孙 亮，杨开开

（南通市公安局，江苏 南通 226006）

服务器痕迹提取的方法研究

孙 亮，杨开开

（南通市公安局，江苏 南通 226006）

随着网络技术的不断发展，网络技术已经应用于人们生活的方方面面，同时网络犯罪也应运而生。现如今，日益猖獗的计算机犯罪发展态势和计算机犯罪取证难的矛盾是当前公安机关迫切需要解决的问题。面对这样的矛盾，必须使用有效、高效的方法和优秀的计算机取证工具。文章针对这个需求展开了研究。

电子数据取证；后门排查；服务器

随着科技的高速发展，计算机带给人们极大的效率和便利，已成为人们生活中不可缺少的一部分，人们使用计算机时难免会留下蛛丝马迹。再加上以计算机为平台的各种信息系统、应用软件和外部设备的不断增加，这些软、硬件的使用痕迹越来越多。所有的计算机用户的正常行为和恶意行为，都会反映到记录数据中，不论是正常行为还是异常行为，都会留下一条或多条记录。

当前，计算机作为一种先进的生产力工具，在社会生活领域产生了一种新形态的犯罪—计算机犯罪，其中包括网络黑客入侵，未经他人允许非法操作他人计算机等。计算机犯罪也是一种查证率极高的高技术犯罪，如何保证计算机安全和非法操作计算机的取证保存和分析成为需要迫切解决的问题，而通过计算机分析和取证系统提取有用信息是一种有效的手段。

1 服务器痕迹的定义及特点

计算机服务器生成痕迹是全部由计算机等电子设备自动生成的痕迹，这些痕迹完全是由计算机等电子设备的内部命令执行运行的，而电子设备的存储痕迹则是由人为输入电子信息生成的痕迹，电子设备得到输入的信息后根据其内部的命令运行所生成的痕迹，两者的区别在于有无加入人为的主观意志。

依照计算机等电子设备自身的结构特征及工作运行的原理，在设备上进行操作处理需要设备自身的系统和内部软件一起配合运行完成的，在处理此信息中，用户自主访问的控制下，用户只有通过验证身份才能获得读取的权限，包括对目录文件、IPC等进行读取，执行命令或删除。当然这些操作会在系统文件、设备存储、注册表中留下操作的相关记录，这些操作记录虽然不能直接证明此操作用户的操作目的，但是能够从这些记录信息中提取分析与此操作用户相关的行为信息，这些提取的信息对帮助警方对案件进行信息采集、数据样本查看以及恢复数据都有重要的作用和意义。

2 掌握服务器情况下的痕迹提取的方法

2.1 日志提取

（1）数据库日志提取。数据库包括MySQL数据库、MSSQL数据库、Oracle数据库等，查阅不同的数据库日志。

（2）系统日志提取。操作系统分为Windows操作系统和Linux操作系统，针对不同的操作系统进行日志查看和分析。

（3）用户登录日志提取。包含Windows系统登录日志的查看和分析，Linux用户的登录日志和用户的Finger信息。

（4）Web访问日志的提取。Web服务器包括Apache，Ngnix，IIS等各种类型，不同的Web服务器采用不同的方式提取Web访问日志。

（5）FTP/VPN/MAIL服务访问日志提取。如图1所示，微软的IIS提供了FTP服务、远程路由访问提供了VPN服务、第三方FTP软件如ServU服务、Linux下的Wu-ftp，vsftp等服务，均可获取日志。

图1 第三方软件查阅服务日志

2.2 后门排查

后门排查包括：（1）使用Webshell扫描工具进行Web目录下的Webshell排查；（2）使用系统木马查杀软件扫描服务器，提取痕迹样本进行分析；（3）使用内核后门扫描软件扫描服务器，提取痕迹样本进行分析，主要针对Linux操作系统。

2.3 通讯异常

通讯异常是敏感数据外流的依据。当服务器出现通讯异常现象时，对服务器进行旁路镜像抓包，分析异常的通讯数据流量，主要用于分析木马通讯，追踪木马来源的IP地址。

2.4 数据恢复

对服务器存储设备进行专业级数据恢复，可以对被删除的日志、重要电子物证进行恢复和分析。

如图2所示，在计算机中硬盘储存数据的基本单位是扇区，当进行数据恢复时先对硬盘进行分区，并在第一个扇区中标注硬盘的分区大小、数量和起始位置等信息，当这些标注的信息因硬盘损坏、病毒入侵或者操作失误等原因遭到破坏或损毁消除时，分区数据信息就会部分或全部丢失。可以利用数据信息的特点，重新计算出分区的位置和大小，手动标出分区信息，这样丢失的分区数据就会恢复。

图2 数据恢复

2.5 备份比对

如果存在备份服务器，可以将备份服务器数据与正在使用的服务器数据进行比对，如图3所示，找出被修改的文件。针对Web文件的对比，可以发现Web后门和被恶篡改的逻辑，并进行修正。针对日志文件的对比，可以恢复重要的日志记录。

图3 数据备份

2.6 蜜罐取证

蜜罐取证方式是设计成专门被攻击、扫描和入侵的网络资源，是一种包含系统漏洞的安全资源。在系统被攻击或探测后对这些行为进行检测和分析，从而收集电子证据，并且此方式能够将真实的服务器IP地址进行隐藏。蜜罐能够起到发现、预警、追踪、记录等作用，必要的时候可以利用此方式收集记录的信息证据警告或起诉入侵者。

（1）针对Web服务器，可以修改入侵者预留的后门代码，记录目标的访问的IP地址和浏览器信息；（2）针对Web后台功能，可以修改代码，记录目标访问的IP地址和浏览器信息；（3）针对FTP等服务，可以使用“虚假服务器”记录目标行为；（4）构造虚假的且“有价值”目标，例如数据库、文件服务器等吸引入侵者上钩。

2.7 内部人员排查

排查内部工作人员，查找内鬼，这是最传统的方式，非技术范畴。

3 结语

本文研究了在掌握服务器情况下进行痕迹提取的方法，包括日志提取、后门排查、通讯异常、数据恢复、备份比对、蜜罐取证、传统方式内部排查，每种方法还需根据实际情况进行灵活运行。只有通过灵活部署不同的服务器痕迹提取方式，服务器被操作过的痕迹必将显现出来。

[1]徐仙伟.存储原理与数据恢复讲义[D].南京：南京森林警察学院，2012.

[2]汤艳君.电子取证检验与分析[M].北京：清华大学出版社，2014.

[3]贾铁军.网络安全技术及应用[M].北京：机械工业出版社，2013.

Research on the method of server trace extraction

Sun Liang, Yang Kaikai
（Nantong Municipal Public Security Bureau, Nantong 226006, China）

With the continuous development of network technology, network technology has been applied to all aspects of people’s lives, at the same time, the network crime has emerged along with this. Nowadays, the contradiction between the development trend of the increasingly rampant computer crime and computer crime forensics difficult is an urgent need to address the issue of public security organs. Faced with this contradiction, it is necessary to take efficient methods and excellent computer forensics tools to solve this problem. This article aims at the needs to carry out research.

electronic data forensics; back door investigation; server

孙亮（1978— ），男，江苏南通，硕士，助理工程师；研究方向：Web安全。