电子数据取证之网站分析和重构基础
一、网站分析概述
1、无论何种方式,使用何种工具勘验,服务器检材提取固定最终只会有以下几种常见形态:
- 网站页面数据;
- 服务器镜像文件;
- 网站代码+数据库文件;
2、对服务器镜像文件的分析分为静态分析和动态分析:
- 静态分析:通过证据分析软件自动识别,可以完成静态分析;
- 动态分析:使用仿真软件启动镜像的操作系统,并对网站进行配置和访问;
3、Linux常用的基本命令:
- 进入目录 cd
- 列出文件 ls
- 网卡配置 ifconfig
- 端口 netstat
- 历史命令 last
二、在动态取证,仿真启动镜像时会经常出现远程连接无法连接到服务器的情况,如何解决:
1、首先需要了解虚拟机网卡与本地网卡的对应关系:
vmware为我们提供了三种网络工作模式,它们分别是:Bridged(桥接模式)、NAT(网络地址转换模式)、Host-Only(仅主机模式)。
打开vmware虚拟机,我们可以在选项栏的“编辑”下的“虚拟网络编辑器”中看到VMnet0(桥接模式)、VMnet1(仅主机模式)、VMnet8(NAT模式),那么这些都是有什么作用呢?其实,我们现在看到的VMnet0表示的是用于桥接模式下的虚拟交换机;VMnet1表示的是用于仅主机模式下的虚拟交换机;VMnet8表示的是用于NAT模式下的虚拟交换机。
- 桥接模式,本地连接和虚拟机是平级关系,虚拟机也连接到了本机上一级的路由器;
- NAT模式,VMnet8网卡,通过本机机连接;
2、以下情况可能需要手动设置:
----服务器镜像中网卡未设置自启动;
ifconfig没有数据,就是网卡没有启动;
解决方案:ifup 网卡名
例如:ifup ens33
----服务器镜像中配置了静态ip
vi 编辑
临时修改 ifcong 网卡名 192.168.1.3
三、通过命令获取相关数据
1、netstat -anpt 常用命令,输出一张表单,产看打开的端口和服务;
如果没有响应 可以使用 ss -anpt 看到的东西几乎一样;
确认网络状态;
2、history命令;
或者打开这个文件:cat /root/.bash_history
3、查找网站后台:
4、Navicat连接数据库时,如果遇到连接不上的时候,可以试着用ssh连接的方式绕过;
四、各种服务器类型配置文件
1、apache服务器的配置文件:
文件名 httpd.conf
默认路径: /etc/httpd/conf/httpd.conf
重要配置:
listen 端口号;
ServerName 主机名,域名;
DocumentRoot 网站目录;
CustomLog 访问日志;
2、Nginx服务器的配置文件:
文件名 nginx.conf
默认路径: /etc/nginx/conf/nginx.conf
重要配置:
listen 端口号;
Server_name 主机名,域名;
root 网站目录;
access_log 访问日志;
apache和nginx都可以使用include字段,调用额外的配置文件;
3、tomcat服务器的配置文件:
Tomcat是基于Java语言的服务器;apache、nginx是基于PHP的服务器;
配置文件:server.xml ;
war包;直接放在Tomcat的webapps目录下面;直接检索war包,拿到包就固定了网站;
4、spring和sprinboot;
在spring和spring boot中有个组件是Tomcat,jar包,也是一个压缩文件;manifests文件,类似于APP解析
war包放到任何一个Tomcat中可以运行;jar包相对于来说比较复杂;
五、数据库配置文件
1、MySQL数据库:
文件名:my.cnf/my.ini
默认路径:/etc/my.cnf
port 端口;
datadir 数据目录;
default-storage-engine 存储引擎;
innodb-file-per-table独立空间表;
六、网站集成环境
LAMP网站环境:Linux apache mysql php