如何巧妙收集入侵Windows系统的证据

鉴定检查一个运行系统时，鉴定“流氓”进程是非常简单的。因为大部分“流氓”进程都要监听网络连接或探测网络以获得纯文本的用户ID和密码，这些进程很容易在执行过程中被发现。plist命令将列出正在运行的进程，listdlls将提供每个运行中进程的完整的命令行参数，fport将显示监听的进程以及他们所监听得到端口。对于未运行的系统上“流氓”进程，方法是在证据的整个逻辑卷内使用最新的病毒扫描程序进行扫描。如果选择在还原映象的文件系统上运行病毒检查工具，必须保证这个卷是只读的。

4.寻找隐藏文件和恢复被删除文件

所有的坏人都想隐藏一些事情，他们采取这样的办法：一旦一个内部攻击者选择在他的系统上执行未授权或不受欢迎的任务，他可能会让一些文件不可见。这些攻击者可能利用NTFS文件流，在合法文件后隐藏资料。还有可能改变文件的扩展名或特意将文件名命为重要系统文件的名字，最后还可以把文件删除。

我们知道被删除的文件并不是真正被删除了，它们只是被标记为删除。这就意味着这些文件仍保存完好，直到新数据的写入覆盖了这些被删除文文件所在硬盘驱动器的物理空间。也就是说越早尝试，恢复一个文件成功的机会就越大。File Scavenger甚至可能在硬盘被重新格式化后还能进行恢复。

5.检查未授权的访问点和安全标识符SID

当检查到一个受害系统时，必须鉴别系统的访问点以确定进行访问的方式，一些工具都是鉴别系统访问点的重要工具，它们使用API调用以读取内核及用户空间的TCP和UDP连接表的内容。如果想捕获这一信息，需要允许通过还原映象引导系统。如果想在检查运行系统时完成这一步，则要在关闭系统以进行映象之前，比较这两个操作的结果，它们的差异表明存在未授权的后台程序。