web服务器的静态分析和动态分析取证

作者:武汉网络公司 来源:网站定制 2019-06-24 10:23

现在互联网技术的蓬勃发展,诸如像大数据、云计算、人工智能、物联网、虚拟现实等新一代科学技术不断涌现。

互联网技术带给我们极大的方便,“网网互联,物物互联,连接一切”已经深入到我们每天的生活中,我们随时随地都可以连接到互联网。

但是同样风险也随之而生,服务器案件数量与日俱增。市面上大部分服务器都是使用的Linux操作系统,对取证人员的技术要求会比较高。今天给大家分享下我们平常遇到服务器案件的取证思路和方法,希望能有所帮助。

一般我们服务器取证会从两个角度来看:一是静态分析,二是动态分析。

静态分析

静态分析在计算机行业中指的是不运行代码的方式下,通过词法分析、语法分析、控制流、数据流分析等技术对程序代码进行扫描,验证代码是否满足规范性、安全性、可靠性、可维护性等指标的一种代码分析技术。

我这里的静态分析指的是对服务器硬盘/镜像通过常见的介质取证软件镜像基本信息&文件分析。

这里我使用的是火眼证据分析软件,这款软件对主流的服务器镜像格式(raw、aff、e01、ex01、dd、vmdk、vhd 、vhdx 、vdi、qcow、zvhd等等)都能够准确快速的解析,尤其是从阿里云和华为云拿到的服务器镜像,都可以不用进行任何转换,就能直接使用。

1、创建案件后添加镜像文件作为证据;

创建案件后添加镜像文件作为证据;

 

2、在实际案件中,我们会碰到很多服务器,它们使用了LVM(Logical Volume Manager 逻辑卷管理),这是一种在Linux环境下对磁盘分区进行管理的一种机制;  

添加证据后,会发现火眼会把LVM分区作为一个虚拟证据进行处理;

LVM分区作为一个虚拟证据进行处理

 

3、可以看到,在证据详情这边,这个LVM虚拟证据,它存在了两个ext4文件系统的分区,分别是vm1和vm2;

分别是vm1和vm2

 

4、在证据信息右上角,点击快速分析,找到Linux的分析功能,通过这个功能,无需自己人工找对应的配置文件,即可得到服务器的基本信息和服务器上部署的站点信息;

Linux的分析功能

 

5、可以分析得到像操作系统信息、Bash命令历史(默认是顺序)、服务器信息(域名、端口、根目录等)等重要的信息;

Bash命令

 

6、通过文件系统中的搜索,我们也能很快速的过滤到自己想要的目标文件;

web服务器的静态分析和动态分析取证

 

7、点击文件,可以快速的进行文件内容的查看;

web服务器的静态分析和动态分析取证

 

动态分析

所谓动态分析是个广义的概念,主要是指两种分析方法:

第一种是在线远程连接到目标服务器进行固定分析,这种适用于:

① 服务器所在地可能是在境外,无法现场调证;

② 服务器运营商无法提供镜像,服务器不能断电等;

第二种是服务器镜像已经拿到了,通过对镜像进行仿真后,进行动态的取证分析;

下面我通过一个案例,帮助大家学习这两种方法:

1、首先我们需要有一个服务器的镜像文件,通过火眼仿真取证软件,我们对这个镜像进行仿真;

web服务器的静态分析和动态分析取证

 

2、点击创建虚拟机,添加镜像后,软件会自动识别到操作系统,如果没有识别到操作系统,需要手动指定下(像上文提到的LVM,没有办法自动识别到,我们需要手动指定它是CentOS系统);

web服务器的静态分析和动态分析取证

 

3、在高级设置中,我们可以进行密码的绕过/重置(Windows、MacOS可以绕过密码,Linux重置密码后默认为123456);

注意:如果后续还需要对服务器中的站点进行重构和网页固定,请把禁用网卡功能取消掉

web服务器的静态分析和动态分析取证

 

4、点击创建虚拟机后,通过VMware即可打开仿真好的机器;

web服务器的静态分析和动态分析取证

 

5、使用 ifconfig 命令,查看虚拟机的ip地址;

使用 vi /etc/ssh/sshd_config 命令,查看虚拟机SSH连接端口号(一般SSH端口默认是22,但是有些对象会对端口进行修改);

拿到 ip 和 SSH端口号后,使用网探勘验软件连接仿真好的服务器;

web服务器的静态分析和动态分析取证


6、通过网探勘验软件可以实时获取到服务器的基本信息(系统版本、历史命令、用户列表等)、网站配置信息(主流的Apache、Nginx等);

web服务器的静态分析和动态分析取证

7、通常服务器上还会部署数据库软件,网探支持MySQL、MongoDB、PostgreSQL、SQLServer等主流数据的连接访问;

这里以MySQL为例,数据库的登录用户名和登录密码通常都会在网站的配置文件中找到,最常见的目录就是/www/wwwroot这类目录下的config目录中,通过上文提到的静态分析或者本文提到的动态分析,都可以访问到这些文件。这是个细致活,需要我们取证人员耐心的搜索过滤。

静态分析或者本文提到的动态分析

8、连接成功后,通过点击数据库概览右侧的管理按钮,可以进入数据库的查询搜索功能。

查询搜索功能

可以通过这个界面,进行数据库的SQL语句查询;

正下方的状态栏,可以看到数据库的丰富的状态信息(版本号、连接时长等);

常见问题

① Linux运维面板

在平时的案件中,我们会经常遇到服务器上安装了AppNode、宝塔、AMH、WDCP等这类Linux运维面板(他们通常的默认端口都是8888、9999这类),通常仿真后,我们可以通过命令行的方式,修改这些面板的管理员密码。  

举一个平时最常见的宝塔为例,通过搜索就能在它官网的论坛中找到修改密码的方式:

修改密码的方式

 

其他的面板也类似。

② 仿真起来的服务器上的网站域名如何解析

通常我们处理的方式是修改hosts文件,hosts文件主要作用是定义IP地址和主机名的映射关系,是一个映射IP地址和主机名的规定。

Windows xp/2003/vista/2008/7/8/10用户HOSTS文件是在c:\windows\system32\drivers\etc,注意这个文件一定是在系统盘,如果你的系统在D盘请自行修改前面的盘符。

通过记事本/Notepad++等,编辑hosts文件中的内容,即可实现域名的解析。

网站如何固定?

通常我们一般动态分析最后把网站重构好后,需要进行一个网站的在线固定,这里我使用的是网镜互联网取证软件;

1、例如上面的例子,我们再hosts文件修改后,使用网镜打开需要在线固定的页面URL;

通过手动固定任务,我们可以自由的固定单页的网站;

固定单页的网站

 

2、网镜提供了丰富的固定功能供选择;

网镜提供了丰富的固定功能供选择

 

遇到疑难的网站,联系技术支持,也能第一时间得到脚本支持的服务。


本文地址:网站建设教程频道 https://www.dayku.cn/jiaocheng/3036.html,武汉易企推建站公司提供一站式网站制作开发服务:武汉网站建设、网站制作、网站开发、高端网站设计制作、移动网站开发,小程序开发等建站服务,制作周期短,价格实惠,效果满意;以及全网营销、武汉SEO服务、网站建设、百科词条创建修改、新媒体引流、公司负面公关处理等


相关文章相关文章
  • Web下的301重定向如何设置?常见的什么情况下会用到301跳转?

    Web下的301重定向如何设置?常见的什么情况下会用到301跳转?

    常见的什么情况下会用到301跳转? 1.建立网站的时候,不带www和带www的地址,如果都可以打开,那么搜索引擎就会分散首页地址权重,建议最好用带www的地址域名来做,以后我们推广的地址都是用www即可。现在就有问题了,肯定还是有人会用不带www的地址来输入打...

    2019-09-12 21:00
  • WordPress网站的标签Tags是什么?它对SEO有帮助吗?

    WordPress网站的标签Tags是什么?它对SEO有帮助吗?

    在WordPress网站的文章里有一项标签Tags,这个项目代表什么意思?该如何填写呢? 标签Tags是一种具体化分类法。说到分类,我们会想到网站的类别概念。是的,网站的文章是放在类别之下的。但分类可能是一个比较宽泛的范围,一般不会具体到一个人物,一个有影...

    2019-09-09 18:44
  • 武汉网站制作如何打造牛逼的网站内链系统,内链对做SEO有用吗?

    武汉网站制作如何打造牛逼的网站内链系统,内链对做SEO有用吗?

    今天给大家分享的是内链,先说说什么是内链吧,内链有啥作用?这玩意真的有价值吗。对SEO的价值有哪些?内链和外链是一对,外链就是不同域名之间的链接,我们叫做外链。内链很简单,就是统一域名下的链接,可以成为内链。一个网站里,就是靠着这么多的内链,...

    2019-09-08 17:38
  • 武汉个人博客如何搭建用什么系统好?自己搭建博客网站的好处

    武汉个人博客如何搭建用什么系统好?自己搭建博客网站的好处

    今天笔者给大家分享一下关于个人博客方面的知识,什么是博客?博客其实就是日记,以前没有互联网的时候,人们把自己的心事和工作喜欢记录在笔记本里,后来互联网发展起来,互联网提倡分享,人们就把自己相关的工作和记事都记录到一个网站上,这个网站可以设置...

    2019-09-07 16:41
  • robots.txt 是如何工作的?原理是什么?

    robots.txt 是如何工作的?原理是什么?

    相信大家已经知道什么是robots.txt 文件了吧!简单来说这个一个txt文件,也被称作协议文件,主要是引导蜘蛛哪些可以文件可以爬取些文件不可以爬取,举个最简单的例子文章是否可以被爬取 ,答案是肯定的,而哪些不可以被爬取呢?比如关于你的网站后台的地址是...

    2019-06-25 15:35
  • 使用sitemap网站地图的好处?什么情况下需要sitemap网站地图?

    使用sitemap网站地图的好处?什么情况下需要sitemap网站地图?

    使用sitemap网站地图的好处?很多刚入门的小白对sitemap网站地图并不清楚,认为网站地图对网站来说并不是必须的,但是对于蜘蛛抓取来说,却是相当重要的。网站管理员也可以很容易地将网站上可用于爬行的网页告知Google /baidu等搜索引擎。...

    2019-06-25 15:17
本地企业
              可提供上门服务

便捷

本地企业可提供上门服务

提供适合、专业可行方案

周到

提供适合、专业可行方案

5-10分钟售后响应机制<

贴心

5-10分钟售后响应机制

按效果收费,无效果不收费

放心

按效果收费,无效果不收费

行业高标准,效果稳定可靠

稳定

行业高标准,效果稳定可靠

1-3个月排名上百度首页

快速

1-3个月排名上百度首页

武汉易企推建站公司;公司地址:武汉市武昌区静安路6号5.5创意产业园4楼;公司官网:https://www.dayku.cn

服务热线:18120550335 / 027-88866235 欢迎来电咨询; 联系QQ:1193073039

Copyrigh@2017-2030 版权所有:武汉易企推网络科技有限公司 备案号:鄂ICP备17012199号