黑客大追踪：网络取证核心原理与实践

全面、实用、快速掌握网络取证核心要点与实践，让网络犯罪无所遁形！

这是一本详细结合网络技术与法学要素分析的专著！

随着移动互联网、物联网等技术与应用如火如荼的发展，网络安全问题也日益呈现出复杂化、多样化、海量化的特征。网络取证成为打击层出不穷的网络犯罪的重要依据。

《黑客大追踪：网络取证核心原理与实践》囊括了网络取证中的所有重要的主题，结合大量案例全面介绍取证工具和方法，提供了完整的网络取证的分析思路与实践方法，不仅对专业的网络取证分析师有直接的帮助，也对网络安全从业人员、学生及对此有兴趣的人群有重要的参考价值。

　　网络取证是计算机取证技术的一个新的发展方向，是计算机网络技术与法学的交叉学科。本书是网络取证方面的一本专著，一经出版便好评如潮，在网站上的评分达4.5星。
　　《黑客大追踪：网络取证核心原理与实践》根据网络取证调查人员的实际需要，概述了网络取证的各个方面，不论是对各种网络协议的分析和对各种网络设备的处理方式，还是取证流程的设计都有独到之处。
　　《黑客大追踪：网络取证核心原理与实践》共分四大部分十二章，第1章“实用调查策略”，第2章“技术基础”和第3章“证据获取”属于一部分，其中给出了一个取证的方法框架，并介绍了相关的基础知识；第4章“数据包分析”，第5章“流统计分析”、第6章“线：须网线的取证”和第7章“网络入侵的侦测及分析”属于第二部分，介绍了对网络流量进行分析的各种技术；第8章“事件日志的聚合、关联和分析”、第9章“交换器、路由器、防火墙”和第10章“Web代理”属于第三部分，详述了在各种网络设备和服务器中获取和分析证据的方法。第11章“网络隧道”和第12章“恶意软件取证”属于第四部分，针对网络隧道和恶意软件分析这两个网络取证中的难点和热点问题展开讨论。

第一部分 基础篇
第1章 实用调查策略 2
1．1 真实的案例 2
1．1．1 医院里被盗的笔记本电脑 3
1．1．2 发现公司的网络被用于传播盗版 5
1．1．3 被黑的政府服务器 6
1．2 足迹 7
1．3 电子证据的概念 8
1．3．1 实物证据 9
1．3．2 最佳证据 9
1．3．3 直接证据 10
1．3．4 情况证据 11
1．3．5 传闻证据 11
1．3．6 经营记录 12
1．3．7 电子证据 13
1．3．8 基于网络的电子证据 14
1．4 关于网络证据相关的挑战 14
1．5 网络取证调查方法（OSCAR） 15
1．5．1 获取信息 15
1．5．2 制订方案 16
1．5．3 收集证据 17
1．5．4 分析 18
1．5．5 出具报告 19
1．6 小结 19
第2章 技术基础 21
2．1 基于网络的证据来源 21
2．1．1 物理线缆 22
2．1．2 线网络空口 22
2．1．3 交换机 23
2．1．4 路由器 23
2．1．5 DHCP服务器 24
2．1．6 域名服务器 24
2．1．7 登录认证服务器 25
2．1．8 网络入侵检测/防御系统 25
2．1．9 防火墙 25
2．1．10 Web代理 26
2．1．11 应用服务器 27
2．1．12 中央日志服务器 27
2．2 互联网的工作原理 27
2．2．1 协议 28
2．2．2 开放系统互连模型 29
2．2．3 例子：周游世界……然后再回来 30
2．3 互联网协议组 32
2．3．1 互联网协议组的早期历史和开发过程 33
2．3．2 网际协议 34
2．3．3 传输控制协议 38
2．3．4 用户数据报协议 40
2．4 小结 42
第3章 证据获取 43
3．1 物理侦听 43
3．1．1 线缆 44
3．1．2 线电频率 48
3．1．3 Hub 49
3．1．4 交换机 50
3．2 流量抓取软件 52
3．2．1 libpcap和WinPcap 53
3．2．2 伯克利包过滤（Berkeley Packet Filter，BPF）语言 53
3．2．3 tcpdump 57
3．2．4 Wireshark 61
3．2．5 tshark 62
3．2．6 dumpcap 62
3．3 主动式获取 63
3．3．1 常用接口 63
3．3．2 没有权限时咋办 68
3．3．3 策略 68
3．4 小结 69

第二部分 数据流分析
第4章 数据包分析 72
4．1 协议分析 73
4．1．1 哪里可以得到协议信息 73
4．1．2 协议分析工具 76
4．1．3 协议分析技巧 79
4．2 包分析 91
4．2．1 包分析工具 91
4．2．2 包分析技术 94
4．3 流分析 99
4．3．1 流分析工具 100
4．3．2 流分析技术 103
4．4 分析更高层的传输协议 113
4．4．1 一些常用的高层协议 114
4．4．2 高层协议分析工具 122
4．4．3 高层协议分析技术 124
4．5 结论 127
4．6 案例研究：Ann的约会 127
4．6．1 分析：协议概要 128
4．6．2 DHCP通信 128
4．6．3 关键词搜索 130
4．6．4 SMTP分析――Wireshark 133
4．6．5 SMTP分析――TCPFlow 136
4．6．6 SMTP 分析――附件提取 137
4．6．7 查看附件 139
4．6．8 找到Ann的简单方法 140
4．6．9 时间线 145
4．6．10 案件的理论推导 145
4．6．11 挑战赛问题的应答 146
4．6．12 下一步 148
第5章 流统计分析 149
5．1 处理过程概述 150
5．2 传感器 151
5．2．1 传感器类型 151
5．2．2 传感器软件 152
5．2．3 传感器位置 153
5．2．4 修改环境 154
5．3 流记录导出协议 155
5．3．1 NetFlow 155
5．3．2 IPFIX 156
5．3．3 sFlow 156
5．4 收集和汇总 157
5．4．1 收集器的位置和架构 157
5．4．2 数据收集系统 158
5．5 分析 160
5．5．1 流记录分析技术 160
5．5．2 流记录分析工具 164
5．6 结论 169
5．7 案例研究：奇怪的X先生 169
5．7．1 分析：第一步 170
5．7．2 外部攻击者和端口22的通信 171
5．7．3 DMZ中的受害者――10．30．30．20（也是172．30．1．231） 174
5．7．4 内部受害系统――192．30．1．101 178
5．7．5 时间线 179
5．7．6 案件分析 180
5．7．7 回应挑战赛问题 180
5．7．8 下一步 181
第6章 线：须网线的取证 183
6．1 IEEE 第二层协议系列 184
6．1．1 为什么那么多第二层协议 185
6．1．2 802．11 协议族 186
6．1．3 802．1X 195
6．2 线接入点（WAP） 196
6．2．1 为什么要调查线接入点 196
6．2．2 线接入点的类型 196
6．2．3 WAP证据 200
6．3 线数据捕获及分析 201
6．3．1 频谱分析 201
6．3．2 线被动证据收集 202
6．3．3 有效地分析802．11 203
6．4 常见攻击类型 205
6．4．1 嗅探 205
6．4．2 未授权的线接入点 205
6．4．3 邪恶双子 208
6．4．4 WEP破解 208
6．5 定位线设备 209
6．5．1 获取设备描述 210
6．5．2 找出附近的线接入点 210
6．5．3 信号强度 211
6．5．4 商业化企业级工具 213
6．5．5 Skyhook 214
6．6 总结 215
6．7 案例研究：HackMe公司 215
6．7．1 调查WAP 216
6．7．2 快速粗略的统计 221
6．7．3 对于管理帧的深层次观察 226
6．7．4 一个可能的“嫌疑犯” 228
6．7．5 时间线 229
6．7．6 案例总结 230
6．7．7 挑战问题的应答 231
6．7．8 下一步 233
第7章 网络入侵的侦测及分析 235
7．1 为什么要调查NIDS/NIPS 236
7．2 NIDS/NIPS的典型功能 236
7．2．1 嗅探 236
7．2．2 高层协议辨识 237
7．2．3 可疑字节的报警 238
7．3 检测的模式 239
7．3．1 基于特征的分析 239
7．3．2 协议辨识 239
7．3．3 行为分析 239
7．4 NIDS/NIPS的种类 239
7．4．1 商业化NIDS/NIPS 239
7．4．2 自我定制 241
7．5 NIDS/NIPS的电子证据采集 241
7．5．1 电子证据类型 241
7．5．2 NIDS/NIPS界面 243
7．6 综合性网络封包日志 244
7．7 Snort系统 245
7．7．1 基本结构 246
7．7．2 配置 246
7．7．3 Snort规则语言 247
7．7．4 例子 249
7．8 总结 251
7．9 教学案例：Inter0ptic拯救地球（第一部分） 252
7．9．1 分析：Snort 警报 253
7．9．2 初步数据包分析 254
7．9．3 Snort规则分析 255
7．9．4 从Snort抓包数据中提取可疑文件 257
7．9．5 “INFO Web Bug”警报 257
7．9．6 “Tcp Window Scale Option”警报 259
7．9．7 时间线 261
7．9．8 案情推测 261
7．9．9 下一步 262

第三部分 网络设备和服务器
第8章 事件日志的聚合、关联和分析 266
8．1 日志来源 267
8．1．1 操作系统日志 267
8．1．2 应用日志 275
8．1．3 物理设备日志 277
8．1．4 网络设备日志 279
8．2 网络日志的体系结构 280
8．2．1 三种类型的日志记录架构 280
8．2．2 远程日志：常见问题及应对方法 282
8．2．3 日志聚合和分析工具 283
8．3 收集和分析证据 285
8．3．1 获取信息 285
8．3．2 策略制定 286
8．3．3 收集证据 287
8．3．4 分析 289
8．3．5 报告 290
8．4 总结 290
8．5 案例：L0ne Sh4rk的报复 290
8．5．1 初步分析 291
8．5．2 可视化失败的登录尝试 292
8．5．3 目标账户 294
8．5．4 成功登录 295
8．5．5 攻陷后的活动 296
8．5．6 防火墙日志 297
8．5．7 内部被害者――192．30．1．101 300
8．5．8 时间线 301
8．5．9 案件结论 303
8．5．10 对挑战问题的应答 303
8．5．11 下一步 304
第9章 交换机、路由器和防火墙 305
9．1 存储介质 305
9．2 交换机 306
9．2．1 为什么调查交换机 306
9．2．2 内容寻址内存表 307
9．2．3 地址解析协议 307
9．2．4 交换机类型 308
9．2．5 交换机证据 309
9．3 路由器 310
9．3．1 为什么调查路由器 310
9．3．2 路由器类型 310
9．3．3 路由器上的证据 312
9．4 防火墙 313
9．4．1 为什么调查防火墙 313
9．4．2 防火墙类型 313
9．4．3 防火墙证据 315
9．5 接口 317
9．5．1 Web接口 317
9．5．2 控制台命令行接口（CLI） 318
9．5．3 远程控制台 319
9．5．4 简单网络管理协议（SNMP） 319
9．5．5 私有接口 320
9．6 日志 320
9．6．1 本地日志 321
9．6．2 简单网络管理协议 322
9．6．3 syslog 322
9．6．4 身份验证、授权和账户日志 323
9．7 总结 323
9．8 案例研究：Ann的咖啡环 323
9．8．1 防火墙诊断命令 325
9．8．2 DHCP服务日志 326
9．8．3 防火墙访问控制列表 327
9．8．4 防火墙日志分析 327
9．8．5 时间线 331
9．8．6 案例分析 332
9．8．7 挑战问题的答复 333
9．8．8 下一步 334
第10章 Web代理 335
10．1 为什么要调查Web代理 335
10．2 Web代理的功能 337
10．2．1 缓存 337
10．2．2 URI过滤 339
10．2．3 内容过滤 339
10．2．4 分布式缓存 339
10．3 证据 341
10．3．1 证据的类型 341
10．3．2 获取证据 342
10．4 Squid 342
10．4．1 Squid的配置文件 343
10．4．2 Squid的Access日志文件 343
10．4．3 Squid缓存 344
10．5 Web代理分析 346
10．5．1 Web代理日志分析工具 347
10．5．2 例子：剖析一个Squid磁盘缓存 350
10．6 加密的Web流量 357
10．6．1 TLS（传输层安全） 358
10．6．2 访问加密的内容 360
10．6．3 商用的TLS/SSL拦截工具 364
10．7 小结 364
10．8 教学案例：Inter0ptic拯救地球（之二） 365
10．8．1 分析：pwny．jpg 366
10．8．2 Squid缓存的网页的提取 368
10．8．3 Squid的Access．log文件 371
10．8．4 进一步分析Squid缓存 373
10．8．5 时间线 377
10．8．6 案情推测 379
10．8．7 回答之前提出的问题 380
10．8．8 下一步 381

第四部分 高级议题
第11章 网络隧道 384
11．1 功能型隧道 384
11．1．1 背景知识：VLAN链路聚集 385
11．1．2 交换机间链路（Inter-Switch Link，ISL） 385
11．1．3 通用路由封装（Generic Routing Encapsulation，GRE） 386
11．1．4 Teredo：IPv4网上的IPv6 386
11．1．5 对调查人员的意义 387
11．2 加密型隧道 387
11．2．1 IPsec 388
11．2．2 TLS和SSL 389
11．2．3 对取证人员的影响 390
11．3 隐蔽通信型隧道 391
11．3．1 策略 391
11．3．2 TCP序列号 391
11．3．3 DNS隧道 392
11．3．4 ICMP隧道 393
11．3．5 例子：分析ICMP隧道 395
11．3．6 对调查人员的影响 398
11．4 小结 399
11．5 案例教学：Ann的秘密隧道 400
11．5．1 分析：协议统计 401
11．5．2 DNS分析 402
11．5．3 追查隧道传输的IP包 405
11．5．4 对隧道传输的IP包的分析 409
11．5．5 对隧道传输的TCP报文段的分析 412
11．5．6 时间线 414
11．5．7 案情推测 414
11．5．8 回答之前提出的问题 415
11．5．9 下一步 416
第12章 恶意软件取证 418
12．1 恶意软件进化的趋势 419
12．1．1 僵尸网络 419
12．1．2 加密和混淆 420
12．1．3 分布式命令和控制系统 422
12．1．4 自动自我升级 426
12．1．5 变化形态的网络行为 428
12．1．6 混在网络活动中 434
12．1．7 Fast-Flux DNS 436
12．1．8 高级持续威胁（Advanced Persistent Threat，APT） 437
12．2 恶意软件的网络行为 440
12．2．1 传播 441
12．2．2 命令和控制通信 443
12．2．3 载荷的行为 446
12．3 未来的恶意软件和网络取证 446
12．4 教学案例：Ann的“极光行动” 447
12．4．1 分析：入侵检测 447
12．4．2 TCP会话：10．10．10．10：4444?10．10．10．70：1036 449
12．4．3 TCP会话：10．10．10．10：4445 455
12．4．4 TCP会话：10．10．10．10：8080?10．10．10．70：1035 461
12．4．5 时间线 466
12．4．6 案情推测 467
12．4．7 回答之前提出的问题 468
12．4．8 下一步 468
后记 470

　　序

　　我的曾祖父是个木匠。我现在就趴在他做的桌子上，坐着他做的椅子写这篇序。他的世界是一门手艺，“熟能生巧”。他生命后期的作品，即使表面上看是个与某个早期作品一样的东西，但旁人仍能看出他技艺的精湛。

　　网络安全的特点是其革新速度——不光是迅速增长的进步，还有那些时不时冒出来的“惊喜”。用数学术语说，网络安全的“功系数”是不断被技术进步打断的阶梯函数的积分。我的祖先在提高他的技艺时，可不会受困于胡桃木、钢铁或亚麻籽等原材料性状的改变，但在现如今提升网络安全水平时可没有这么好运。

　　乍一看，取证好像只是为解释已经发生的事而做的简单活计，因此还显得有些矫情。但事实并非如此，究其原因在于它的复杂性。这个复杂性是逐渐积累起来的。而且，就像作者在一开始说过的那样，如果积累足够多的话，即便只是一个最简单的网络，想知道其中发生的所有事也会变得不可能。因此，取证的目的就在于揭示那些发生在网络及其基础设施上的，有意义的，先前不为人知的重要因素。只有在知道了这些因素之后，将来才真正有改进的机会。

　　取证是一门艺术，勤能补拙。取证的发现过程就在于排除正在调查的事件的可能成因。就像雕刻时，我们的目的就是去掉所有使它看上去不像一头大象的多余石料一样，取证也是要去掉所有经观察并不成立的假说，并最终得出结论。套用EF 舒马赫的观点，取证是个收敛的问题；但网络安全却是个发散的问题。换而言之，在取证中付出的努力越多，解的集合就越趋向于某一个答案，但这一结论在一般的网络安全问题上却不成立。

　　或许我们应该说：取证不是一门关于安全的学科，而是一门关于“不安全”的学科。安全是关于所有潜在的事件的，正如Peter Bernstein的定义：“风险就是诸多难以预见的情况”。取证不必从越来越复杂的事实中归纳出各种可能性，只须推导出其“何以至此”的原因即可。然而，一般来说，在网络安全中，犯罪分子总是有一种先天的优势，而在取证中，是防御者拥有这一优势。

　　取证是门艺术，“真的假不了，假的真不了”是它天生具有的战略优势。对你（现在或将来的取证人员）来说，你的任务就是在你拥有战略优势的地方提高你的技艺——不光是理论上的，还要有实际操作技能。这就是你需要这本书的原因。

　　技精于学生是老师的义务，而“青出于蓝而胜于蓝”同样也是学生的责任。但是在变成顶尖高手之前，你还是需要老师的教导，超越他们并非易事。说到底，技艺非凡的大师能让你知道当前的工具箱中哪些东西是一直能用的，哪些是随着时代的进步可能被淘汰掉的。他同样也能清楚地知道，你缺些什么。从这个角度来讲，这本书的篇幅安排绝对是大师所选。

　　基本上，由于每起案件案情的不同，各个案件的取证调查过程中，各自所需的工具集也都不尽相同，所以最好的办法就是拥有所有会用到的专业工具，当然其中的一些工具的使用频率会高于其他工具。将工具集的作用发挥到极致的前提是：你深入了解其中的每个功能，当然，这并不是说你需要而无须经常使用其中的每一个工具。Nicholas Taleb是这样描述Unberto Eco的逆图书收藏主义的：“……应该在你的经济状况、按揭利率以及不动产资产允许的情况下，尽可能多地收集你所不了解的资料。”

　　你，亲爱的读者，能拿到这样一本与众不同的取证书籍，且读且珍惜！

　　Daniel E. Geer Jr. Sc.D.

　　译者序

　　这是一本视角独特的电子取证书籍，令人耳目一新！

　　我自从2002年起从事电子取证工作至今已有十余年了，应该说这一行里几乎一直不停地涌现出新的技术、思路，你看嘛：

　　十几年前，几乎所有的取证书籍讨论的都只有一件事——数据恢复/文件系统分析。好像凭着一手数据恢复技术就能包打天下了。2005年出版的File System Forensic Analysis是个巅峰，至此文件系统分析技术已经非常成熟了，并出现了各种傻瓜式的工具。毫不夸张地说，现在用一样的工具，一个初出茅庐的新手做数据恢复，得到的结果已经和老鸟们差不多了——到停滞期了？才不是呢！

　　接下来的几年时间里，各种奇招、怪招、损招层出不穷。拿注册表里的各种信息（比如通过注册表里缓存的驱动信息，倒推计算机上曾插过几个什么样的USB设备），分析内存中的数据（找被rootkit隐藏的进程/数据），分析应用程序存储下来的信息（比如拿各种IM工具的聊天记录），对应用程序/病毒木马本身进行分析从中获取信息（比如上海2009.7.18私车额度拍卖网站遭DDOS攻击案，就是我通过分析攻击用的木马破获的），等等不一而足。我本人也分别在2008年和2012年在安全焦点峰会上提出过利用信息熵分析重构raid 5阵列和针对单个文件（而非文件系统）做数据恢复的两个思路，也曾和一些朋友合作翻译出版了《Windows取证分析》一书，综述了当年Windows平台下的取证技巧。

　　不过，这条路貌似又有点……，单机平台上能挖的地方基本上都已经过了一遍了，再要找点新鲜的实在是难啊……

　　上面的历史经验告诉我们，每到这样的关头就会有全新的思路出现。问题是这个全新的思路是什么呢？是Android/iOS平台？当然这是非常有可能的，不过不要忘了还有另一个重要方向——网络取证，也就是本书的主题。

　　任何技术要发展都离不开天时、地利、人和。天时者，时代大背景也。目前移动网络、物联网等网络技术的发展普及是所谓“天时”，正如第1章中的那个案例那样，现在丢个手机都能通过单位内部的Wi-Fi热点日志寻踪，这在以前是不可想象的。离开这个背景去谈网络取证都是扯；地利者，所需的各类设备上取证技术的成熟。网络设备种类繁多，但随着近年来网络设备的普及，这些设备的操作方法也不再是少数人的专利了，越来越多的人能玩转这些设备是基础；人和者，人的观念。自从内存取证的概念被提出来之后，证据的易灭失等级就开始受到了大家的重视。传统的计算机取证的眼光囿于计算机单机设备，我们的思路总是从某一台具体的设备入手进行分析的。尽管我们也强调电子现场的还原，但那也仅仅是囿于某台设备内部状态的保护和分析。有人说，具体办案时不是一样会把各台设备中获得的信息串到一起分析吗？这不就是网络取证吗？还真不一样！因为网络取证是把网络整体看作一个现场的高度。这个高度的上升立马导致你分析问题的思路发生了变化。现在你会考虑各个设备上证据的易灭失等级，容易灭失的先取，不容易灭失的后取。而不像以前看到一台设备，不分析网络就拉起袖子开始干活了，结果导致因为没有及时勘查载有易灭失证据的设备而造成证据的永久性丢失。在这方面，本书作者提出的OSCAR方法绝对是个亮点。

　　也正是由于这些原因，这本Network Forensics: Tracking Hackers through Cyberspace自从2012年6月出版后，在Amazon上一直深受好评排名居高不下。我有幸读到这本书，并将其推荐到国内，深感压力。

　　本书的翻译团队是个非常强大的团队，有经验丰富的鉴定师（拥有公安部和司法部认证的电子数据鉴定资质的鉴定人各一名），也有来自一线的技术支持人员和网络安全保卫实战单位的办案民警，还有教学经验丰富的外语专业教师。这也是一次公安专业院校与地方网络安全/电子取证专业团队合作的尝试。全书十二章内容翻译的分工安排如下：

　　第1章由武晓音同志翻译，第2章由龚济悦同志翻译，第3章由殷方同志翻译，第4、5、6、7、8、9章由上海弘连网络科技有限公司的陆道宏同志及数字犯罪调查小组（DCI）的沈永安、罗鸣和蹇星亮同志翻译，第10章由王宏同志翻译，第11、12章及剩余其他部分由我翻译。全书由我和陆道宏同志统一审校。除陆道宏、沈永安、罗鸣和蹇星亮同志之外的其他译者均为上海公安高等专科学校信息化、涉外警务等教研室的教师教官。本书中文版的面世首先要感谢各位译者付出的辛勤劳动。

　　其次，我要感谢博文视点的各位编辑老师，特别是顾慧芳、刘皎老师，感谢你们对我的一贯支持和耐心的指导，使我从中获益良多！同时也感谢你们为本书的出版所花费的大量时间！

　　当前，习近平总书记提出了“把我国从网络大国建设成为网络强国”的战略构想，2013版的《中华人民共和国刑事诉讼法》中也首次将电子数据作为一种正式的法定证据类型。可以预见，网络安全-电子取证工作在我国将会有一个较大的发展。本书既可供广大从事电子取证教学和实际工作的人员阅读，也计划作为我校侦查专业第二本科电子取证类课程的参考资料使用。

　　崔孝晨

　　2014年5月