如何巧妙收集入侵Windows系统的证据

核心提示： SID用于唯一地标识一个用户或一个组，每一个系统都有自己的标识符，如何巧妙收集入侵Windows系统的证据(5)，计算机标识府和用户标识符一起构成了SID.因此SID可以唯一地标识用户帐号，所以我们需要比较在受害机器上发现的SID和在中央认证机构记录的SID，监视加密通信并不是完全没用，因

SID用于唯一地标识一个用户或一个组。每一个系统都有自己的标识符。计算机标识府和用户标识符一起构成了SID.因此SID可以唯一地标识用户帐号。所以我们需要比较在受害机器上发现的SID和在中央认证机构记录的SID。

6.检查Scheduler Service运行的任务

攻击者常用的一个策略是让调度事件为他们打开后门程序、改变审核策略或者完成更险恶的事。比如删除文件。恶意的调度作业通常是用at或soon工具调度它们的。不带命令行参数的at命令可以显示任何已调度的作业。

7.分析信任关系

WINDOWS NT系统支持不可传递的或单向的信任。这意味着只能单方向提供访问和服务。即使你的NT PDC信任其它域，这个被信任的域也不需要信任你的PDC,因此被信任域中的用户能使用你所在域的服务，但是反过来就不行。WINDOWS 2000则支持可传递的信仰。

三、“隐形”证据的查找

由于攻击者的诡密性日益提高，他们还使用隐蔽信道的方法躲避检测。我们将隐蔽信道定义为所有秘密的、隐藏的、难以检测的通信方式。所有与此相关的证据称为“隐形”证据。

1.难以检测、回放的行为

所捕捉或被监视到的，但是还需要进行进一步详细检查才能识别出的那些未经授权的流量。这些行为包括诸如Loki 2.0 HTTP命令信道和邮件隧道效应等ICMP和UDP隐蔽信道。查找办法就是仔细检查所监视到的流量，提高鉴别能力。包括任何类型通信中的那些利用任何工具都不能按人们可读的方式显示或重构的各种行为。查看会话的最常见阻碍就是加密。更多的经验丰富的攻击者可以建立加密信道，使得网络监视失效。许多网络协议本质上就是难以回放的，X Windows通信、Netbus通信和其它传输大量图形信息的远程会话都是很难再现的。监视加密通信并不是完全没用，因为它可以证明在确定的IP地址之间没有进行通信。所需的证据就在于这些端点上。