问题标签 [computer-forensics]

我的一个定制开发的ASP.NET网站今天被黑了：“被天鹅黑了（请停止战争！..）”它使用的是 ASP.NET 和 SQL Server 2005 以及 IIS 6.0 和 Windows 2003 服务器。我没有使用 Ajax，我想我在连接到数据库的任何地方都使用存储过程，所以我不认为这是SQL 注入。我现在已经删除了文件夹的写权限。

我怎样才能知道他们做了什么来入侵网站以及如何防止它再次发生？

服务器是最新的所有 Windows 更新。

他们所做的是将 6 个文件（index.asp、index.html、index.htm、...）上传到网站的主目录。

我应该上传哪些日志文件？我有来自此文件夹的 IIS 日志文件：c:\winnt\system32\LogFiles\W3SVC1. 我愿意向你们中的一些人展示它，但不认为在互联网上发布是好的。有人愿意看看吗？

我已经在谷歌上搜索过，但我唯一发现还有其他网站被黑客入侵——我还没有看到任何关于它的讨论。

我知道这与编程并不严格相关，但这对程序员来说仍然是一件重要的事情，很多程序员都被这样黑过。

我有一个文件，它显然包含某种保持活动 HTTP 对话的转储，即多个 GET 请求和响应，包括标题、包含 HTML 页面和一些图像。但是，两者之间存在一些二进制垃圾 - 可能是 TCP 甚至 IP 级别的转储（我不确定如何确定它是什么）。

基本上，我需要提取传输的文件。有没有我可以使用的免费工具？

找出应用程序是用什么编程语言编写的最简单的方法是什么？我想从程序 exe 文件中知道它的 vb 或 c++ 或 delphi 或 .net 等。

如何确保我从 db 表中删除的所有数据不再存储在硬盘上的 mdb 文件（和其他文件）中？

这是我的情况：
我的客户曾经在他们的数据库（SQL Server）中存储未加密的信用卡数据。由于 PCI 的要求，他们现在对所有数据进行加密......但是，mdb 文件仍然有一些旧的、未加密的 CC 写入其中。
我们已经验证数据库中没有更多的 CC；我们已经压缩了数据库；我们已将其备份到一个文件并重新将其恢复到一个新数据库；我们甚至运行了 sp_cleandb。
然而，当我们分析磁盘上的持久文件时，我们仍然发现了一些未加密的 CC——它们没有存储在数据库中，它们不是 SP、视图或 UDF 的一部分，并且它们不会出现在任何表元数据中。

所以，我的问题 - 我怎样才能确保所有“坏”的 CC 数据都消失了？或者，更一般地说，我如何强制 MSSQL 仅存储当前数据，并从任何“垃圾”中清除文件？

只是想知道是否有人在数字取证环境中使用 java（与 c/c++ 类似）有任何经验，如果有，他们能否就他们可能遇到的问题或优势向我提出建议？干杯

是的，这是一个家庭作业类型的问题，但你能帮帮我吗？

在一个关于莫里斯互联网蠕虫主题的简短介绍中，我应该列出阻止蠕虫传播所采取的步骤。我的 pp 幻灯片现在接近最终状态，但在我去说这或那是他们阻止蠕虫的方式之前，我想和你核实一下。听说这个蠕虫病毒轰动一时，当时在美国引起了不小的轰动，所以我希望能找到一些计算机领域的人提供一些信息。

基本上，我一直在各种报告和文章中发现，该蠕虫的主要弱点pleasequit是没有正确初始化的变量，因此将这个变量设置为 -1 就足以阻止蠕虫。这是对蠕虫的最后一击吗？这是否有效地阻止了它的传播？

我发现以下报告和其他人提到了 pleasequit var: （取自本网站）：

该蠕虫使用一个名为 'pleasequit' 的变量，但没有正确初始化它，因此有些人在 C 库中添加了一个名为 _worm.o 的模块，该模块由以下代码生成：

该值设置为 -1 的事实将导致它在一次迭代后退出。

最近的一个问题*让我想知道是否有一个文本编辑器可以让你看到文件的每个字符，即使它们是不可见的？具体来说，我不是在寻找十六进制编辑功能，我对可以显示所有不可见字符（不仅仅是常见的空格/换行符）的文本编辑器感兴趣。BOM 标记只是一个示例，其他例如数学不可见或可能不受支持的字符。

我不是在寻找仅支持多种文本编码/编码之间翻译的文本编辑器。我遇到的所有文本编辑器都会正确处理不可见字符，即让它们不可见（或者像 BOM 标记一样在翻译中简单地删除）。

我问这个主要是出于学术兴趣，所以我并不特别关注任何特定的操作系统。我可以轻松地测试 Linux 和 OSX 解决方案，但如果您推荐 Windows 编辑器，如果您包含有关编辑器如何处理除空格/换行符之外的不可见内容的描述，我将不胜感激。

编辑：我开始确定我想要的行为可以通过自定义突出显示或通过弄乱字体本身在 emacs/vim 中实现。这种类型的解决方案也是可以接受的。

EDIT2：在查看了几个选项后，我发现 TextMate 至少显示了一个空白区域，其中文件中有一个不可见的 UTF-8 字符。对 SO 回答我的问题的能力有点失望。赏金转到 VIM，因为那是解决方案最有可能所在的方向。

*导致我提出这个问题的事件：我使用 TextWrangler 编写了一个 perl 脚本，并设法将编码更改为 UTF8 BOM，它将 BOM 标记插入文件的开头。Perl（或者更确切地说是操作系统）会立即错过 #! 混乱随之而来。然后我花了一个下午的大部分时间才弄清楚这一点，因为即使打开了各种“显示不可见”选项，大多数文本编辑器也不显示 BOM 标记。现在我已经吸取了教训，将less立即使用:-)。

我在读

iOS 取证分析：在亚马逊上适用于 iPhone、iPad 和 iPod touch

我无法找到/理解如何在未越狱的设备上获取 iOS 设备分区的完整转储。我认为有必要以这种方式使用 USB（可能像phoneview那样），但我没有在网上找到任何东西。我忽略了什么吗？

哪些（开源）工具可用于扫描 SQL 数据库/文件系统等系统以获取持卡人数据？到目前为止，我们已经找到了 PANBuster、7seec 和 PANscan，并且想知道是否还有更多（最好是开源的）。

我的情况涉及手动重建原始数据，包括 MFT 记录和其他 Windows 工件。我知道 MFT 记录中的时间戳是 64 位整数、大端序，并且是通过自 01/01/1601 00:00:00 UTC 以来的 100 纳秒间隔数计算的。我也熟悉 Windows 电子邮件标题时间戳，它由两个 32 位值组成，它们组合形成一个 64 位值，也是从 01/01/1601 00:00:00 UTC 以来的 100 纳秒间隔数计算的.

但是还有其他具有不同纪元的 Windows 时间戳，例如 SQL Server 时间戳，我相信它使用 1800 年代的日期。我找不到关于所有这些的太多文档。除了上面列出的两个之外，Windows 中还使用了哪些时间戳？你如何分解它们？