假设你们现在就是上面要求你去对这样一个攻击去做一个溯源,然后你想一想你心中给自己定一个目标,你应该溯源些什么,有同学说IP画像,身份人或组织,其实就是找到了一个具体的,可以说是身份,也就是说我们这里可能要稍微抽象一点,比如说你找到这个人的什么信息。找到什么地步才算是找到这个人了,肯定是确定到姓名或手机号之类的。
你得去找到一个他能够就是说作为一个独一无二的身份识别,比如说你找到它的名字,并且这个名字能够具体到对应的人。我说你知道他的某个社交账号,这个社交账号是他在使用,并且是和他做一个关联,就是一一对应的,比如说你能够找到一个唯一的独特的一个具有识别性的东西去识别到他的身份,所以说在做溯源的时候,你心里面得有一个东西你的心里面有个目标你才知道,不然的话你如果说光叫你溯源,很多同学可能说比如说你做蓝队然后上面的领导说我们受到一次攻击,然后叫你去溯源,如果说你没有目标,那么你可能第一次没有方向,这个我们之后也会讲到,比如说你反向,你反向打他打到了他的机器了,那么你如果说没有方向,你去提前反向他有什么用,说实话提前对于反制来说是没啥用的。让大家想一想,我们重要的是拿到他的身份信息你得有明确的目标。你之后不管说取得任何的一些信息收集的结果也好,或者说是你拿到他的需要也好,我们才有明确的收集信息的目标。
第二就是说当前的条件。能用什么样的东西来溯源。就是这一条身边。可以利用的工具和方法,你得思考。这第二点。也就是说我们当然这个东西看每个人的环境和条件你身边的工具多或者方法多,那么你自然可以选择的东西也很多,可以结合的使用的东西就很多,少就会很少,那你再想一想你现在的技术条件也好,或者说是硬件条件,软件条件也好,你大概能够使用哪些东西比如说你有没有什么社工库等等之类的,但是这个东西我们还是不太推荐大家去使用。
溯源的时候,因为我们还是走正道的,推荐大家就是说还是用一些正规的手法,不是那么敏感的去说,法律上风险不是那么大的途径去溯源。当然你非要用那个东西的话,只能说谨慎一点好,比如说有的东西特别喜欢用,那么就请大家在用的时候就注意一下法律风险,然后我们接下来就讲重点,第一个重点是这个溯源的一个,就是溯源的大概怎么去做。
好的,也是回到我们刚才最开始讲的一个主题,也就是说我们产生了一个事件。就比如说我们现在有一个什么。有一个影响。有一个比如说造成了一个具体的影响,比如说是什么,我们假设一个影响,比如说文件被修改。假设我们这样一个场景,比如说有一个普通的办公人员,他向你反馈,他说我的电脑莫名其妙的有一个文件被修改掉了,这是一个具体的事件。
然后从这个事件中文件,大家想一想文件被修改,它可能会产生哪些痕迹。首先它有没有可能产生一个东西叫做日志,因为他对文件做了一些修改,这个东西操作历史。好,第二文件被修改,那么有没有可能是一些应用程序做的一些修改。如果说是一个我们就假设一下是一个应用程序。不管这个应用程序它是用怎样的方式。不管是用什么。他自己的一些方式也好。或者说是用cmd还是用parcel也好,假设是一个应用程序,对这个文件做了一些修改,那么应用程序如果说要启动,大家想一想,他又会有哪些东西,是不是他会有进程。那么如果说这个应用程序是根据攻击者的指令。是根据攻击者的指令去对这个文件做修改的话,那么大家想一想。它是不是又会产生一些网络的一些痕迹,那么其实这三点来说,就这三点就是我们溯源的一个主要的一个要素。