文件MAC属性

  • 格式:doc
  • 大小:33.50 KB
  • 文档页数:4

文件MAC属性
文件的时间属性和其他属性例如大小、名称等一样,是文件的重要属性,是取证中必须特别关注的文件属性。

时间实质包括日期和时间,而不单指时分秒。

不同的操作系统,对于文件的时间属性有不同的处理方法。

Unix维护着文件的三个时间,也称为MACtimes,分别是:
最后修改时间:对于目录,指的是其中项目的最后添加、改名或删除的时间;对于其他文件类型,指的是文件最后写入的时间。

最后访问时间:对于目录,指的是最后被搜索的时间;对于其他文件类型,指的是文件最后读的时间。

最后状况改变时间:包括改变所有者,改变访问权限,改变目录项连接情况,以及任何M ACtimes的任何明显改变。

对于windows来说,同样为每个文件维持着这样三个时间,分别是:
创建时间:通常指文件创建的时间,即文件或目录第一次被创建或者写到磁盘上的时间。

注意,如果文件复制于其他的地方,创建时间就是复制的时间而不是文件第一次创建的时间。

如果此属性的time指为零,即时分秒得值为零,则表示包含此文件的文件系统不支持这个时间,例如FAT:最后写/修改时间:文件或者目录的最后写/修改时间,有丰富的含义,也是所有的操作系统支持的文件,在DIR命令或者默认专题下文件/资源管理显示给用户的时间,通常指文件做出任何形式的最后修改的时间,例如应用软件对文件内容作修改(打开文件,任何方式的编辑,然后写回磁盘)。

如果文件复制与其他的地方,这个时间不变,这就容易造成混乱,例如修改时间在创建时间之前。

最后访问时间:某种操作最后施加于文件或目录上的时间,包括:写入、复制、用察看器查看、应用程序打开或打印以及一些方式的运行。

几乎所有对文件的操作都会重置这个时间(包括资源管理器,但DIR命令不会),如果其值为零,便是包含此文件的文件系统不支持这个时间。

如果要建立整个事件发生的精确的时间线,比必须妥善保护好时间属性,因为并不是所有收集工具都会保存文件的时间,但一些工具的逻辑备份操作在复制和计算需要值得同时会改变文件的最后访问时间。

文件的时间按并不总是精确的,其理由:
计算机的时钟本身就可能不准确
时间属性不完全,例如只有日期而没有时分秒,或缺少分秒。

时区设置的问题。

攻击者会故意修改文件的时间。

计算机及网络取证的作用之二
1、排除故障:很多的取证工具和集输可以用来排除计算机和网络中的故障,例如发现和定位不正确的网络配置、应用程序的功能性问题、记录和审视主机的设置和运行等。

2、日志监控:实时取证过程中,需要监控各种日志文件,分析和关联各种系统的日志记录,从
而帮助在应急响应中的事件处理、识别违反安全策略的事件、实施审计等。

3、数据恢复:从系统中恢复丢失的数据,包括偶然和故意删除的数据,以及由于其他原因被修改的数据,能够恢复多少数据,取决于具体的情况。

4、数据提取:帮助从加密的、隐含的、分散的文件及系统区域提取和还原数据,例如解释文件和系统,提取非政策读写的数据,以及提取电子邮件、聊天记录、internet浏览记录等。

5、完善策略:调查用户违反安全策略的行为,例如暴露敏感信息、关闭某些用户审计的过程等。

同时,针对取证的结果。

同时,针对取证的结果,提出完善安全策略的方法,提高网络的安全性能。

计算机及网络取证的数据媒介:
随着计算机和网络的广泛和大量使用,取证必须面对种类繁多和数据巨大的数据,包含这些数据的计算机或网络就称为媒介,数据存在于这些媒介或者在媒介之间传输。

标准的计算机系统:桌面机、便携机、服务器
网络设备;防火墙、路由器
外部设备:打印机、扫描仪
存储设备:移动硬盘、软盘、光盘、U盘、备份磁带、ZIP盘、各种存储卡,如SD卡、CF卡、记忆卡等。

消费电子产品:手机、PDA、数码相机、MP3/MP4等。

计算机网络取证概述
最近几十年来,针对计算机和网络的犯罪和恶意行为不断增长,应急响应调查人员必须使用基于计算机的证据,来判定到底是谁、针对什么目标、在什么地方、什么时候、以何种方式实施了攻击行为,由此促进了计算机取证科学的产生和发展。

取证科学一般被认为是将科学应用于法律。

计算机及网络取证,也被称为数字取证、计算机取证、取证计算、就是应用计算机、通信等相关技术,发现、收集、检查、分析数据,同时保护信息的完整性,并维持严格的数据保管链,其中数据指的是按特定方式组织起来的格式化的数字信息。

计算机及网络取证的分类
CSIRT实施的取证,按照不同的分类方法,可以分成不同类型。

(1)、主机取证和网络取证:按照是否调查和涉及网络数据流分类,前者主要针对主机及其外设,后者针对网络数据和周界网络。

(2)、事后取证和实时取证:指取证调查的时间是在事件发生后还是在时间发生中。

(3)、司法取证和非司法取证:指取证调查得到的证据是否进入司法程序。

前者的取证在步骤和证据方面有特殊和严格的要求,后者的取证结果只在企业或者组织内部使用。

事实上,应急响应中的取证可能属于上面的一种或者集中。

计算机及其网络取证的作用
主要有:
1、发现和归档证据和线索
2、固定其他途径发现的证据。

3、帮组揭示事件模型。

4、关联攻击和受害的计算机。

5、展现端到端侵害时间的路径,不管侵害是否已遂。

6、提取隐藏、删除或者其他不能直接得到的数据。

计算机及网络取证的作用,就是通过可以调查可疑的计算机系统,手机和保存这感觉,重建时间,评估事件的状态,获得证据,从而进行犯罪调查或者响应一个计算机安全紧急事件。

什么是应急响应策略
1、应急响应策略是知道CSIRT正确、有效运作的主要原则。

策略必须被清楚明显地描述,被所有员工完整透彻地理解,并形成规范的档案。

同时,了解它如何被贯彻、实施及其运作效果,并在必要时修正,也是极为重要的。

应急响应策略是整个安防防御体系中一个不可缺少的环节,一个有效的应急响应策略对于时间发生后稳定局势往往起到至关重要的作用。

事故发生后现场环节通常是非常混乱的,除非作了非常充分的准备工作,否则人们往往会因为不清楚问题所在和应当做神秘而陷入茫然失措的状态,甚至当事者还可能在混乱中执行不正确的操作并导致更大的灾害和混乱的发生。

因此,在缺少应急响应策略的环境中,发生事件后整个局面存在着随时陷入时空状态的危险。

应急响应策略尅由CSIRT结合自身环境制定,或者参考其他CSIRT的资源。

2、有哪些应急响应策略
按照策略的作用范围,一般可以把策略分为:
(1)、全局策略:人员培训策略、道德规范策略、运行评价策略。

(2)、服务特定策略:反病毒策略、电子邮件策略、口令保护策略、远程访问策略、风险评估策略、服务器安全策略、路由器安全策略、VPN安全策略、无线通信策略、信息保密策略、审计漏洞扫描策略等。

(3)、基础策略:操作代码策略、信息分类策略、信息披露策略、媒体策略、安全策略、认为过失策略等。

3、应急响应策略和应急事件处理流程
由于容易混淆这两个概念,理解应急响应策略和应急事件处理流程之间的关系非常重要。

应急事件处理流程描述团队在策略范围内要采取的行为,有助于策略的实施。

在少情况下策略单独存在而没有响应的处理流程,通常情况下帮助员工在策略指导下正确地采取行动,特别是在紧急环境下。

计算机为什么需要应急响应
随着信息网络系统在诊治、军事、金融、商业、文教等方面发挥越来越大的作用,社会对信息网络系统的依赖也日益增强。

同时,网络安全形势日益严峻,大规模的计算机及网络攻击事件频繁发生,不断出现软硬件故障、病毒发作、网络犯罪、天灾人祸等安全事件也变的非常突出。

攻击技术的出现,标志着黑客技术发生了质的变化。

无论足分布式拒绝服务攻击还是网络蠕虫和病毒,都会在攻击中形成突发的攻击流量,严重时会阻塞网络,造成网络瘫痪。

总体来看,由于系统漏洞和攻击技术的变化,不安全的网络环境已经越来越多地暴露在网络黑客不断增强的攻击火力之下。

从根本上讲,在现实环境中不存在绝对的安全。

任何一个系统总是存在被攻陷的可能性,很多时候恰恰是在被攻陷后,人们才得以发现并改善系统中存在的薄弱环节,从而把系统的安生保护提高到一个更高的层次。

事实上整个计算机和网络的安仝水平始终就是在“道高尺,魔高一丈”的对抗过程中螺旋式上升的。

正是认识到这一客观事实,在所有的网络安生模型中都不可或缺地包含了应急响应这样个重要的环节。

在安全保障实践中,应急响应这个环节往往没有得到足够的重视。

用户总是觉得已经投入了很多资金,购置了全套的安全设备,不能理解为什么不断地支出一笔似乎看不到回报的费用来运作应急响应团队。

可是实际上显示经验越来越证明,缺少了高质量的应急响应,整个安全保障环节就好比一个安装了监视系统却没有配备环保人员的住所,攻击者总是可以想办法进入。

由于安全事件的突发性、复杂性与专业性,在组织体系以及协调机制方面都存在很多不和谐、不规范的地方,为了有备无患,需要建立计算机安全事件的快速响应机制,“计算机安全应急响应组”便应运而生。