使用LiveCD 恢复受危害的系统

    您希望不用经过冗长的系统安装和配置过程就可以评估 Linux® 系统的完整性并恢复丢失的数据吗？Helix 和 Plan-B 这两个软件包将通过 LiveCD 的神奇力量帮助您获得这种能力。

    Mayank 的上一篇文章 “使用 Linux LiveCD 评估系统的安全性” 介绍了 LiveCD，还介绍了一些可帮助您评估计算机系统安全性的工具。但若系统已遭遇安全威胁并被用于非法或未经授权的活动，又该怎么办呢？选择之一是请求计算机安全专家的帮助。也可以下载专家所使用的工具，学习如何使用这些工具，自己成为完整性保障和数据恢复方面的专家。完全不必担心工具的安装 —— 这是 LiveCD！

关于 LiveCD LiveCD 是存储在一张可引导的 CD-ROM 上的操作系统（以及其他软件），通过这张 CD- ROM 即可执行 OS，无需进行漫长的安装过程。大部分 LiveCD 都是基于 Linux 内核的（但也有一些用于其他操作系统的 LiveCD）。LiveCD 的工作方式是将文件放到 RAM 磁盘中（这样就减少了应用程序可以使用的 RAM，因此性能可能会降低）。一旦取出 LiveCD 并重新启动系统之后，原系统就恢复了。有些 LiveCD 还提供了一个安装工具，使您可将系统安装到硬盘或 USB 磁盘上；大部分 LiveCD 都可以访问内部/外部硬盘、磁盘或闪存上的信息。 syslinux 用来启动基于 Linux 的 LiveCD，以及 Linux 软盘。对于 PC 来说，可引导 CD 通常都遵守 El Torito 规范，会将磁盘上的某个文件（可能是隐藏文件）当作一个软盘映像使用。很多 LiveCD 都使用压缩的文件系统映像，其中通常会使用 cloop 压缩 loopback 驱动器有效地双倍利用存储能力。 市场上有很多模拟器可以用于试用 LiveCD，而不需将其刻录成 CD 或在计算机上启动。支持最为广泛的 i386 模拟器是 VMware。其他模拟器还有 Qemu、PearPC 和 Bochs，它们都可以用于模拟 x86 和/或 PowerPC® 平台；但由于所采用的模拟方法的不同，因此速度比一些商业化模拟器慢。另外一种商业化模拟器是 VirtualPC。

调查计算机

    侵入计算机和计算机网络并在其掩护下进行严重非法活动是一种非常普遍的行为，甚至普遍到许多人都具备实现此类行为的必备技能。然而，检测并捕捉入侵者的能力却并非同样普遍。伟大的（尽管是虚构的）侦探福尔摩斯曾经说过：“在搜集齐所有证据之前就进行推理是一个绝大的错误。这会让判断有所偏颇。”

    从遭遇安全威胁的系统中搜集证据是计算机 “取证” 专家（数字时代的福尔摩斯）的工作。他们使用专门工具来搜集、研究并分析关于系统的信息。对于这种工作来说，最好的工具是开源工具，这并不奇怪。The Coroner's Toolkit (TCT)、Sleuth Kit、Autopsy Forensic Browser 以及 FLAG (Forensics Log Analysis GUI) 都是非常流行的工具，不但安全专家喜欢使用这些工具，很多计算机安全课程的讲师也都很喜欢这种工具。

Helix

    与很多专门 LiveCD 一样，Helix 也是应需产生的。Andrew Fahey 是 e-fense Inc. 的一位合作安全专家，他以 Knoppix 作为基础，并添加了很多日常工作中使用的工具。

   “Helix 用户非常有参与意识。全世界都有 Helix 的用户，他们不断提供反馈信息。由于人们是在不同的环境中使用 Helix，因此要确保所有组件在任何情况下都可精确完成工作是一项持续不断、耗时很多的任务。所以我依靠用户的反馈改进 Helix，并修正他们所发现的故障。我还要依靠用户完成语言翻译。” Andrew 说。

    Helix 有一个 Windows® 端的活动接口，允许映像一个 Live Windows 系统。此接口已被翻译成了德语，很快会有葡萄牙语版本。另外，很多事件/响应工具按最初形成的想法进行了设计。很多组织教育机构也开始使用 Helix，其中包括 National White Collar Crime Center (NW3C)、System Administrator Network Security (SANS) Institute 和 National Consortium for Justice Information and Statistics。

    Helix 并非为在硬盘上安装而设计，但将来的版本可能具备此功能。“我希望能够有一个类似于 Fedora 所用的那种进行硬件识别的硬件抽象层。在不久之前，我们刚刚添加了 union-fs 模块，这是我们需要克服的一个主要障碍。” Andrew 说。尽管 Helix 中的大部分工具都是 Andrew 自己选择的，但有些工具是由社区推荐的。Andrew 面对的最大问题就是有些工具需要许可证。

    下一版本将提供一些更新工具、全新的 Retriever 和 Adepto 程序，Andrew 一直在使用这些程序及 Sleuth Kit 和 PyFLAG 中提供的工具。

图 1. 正在扫描病毒的 Helix、PyFLAG、Adepto 和 ClamAV
 

Plan-B

    Jeremy McDaniel 所开发的 Plan-B 是一种取证 LiveCD，灵感来源于 Peter Anvin 的 SuperRescue CD。它以 Red Hat 9 为基础，运行 Blackbox Window Manager，并使用 zisofs 文件系统将约 1.4GB 的数据压缩到一张 CD 中。其中有一些取证分析工具，如 Autopsy、The Sleuth Kit、BCWipe 等，还有多种日常使用的工具，如 e-mail 客户端软件、浏览器、聊天客户端软件和文本编辑器。根据该项目的 Web 站点：

（下一个版本中）最大的变化是：大部分当前软件（即便不是全部）都会更新，另外还会添加 2.6 内核，回滚至 Fedora。主数据库为 MySQL ，以添加新的应用服务器。创建基于 eServer™ 的 Security/Auditing/Planning Module 的计划现已投入实施。它最终要作为一个独立的应用程序进行发布。Plan-B 将仅作为移动测试解决方案提供服务。这种工具将用于基于团队的审计和具有报告创建能力的穿透测试接口。

图 2. Plan-B 在此分析报告中提供了常见的命令行接口

结束语

设想一下，我们可以通过一张可引导的 Linux CD 直接学到经验丰富的计算机取证专家的技能。这不是梦想。本文中介绍的 LiveCD 使梦想成为现实。祝您的侦探道路顺利！

原文链接：http://www-128.ibm.com/developerworks/cn/linux/l-livecddiag/