电子取证是指利用计算机软硬件技术,以符合法律规范的方式对计算机入侵、破坏、欺诈、攻击等犯罪行为进行证据获取、保存、分析和出示的过程。从技术方面看,计算机犯罪取证是一个对受侵计算机系统进行扫描和破解,对入侵事件进行重建的过程。具体而言,是指把计算机看作犯罪现场,运用先进的辨析技术,对计算机犯罪行为进行解剖,搜寻罪犯及其犯罪证据。
随着计算机犯罪个案数字不断上升和犯罪手段的数字化,搜集电子证据的工作成为提供重要线索及破案的关键。恢复已被破坏的计算机数据及提供相关的电子资料证据就是电子取证。
本文针对信息安全铁人三项网络流量数据包样题分析。
样题已经下载下来了
这些数据包的题目是
首先从题目来判断,对网站管理系统做了暴力破解,并且获得了管理员权限,还下载了重要文件。我们由此判断先从HTTP协议入手进行分析。首先打开数据包:
然后我们使用Wireshark的筛选器对HTTP协议进行筛选
我们对数据包进行筛选之后发现URL存在敏感词汇admin login等字符 初步判断对后台进行暴力破解
然后我们对数据包的内容进行分析查看发现确实是暴力猜解 账户名与密码、验证码
我们重新设置了筛选器的规则 对目标地址与源地址进行筛选并筛选HTTP协议
然后对数据包筛选之后通过对信息的分析login admin 等关键url 经验之谈。 然后追踪TCP流我们发现有登陆成功字样(要将编码转换为TTF-8)确认了黑客获取到的账户名是root 密码123456
针对第三个问题黑客修改了什么问题,我在第一个数据包中并没有找到关键信息,于是打开了第二个数据包进行过滤筛选IP地址与HTTP协议发现一些针对敏感url的操作 file edit_file 等敏感词汇于是我对其进行了追踪TCP流
从具体的信息查看我们发现黑客操作的文件应该是 index.php
黑客使用菜刀连接的地址与密码在第三个数据包被我发现了,这里的思路主要还是对数据包进行过滤与对url分析还有就是提交方式,这个POST请求十分可疑,并在其中发现了Value: @eval\001(base64_decode($_POST[z0]));字样判断这是一句话木马。菜刀链接的密码就是z0。
操作的第一个目录我们从请求中可以看到一串base64加密,于是我们解密后发现操作的目录是/var/www/html/
总结:数据分析取证是一个细致的过程,需要你善于发现,沉稳的来看待问题。并且要掌握一定的计算机网络知识与wireshark的使用技巧。