级别: 初级 Mayank Sharma (geeky_bodhi@yahoo.co.in), 自由技术撰稿人
2006 年 1 月 31 日 您希望不用经过冗长的系统安装和配置过程就可以评估 Linux® 系统的完整性并恢复丢失的数据吗?Helix 和 Plan-B 这两个软件包将通过 LiveCD 的神奇力量帮助您获得这种能力。
Mayank 的上一篇文章 “使用 Linux LiveCD 评估系统的安全性” 介绍了 LiveCD,还介绍了一些可帮助您评估计算机系统安全性的工具。但若系统已遭遇安全威胁并被用于非法或未经授权的活动,又该怎么办呢?选择之一是请求计算机安全专家的帮助。也可以下载专家所使用的工具,学习如何使用这些工具,自己成为完整性保障和数据恢复方面的专家。完全不必担心工具的安装 —— 这是 LiveCD!
 |
关于 LiveCD
LiveCD 是存储在一张可引导的 CD-ROM 上的操作系统(以及其他软件),通过这张 CD- ROM 即可执行 OS,无需进行漫长的安装过程。大部分 LiveCD 都是基于 Linux 内核的(但也有一些用于其他操作系统的 LiveCD)。LiveCD 的工作方式是将文件放到 RAM 磁盘中(这样就减少了应用程序可以使用的 RAM,因此性能可能会降低)。一旦取出 LiveCD 并重新启动系统之后,原系统就恢复了。有些 LiveCD 还提供了一个安装工具,使您可将系统安装到硬盘或 USB 磁盘上;大部分 LiveCD 都可以访问内部/外部硬盘、磁盘或闪存上的信息。
syslinux 用来启动基于 Linux 的 LiveCD,以及 Linux 软盘。对于 PC 来说,可引导 CD 通常都遵守 El Torito 规范,会将磁盘上的某个文件(可能是隐藏文件)当作一个软盘映像使用。很多 LiveCD 都使用压缩的文件系统映像,其中通常会使用 cloop 压缩 loopback 驱动器有效地双倍利用存储能力。
市场上有很多模拟器可以用于试用 LiveCD,而不需将其刻录成 CD 或在计算机上启动。支持最为广泛的 i386 模拟器是 VMware。其他模拟器还有 Qemu、PearPC 和 Bochs,它们都可以用于模拟 x86 和/或 PowerPC® 平台;但由于所采用的模拟方法的不同,因此速度比一些商业化模拟器慢。另外一种商业化模拟器是 VirtualPC。
|
|
调查计算机
侵入计算机和计算机网络并在其掩护下进行严重非法活动是一种非常普遍的行为,甚至普遍到许多人都具备实现此类行为的必备技能。然而,检测并捕捉入侵者的能力却并非同样普遍。伟大的(尽管是虚构的)侦探福尔摩斯曾经说过:“在搜集齐所有证据之前就进行推理是一个绝大的错误。这会让判断有所偏颇。”
从遭遇安全威胁的系统中搜集证据是计算机 “取证” 专家(数字时代的福尔摩斯)的工作。他们使用专门工具来搜集、研究并分析关于系统的信息。对于这种工作来说,最好的工具是开源工具,这并不奇怪。The Coroner's Toolkit (TCT)、Sleuth Kit、Autopsy Forensic Browser 以及 FLAG (Forensics Log Analysis GUI) 都是非常流行的工具,不但安全专家喜欢使用这些工具,很多计算机安全课程的讲师也都很喜欢这种工具。
Helix
与很多专门 LiveCD 一样,Helix 也是应需产生的。Andrew Fahey 是 e-fense Inc. 的一位合作安全专家,他以 Knoppix 作为基础,并添加了很多日常工作中使用的工具。
“Helix 用户非常有参与意识。全世界都有 Helix 的用户,他们不断提供反馈信息。由于人们是在不同的环境中使用 Helix,因此要确保所有组件在任何情况下都可精确完成工作是一项持续不断、耗时很多的任务。所以我依靠用户的反馈改进 Helix,并修正他们所发现的故障。我还要依靠用户完成语言翻译。” Andrew 说。
Helix 有一个 Windows® 端的活动接口,允许映像一个 Live Windows 系统。此接口已被翻译成了德语,很快会有葡萄牙语版本。另外,很多事件/响应工具按最初形成的想法进行了设计。很多组织教育机构也开始使用 Helix,其中包括 National White Collar Crime Center (NW3C)、System Administrator Network Security (SANS) Institute 和 National Consortium for Justice Information and Statistics。
Helix 并非为在硬盘上安装而设计,但将来的版本可能具备此功能。“我希望能够有一个类似于 Fedora 所用的那种进行硬件识别的硬件抽象层。在不久之前,我们刚刚添加了 union-fs 模块,这是我们需要克服的一个主要障碍。” Andrew 说。尽管 Helix 中的大部分工具都是 Andrew 自己选择的,但有些工具是由社区推荐的。Andrew 面对的最大问题就是有些工具需要许可证。
下一版本将提供一些更新工具、全新的 Retriever 和 Adepto 程序,Andrew 一直在使用这些程序及 Sleuth Kit 和 PyFLAG 中提供的工具。
图 1. 正在扫描病毒的 Helix、PyFLAG、Adepto 和 ClamAV
Plan-B
Jeremy McDaniel 所开发的 Plan-B 是一种取证 LiveCD,灵感来源于 Peter Anvin 的 SuperRescue CD。它以 Red Hat 9 为基础,运行 Blackbox Window Manager,并使用 zisofs 文件系统将约 1.4GB 的数据压缩到一张 CD 中。其中有一些取证分析工具,如 Autopsy、The Sleuth Kit、BCWipe 等,还有多种日常使用的工具,如 e-mail 客户端软件、浏览器、聊天客户端软件和文本编辑器。
根据该项目的 Web 站点:
(下一个版本中)最大的变化是:大部分当前软件(即便不是全部)都会更新,另外还会添加 2.6 内核,回滚至 Fedora。主数据库为 MySQL ,以添加新的应用服务器。创建基于 eServer™ 的 Security/Auditing/Planning Module 的计划现已投入实施。它最终要作为一个独立的应用程序进行发布。Plan-B 将仅作为移动测试解决方案提供服务。这种工具将用于基于团队的审计和具有报告创建能力的穿透测试接口。
图 2. Plan-B 在此分析报告中提供了常见的命令行接口
结束语
设想一下,我们可以通过一张可引导的 Linux CD 直接学到经验丰富的计算机取证专家的技能。这不是梦想。本文中介绍的 LiveCD 使梦想成为现实。祝您的侦探道路顺利!
参考资料 学习
获得产品和技术
-
Helix 是 Knoppix Live Linux CD 的一个自定义发行版,主要关注事件响应和取证工具。
-
Plan-B 是一种可引导的 Linux 环境,可为技术人员或网络管理员等众多角色提供服务。
-
PyFlag 是 FLAG (Forensic and Log Analysis GUI) 版本之一,可简化日志文件的分析和取证调查过程,并使用后台数据库来处理大型数据集。
-
The Sleuth Kit (TSK) 是一组基于 The Coroner's Toolkit (TCT) 的命令行工具集。Autopsy 是 TSK 中命令行工具的图形界面。
-
The Coroner's Toolkit (TCT) 是一组用于对已被入侵的 UNIX 系统进行后期分析的程序。
-
BCWipe 是 Windows 的 shell 扩展,用来安全地删除您的文件。
-
订购免费的 SEK for Linux,共两张 DVD,内有最新的 IBM for Linux 的试用软件,包括 DB2®、Lotus®、Rational®、Tivoli® 和 WebSphere®。
-
在您的下一个开发项目中采用 IBM 试用软件,可直接从 developerWorks 下载。
讨论
关于作者 | | | 在过去 5 年中,Mayank Sharma 一直从事技术方面的写作,尤其是免费和开放软件方面。他协助创办了南亚最主要的 FLOSS 月刊 LINUX For You(作为其助理编辑),现在正忙于整理专门论述本地化、培训和 FLOSS 迁移的基于 Web 的出版物。除了写作之外,Mayank 还喜欢研究骇客技术;他最新的贡献是用于 Utkarsh 本地化项目的一个安装程序。虽然他正在为计算机科学学位而努力,但对于 F1 赛车,他依然兴趣不减。 |
对本文的评价
| 
