书接上回,在介绍完数据分析中关于时间的基本知识之后,下面开始为您展示文件挖掘和网络数据分析的相关内容。
8.2 文件挖掘
文件挖掘又称为文件雕刻,是从未知的二进制数据中获取有效的、可理解的数据过程。
文件挖掘是针对元数据。
文件挖掘种类
普通挖掘
文件头/尾挖掘
通过定位文件头和尾的位置,来提取文件。又称为“文件签名挖掘”技术。如html文件、jpeg文件恢复。
头+长度挖掘
只能定位或者有文件头,同时文件长度固定或不影响文件内容,可以规定一个范围来提取文件。
文件结构挖掘
通过解析文件内部结构和编码,来直接解析其中重要信息和恢复文件。又被称为“Semantic Carving”和“Deep Carving”。文件结构挖掘是针对文件数据结构来进行分析的,电子数据取证使用最为广泛的技术。例如对于Office文件、Index.dat、回收站文件等文件的取证都是基于文件结构挖掘的。
碎片恢复挖掘
超过两个以上碎片,通过重组形成为原始文件。又被称为“Split Carving”。
重构挖掘
通过给碎片文件添加重要结构,例如文件头、文件尾和关键结构信息。文件挖掘工具已经成为取证工具开发的基础,如Foremost、Scalpel、WinHex等。
8.3 网络数据分析
嗅探技术类型
本机嗅探
网络嗅探
网卡四种接受模式
广播方式
组播方式
直接方式
混杂模式
在这种模式的网卡能够接受一切通过它的数据,而不管该数据是否是传给它的。
嗅探方式
广播网嗅探
用集线器(hub)组件的广播网络是基于共享的原理的,广播网中所有的网卡都会收到所有数据包,直接就可以进行嗅探。
ARP欺骗嗅探
在正常情况下,以太网络中一个主机的网络接口应该只响应这样的两种数据帧:
1、与自己硬件地址相匹配的数据帧
2、发向所有机器的广播数据帧
ARP欺骗嗅探是将本身伪造成网关,向目标PC发送广播数据,欺骗目标PC,让它认为嗅探PC是网关,由嗅探PC承担数据转发,以此截获目标PC的网络数据。
端口镜像嗅探
端口镜像称为巡回分析端口,它从网络交换机的一个端口转发每个进出分组数据的拷贝到另一个端口,可以此端口进行分析,端口镜像是监视网络通行量和通讯内容的一种方法。
基于端口镜像的嗅探受限于交换机能够支持的镜像功能,能够镜像多少端口、镜像出来的协议如何都取决于交换机的型号和配置。低端交换机不能活着只能单端口到单端口的镜像,高端交换机都支持多对一的端口镜像。基于端口镜像的嗅探必须拥有交换机的管理权限。
嗅探器分为通用嗅探器和专用嗅探器。前者支持多种协议,如tcpdump、Wireshark、Sniffit等,后者是针对特定协议进行嗅探的。