工欲善其事,必先利其器。文章提到了设备的清洁性,对于从事互联网取证的人来说,设备的清洁性,可能是一个很重要的点。今天以白话的形式,来聊聊什么是清洁性检查,清洁性检查的重要性在哪里,清洁性检查该怎么做:
什么是清洁性:
“清洁性”这个词在互联网领域,并不存在,它更多的是在公证、法院、律师、司法鉴定等领域才会出现的一个高频的词语。
清洁性是代表一个设备是否干净,没有被恶意修改,没有被恶意植入,没有被恶意劫持等;它不仅仅是对外设(U盘、键盘、鼠标等)要求要干净,还对计算机的软件配置、操作系统的设置、网络的传输、远程访问服务器的状态要干净。简单一句话概括:设备的客观状态,不为到达某种目的架设某种虚假环境。
网络工程:
要聊设备“清洁性”,涉及的面会很广,从硬件层的计算机设备、到传输层的网络、再到应用层的软件等等,有兴趣的朋友可以去查一下“七层模型OSI(OpenSystemInterconnection)“简单概括就是计算机或设备通信系统它们要遵循一个标准体系:物理层、数据链路层、网络层、传输层、会话层、表示层、应用层。
这个过于复杂,不展开讨论,和我们生活最贴切的,我们简单了解一下英特网(也就是我们说的Internet)的协议,它遵循五层英特网协议栈:物理层、数据链路层、网络层、传输层、应用层。
为了更简单的描述清洁性,我们把它再分一下:物理设备层面、网络传输层面、软件应用层面。
实操中的清洁性:
实际操作过程中,网络工程的庞大的工程体系对我们来说过于复杂,我们就按照上面的物理设备层面、网络传输层面、软件应用层面具体展开,聊一聊取证中的那些清洁性。
(1)物理设备层面:实际取证中,我们可能会遇到各种各样的取证设备,从最简单的也是接触最多的U盘讲起。如果别人给到你一个U盘,你外观看似一个正常的U盘,可是它是经过被改造的(有兴趣的可以去查一查BadUSB,基于Arduino开发的),这个设备那就是不清洁的,我们实操中如何避免BadUSB这种情况呢,从官方渠道购买正规U盘,拿到手第一时间按照需求重新格式化成Fat32或者NTFS格式。物理层面能够动手脚的还有键盘记录器的键盘,各种外接设备等。但是物理设备层面想要做成不清洁的难度较大,成本较高,且实际生活中也不会见到很多,我们常常看到的U盘文件夹变成”exe“的形式,找不到U盘中的文件,这些其实都是数据软件应用层面的病毒,它不属于物理设备层面,而病毒是可以通过高级格式化、低级格式化清除掉的。
(2)网络传输层面:这里想要讲明白,对于非计算机网络工程专业的人来说,可能很难理解,所以我举个例子,来讲讲网络传输层面的不清洁:你把你的访问请求看作一封信件,而你需要访问的对象,看成妥投地址。从你寄信到信件妥投,中间需要邮递员、邮局等。快递员和邮局就是网络世界里网络传输层面的设备。想要快速准确的妥投,你需要一个可靠的邮递员,一个可靠的邮局进行中转,而不清洁的网络传输层,会把你的信件引向一个错误的地址,呈现在你面前的,也会是一个虚假的结果。这里具体可以动手脚的设备太多了,从计算机网络配置、到路由器、到边界路由、运营商、互联网服务提供商等。但是生活中我们常见的可能较多的是计算机的网络配置、路由器的网络配置。例如我们经常提到的HOSTS文件、DNS服务器、路由器的路由地址,这里不具体展开,大家在实际操作过程中,可以通过查看hosts文件,使用ipconfig(ifconfig)、ping、tracert(traceroute)等命令,凭借专业知识去判断网络的配置、网络的连通性、网络的传输路径等,在使用过程中有问题可以联系我。
(3)软件应用层面,刚才讲到的网络传输层面,其实已经有提到一些软件应用层面的东西,只不过为了大家更好的理解,放在了网络传输层面,软件应用层面比如操作系统的网络配置、hosts文件篡改、路由器配置等都有关。这里不讲太深,这里主要单独提一下软件应用层面注意两个地方,一个是通过官方渠道获取官方版本的软件,另外一个是要注意软件的配置信息,包括但不限于代理、config文件、缓存文件等等。软件应用层面当然还包含tomcat、Apache、outlookserver等各种服务器端的软件,过于复杂,不具体展开。
清洁性检查技巧:
1、通过官方渠道获取硬件外接设备,在条件允许的情况下,恢复出厂设置。
2、检查操作系统的网络配置信息(ipconfig)、检查操作系统的hosts文件、检查计算机的网络环境(Ping、tracert)、检查DNS服务器配置。
3、如果是移动设备,检查无线网络连接方式、蓝牙通信、NFC、是否开启ADB模式、设备是否root(或越狱)。
4、检查软件应用状态,如果是浏览器,确保没有缓存在本地的历史数据,其他软件要着重
