欢迎来到智连IP官方网站!

联系热线:400-998-9776 转3网站地图

谈服务器动态分析取证

发布时间:2020-02-17 14:41 阅读: 来源:代理ip

  谈服务器动态分析取证!今天智连ip小编给大家分享下动态分析的一些方法。
谈服务器动态分析取证
  动态分析
  所谓动态分析是个广义的概念,主要是指两种分析方法:
  第一种是在线远程连接到目标服务器进行固定分析,这种适用于:
  ① 服务器所在地可能是在境外,无法现场调证;
  ② 服务器运营商无法提供镜像,服务器不能断电等;
  第二种是服务器镜像已经拿到了,通过对镜像进行仿真后,进行动态的取证分析;
  下面我通过一个案例,帮助大家学习这两种方法:
  1、首先我们需要有一个服务器的镜像文件,通过火眼仿真取证软件,我们对这个镜像进行仿真;
  2、点击创建虚拟机,添加镜像后,软件会自动识别到操作系统,如果没有识别到操作系统,需要手动指定下(像上文提到的LVM,没有办法自动识别到,我们需要手动指定它是CentOS系统);
  3、在高级设置中,我们可以进行密码的绕过/重置(Windows、MacOS可以绕过密码,Linux重置密码后默认为123456);
  注意:如果后续还需要对服务器中的站点进行重构和网页固定,请把禁用网卡功能取消掉
  4、点击创建虚拟机后,通过VMware即可打开仿真好的机器;
  5、使用 ifconfig 命令,查看虚拟机的ip地址;
  使用 vi /etc/ssh/sshd_config 命令,查看虚拟机SSH连接端口号(一般SSH端口默认是22,但是有些对象会对端口进行修改);
  拿到 ip 和 SSH端口号后,使用网探勘验软件连接仿真好的服务器;
  6、通过网探勘验软件可以实时获取到服务器的基本信息(系统版本、历史命令、用户列表等)、网站配置信息(主流的Apache、Nginx等);
  7、通常服务器上还会部署数据库软件,网探支持MySQL、MongoDB、PostgreSQL、SQLServer等主流数据的连接访问;
  这里以MySQL为例,数据库的登录用户名和登录密码通常都会在网站的配置文件中找到,最常见的目录就是/www/wwwroot这类目录下的config目录中,通过上文提到的静态分析或者本文提到的动态分析,都可以访问到这些文件。这是个细致活,需要我们取证人员耐心的搜索过滤。
  8、连接成功后,通过点击数据库概览右侧的管理按钮,可以进入数据库的查询搜索功能。
  可以通过这个界面,进行数据库的SQL语句查询;
  正下方的状态栏,可以看到数据库的丰富的状态信息(版本号、连接时长等);
  常见问题
  ① Linux运维面板
  在平时的案件中,我们会经常遇到服务器上安装了AppNode、宝塔、AMH、WDCP等这类Linux运维面板(他们通常的默认端口都是8888、9999这类),通常仿真后,我们可以通过命令行的方式,修改这些面板的管理员密码。
  举一个平时最常见的宝塔为例,通过搜索就能在它官网的论坛中找到修改密码的方式:
  其他的面板也类似。
  ② 仿真起来的服务器上的网站域名如何解析
  通常我们处理的方式是修改hosts文件,hosts文件主要作用是定义IP地址和主机名的映射关系,是一个映射IP地址和主机名的规定。
  Windows xp/2003/vista/2008/7/8/10用户HOSTS文件是在c:\windows\system32\drivers\etc,注意这个文件一定是在系统盘,如果你的系统在D盘请自行修改前面的盘符。
  通过记事本/Notepad++等,编辑hosts文件中的内容,即可实现域名的解析。
  网站如何固定?
  通常我们一般动态分析最后把网站重构好后,需要进行一个网站的在线固定,这里我使用的是网镜互联网取证软件;
  1、例如上面的例子,我们再hosts文件修改后,使用网镜打开需要在线固定的页面URL;
  通过手动固定任务,我们可以自由的固定单页的网站;
  2、网镜提供了丰富的固定功能供选择;
  遇到疑难的网站,联系技术支持,也能第一时间得到脚本支持的服务。
本文源自智连IP官方网站(www.zhilianip.com),转载请注明出处,否则追究法律责任!!

看过本文的人还看过……

热点文章推荐

分享: