身為網路鑑識人員把證據保留下來這是很重要的知識(iFNF網路鑑識及惡意程式分析) ─ 恆逸教育訓練中心 ─ 學員證言網站

 

資訊安全

眾多顧客已親身體驗恆逸的好,並成功提升專業競爭力,你也可以!

來看看他們是如何學習、如何努力考取認證的經驗分享多汲取他人的寶貴經驗,將讓您的未來進修之路走得更有效率!快來看看恆逸應援團怎麼說!

王裕翔

  • 文章分類:資訊安全
  • 參訓課程:網路鑑識及惡意程式分析

身為網路鑑識人員把證據保留下來這是很重要的知識(iFNF網路鑑識及惡意程式分析)

雖然我本身是從事資安纇相關的工作,但是對資安事件的發生後到網路鑑識這塊一直不是很了解,直到這次有機會參與網路鑑識及惡意程式分析的課程,讓我有更深的認識。

 

開始上課前老師問了一個問題,資安事件的發生當下應該先做怎樣的處理?我的回答是先關機並保護資料。但這個答案不正確,老師說正確的處理方式是先將網路切斷若非必要請不要執行關機的動作,一般人因為緊張與習慣會先把有狀況的機器關機,這動作有可能會導致重要的證據被抹除,身為網路鑑識人員要如何把證據保留下來這是一個很重要的知識

 

如何保留證據

前面的課程中老師分享了一些實際經驗的案例與該注意的事項,接著就進到這次課程的主題了,如何保留證據。保留證據的方式大部分是將被駭客入侵的機器以映像的方式備份然後帶回去作分析,這個跟我原本的認知差不多,但是每個人用的工具不同,老師提供了業界常用的工具並且實際的帶著我們操作一次,讓我們在範例的機器做映像檔接著帶回到自己的機器中開啟VM還原,接著測試還原的VM是否能夠正常開啟中間也提醒了VM的一些細節設定,以及要非常小心把VM與我們本機的環境必須要分明,才不會在進行分析的時候也導致自己的本機被入侵,老師說業界中聽到鑑識者的機器反被入侵的消息也是時有所聞。

 

進行封包分析

接著開始進行分析,從網路的封包抓取,記憶體中的資料抓取,網頁的瀏覽紀錄等等,各種使用者的行為我們都可以利用工具去做追蹤進而分析到異常的行為判斷,印象很深刻的是我們分析了電腦中正在使用的程式,看似下都是正常且名字也都不可疑,結果在一支程式中我們發現了一個被竄改名字的程式,入侵者很狡猾的把0與O、1與l做了置換,這種手法很簡單但是對一般的使用者來說很難去判別。另一個印象深刻的是我們抓取了網路的封包,在分析中我們看到了使用者去訪問了一個網站並且不小心執行到網站中埋藏的惡意程式。

 

課程最後老師說市面上的工具很多,但是目的都是相同的,保留證據、還原環境、分析數據這三個原則,另外老師也不外提醒"備份"是相當重要的,千萬不要怕麻煩就省去了。

 

 

看看其他人怎麼說

看更多