基本计算机取证指南

出处：TechNet Magazine 作者：Tom Cloward and Frank Simorjay 时间：2008-5-23 11:55:08

概览:

Windows 基础计算机调查指南
恶意软件删除初学者工具包
使用 Windows PE 创建调查工具包
保留取证分析信息

恶意人员可以通过无数种方法使用计算机进行非法活动 — 攻击系统、泄露商业秘密、释放新病毒以及使用仿冒网页和欺诈邮件窃取个人信息等。我们不时听说有新型攻击

和技俩出现，但关于使用计算机调查这些活动的方法，听说的就比较少了。

尽管某些调查需要经过培训的高级专业人员使用昂贵的工具和复杂的技术才能完成，但您仍然可以使用相对简单、低成本的方法进行基本的调查和分析。在本文中，我们将重点介绍可供主流管理员轻松访问的计算机取证技术。

我们的介绍基于以下两个可免费下载的解决方案加速器：“Windows 基础计算机调查指南”（go.microsoft.com/fwlink/?LinkId=80344）和恶意软件删除初学者工具包（go.microsoft.com/fwlink/?LinkId=93103）。在本文中，我们将向您介绍如何结合使用上述两个解决方案来构建可引导的 Windows® PE 环境，您可以在该环境中进行有效的调查，并保留查找结果以供报告和分析使用。请注意，使用此处介绍的方法并不能调查已加密或属于 RAID 卷的硬盘。如果硬盘损坏，则需要提前执行其他步骤还原该硬盘的状态。

尽管我们的解决方案详细介绍了从基于 Windows 的计算机收集证据的简单方法，但这只是一个非正式的基本方法。市面上提供了几种比较复杂的解决方案，这些商用方案能够以更有效的方式执行此处列出的任务。

还要记住，我们此处介绍的技术既不保证是规范的解决方案，也未经国际计算机取证鉴识人员协会认证。在进行调查前，应先考虑硬盘上的证据是否可能成为法律诉讼程序的一部分。如果存在这种可能性，则应有经过专业认证的计算机鉴识人员参与调查。还必须根据任何可能的法律诉讼程序的性质，考虑是否直接将调查移交给执法人员。“Windows 基础计算机调查指南”包含有关此主题的更多信息。

关于解决方案加速器

“Windows 基础计算机调查指南”介绍了进行内部计算机调查时所采用的过程和工具。该指南列出了计算机调查模型的四个阶段：评估、采集、分析和报告。此模型很便利，能够帮助 IT 专业人员进行调查并可保留重要查找结果。

本指南还涉及何时需要执法人员的介入 — 做此决定时需要咨询法律顾问。您将从中找到与以下内容有关的信息：管理与计算机相关的犯罪、如何联系相应的执法机构、Windows Sysinternals 工具以及可协助进行调查的其他 Windows 工具。

本文涉及的另一个解决方案加速器是恶意软件删除初学者工具包，此加速器将指导您构建可引导的 Windows PE CD-ROM 并使用它从计算机中删除恶意软件。此指南包含一个威胁列表以及一些缓解操作，这些缓解操作可帮助降低所列威胁对组织的潜在影响。此指南还强调了制定事件响应计划的重要性，如果怀疑有恶意软件爆发，便可执行该计划。恶意软件删除初学者工具包还包含一种四阶段方法，可帮助 IT 专业人员确定相关恶意软件的性质、限制恶意软件传播、将其删除（如果可能）、验证删除是否成功，然后继续执行可能需要的后续步骤。

Windows PE CD-ROM

进行此类调查有两个先决条件：Windows PE CD-ROM 和外部存储设备（如 USB 闪存驱动器）。

您可能已经通过大量的电视节目了解到警察应保护犯罪现场。出于同一原因，您也需要保留正在调查的硬盘上的数据。与恶意软件删除初学者工具包光盘不同，我们构建的可引导 Windows PE 光盘在运行工具时不会以任何形式更改硬盘数据。

Windows PE 光盘会引导系统进入受限制的 Windows 环境。创建可引导 CD 时，可以将针对特殊目的预先配置的工具（例如，恶意软件删除初学者工具包中的工具）包含在内。请注意，计算机必须具有至少 512MB RAM — 这是 Windows PE 的要求。

构建 Windows PE CD-ROM 的过程相当简单，此过程在恶意软件删除初学者工具包中有详细介绍。构建可引导光盘前，首先需要安装 Windows 自动安装工具包 (AIK)、Sysinternals 套件（可从 microsoft.com/technet/sysinternals/utilities/sysinternalssuite.mspx 获得），将 Sysinternals 工具置于恶意软件初学者工具包的任务 2 所述的工具列表中，然后安装其他的恶意软件扫描工具和实用程序。有关创建此光盘的详细说明，请遵照恶意软件初学者工具包文档中所述的步骤。

外部 USB 驱动器

由于此过程不会更改所要调查的驱动器，因此您还需要 USB 拇指驱动器或其他类别的外部硬盘，以存储即将生成的输出文件。（建议使用 USB 拇指驱动器，因为 Windows PE 能够自动挂接 USB 设备。）您可能还希望使用外部硬盘，以便存储原始硬盘的映像。为实现所有的要求和选择，您需要事先根据调查所需的总磁盘空间做出计划，这相当重要。

因为您希望确保开始调查时工具包是干净的，所以需要从用于保存调查文件的外部磁盘中彻底删除以前的所有数据。通过使用磁盘擦除实用工具覆盖可写驱动器的整个表面，即可轻松实现上述要求。然后，就可以根据需要格式化外部磁盘并设置标签，以供调查使用。此项防范措施可确保设备不包含任何文件，如果留存文件，则可能会影响调查过程中收集的证据。

您还应该准备一张监管链表单，以便保存一份用于记录在整个调查过程中谁负责处理计算机的正式文档。“Windows 基础计算机调查指南”提供了一个监管链表单示例。完成对工具包（包含必备的可引导 Windows PE 光盘、外部存储设备和监管链表单）的打包后，就可以继续执行后续步骤了。

进行调查

现在您可以执行调查了。首先，使用 Windows PE 光盘引导可疑系统，确保计算机的引导顺序将 CD-ROM 驱动器标识为主引导设备。当出现提示时，按任意键完成从 CD-ROM 执行的引导。这样就可以访问安装在光盘上的工具了。

我们将使用示例计算机上的工具包演示如何从计算机（我们将其称为 Testbox1）收集信息。Testbox1 上分配的 CD 驱动器是 X:\，为恶意软件删除初学者工具包中的工具提供的默认位置是 X:\tools。要访问工具包中的工具，只需键入：cd \tools。

有多种工具可用于识别计算机中装入的目标驱动器。Bginfo.exe 位于 Sysinternals 工具目录下，它可以提供此信息，并将其放在桌面上的背景窗口中，以便您参考。Drive Manager 也可以识别计算机上的所有驱动器，包括目标硬盘驱动器和外部 USB 设备。图 1 显示了 Testbox1 的磁盘信息。引导驱动器是 X:\，目标硬盘驱动器是 C:\，外部 USB 驱动器是 F:\。

Figure 1 Viewing disk information with Drive Manager

检查恶意软件

在开始调查之前运行反恶意软件工具是非常重要的，这可以确保调查不会感染病毒或其他恶意代码。如果需要，可以将反恶意软件工具生成的报告作为证据。但如果不检查计算机中是否存在恶意软件，就会危害到调查，还会影响鉴识人员在周密性和准确性方面的可信度。建议您在只读模式或报告模式下运行所提供的反恶意软件工具。

恶意软件删除初学者工具包介绍了很多建议的工具，包括恶意软件删除工具和 McAfee AVERT Stinger。运行恶意软件删除工具时，请确保采用了命令行选项 /N，以指示此工具只报告恶意软件而不尝试将其删除：

x:\tools\windows-KB890830-v1.29.exe /N

结果报告文件将位于 %windir%\debug\mrt.log。

同样，运行 McAfee AVERT Stinger 时，请将首选项更改为“仅报告”，如图 2 所示，以使它仅扫描计算机，而不会对硬盘进行任何更改。请确保在扫描完成后保存此工具生成的报告。

Figure 2 Use Report only mode in McAfee AVERT Stinger

保存关键文件

即使开始调查之前不备份整个磁盘，至少也应该备份关键用户文件。配置信息在将来需要时可供审查使用。首先收集注册表文件和设置，其中包含有关计算机曾用于哪些用途以及系统上安装了哪些软件的所有相关信息。

要保存 Testbox1 的注册表配置单元，需要首先在可移动的 F:\ 驱动器上创建一个文件夹，然后使用下列命令记录调查开始的日期和时间：

f:Mkdir f:\evidence_files Date /t >> f:\evidence_files\Evidence_start.txt Time /t >> f:\evidence_files\Evidence_start.txt

现在，我们使用 xcopy 命令复制整个配置目录及其内容，以保存注册表配置单元。您感兴趣的注册表文件位于 %windows%\system32\config 文件夹中。在本例中，我们运行以下命令：

xcopy c:\windows\system32\config\*.* f:\registrybkup /s /e /k /v

此命令将复制 config 文件夹中的所有配置信息。Textbox1 的 config 文件夹中包含的信息量大约有 95MB。

接下来处理用户数据，用户数据可能位于硬盘上的任何位置。在本例中，我们仅复制 c:\HR 目录下的数据。为确保数据收集完整，我们使用以下 xcopy 命令复制该目录及其子目录下的所有数据：

Mkdir f:\evidence_files\HR_Evidence Mkdir f:\evidence_files\documents_and_settings Mkdir f:\evidence_files\users xcopy c:\HR\*.* f:\evidence_files\HR_Evidence /s /e /k /v

现在，您可以处理个人文件夹信息了。同样，我们希望复制那些目录及其子目录下的所有数据。为此，我们使用下列命令：

复制代码

Xcopy c:\documents and settings\*.* f:\evidence_files\documents_and_settings /s /e /k /vXcopy c:\users\*.* f:\evidence_files\users /s /e /k /v

此示例收集了大约 500MB 的数据，如有必要，现在即可进行分析。可以看到，所收集的数据量可能相当大，遇到音频文件、视频和照片时尤其如此。尽管如此，由于调查可能不仅需要实际收集的证据，还需要确保此信息在收集过程中没有发生改变，所以，保留尽可能多的原始数据是很重要的。理论上，应该为调查工作制作一个完整的磁盘映像，但由于大小方面的限制，做到这一点可能很困难。不用说，您一定清楚为什么要提前确定调查可能需要占用的存储空间大小了。

收集其他信息

系统文件对收集证据也非常有帮助，但由于这些文件并不总是位于同一位置，所以收集此类数据可能需要对目标计算机做些探查。尽管如此，由于某些类型的文件很有利用价值，所以搜索它们也是值得的。例如，交换文件中就包含内存访问了哪些文件的相关信息。此外，交换文件甚至可以提供详细的使用活动。与之类似，Web 浏览器数据和 Cookie 可提供关于浏览行为和模式的信息。

查找此类数据可能需要做一些探查工作，当用户更改其配置，将数据存储到默认位置以外的其他位置时尤其如此。有多种 Sysinternals 工具可帮助您查找关键文件。图 3 列出了五种有用的应用程序，并介绍了如何使用这些程序协助您进行调查。

Figure 3 Tools to locate files and data of interest

应用程序	说明
AccessChk	按指定的用户或组显示对文件、注册表项和 Windows 服务的访问。
AccessEnum	显示哪些用户对计算机上的哪些目录、文件和注册表项具有访问权限。使用该工具可查找权限应用不当的位置。
Du	按目录显示磁盘使用情况。
PsInfo	显示计算机的相关信息。
Strings	在二进制映像中搜索 ANSI 和 UNICODE 字符串。

Tom Cloward持有 CCE 和 CISSP 证书，是 Microsoft 的项目经理，致力于为 IT 专业人员提供安全性和法规遵从性解决方案加速器。他从事软件和 IT 行业已达 15 年以上，酷爱研究 IT 安全性、取证和遵从性。

Frank Simorjay持有 CISSP 和 CET 证书，是 Microsoft 解决方案加速器 — 安全性和法规遵从性小组的技术项目经理和安全性主题事项专家，为 Microsoft 客户设计安全性解决方案。他的最新成果是恶意软件删除初学者工具包，此工具包可从 Microsoft TechNet 获得。

邮件网络安全

基本计算机取证指南