您希望不用經(jīng)過冗長的系統(tǒng)安裝和配置過程就可以評估 Linux® 系統(tǒng)的完整性并恢復(fù)丟失的數(shù)據(jù)嗎?Helix 和 PlanB 這兩個軟件包將通過 LiveCD 的神奇力量幫助您獲得這種能力

Mayank 的上一篇文章 使用 Linux LiveCD 評估系統(tǒng)的安全性 介紹了 LiveCD還介紹了一些可幫助您評估計算機(jī)系統(tǒng)安全性的工具但若系統(tǒng)已遭遇安全威脅并被用于非法或未經(jīng)授權(quán)的活動又該怎么辦呢?選擇之一是請求計算機(jī)安全專家的幫助也可以下載專家所使用的工具學(xué)習(xí)如何使用這些工具自己成為完整性保障和數(shù)據(jù)恢復(fù)方面的專家完全不必?fù)?dān)心工具的安裝 —— 這是 LiveCD!

關(guān)于 LiveCD

LiveCD 是存儲在一張可引導(dǎo)的 CDROM 上的操作系統(tǒng)(以及其他軟件)通過這張 CD ROM 即可執(zhí)行 OS無需進(jìn)行漫長的安裝過程大部分 LiveCD 都是基于 Linux 內(nèi)核的(但也有一些用于其他操作系統(tǒng)的 LiveCD)LiveCD 的工作方式是將文件放到 RAM 磁盤中(這樣就減少了應(yīng)用程序可以使用的 RAM因此性能可能會降低)一旦取出 LiveCD 并重新啟動系統(tǒng)之后原系統(tǒng)就恢復(fù)了有些 LiveCD 還提供了一個安裝工具使您可將系統(tǒng)安裝到硬盤或 USB 磁盤上大部分 LiveCD 都可以訪問內(nèi)部/外部硬盤磁盤或閃存上的信息

syslinux 用來啟動基于 Linux 的 LiveCD以及 Linux 軟盤對于 PC 來說可引導(dǎo) CD 通常都遵守 El Torito 規(guī)范會將磁盤上的某個文件(可能是隱藏文件)當(dāng)作一個軟盤映像使用很多 LiveCD 都使用壓縮的文件系統(tǒng)映像其中通常會使用 cloop 壓縮 loopback 驅(qū)動器有效地雙倍利用存儲能力

市場上有很多模擬器可以用于試用 LiveCD而不需將其刻錄成 CD 或在計算機(jī)上啟動支持最為廣泛的 i 模擬器是 VMware其他模擬器還有 QemuPearPC 和 Bochs它們都可以用于模擬 x 和/或 PowerPC® 平臺但由于所采用的模擬方法的不同因此速度比一些商業(yè)化模擬器慢另外一種商業(yè)化模擬器是 VirtualPC

調(diào)查計算機(jī)

侵入計算機(jī)和計算機(jī)網(wǎng)絡(luò)并在其掩護(hù)下進(jìn)行嚴(yán)重非法活動是一種非常普遍的行為甚至普遍到許多人都具備實現(xiàn)此類行為的必備技能然而檢測并捕捉入侵者的能力卻并非同樣普遍偉大的(盡管是虛構(gòu)的)偵探福爾摩斯曾經(jīng)說過在搜集齊所有證據(jù)之前就進(jìn)行推理是一個絕大的錯誤這會讓判斷有所偏頗

從遭遇安全威脅的系統(tǒng)中搜集證據(jù)是計算機(jī) 取證 專家(數(shù)字時代的福爾摩斯)的工作他們使用專門工具來搜集研究并分析關(guān)于系統(tǒng)的信息對于這種工作來說最好的工具是開源工具這并不奇怪The Coroners Toolkit (TCT)Sleuth KitAutopsy Forensic Browser 以及 FLAG (Forensics Log Analysis GUI) 都是非常流行的工具不但安全專家喜歡使用這些工具很多計算機(jī)安全課程的講師也都很喜歡這種工具

Helix

與很多專門 LiveCD 一樣Helix 也是應(yīng)需產(chǎn)生的Andrew Fahey 是 efense Inc的一位合作安全專家他以 Knoppix 作為基礎(chǔ)并添加了很多日常工作中使用的工具

Helix 用戶非常有參與意識全世界都有 Helix 的用戶他們不斷提供反饋信息由于人們是在不同的環(huán)境中使用 Helix因此要確保所有組件在任何情況下都可精確完成工作是一項持續(xù)不斷耗時很多的任務(wù)所以我依靠用戶的反饋改進(jìn) Helix并修正他們所發(fā)現(xiàn)的故障我還要依靠用戶完成語言翻譯 Andrew 說

Helix 有一個 Windows® 端的活動接口允許映像一個 Live Windows 系統(tǒng)此接口已被翻譯成了德語很快會有葡萄牙語版本另外很多事件/響應(yīng)工具按最初形成的想法進(jìn)行了設(shè)計很多組織教育機(jī)構(gòu)也開始使用 Helix其中包括 National White Collar Crime Center (NWC)System Administrator Network Security (SANS) Institute 和 National Consortium for Justice Information and Statistics

Helix 并非為在硬盤上安裝而設(shè)計但將來的版本可能具備此功能我希望能夠有一個類似于 Fedora 所用的那種進(jìn)行硬件識別的硬件抽象層在不久之前我們剛剛添加了 unionfs 模塊這是我們需要克服的一個主要障礙 Andrew 說盡管 Helix 中的大部分工具都是 Andrew 自己選擇的但有些工具是由社區(qū)推薦的Andrew 面對的最大問題就是有些工具需要許可證

下一版本將提供一些更新工具全新的 Retriever 和 Adepto 程序Andrew 一直在使用這些程序及 Sleuth Kit 和 PyFLAG 中提供的工具

圖 正在掃描病毒的 HelixPyFLAGAdepto 和 ClamAV

PlanB

Jeremy McDaniel 所開發(fā)的 PlanB 是一種取證 LiveCD靈感來源于 Peter Anvin 的 SuperRescue CD它以 Red Hat 為基礎(chǔ)運(yùn)行 Blackbox Window Manager并使用 zisofs 文件系統(tǒng)將約 GB 的數(shù)據(jù)壓縮到一張 CD 中其中有一些取證分析工具如 AutopsyThe Sleuth KitBCWipe 等還有多種日常使用的工具如 email 客戶端軟件瀏覽器聊天客戶端軟件和文本編輯器根據(jù)該項目的 Web 站點(diǎn)

(下一個版本中)最大的變化是大部分當(dāng)前軟件(即便不是全部)都會更新另外還會添加 內(nèi)核回滾至 Fedora主數(shù)據(jù)庫為 MySQL 以添加新的應(yīng)用服務(wù)器創(chuàng)建基于 eServer&#; 的 Security/Auditing/Planning Module 的計劃現(xiàn)已投入實施它最終要作為一個獨(dú)立的應(yīng)用程序進(jìn)行發(fā)布PlanB 將僅作為移動測試解決方案提供服務(wù)這種工具將用于基于團(tuán)隊的審計和具有報告創(chuàng)建能力的穿透測試接口

圖 PlanB 在此分析報告中提供了常見的命令行接口

結(jié)束語

設(shè)想一下我們可以通過一張可引導(dǎo)的 Linux CD 直接學(xué)到經(jīng)驗豐富的計算機(jī)取證專家的技能這不是夢想本文中介紹的 LiveCD 使夢想成為現(xiàn)實祝您的偵探道路順利!