使用LiveCD 恢复受危害的系统

 您希望不用经过冗长的系统安装和配置过程就可以评估 Linux® 系统的完整性并恢复丢失的数据吗?Helix 和 PlanB 这两个软件包将通过 LiveCD 的神奇力量帮助您获得这种能力

Mayank 的上一篇文章 使用 Linux LiveCD 评估系统的安全性 介绍了 LiveCD还介绍了一些可帮助您评估计算机系统安全性的工具但若系统已遭遇安全威胁并被用于非法或未经授权的活动又该怎么办呢?选择之一是请求计算机安全专家的帮助也可以下载专家所使用的工具学习如何使用这些工具自己成为完整性保障和数据恢复方面的专家完全不必担心工具的安装 —— 这是 LiveCD!

关于 LiveCD

LiveCD 是存储在一张可引导的 CDROM 上的操作系统(以及其他软件)通过这张 CD ROM 即可执行 OS无需进行漫长的安装过程大部分 LiveCD 都是基于 Linux 内核的(但也有一些用于其他操作系统的 LiveCD)LiveCD 的工作方式是将文件放到 RAM 磁盘中(这样就减少了应用程序可以使用的 RAM因此性能可能会降低)一旦取出 LiveCD 并重新启动系统之后原系统就恢复了有些 LiveCD 还提供了一个安装工具使您可将系统安装到硬盘或 USB 磁盘上大部分 LiveCD 都可以访问内部/外部硬盘磁盘或闪存上的信息

syslinux 用来启动基于 Linux 的 LiveCD以及 Linux 软盘对于 PC 来说可引导 CD 通常都遵守 El Torito 规范会将磁盘上的某个文件(可能是隐藏文件)当作一个软盘映像使用很多 LiveCD 都使用压缩的文件系统映像其中通常会使用 cloop 压缩 loopback 驱动器有效地双倍利用存储能力

市场上有很多模拟器可以用于试用 LiveCD而不需将其刻录成 CD 或在计算机上启动支持最为广泛的 i 模拟器是 VMware其他模拟器还有 QemuPearPC 和 Bochs它们都可以用于模拟 x 和/或 PowerPC® 平台但由于所采用的模拟方法的不同因此速度比一些商业化模拟器慢另外一种商业化模拟器是 VirtualPC

调查计算机

侵入计算机和计算机网络并在其掩护下进行严重非法活动是一种非常普遍的行为甚至普遍到许多人都具备实现此类行为的必备技能然而检测并捕捉入侵者的能力却并非同样普遍伟大的(尽管是虚构的)侦探福尔摩斯曾经说过在搜集齐所有证据之前就进行推理是一个绝大的错误这会让判断有所偏颇

从遭遇安全威胁的系统中搜集证据是计算机 取证 专家(数字时代的福尔摩斯)的工作他们使用专门工具来搜集研究并分析关于系统的信息对于这种工作来说最好的工具是开源工具这并不奇怪The Coroners Toolkit (TCT)Sleuth KitAutopsy Forensic Browser 以及 FLAG (Forensics Log Analysis GUI) 都是非常流行的工具不但安全专家喜欢使用这些工具很多计算机安全课程的讲师也都很喜欢这种工具

Helix

与很多专门 LiveCD 一样Helix 也是应需产生的Andrew Fahey 是 efense Inc的一位合作安全专家他以 Knoppix 作为基础并添加了很多日常工作中使用的工具

Helix 用户非常有参与意识全世界都有 Helix 的用户他们不断提供反馈信息由于人们是在不同的环境中使用 Helix因此要确保所有组件在任何情况下都可精确完成工作是一项持续不断耗时很多的任务所以我依靠用户的反馈改进 Helix并修正他们所发现的故障我还要依靠用户完成语言翻译 Andrew 说

Helix 有一个 Windows® 端的活动接口允许映像一个 Live Windows 系统此接口已被翻译成了德语很快会有葡萄牙语版本另外很多事件/响应工具按最初形成的想法进行了设计很多组织教育机构也开始使用 Helix其中包括 National White Collar Crime Center (NWC)System Administrator Network Security (SANS) Institute 和 National Consortium for Justice Information and Statistics

Helix 并非为在硬盘上安装而设计但将来的版本可能具备此功能我希望能够有一个类似于 Fedora 所用的那种进行硬件识别的硬件抽象层在不久之前我们刚刚添加了 unionfs 模块这是我们需要克服的一个主要障碍 Andrew 说尽管 Helix 中的大部分工具都是 Andrew 自己选择的但有些工具是由社区推荐的Andrew 面对的最大问题就是有些工具需要许可证

下一版本将提供一些更新工具全新的 Retriever 和 Adepto 程序Andrew 一直在使用这些程序及 Sleuth Kit 和 PyFLAG 中提供的工具

图 正在扫描病毒的 HelixPyFLAGAdepto 和 ClamAV

PlanB

Jeremy McDaniel 所开发的 PlanB 是一种取证 LiveCD灵感来源于 Peter Anvin 的 SuperRescue CD它以 Red Hat 为基础运行 Blackbox Window Manager并使用 zisofs 文件系统将约 GB 的数据压缩到一张 CD 中其中有一些取证分析工具如 AutopsyThe Sleuth KitBCWipe 等还有多种日常使用的工具如 email 客户端软件浏览器聊天客户端软件和文本编辑器根据该项目的 Web 站点

(下一个版本中)最大的变化是大部分当前软件(即便不是全部)都会更新另外还会添加 内核回滚至 Fedora主数据库为 MySQL 以添加新的应用服务器创建基于 eServer&#; 的 Security/Auditing/Planning Module 的计划现已投入实施它最终要作为一个独立的应用程序进行发布PlanB 将仅作为移动测试解决方案提供服务这种工具将用于基于团队的审计和具有报告创建能力的穿透测试接口

图 PlanB 在此分析报告中提供了常见的命令行接口

结束语

设想一下我们可以通过一张可引导的 Linux CD 直接学到经验丰富的计算机取证专家的技能这不是梦想本文中介绍的 LiveCD 使梦想成为现实祝您的侦探道路顺利!