提出了相应的清除方法和防范措施。     

四步做好网站安全工作

随着木马的猖獗,网站挂马现象日益严重。该文从实例出发,分别从服务器安全、网站文件夹安全、数据库安全和程序安全四个方面讲解了加强网站安全的基本步骤。     

基于BLP模型的摆渡木马防御技术的研究

分析了摆渡木马的工作原理和特点,提出了控制数据从计算机流向移动存储介质的解决方法。根据BLP模型的基本思想,提出了基于BLP模型的摆渡木马防御方案。在该方案中,根据内网或计算机中文件的重要程度,将文件分成不同等级;将用户对文件的访问权限也分成相应的不同等级;当用户对文件进行访问时,通过比较权限等级和文件等级来决定是否能读或写,读或写采用＂下读上写＂的策略。由于把移动存储介质的级别设为最低,所以该方案能有效的防止摆渡木马。     

特洛伊木马隐藏技术研究及实践

特洛伊木马作为一种计算机网络病毒,它对网络环境中计算机信息资源所构成的危害远大于其它病毒。深入地研究木马技术,对防范木马攻击,减少网络破坏有重要的意义。隐藏技术是木马的关键技术之一,其直接决定木马的生存能力。文章从本地隐藏、通信隐藏和协同隐藏等方面归纳研究木马的隐藏技术,并对协同隐藏思想作了进一步研究,提出两种基于协同隐藏思想的新型木马结构:多线程结构和多对多结构。通过实验结果分析,其木马原型体现了协同隐藏的思想,提高了木马整体反检测和反查杀能力。     

一种改进的应用网关防火墙系统

介绍了传统防火墙的技术特点,分析了现有防火墙技术在保障网络安全方面的不足,针对目前网上邮件病毒泛滥,下载程序中的特洛依木马,以及网页上有害的ActiveX代码等,提出了一种改进的应用网关防火墙技术思想,在防火墙一层实现查毒、杀毒功能,最终达到将各类病毒阻挡在防火墙之外的目的。     

基于LAMP平台的网站构建与分析

伴随着互联网应用及黑客技术的快速发展,网站挂马及基于网站发布虚假敏感信息等事件也层出不穷。文章简要介绍了基于LAMP平台的PHPBB论坛网站的构建方法,并详细分析了LAMP平台的关键目录结构、配置文件、运行进程等。通过在实验环境下模拟发布虚假信息及对网站进行挂马攻击,在数据库和Apache访问日志中查找网站服务器的运行痕迹,提出了在LAMP平台追踪定位恶意IP地址的具体方法。     

木马的一些底层编程原理

针对网络上木马泛滥的现状,结合主流操作系统的发展和变迁,概述木马的发展过程,并分析木马的基本运行原理。结合TCP／IP协议和Windows的内部运行原理,以套接字和钩子函数的编程知识为基础,剖析木马编程所涉及到的一些底层编程原理,着重分析客户机／服务器型木马。并详细分析主机感染木马以后,所表现出的症状与这些底层编程原理的联系,可以作为检测木马的依据。最后概述木马的发展现状和未来的发展趋势。