使用LiveCD 恢復(fù)受危害的系統(tǒng)
您希望不用經(jīng)過冗長的系統(tǒng)安裝和配置過程就可以評估 Linux® 系統(tǒng)的完整性并恢復(fù)丟失的數(shù)據(jù)嗎?Helix 和 PlanB 這兩個(gè)軟件包將通過 LiveCD 的神奇力量幫助您獲得這種能力
Mayank 的上一篇文章 使用 Linux LiveCD 評估系統(tǒng)的安全性 介紹了 LiveCD還介紹了一些可幫助您評估計(jì)算機(jī)系統(tǒng)安全性的工具但若系統(tǒng)已遭遇安全威脅并被用于非法或未經(jīng)授權(quán)的活動(dòng)又該怎么辦呢?選擇之一是請求計(jì)算機(jī)安全專家的幫助也可以下載專家所使用的工具學(xué)習(xí)如何使用這些工具自己成為完整性保障和數(shù)據(jù)恢復(fù)方面的專家完全不必?fù)?dān)心工具的安裝 —— 這是 LiveCD!
關(guān)于 LiveCD
LiveCD 是存儲(chǔ)在一張可引導(dǎo)的 CDROM 上的操作系統(tǒng)(以及其他軟件)通過這張 CD ROM 即可執(zhí)行 OS無需進(jìn)行漫長的安裝過程大部分 LiveCD 都是基于 Linux 內(nèi)核的(但也有一些用于其他操作系統(tǒng)的 LiveCD)LiveCD 的工作方式是將文件放到 RAM 磁盤中(這樣就減少了應(yīng)用程序可以使用的 RAM因此性能可能會(huì)降低)一旦取出 LiveCD 并重新啟動(dòng)系統(tǒng)之后原系統(tǒng)就恢復(fù)了有些 LiveCD 還提供了一個(gè)安裝工具使您可將系統(tǒng)安裝到硬盤或 USB 磁盤上大部分 LiveCD 都可以訪問內(nèi)部/外部硬盤磁盤或閃存上的信息
syslinux 用來啟動(dòng)基于 Linux 的 LiveCD以及 Linux 軟盤對于 PC 來說可引導(dǎo) CD 通常都遵守 El Torito 規(guī)范會(huì)將磁盤上的某個(gè)文件(可能是隱藏文件)當(dāng)作一個(gè)軟盤映像使用很多 LiveCD 都使用壓縮的文件系統(tǒng)映像其中通常會(huì)使用 cloop 壓縮 loopback 驅(qū)動(dòng)器有效地雙倍利用存儲(chǔ)能力
市場上有很多模擬器可以用于試用 LiveCD而不需將其刻錄成 CD 或在計(jì)算機(jī)上啟動(dòng)支持最為廣泛的 i 模擬器是 VMware其他模擬器還有 QemuPearPC 和 Bochs它們都可以用于模擬 x 和/或 PowerPC® 平臺但由于所采用的模擬方法的不同因此速度比一些商業(yè)化模擬器慢另外一種商業(yè)化模擬器是 VirtualPC
調(diào)查計(jì)算機(jī)
侵入計(jì)算機(jī)和計(jì)算機(jī)網(wǎng)絡(luò)并在其掩護(hù)下進(jìn)行嚴(yán)重非法活動(dòng)是一種非常普遍的行為甚至普遍到許多人都具備實(shí)現(xiàn)此類行為的必備技能然而檢測并捕捉入侵者的能力卻并非同樣普遍偉大的(盡管是虛構(gòu)的)偵探福爾摩斯曾經(jīng)說過在搜集齊所有證據(jù)之前就進(jìn)行推理是一個(gè)絕大的錯(cuò)誤這會(huì)讓判斷有所偏頗
從遭遇安全威脅的系統(tǒng)中搜集證據(jù)是計(jì)算機(jī) 取證 專家(數(shù)字時(shí)代的福爾摩斯)的工作他們使用專門工具來搜集研究并分析關(guān)于系統(tǒng)的信息對于這種工作來說最好的工具是開源工具這并不奇怪The Coroners Toolkit (TCT)Sleuth KitAutopsy Forensic Browser 以及 FLAG (Forensics Log Analysis GUI) 都是非常流行的工具不但安全專家喜歡使用這些工具很多計(jì)算機(jī)安全課程的講師也都很喜歡這種工具
Helix
與很多專門 LiveCD 一樣Helix 也是應(yīng)需產(chǎn)生的Andrew Fahey 是 efense Inc的一位合作安全專家他以 Knoppix 作為基礎(chǔ)并添加了很多日常工作中使用的工具
Helix 用戶非常有參與意識全世界都有 Helix 的用戶他們不斷提供反饋信息由于人們是在不同的環(huán)境中使用 Helix因此要確保所有組件在任何情況下都可精確完成工作是一項(xiàng)持續(xù)不斷耗時(shí)很多的任務(wù)所以我依靠用戶的反饋改進(jìn) Helix并修正他們所發(fā)現(xiàn)的故障我還要依靠用戶完成語言翻譯 Andrew 說
Helix 有一個(gè) Windows® 端的活動(dòng)接口允許映像一個(gè) Live Windows 系統(tǒng)此接口已被翻譯成了德語很快會(huì)有葡萄牙語版本另外很多事件/響應(yīng)工具按最初形成的想法進(jìn)行了設(shè)計(jì)很多組織教育機(jī)構(gòu)也開始使用 Helix其中包括 National White Collar Crime Center (NWC)System Administrator Network Security (SANS) Institute 和 National Consortium for Justice Information and Statistics
Helix 并非為在硬盤上安裝而設(shè)計(jì)但將來的版本可能具備此功能我希望能夠有一個(gè)類似于 Fedora 所用的那種進(jìn)行硬件識別的硬件抽象層在不久之前我們剛剛添加了 unionfs 模塊這是我們需要克服的一個(gè)主要障礙 Andrew 說盡管 Helix 中的大部分工具都是 Andrew 自己選擇的但有些工具是由社區(qū)推薦的Andrew 面對的最大問題就是有些工具需要許可證
下一版本將提供一些更新工具全新的 Retriever 和 Adepto 程序Andrew 一直在使用這些程序及 Sleuth Kit 和 PyFLAG 中提供的工具
圖 正在掃描病毒的 HelixPyFLAGAdepto 和 ClamAV
PlanB
Jeremy McDaniel 所開發(fā)的 PlanB 是一種取證 LiveCD靈感來源于 Peter Anvin 的 SuperRescue CD它以 Red Hat 為基礎(chǔ)運(yùn)行 Blackbox Window Manager并使用 zisofs 文件系統(tǒng)將約 GB 的數(shù)據(jù)壓縮到一張 CD 中其中有一些取證分析工具如 AutopsyThe Sleuth KitBCWipe 等還有多種日常使用的工具如 email 客戶端軟件瀏覽器聊天客戶端軟件和文本編輯器根據(jù)該項(xiàng)目的 Web 站點(diǎn)
(下一個(gè)版本中)最大的變化是大部分當(dāng)前軟件(即便不是全部)都會(huì)更新另外還會(huì)添加 內(nèi)核回滾至 Fedora主數(shù)據(jù)庫為 MySQL 以添加新的應(yīng)用服務(wù)器創(chuàng)建基于 eServer&#; 的 Security/Auditing/Planning Module 的計(jì)劃現(xiàn)已投入實(shí)施它最終要作為一個(gè)獨(dú)立的應(yīng)用程序進(jìn)行發(fā)布PlanB 將僅作為移動(dòng)測試解決方案提供服務(wù)這種工具將用于基于團(tuán)隊(duì)的審計(jì)和具有報(bào)告創(chuàng)建能力的穿透測試接口
圖 PlanB 在此分析報(bào)告中提供了常見的命令行接口
結(jié)束語
設(shè)想一下我們可以通過一張可引導(dǎo)的 Linux CD 直接學(xué)到經(jīng)驗(yàn)豐富的計(jì)算機(jī)取證專家的技能這不是夢想本文中介紹的 LiveCD 使夢想成為現(xiàn)實(shí)祝您的偵探道路順利!
下載文檔
