最新公告
  • 欢迎您光临欧资源网,本站秉承服务宗旨 履行“站长”责任,销售只是起点 服务永无止境!立即加入我们
  • 各个人被杀后侦探会开始一系列的调查工作吗

    【51CTO.com专家专题】随着近年来计算机网络的飞速发展,各行各业的企业都依赖于计算机的应用。因此,各行业涉及计算机、局域网、互联网的高科技犯罪、商业诈骗、白领犯罪越来越多。因此mac在计算机网络中的定义,越来越多的咨询公司、商业调查机构、会计师事务所和私人调查公司开始从事计算机取证服务。国际上,军队、警察、海关、反腐败、金融、税务、律师、保险等部门是电子证据的主要应用部门。计算机取证的应用已成为一门专门的学科。

    计算机取证与现实生活中的侦探工作非常相似——当一个人被杀时,侦探开始一系列调查任务:首先,保护和隔离犯罪现场;然后,拍照和录音;最后,开始调查,收集和整理所有可以找到的证据。计算机取证分析的主要目的是尽可能忠实地恢复过去发生的事情。在取证过程中,事件发生的时间信息非常关键,在做出最终判断之前,可以关联各种可能的信息。在本文中,Leaf 分析了计算机取证中 MACtimes 的概念,并举例说明了犯罪分子如何使用相关工具修改 MACtimes 信息。

    MACtimes是什么?MACtimes是文件系统元数据记录,记录了文件的最后一次创建、修改、访问时间,分别称为“创建时间(ctime)”、“修改时间(mtime)”、“访问时间(atime)”分别。

    MACtimes中的mtime是指最后一次修改时间;atime是指最后一次访问时间;Ctime 是指最后一次状态变化的时间。MACtimes是数据侦察工具中最有价值的取证工具,用它来完成许多功能:研究网络或计算机被入侵的过程,了解系统的行为,为保护系统提供建议,跟踪用户的行为等因此,案件发生后,为了在电脑上获取相关证据,除了及时收集一些容易丢失的证据外,还可以使用MACtimes从正在运行的系统中获取信息,或者从硬盘中获取信息(通过挂载硬盘))。读取数据的机器不需要与产生 MACtimes 数据的机器具有相同的操作系统。

    mtime(修改时间)反映文件数据最后一次修改的时间。 write、trucate 和 mknod 等系统调用会改变 mtime。 Mtime属性只能记录上次修改文件内容的时间,不能记录上次修改文件内容的时间。当一些木马程序以动态库的形式注入系统进程时,会修改相关系统进程的Mtime时间属性。 ctime(更改时间)反映文件的inode结构最后一次更改的时间,以及文件创建时产生的时间信息。 atime(访问时间)反映文件数据最后一次访问的时间。当系统调用execve、read、mknode、utime、pipe等会修改atime。如果直接访问文件查看atime属性,它将是当前访问文件的时间属性。

    MACtimes虽然有用,但也存在一些问题:它只能记录文件的最后时间,因此无法了解文件或目录的历史行为。比如一个程序可以执行1000次,用MACtimes只能看到最后一条记录。MACtimes中的3次很容易被修改,很多是在用户不希望发生的时候发生的,比如一些误操作。另外,MACtimes也比较容易被伪造。WinNT 提供了 SetFileTime() 命令来修改 ctimes。

    为了最大限度地利用 MACtimes,最好将 MACtimes 与其他信息收集方法结合使用,例如:运行程序、进程统计、系统和程序日志、内核审计和一般审计等。

    在了解了计算机取证的MACtimes知识后,叶烨举了一个例子,在Windows平台上修改相关MACtimes的信息内容。首先从 Metasploit 网站的 Anti-Forensic 项目下载 Timestomp 工具,下载链接:. Timestomp工具用于Windows系统NTFS文件格式时间戳MAC时间的修改。

    ◆例如,当系统的system32目录下植入木马时,文件FNTCHCHE.DAT的相关MAC时间如下图所示。创建时间为2008年4月8日,修改时间为2008年5月20日。

    498)this.width=498;’ onmousewheel = ‘javascript:return big(this)’ alt=”” src=”http://new.51cto.com/files/uploadimg/20080708/1407400.gif” border=0>

    ͼ1

    ◆由于文件生成时间与当前时间比较接近,容易被有经验的管理人员发现。因此,需要使用 Timestomp 工具来修改时间。Timestomp 运行如下图所示。timestomp 工具可以修改文件的最后写入时间,以及最后访问时间、创建时间等功能。

    498)this.width=498;’ onmousewheel = ‘javascript:return big(this)’ alt=”” src=”http://new.51cto.com/files/uploadimg/20080708/1407401.gif” border=0>

    ͼ2

    ◆使用命令“timestomp targetfile.txt -m “Monday 12/15/2005 8:00:00 PM””修改最后修改时间信息。如下所示:

    mac在计算机网络中的定义_网络安全法对网络一词的定义_简述计算机病毒的定义

    498)this.width=498;’ onmousewheel = ‘javascript:return big(this)’ alt=”” src=”http://new.51cto.com/files/uploadimg/20080708/1407402.gif” border=0>

    ͼ3

    ◆查看文件的修改时间属性,已修改为2005年12月15日,如下图:

    498)this.width=498;’ onmousewheel = ‘javascript:return big(this)’ alt=”” src=”http://new.51cto.com/files/uploadimg/20080708/1407403.gif” border=0>

    ͼ4

    ◆复用工具修改创建时间等操作,如下图:

    498)this.width=498;’ onmousewheel = ‘javascript:return big(this)’ alt=”” src=”http://new.51cto.com/files/uploadimg/20080708/1407404.gif” border=0>

    ͼ5

    ◆修改文件时间属性中的创建时间和修改时间,如下图所示:

    498)this.width=498;’ onmousewheel = ‘javascript:return big(this)’ alt=”” src=”http://new.51cto.com/files/uploadimg/20080708/1407405.gif” border=0>

    ͼ6

    ◆修改了文件的创建时间和修改时间mac在计算机网络中的定义,增加了取证分析的难度。

    在本文档中,Integrity Network Security的叶子初步介绍了MACtimes的基本概念,并在Window系统上使用timestamp工具修改MACtimes的属性。至于Linux系统等系统上MACtimes属性的修改,以后会在其他文章中进一步分析和介绍。

    【51CTO.COM独家功能,需书面许可方可转载!】

    【相关文章】

    站内大部分资源收集于网络,若侵犯了您的合法权益,请联系我们删除!
    欧资源网 » 各个人被杀后侦探会开始一系列的调查工作吗

    常见问题FAQ

    免费下载或者VIP会员专享资源能否直接商用?
    本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 VIP介绍。
    提示下载完但解压或打开不了?
    最常见的情况是下载不完整: 可对比下载完压缩包的与网盘上的容量,若小于网盘提示的容量则是这个原因。这是浏览器下载的bug,建议用百度网盘软件或迅雷下载。若排除这种情况,可在对应资源底部留言,或 联络我们.。
    找不到素材资源介绍文章里的示例图片?
    对于PPT,KEY,Mockups,APP,网页模版等类型的素材,文章内用于介绍的图片通常并不包含在对应可供下载素材包内。这些相关商业图片需另外购买,且本站不负责(也没有办法)找到出处。 同样地一些字体文件也是这种情况,但部分素材会在素材包内有一份字体下载链接清单。
    欧资源网
    一个高级程序员模板开发平台

    发表评论