图片来源：图崇：宣佑科技已被授权使用超过42亿元的累积赌博资金，非法赚取7亿元以上的利润！ 查获55台服务器，抓获犯罪嫌疑人23名，冻结资金1.1亿多元！ 总体来说，有一条黑色的生产令人震惊，有消息说吃甜瓜的人只能看到媒体用黑体字写出的令人震惊的数字。 他们不知道与警察相比，他们是从海洋或偏远山区的另一侧乘坐飞机，火车，汽车甚至是马车。 他们对如何通过网络电缆将这些人从网络世界中吸引下来更加感兴趣。 看来，龚斗戏的有趣之处不是任何人都可以猜测的结局，而是令人困惑和困惑的过程。 追捕嫌犯也是如此。 放置在那里的数字的吸引力远没有中间过程那么吸引人。 越精彩越好。 但是，事实往往并不令人满意。 您正在寻找的重磅炸弹可能没有视线，只有一台计算机和一顶白帽子。 当我收到通知时，事件发生在戴白帽子的SkyMine正在打zing睡的时候，哦，不，工作。 挂断电话后，SkyMine一言不发地冲了过去。 发生了一些事。 来源“青流街”的网站已被篡改，被篡改的内容仍然很不协调（请您自己想象一下）。 到达站点后，SkyMine发现事故中的服务器是一台虚拟机，操作系统是Windows 2008 R2，并且该网站使用phpstudy集成环境进行部署。 但是，Windows事件日志服务未启用，黑客兄弟入侵后很有可能关闭。系统日志是什么？ 他记录有关系统中硬件，软件和系统问题的信息，还可以监视系统中发生的事件。 用户可以使用它来检查错误的原因，也可以查找攻击者在受到攻击时留下的痕迹。 SkyMine再次考虑了此事。 由于此服务器承载Web服务，并且硬件防火墙仅将端口80映射到外部，是否有可能将Web攻击用作入口点？ 你可以看看 但是，Nginx网站访问日志也已清除...双击666。幸运的是，该网站访问日志配置了流远程备份，SkyMine还可在另一个日志服务器上找到完整且未失真的网站。 访问日志副本。但是，即使SkyMine在事件发生之前和之后反复分析网站访问日志，也没有发现任何Web攻击的痕迹。 这非常奇怪，这意味着黑客没有直接使用该网页的特洛伊木马程序发送指令来篡改该网页。 是否通过反向连接工具（例如NC）建立通道来控制它？ 为了进行验证（拍打脸），SkyMine从调查开始时生成的虚拟机快照中提取了内存映像。 为了具有用于交叉分析的多个内存样本，他取出了一个“家伙”（称为dumpit的工具）来提取它。 内核级内存的完整映像，包括物理内存和页面文件。 提取这些内存后，SkyMine开始考虑，如果黑客确实通过反向连接通道进行了控制，则必须已经建立了异常的网络连接，并且该信息很可能会保留在内存中。 因此，SkyMine通过内存分析框架分析了内存样本的网络连接，但在事件发生时没有可疑的网络连接。 来吧，这里的线索又被打破了……但这根本没有收获。 当SkyMine提取内存的历史信息时，它发现事件发生时正在运行可疑程序。 该程序称为更新。 exe，看起来很严重。 但是SkyMine注意到该过程已经运行了3天。 谁的正常更新程序可以更新3天？ 从内存中提取进程的物理路径后，SkyMine找到了这个奇怪的程序，该程序位于C驱动器的较深目录中，并且在同一目录中，SkyMine还找到了一个名为image.jpg的文件，用于篡改图片。 SkyMine对这个程序进行了反向分析，发现它是一个易于使用的程序（即使用中文作为程序代码）。 在对该程序再次进行反向分析之后，SkyMine发现黑客在这种时间逻辑炸弹中使用了一种相对罕见的攻击方法。 程序代码中有条件判断。 如果当前时间大于预定时间，它将自动使用程序目录。 image.jpg替换网站根目录下的image.jpg以达到篡改目的。 确认已成功篡改图像后，程序将自动退出。 这相当于一个自动定时炸弹，爆炸。 找到攻击方式后，下一步就是寻找“仙女洞”。 当确定此简单语言程序是黑客用来篡改网页的关键代码时，SkyMine开始研究如何将该程序传输到服务器。 由于此Web服务器仅打开通往外部世界的端口80，因此SkyMine猜测此程序很可能是通过Web应用程序漏洞编写的。 通过检查该程序的创建时间，他获得了该程序的输入时间点，该时间点可以进一步从该网站访问日志中找到该时间点的Web访问记录。 例如，SkyMine发现网站访问日志中存在一些POST请求（斩波器连接功能），指向网站的上传目录中的php文件，而该文件是特洛伊木马，用于上传篡改程序。 当然，网站访问日志中记录的源IP是美国代理地址，而不是真实地址。 因此，他继续研究如何上传webshel​​l（黑客用于远程控制的网络木马）。 使用特洛伊木马的文件名作为关键字搜索网站访问日志，很容易找到特洛伊木马的上传位置。 通过分析此POST请求，可以确认此Web应用程序具有任意代码执行漏洞。 黑客通过了此漏洞是用特洛伊木马编写的。 有趣的是，SkyMine还发现了某个云服务提供商的IP地址，并证实该IP是攻击者所有的。 SkyMine业务到此结束。 他伸腰，向执法机构提交了技术分析报告。 至于案件的跟进，这不是他的白帽子工作。 让我们重新组织攻击者的悲伤操作以获取证据。 黑客首次访问该网站。 黑客开始尝试渗透。 黑客在网站上发现了任意代码执行漏洞。 黑客利用任意代码执行漏洞将漏洞写入Webshel​​l。 黑客通过webshel​​l上传篡改程序。 篡改程序将自动执行。 网页篡改。 安全专家（SkyMine本人）来到现场。 法医分析。 报告的整个取证分析过程花费了三个多小时，这更像是一场令人费解的游戏。 SkyMine还感叹说，如果黑客不小心留下了漏洞，他将无法如此迅速地完成工作。 SkyMine的真名叫吴志波，是中国网络安全广州三防卫队的安全专家。 他的日常工作是移动砖块并进行处理。管理广州市政网络的黑客事件。 处理的事件也不同。 如果发生网页篡改，请逐步跟踪源；否则，请执行以下步骤。 如果您受到APT的攻击，则需要根据每个APT组织的通用方法来识别威胁情报提供的攻击信息和病毒样本的来源。 ; 如果是数据泄漏问题，则可以通过数据库审核来恢复盗窃过程。 用SkyMine的话来说，这是对攻击链的幻想减少。 在这些情况下使用的取证技术是否相同？ 当然不是。 根据SkyMine的说法，Windows的三种主要内存管理机制有八种取证方法：基于用户模式程序的内存获取，基于内核模式程序的内存获取，基于系统崩溃转储的内存获取，基于操作系统注入的内存获取，基于操作系统注入的内存获取。 在系统休眠状态下，文件存储器的获取基于系统冷启动。 内存获取基于虚拟化快照。 基于硬件的内存获取。 但是，由于时间的限制，不可能一一尝试八种方法。 通常，共有三种常用方法：基于内核的模式Program，系统故障转储和虚拟快照内存提取方法。 发生了抢劫案，如何迅速找到肇事者？ SkyMine要做的是通过观察强盗的行为来判断强盗是否是惯常犯罪者，以及他是否有犯罪记录，并进一步检查嫌疑人是否蹲下以及蹲了多长时间。 但是，如果嫌疑犯是临时犯罪，该怎么办？ 这种异常行为很难找到线索，更不用说反向复制用户肖像了。 “因此，上述案件要花三个小时才能相当快。如果攻击者没有错误，恐怕追踪它们的速度将会变慢甚至无法实现。网络本身是匿名的。在一个特工跳到外地之后 国家，可能有任何线索。它已经坏了。” 可以实施一种完美的网络犯罪，也可以进行一种完美的在线狩猎，但是没人能确定最终的结果。 简而言之，这很困难。 但是，SkyMine仍然喜欢这样做。 他认为，这种具有挑战性和令人眼花operation乱的操作非常适合他的“平淡”生活。 这可能是每个白帽子都有的黑客情绪。