dcsimg

计算机犯罪调查员的工具包:第三部分

有关如何阅读Perl脚本的提示;面向初学者的网络基础知识入门;以及将电子邮件跟踪到其来源的方法。


佩尔脚本

佩尔是一种编程语言,擅长处理列表和字符串。如果要搜索日志文件并输出信息,Perl是一个非常有用的工具。一些计算机作者将语言描述为计算的管道。的 新黑客词典 描述为"Swiss-Army Chainsaw."它的紧凑性,灵活性和相对易用性使其吸引了所有劝说者。

虽然不必成为一名高级程序员就可以成为计算机犯罪侦探,但是能够读取代码有助于产生洞察力。例如,如果您发现Perl脚本对于检查密码的有效期很有用,那么了解该程序的工作方式对正确实现该工具有很长的路要走。并且,您将在此过程中学习如何开发自己的工具。一些研究人员可能更喜欢C或C ++作为起点。由于有许多使用这些语言编写的计算机安全工具可供使用,因此这种选择具有一定的优点。但是最重​​要的技能是学习代码,然后在这些知识的基础上继续学习。语言之间存在着比您可能意识到的更为普遍的基础。

共同点包括:

  1. 评论。这些代码行记录了程序中正在发生的事情。编译器不执行这些行,但是它们可能是最重要的代码行。它们记录了该程序为什么以及如何工作。 佩尔通过以磅符号开头的一行来告诉编译器注释是注释,"#."(#是Perl中注释行的示例。)学习阅读注释可以告诉计算机侦听程序中发生的事情。

  2. 有条件的。作为程序中的决策点,它们通常采用IF,THEN,ELSE语句的形式。在Perl中,该语句采用以下形式:

<p>if ($a  = =  21) { print "Happy Birthday Scully!\n" }</p>
<p>else  { print "Mulder's been abducted!\n" }</p>
<p>Notice the THEN is implied through using the braces (known as the 
"block").
  The "= =" simply means "equal to." The "\n" 
tells the compiler to start a new
  line after the string expression.</p>
  1. 变数. "$a"是一个变量。这是在内存中存储值的地方。 佩尔通过以变量开头来识别变量"$."$ Rons_Paycheck_Amount是Perl中的变量。 佩尔通过一个简单的语句$ Rons_Paycheck_Amount = 1000.00来声明或分配变量。您会注意到用于分配的逻辑等号之间的区别"="和数学等号"= =."

  2. 循环。当需要计算机执行重复的操作时,循环就可以解决问题。循环由一个计数器值组成,该值告诉循环从何处开始计数。一个条件语句,它告诉循环终止条件。和一个增量,它告诉循环以什么速率向下或向上计数。一个可能的Perl循环是:

4<p>$Counter = 19;</p>
<p># This statement assigns the counter element a starting value of 19.  
Note
  most     # 佩尔 statements end with the semicolon ";" unless 
terminated by a
  block. </p>
<p>while ($Counter > 0 )  {</p>
<p>            print "Still processing" ;</p>
<p>            $Counter - = 1 ;</p>
<p>} # The "while" statement gives the terminating condition, when 
$Counter equals
  # zero. </p>
<p># The phrase "- = 1" is the declining increment reducing the 
$Counter variable
  by</p>
<p># one each cycle of the loop.</p>
<p>print  "\n Counter reduced to zero.\n" ;</p>
<p># When the loop terminates, the last "print" statement 
executes.</p>

其他共性包括函数,这些函数是子例程,数组和其他数据结构,以及条件和循环的变体。但是,这个非常基本的介绍为您提供了一些开始阅读Perl代码的起点。如果要查看Unix / Linux的一些Perl安全脚本,请转到 http://www.softpanorama.org/Security/perl_sec_scripts.shtml.



网络基础

也许,除了密码学之外,计算机安全的其他领域都没有网络那么神秘。无数首字母缩写词主导着网络讨论。问题经常出现在抽象的几个层次上。安全漏洞通常是微妙的,甚至没有经验丰富的分析师的注意。但是,即使网络犯罪可能不是他们工作的主要重点,但每个计算机犯罪专业人员都必须对网络有所了解。任何计算机犯罪都可能扩散到网络中。

阅读Stephen Northcutt的文章是对网络安全知识的很好考验,"情报收集技术" at http://www.microsoft.com/technet/security/intel.asp。他涵盖的主题包括主机映射,ICMP回显请求,UDP回显请求,广播ICMP,扫描检测,基于网络掩码的广播,端口扫描,扫描特定端口,复杂脚本,随机端口扫描,FTP退回,NetBios跟踪,隐身攻击,SYN / ACK和逆映射。

如果这篇文章对您来说是真正的头条新闻,那么该是进行一些网络研究的时候了,这并不令人羞愧。许多网络工程师和架构师在他们的书桌上都有大量的书籍可供参考。他们无时无刻不在做他们的日常工作。意识到您不知道的事情是此业务中的健康方法。 (如果您想查看一些网络安全工具(例如TAMU,COPS和SATAN),请通过ftp到wuarchive.wustl.edu并查看/ packages / security。)

可能的攻击包括:

  • 网络欺骗。攻击者的服务器成为 实际上 ISP到用户的浏览器。用户认为自己正在到达,例如 www.microsoft.com,实际上是用户正在从黑客那里接收内容。当您考虑到用户可能是在向欺骗站点提供机密数据时,这是一次阴险攻击。

  • 拒绝服务。大多数公共或商业网站面临的常见攻击。诀窍在于攻击者利用假冒的数据包(通常是SYN)使站点的路由器或服务器超负荷。

  • 嗅探器。攻击者通过监视您的流量并挑选密码和用户数据来针对您的站点构建情报。

  • DNS欺骗。黑客会破坏DNS服务器并更改IP地址数据库,从而将用户URL调用重定向到黑客选择的站点。

  • 移动代码攻击。攻击者使用Java Applet或ActiveX控件将特洛伊木马植入本地计算机。这种恶意代码可以嵌入到HTML页面中,从而使其特别有害。而且,外部网页不是唯一的问题。任何在本地计算机上查看HTML页面的计算机犯罪调查人员都应首先使用源代码查看器检查所有链接。链接可能包含诱骗陷阱,诱骗陷阱可能会在调查人员的磁盘上植入病毒或特洛伊木马,也可能会删除计算机硬盘驱动器上的文件。始终假定任何本地计算机都包含诱骗陷阱。

  • IP欺骗。攻击者伪造服务器识别或信任的计算机的IP地址,以获取进入权限。一本有趣的书描述了IP攻击以及调查网络和Internet攻击的一般过程, 记录下来 Shimomura Tsutomu Shimo和John Markoff合着的Hyperion,1996年。



追踪电子邮件

如果您想知道电子​​邮件是从哪台计算机发出的,则Web上的专用搜索引擎可以提供帮助。美洲可用的一种是 http://www.arin.net/whois/。大多数发送和接收电子邮件的人永远不会看到一封电子邮件的详细标题信息。但是,许多电子邮件服务(例如MS Outlook)允许您在查看器选项下选择完整标题。要注意的关键词是"Received: from."

以下是示例电子邮件标头(出于安全原因有所更改):

<p>Received: from hotmail.com
  (f54.pav1.hotmail.com [64.4.31.54]) by exchange.anyplace.com with SMTP 
(Microsoft
  Exchange Internet Mail Service Version 5.5.2650.21)</p>
<p>            id XBMVVB8A; Fri, 1 Dec 2000 05:04:58 -0600</p>
<p>Received: from mail pickup service by hotmail.com with Microsoft 
SMTPSVC;</p>
<p>             Fri, 1 Dec 2000 03:06:19 -0800</p>
<p>Received: from x.x.x.x by pv1fd.pav1.hotmail.msn.com with http:
  Fri, 01 Dec 2000 11:06:19 GMT</p>
<p>X-Originating-IP: [x.x.x.x]</p>
<p>From: "Anyone" <[email protected]></p>
<p>To: [email protected]</p>
<p>Subject: Test</p>
<p>Date: Fri, 01 Dec 2000 05:06:19 -0600</p>
<p>Mime-Version: 1.0</p>
<p>Content-Type: text/plain; format=flowed</p>
<p>Message-ID: <[email protected]></p>
<p>X-OriginalArrivalTime: 01 Dec 2000 11:06:19.0949 (UTC) 
FILETIME=[BBB795D0:01C05B86]</p>
<p>The first "Received: from" phrase indicates that the last 
server to transmit
  the 电子邮件 was f54.pav1.hotmail.com with IP address 64.4.31.54. That server 
received
  the 电子邮件 from the fictionalized MS Exchange<span> server at 
"anyplace.com"
  using Simple Mail Transfer Protocol (SMTP).</p>
<p><i>What a 搜索 on ARIN produced for IP address 64.4.31.54:</i></p>


MS Hotmail (<a
href="http://www.arin.net/cgi-bin/whois.pl?queryinput=NETBLK-HOTMAIL" 
target="_blank">NETBLK-HOTMAIL</a>)<br>
1290 Oakmead Pkwy Ste 218<br>
Sunnyvale, CA 94086<br>
US<br>
 <br>
Netname: HOTMAIL<br>
Netblock: <a
href="http://www.arin.net/cgi-bin/whois.pl?queryinput=64.4.0.0" 
target="_blank">64.4.0.0</a> - <a
href="http://www.arin.net/cgi-bin/whois.pl?queryinput=64.4.63.255" 
target="_blank">64.4.63.255</a><br>
 <br>
Coordinator:<br>
Myers, Michael  (<a
href="http://www.arin.net/cgi-bin/whois.pl?queryinput=MM520-ARIN">MM520-ARIN</a>) 
  [email protected]<br>
408-222-7330<br>
 <br>
Domain System inverse mapping provided by:<br>
 <br>
NS1.HOTMAIL.COM   <a
href="http://www.arin.net/cgi-bin/whois.pl?queryinput=207.82.250.83" 
target="_blank">207.82.250.83</a>
NS3.HOTMAIL.COM<br>   <a
href="http://www.arin.net/cgi-bin/whois.pl?queryinput=209.185.130.68" 
target="_blank">209.185.130.68</a><br>
 <br>
Record last updated on 11-Feb-2000.<br>
Database last updated on 30-Nov-2000 19:05:05 EDT.<br>
 <br>

下一页"Received: from" tells you what server at Hotmail.com received the 电子邮件 from anyplace.com. 下一页two lines tell you the IP address of the machine at machine anyplace.com sent the 电子邮件 to, or generated the 电子邮件 at, Hotmail.com before it was transmitted to [email protected]。在这种情况下,该机器的地址已被虚拟化为x.x.x.x。但是实际的IP地址可以在ARIN上运行以进行标识。域名也是如此。的"From"行提供了Hotmail.com上发件人的电子邮件地址。

跟踪电子邮件将继续在计算机犯罪调查中发挥越来越重要的作用。要了解它如何在最近的德克萨斯州凶杀案中发挥作用,请阅读"通过互联网谋杀" at http://securityportal.com/topnews/murdervia20000721.html.



资源资源

打印源:

凯西,欧汉, 数字证据与计算机犯罪,学术出版社,2000年。

海顿,马特, 24小时联网,萨姆斯,1998年。

霍夫曼,保罗·E, 佩尔 5 for Dummies,IDG图书,1997年。

门德尔·罗纳德·L。 安全管理,1999年6月,"互联网只是错误信息的网站吗?"

埃里克·雷蒙德(Raymond), 新黑客词典3rd ,麻省理工学院出版社,1996年。

Sharrar,Kristopher A.和Granado,Jose, 安全管理,1997年3月,"硬盘自白。"

下村,鹤见和约翰·马克夫, 记录下来,Hyperion,1996年。

大会编辑, 黑客证明您的网络:Internet Tradecraft,Syngress,2000年。

蒂瓦纳,阿姆里特, 网络安全,数字出版社,1999年。

网址:


佩尔

http://www.perl.org
http://www.perl.com/perl/


安全脚本

http://www.softpanorama.org/Security/perl_sec_scripts.shtml


入侵检测

入侵检测页面
http://www.cerias.purdue.edu/coast/intrusion-detection/welcome.html


进攻

对IP网络的攻击
http://www.docs.uu.se/~carle/datakomm/Notes/Networkin/51_AttacksOnIP.html

网络情报
http://www.microsoft.com/technet/security/intel.asp

Whois服务
Internic和IP地址搜索:
http://rs.internic.net/cgi-bin/whois

链接到多个注册表
http://networksolutions.com/cgi-bin/whois/whois

美国互联网号码注册局(ARIN)
http://www.arin.net/whois


电子邮件

追踪电子邮件
http://www.usus.org/elements/tracing.htm


安全Portal是全球关注保护其信息系统和网络的公司和个人的在线资源和服务提供商。
http://www.SecurityPortal.com
网络安全联络点(tm)

本文最初于2001年2月15日发布
通过网络更新新闻获取最新消息