Wonderful activities
【行业资讯】传统服务器离线取证流程
发布时间:2021-04-18 21:56:03
来源:弘连网络
21世纪,随互联网+时代的到来,网络黑灰产犯罪也不断增长,尽管各个网络安全部门都有严厉的打击,但其规模仍旧不可小觑,真是道高一尺,魔高一丈!
黑灰产者主要通过移动终端、计算机终端、服务器等设备来实施网络犯罪。其中,涉及服务器的犯罪案件越来越普遍,并且有从线下到线上,由传统硬件到云服务转变的趋势。不得不说服务器取证将是未来取证的重要一环。
今天,给大家分享一下,在传统线下服务器的取证场景中,怎样才能提取到更完整的数据。希望大家在以后的取证工作中,遇到传统线下服务器的取证场景时,能够有一个清晰明了的流程思路,径直走向成功获取重要数据证据的终点。
在分享提取流程之前,先让我们简单梳理一下,你必须知道的有关服务器的两三点:
第一点:服务器操作系统。
服务器实际上是一个大型计算机,不同的操作系统,具有不同操作指令,相对应地取证方法也就会有所不同。当前主流的服务器操作系统有:Windows Server、Unix、Linux、NetWare这四大阵容。
第二点:为什么Linux服务器操作系统最为常见?
Linux系统之所以会成为目前最受关注的系统之一,主要原因是它具有开放、免费、可靠以及稳定性好等特性。所以,对于取证人员来说,能够熟练掌握Linux系统操作命令,相信可以提高取证工作的效率。
第三点:请把计算机和服务器的取证内容区分开来!
从狭义上讲,计算机取证主要是指个人计算机取证,关注点主要是浏览记录、可疑文件、聊天记录等。服务器一般没有图形化界面,服务器取证关注的重心集中在系统日志、数据库、网络流量数据、应用源代码等。
接下来,我们就进入今天的主题吧!
一、工具准备
工具准备作为取证前期准备的重要部分之一,不可马虎。主要包含以下几点:
A、外置录像设备;
B、不小于目标容量的存证盘(存储内存镜像、磁盘镜像);
C、可离线引导的取证设备(如MC110,MC110S,MC120等);
D、建议准备软件:FE版屏幕录像,FE版镜像工具(如弘连复制机工具、FTK,WinHex等),哈希校验工具,Raid驱动包);
E、取证过程确保线缆连接稳定可靠;
F、如无特殊说明,所有文件保存在存证盘中。
二、在线内存镜像(可选)
A、打开外置录像设备,确保取证过程清晰可见;
B、接入取证设备,接入存证盘,打开屏幕录像软件;
C、打开内存镜像工具,进行内存镜像;
D、结束后检查内存镜像文件的哈希值,截图并展示在录像中;
E、结束屏幕录像,检查录像文件哈希值,断开连接的所有外置存储;
F、关闭外置录像机。
三、离线磁盘镜像(内存镜像完成之后)
A、打开外置录像机;
(以下两种方案任选其一,优先第一种,速度快,镜像小)
方案一 免拆机取虚拟磁盘驱动器镜像
a、熟悉该型号服务器进BIOS的方法;
b、服务器关机;
c、接入取证设备;
d、开机,进入服务器BIOS(确保不要进到操作系统引导),设置引导第一优先级为取证设备,保存退出BIOS,重启服务器;
e、进入FE系统引导,打开屏幕录像,安装Raid驱动(无法识别到阵列时使用);
f、确认阵列正常显示后,接入存证盘;
g、使用镜像工具固定物理驱动器镜像(省去阵列重组);
h、完成后检查镜像哈希值,截图并展示在录像中;
i、结束屏幕录像,检查录像文件哈希值;
j、关闭外置录像机;
k、断开所有接入设备。
方案二 拆机取物理磁盘驱动器镜像
a、服务器关机;
b、开机进BIOS及Raid卡管理器,确认磁盘阵列配置情况(确保不要进到操作系统引导);
c、服务器再次关机;
d、标记每块磁盘在机箱内的相对位置,拍照记录;
e、依次将每块硬盘取下,使用取证设备制作磁盘镜像,开启屏幕录像,并按标记将每块盘区别保存,检查每块磁盘镜像哈希值,截图并展示在录像中;
f、所有磁盘镜像完毕后,结束屏幕录像,检查录像文件哈希值,断开所有连接设备;
g、将原始磁盘按标记插回服务器,或者按需处理;
h、关闭外置录像机。
四、取证结果清单
A、内存镜像文件及哈希值、对应的屏幕录像文件;
B、物理磁盘镜像文件及哈希值,对应的屏幕录像文件;
C、外置录像机的全局录像文件。
