如何巧妙收集入侵Windows系统的证据

核心提示： 当调查计算机犯罪时，会发现很多潜在证据的来源，如何巧妙收集入侵Windows系统的证据(3)，不仅包括基于主机的日志记录，而且还包括网络的日志记录以及其它的传统形式，寻找未授权的用户帐号;使用usrstat浏览域控制器中的域帐号，寻找可疑的项目;使用Event Viecser检查安全日志，

当调查计算机犯罪时，会发现很多潜在证据的来源，不仅包括基于主机的日志记录，而且还包括网络的日志记录以及其它的传统形式，如指纹、证词和证人。大多数的网络流量在它经过的路径上都留下了监查踪迹。路由器、防火墙、服务器、IDS检测器及其它的网络设备都会保存日志，记录基于网络的突发事件。DHCP服务器会在PC请求IP租用时记录网络访问。现代的防火墙允许管理员在创建监查日志时有很多种粒度。IDS检测器可以根据签名识别或异常的检测过滤器来捕获一个攻击的一部分。基于网络的日志记录以多种形式存储，可能源自不同的操作系统，可能需要特殊的软件才能访问和读取，这些日志在地理上是分散的，而且常常对当前系统时间有严重错误的解释。调查人员的挑战就在于查找所有的日志，并使之关联起来。从不同系统获得地理上分散的日志、为每个日志维护保管链、重建基于网络的突发事件，这一切都需要消耗大量的时间和密集的资源。

2.检查相关文件、执行关键词搜索

Windows系统同时进行对很多文件的输入和输出，所以几乎所有发生在系统上的活动都会留下一些发生的痕迹。它有许多临时文件、高速缓存文件、一个跟踪最近使用文件的注册文件、一个保留删除文件的回收站和无数的存储运行时间资料的其它位置。

在调查知识产权或所有权、信息的所有权、性骚扰以及任何实际上包含基于文本通信的问题上，对目标硬盘驱动器执行字符串搜索是非常重要的。很多不同的关键词可能对调查非常重要，这些关键词包括用户ID、密码、敏感资料(代码字)、已知的文件名和具体的主题词。字符串搜索可以在逻辑文件结构上执行，也可以在物理层次上执行。

3.鉴定未授权的用户帐号或组、“流氓”进程

检查用户管理器，寻找未授权的用户帐号;使用usrstat浏览域控制器中的域帐号，寻找可疑的项目;使用Event Viecser检查安全日志，筛选出事件为添加新帐号、启用用户帐号、改变帐号组和改变用户帐号的项目。