网络安全监控中的文件恢复与入侵取证介绍



      网络安全监控。网络流量监控(TCPDump、TCPView、Snort、Wireshark、netstat)系统自监

控(网络通信状态监控:netstat、TCPView、HTTPNetworkSniffer查询;进程活动状态监控:ps、A

utoruns、ProcessExplorer、ListDLLs;监测用户活动:世卫组织;;地址解析状态监控:arp;过

程资源使用监控:lsof)系统恢复。系统紧急启动。(实现操作系统引导恢复。u盘、光盘)恶意代码

很明显。修补系统漏洞。
 
 
 
文件删除恢复(逻辑删除、删除标记、物理删除)系统灾难恢复备份(1级-基础支持:每周完成一次

数据备份;二级-备份站点支持:灾后预定时间内可部署使用的数据处理设备、通信线路及相应

网络设备、应急供应协议、备份通信线路协议;三级——电子传输和部分设备支持:配置部分数

据处理设备和部分通信线路级响应网络设备,专人管理,每天定时批量传输关键数据;四级-

电子传输和完整的设备支持:灾难恢复所需的所有数据处理设备、通信线路和网络设备均已配

置就绪;5级-零数据丢失和远程集群支持:实时备份、零丢失、无缝切换、实时监控和远程集

群系统的自动切换能力)
 
 
 
入侵取证。分类:实时信息和不稳定信息。比如内存数据和网络连接。非挥发性信息。不要随

着停电而消失。可用作证据或相关证据的信息:日志。比如操作系统日志和网络访问日志。文

件。比如文件大小,文件内容,交换文件。系统流程。如进程名和进程访问文件。用户。比

如在线用户的服务时间和访问方式。系统状态。比如开放服务和网络运营模式。网络通信连

接记录。如路由器操作日志。磁盘媒体。比如硬盘,光盘,USB,磁盘隐藏空间。取证步骤

:法医现场保护。保护受害者系统或设备的完整性。鉴定证据。确定可用证据信息的类型,

并应用适当的技术或工具。传递证据。并且所获取的信息被安全地传输到法医设备。保存证

据。确保与原始数据一致(MD5、Tripwire)分析证据。关联相关证据,构建证据链,重现攻

击过程(调试和分析)提交证据。提交给管理人、律师或法院。
分享: