徐　坤锦州师范高等专科学校，辽宁锦州　121000



SQL Server数据库的证据收集与分析

徐坤
锦州师范高等专科学校，辽宁锦州121000

摘要本文将对SQL Server数据库概念及特点进行分析和研究，并在此基础上提出证据收集与分析系统的构建。

关键词SQL Server数据库；证据收集；分析

互联网时代下，网络安全防范技术取得了进一步发展，但是防火墙等安防产品仅是一种被动的防御措施，难以有效打击网络犯罪。而计算机取证作为一种新型安防手段，能够通过计算机取证技术获取黑客攻击全过程，成为呈堂证供，在一定程度上打击了网络犯罪行为。其中数据库以其自身容量大等优势成为取证技术研究的重要方向，能够收集更多犯罪行为，为侦破案件提供依据。因此加强对数据库证据收集的研究具有现实意义。

1　SQL Server数据库概述

SQL是指结构化查询语言，对于其功能的分析，可以了解到它能够在不同数据库之间发挥桥梁作用。而SQL Server是一个具有可拓展、高性能的数据库管理系统，能够实现与WindowsNT有机结合，提供建立在事务基础之上的企业级信息管理系统方案。

在实践中，其具有高性能、先进的系统管理等特点，不仅能够实现对数据库的分布存储和访问，还能够显著降低系统负荷，增强系统运行稳定性、可靠性。因此将其引入到取证系统设计及开发中具有较强可行性，减少黑客的攻击。

2证据收集及分析

数据库取证作为一种新型取证方式和方法，需要建立在传统电子物证取证检验技术基础之上。本章将从证据收集与分析探讨数据库取证技术的实施过程。

2.1模拟攻击环境

网络数据库中拥有大量数据，其中包含一些具有经济价值的数据信息，成为黑客攻击的主要对象。一般情况下，黑客并不会采取直接物理接触方式攻击数据库，而是获取数据库的控制权限之后，对数据进行相应的改动。基于此，本文将在内部网络中构建数据库应用平台，并开发一个远程访问端，模拟一台置于开放网络环境中的数据库，通过此探讨数据库调查取证的方法及技术路线[1]。

具体实验环境如下：操作系统为Window Server2003,Web服务器等。在实验过程中，利用端口扫描程序对特定网段进行扫描，确定主机存活后，开放其端口。通过对数据库服务器密码进行暴力破解后，通过远程数据库对数据进行修改等非合法操作。通过上述步骤能够模拟黑客对数据的攻击，为后续取证和证据分析做好铺垫。

2.2取证过程

通过数据库进行取证，能够回放用户对数据库操作的全过程，对比数据前后变化，找到被破坏的数据，以此来恢复原有数据内容，并证明黑客攻击过数据库，同时还能够确定数据库入侵范围及危害程度等。SQL Server数据库取证建立在数字取证规则基础之上，采取DDDCFLDD、系统自带视图、函数等多项取证分析工具获取相应的证据。

确定分析工具后，我们需要锁定取证范围。就理论层面来说，获取犯罪证据的关键在于证据并未被完全覆盖或者消除。可见，司法鉴定范围过于狭小，仅关注计算机内部，如软盘、硬盘及DVD等、而SQL Server在Windows系统当中，为了确保证据连贯性及完整性，在取证时，需要收集存在于操作系统中的证据文件及其相关证据记录。一旦出现黑客攻击，如果未及时采集犯罪证据，将会被合法或者恶意系统覆盖，而这将直接增加取证的难度。因此数据库取证应预先确定证据范围。具体来说，应按照动态数据——事务日志——数据文件等顺序进行。

最后对于取证来说，如果面临的是计算机运行环境、内存等可以采取WFT自动获取，另外，还可以借助数据库系统自身提供的SQLCMD及内置的函数等保存证据。具体操作时，用户发出指令，系统相应指令并加载SQLCMD，获取数据库登陆账户信息，将此过程中记录在文件中。然后收集数据文件等，最后关闭数据库，完成该环节操作后，使用取证工具对数据文件、事务日志等进行镜像保存，与原始文件进行对比，最后确定数据在复制时是否被改动。

取证作为关键关节，是整个系统开发的重中之重，只有确定证据的完整性、准确性，才能够找到黑客攻击的痕迹，制裁黑客，可见，取证是消除黑客攻击的重要基础。

2.3取证分析

完成取证后，需要对证据进行深入分析，具体来说，可以从3个层面入手：

第一，建立时间线索。收集线索后，可以在信任度较高的取证平台上进行证据分析。基于该项工作复杂性、繁琐性等特点的考虑，可以构建攻击时间时间进程，按

照时间标准进行证据分析，找到数字证据的范围。通过对提取证据全过程的观察来看，数据库错误日志中记录了登陆情况、数据库服务器启动等相关信息。本文对数据库最后一次SQL Eroor Log文件能够发现诸多问题，如某段时间发现了登陆失败事件等。数据库business中的文件证明了客户端曾被恶意攻击过。

第二，分析证据。在具体分析之前，我们应先了解系统内置的日志分析函数命令，该命令包括大量信息，但是DBCC LOG输出字段中仅有本次数据库取证需要用到数据信息。通过对比数据信息，能够发现其中多处数据与原来的文件存在不同，最终确定黑客攻击证据。

最后，恢复数据。在数据库中，当其中的记录被删除，会被标记一个ghost值，以此来提醒数据库引擎在后续查询过程中要将其隐藏，即便真实的数据仍然被物理保存在数据页当中，也将出现隐藏情况。一般情况下，数据库会重新启动一个垃圾清理程序，定期对删除的记录进行重复利用[2]。而数据的事务日志会被详细的记录下来，被删除的数据也能够被恢复到原来的状态。由此，模拟数据库攻击时间的整个过程将被还原，黑客攻击的证据也会被提取，成为有力证据。

计算机取证是计算机技术发展的产物，研究该系统的最终目的是为了避免黑客攻击，确保用户重要信息的安全。因此在研究中，我们要掌握黑客攻击的规律及特点，在此基础上设计和开发数据库取证技术，最大限度上保障用户信息的安全。

3　结论

根据上文所述，数据库取证系统的构建是一个综合性、复杂性过程，需要取证人员具备专业知识。数据库攻击事件较为频繁，在一定程度上增加了取证难度。因此相关人员应加大对计算机取证方法的研究，不断引进先进技术，增强系统抗攻击能力，了解和掌握黑客攻击行为，为数据库取证提供更多支持和帮助，从而构建安全、和谐的互联网环境。

参考文献

[1]闫旭.浅谈SQL Server数据库的特点和基本功能[J].价值工程，2012（22）：229-231.

[2]裴发根，仇根根,李立.基于VB和SQL Server大地电磁测深成果数据库的设计与实现[J].物探与化探，2013（1）：155-159.

作者简介：徐坤，硕士，讲师，工作单位为锦州师范高等专科学校，从事计算机教学

中图分类号TP39

文献标识码A

文章编号1674-6708（2015）155-0122-01