Mayank 的上一篇文章 “使用 Linux LiveCD 评估系统的安全性” 介绍了 LiveCD，还介绍了一些可帮助您评估计算机系统安全性的工具。但若系统已遭遇安全威胁并被用于非法或未经授权的活动，又该怎么办呢？选择之一是请求计算机安全专家的帮助。也可以下载专家所使用的工具，学习如何使用这些工具，自己成为完整性保障和数据恢复方面的专家。完全不必担心工具的安装 —— 这是 LiveCD！

调查计算机

侵入计算机和计算机网络并在其掩护下进行严重非法活动是一种非常普遍的行为，甚至普遍到许多人都具备实现此类行为的必备技能。然而，检测并捕捉入侵者的能力却并非同样普遍。伟大的（尽管是虚构的）侦探福尔摩斯曾经说过：“在搜集齐所有证据之前就进行推理是一个绝大的错误。这会让判断有所偏颇。”

从遭遇安全威胁的系统中搜集证据是计算机 “取证” 专家（数字时代的福尔摩斯）的工作。他们使用专门工具来搜集、研究并分析关于系统的信息。对于这种工作来说，最好的工具是开源工具，这并不奇怪。The Coroner's Toolkit (TCT)、Sleuth Kit、Autopsy Forensic Browser 以及 FLAG (Forensics Log Analysis GUI) 都是非常流行的工具，不但安全专家喜欢使用这些工具，很多计算机安全课程的讲师也都很喜欢这种工具。

Helix

与很多专门 LiveCD 一样，Helix 也是应需产生的。Andrew Fahey 是 e-fense Inc. 的一位合作安全专家，他以 Knoppix 作为基础，并添加了很多日常工作中使用的工具。

“Helix 用户非常有参与意识。全世界都有 Helix 的用户，他们不断提供反馈信息。由于人们是在不同的环境中使用 Helix，因此要确保所有组件在任何情况下都可精确完成工作是一项持续不断、耗时很多的任务。所以我依靠用户的反馈改进 Helix，并修正他们所发现的故障。我还要依靠用户完成语言翻译。” Andrew 说。

Helix 有一个 Windows® 端的活动接口，允许映像一个 Live Windows 系统。此接口已被翻译成了德语，很快会有葡萄牙语版本。另外，很多事件/响应工具按最初形成的想法进行了设计。很多组织教育机构也开始使用 Helix，其中包括 National White Collar Crime Center (NW3C)、System Administrator Network Security (SANS) Institute 和 National Consortium for Justice Information and Statistics。

Helix 并非为在硬盘上安装而设计，但将来的版本可能具备此功能。“我希望能够有一个类似于 Fedora 所用的那种进行硬件识别的硬件抽象层。在不久之前，我们刚刚添加了 union-fs 模块，这是我们需要克服的一个主要障碍。” Andrew 说。尽管 Helix 中的大部分工具都是 Andrew 自己选择的，但有些工具是由社区推荐的。Andrew 面对的最大问题就是有些工具需要许可证。

下一版本将提供一些更新工具、全新的 Retriever 和 Adepto 程序，Andrew 一直在使用这些程序及 Sleuth Kit 和 PyFLAG 中提供的工具。

回页首

Plan-B

Jeremy McDaniel 所开发的 Plan-B 是一种取证 LiveCD，灵感来源于 Peter Anvin 的 SuperRescue CD。它以 Red Hat 9 为基础，运行 Blackbox Window Manager，并使用 zisofs 文件系统将约 1.4GB 的数据压缩到一张 CD 中。其中有一些取证分析工具，如 Autopsy、The Sleuth Kit、BCWipe 等，还有多种日常使用的工具，如 e-mail 客户端软件、浏览器、聊天客户端软件和文本编辑器。 根据该项目的 Web 站点：

（下一个版本中）最大的变化是：大部分当前软件（即便不是全部）都会更新，另外还会添加 2.6 内核，回滚至 Fedora。主数据库为 MySQL ，以添加新的应用服务器。创建基于 eServer™ 的 Security/Auditing/Planning Module 的计划现已投入实施。它最终要作为一个独立的应用程序进行发布。Plan-B 将仅作为移动测试解决方案提供服务。这种工具将用于基于团队的审计和具有报告创建能力的穿透测试接口。

回页首

结束语

设想一下，我们可以通过一张可引导的 Linux CD 直接学到经验丰富的计算机取证专家的技能。这不是梦想。本文中介绍的 LiveCD 使梦想成为现实。祝您的侦探道路顺利！

参考资料

学习

• 您可以参阅本文在 developerWorks 全球站点上的 英文原文
  
  
• “使用 Linux LiveCD 评估系统的安全性”（developerWorks，2005 年 7 月）介绍了 4 种专门用于发掘系统漏洞的 LiveCD。
  
  
• “Rock your desktop with entertainment LiveCDs”（developerWorks，2006 年 1 月）介绍了 4 种有助于使您的 Linux 计算机成为完备的家庭娱乐系统的 LiveCD。
  
  
• “使用教学 LiveCD 回到学校”（developerWorks，2006 年 1 月）介绍了 3 种用于自学的 LiveCD。
  
  
• “使用 ClusterKnoppix 构建负载平衡集群”（developerWorks，2004 年 12 月）介绍了如何使用基于 Knoppix 的 LiveCD 构建自己的高性能 Linux 集群。
  
  
• “使用 Linux LiveCD”（developerWorks，2004 年 7 月）介绍一种无需安装即可运行或演示 Linux 的方法。
  
  
• 通过 DistroWatch.com 可了解最新的 Linux 发行版（该网站承诺 “将乐趣重新融入计算”）。
  
  
• 在 developerWorks Linux 专区 可以找到为 Linux 开发人员准备的更多资源。
  
  
• 了解 developerWorks 技术活动和 Webcast 的最新情况。
  
  

获得产品和技术

• Helix 是 Knoppix Live Linux CD 的一个自定义发行版，主要关注事件响应和取证工具。
  
  
• Plan-B 是一种可引导的 Linux 环境，可为技术人员或网络管理员等众多角色提供服务。
  
  
• PyFlag 是 FLAG (Forensic and Log Analysis GUI) 版本之一，可简化日志文件的分析和取证调查过程，并使用后台数据库来处理大型数据集。
  
  
• The Sleuth Kit (TSK) 是一组基于 The Coroner's Toolkit (TCT) 的命令行工具集。Autopsy 是 TSK 中命令行工具的图形界面。
  
  
• The Coroner's Toolkit (TCT) 是一组用于对已被入侵的 UNIX 系统进行后期分析的程序。
  
  
• BCWipe 是 Windows 的 shell 扩展，用来安全地删除您的文件。
  
  
• 订购免费的 SEK for Linux，共两张 DVD，内有最新的 IBM for Linux 的试用软件，包括 DB2®、Lotus®、Rational®、Tivoli® 和 WebSphere®。
  
  
• 在您的下一个开发项目中采用 IBM 试用软件，可直接从 developerWorks 下载。
  
  
  

讨论

• KernelNewbies.org：如果您是一名内核攻击新手，可以在这里找到很多有用的资源，包括 IRC 通道、邮件列表和 wiki。
  
  
• 通过参与 developerWorks blogs 加入 developerWorks 社区。
  
  
  

关于作者

为本文评分

评论

回页首

内容

• 调查计算机
• Helix
• Plan-B
• 结束语
• 参考资料
• 关于作者
• 建议