隨著信息技術的發展，越來越多的人都喜歡用計算機辦公，發郵件，建設自己的個人站點，公司建立自己的企業站點，政府也逐漸的采取了網上辦公，更好的為人民服務，銀行和證券機構也都開始依托互聯網來進行金融和股票交易，但是隨著方便的同時也同時帶來了新的一些計算機網絡安全隱患，隨著司法機關的介入，我相信在不久的將來，網絡攻擊調查取證也會成為立法機構必須要考慮設立的一門新的學科，目前來說開設這個的課程多在網絡警察和一些特殊機關，現在我來給大家講下我親身經歷并參與完成的一次取證過程，用事實來講述；

我一直從事病毒分析，網絡攻擊響應相關的工作，這次應好朋友的邀請，幫忙配合去協查幾臺服務器，我們來到了某XXX駐地，首先進行例行檢查。經過了1天左右的時間的檢查，其中用到了一些專用設備也包含自主編寫的工具以及第三方提供的勘察取證軟件，共發現問題主機服務器10臺，其中2臺比較嚴重，（以下用A服務器和B服務器來代替）和朋友商定后，決定帶回我們的實驗室，進行專項深入分析。

習慣的檢查步驟操作：

服務器操作系統版本信息——>操作系統補丁安裝情況——>操作系統安裝時間，中間有沒有經過進行重新安裝——>服務器維護情況——>服務器上面安裝的軟件版本信息

日志檢查——IDS日志信息/IIS日志信息/系統日志信息
網站代碼審查——是否存在一句話木馬，源代碼上是否存在惡意代碼插入
殺毒軟件版本更新情況——是否是最新版本，配置的是否合理，配套的監視是否全部打開
數據恢復——>利用專用數據恢復軟件進行數據恢復，恢復一些被刪除的日志信息和系統信息，曾經安裝過的文件操作信息。
提取可疑文件（病毒、木馬、后門、惡意廣告插件）——在系統文件目錄利用第三方或者自開發軟件，對可疑文件進行提取并進行深度分析。

上述步驟是我個人總結的，有不妥的地方還請朋友們指正，介紹完理論，我們來實踐處理下這兩臺服務器。

A服務器檢查處理過程

該A服務器所裝的操作系統是Advanced 2000 server，服務器上安裝的有瑞星2008殺毒軟件，病毒庫已經更新到最新版本。但是并沒有安裝網絡防火墻和其他系統監視軟件，安裝的ftp服務器版本為server-u 6.0（存在溢出攻擊的威脅）

一 對原始數據進行恢復
利用Datarecover軟件來恢復一些被刪除的文件,目的是希望從被刪除的文件來找出一些木馬或者后門以及病毒。進行深度分析，把曾經做過的格式化，以及在回收站中刪除過的文件恢復過來，但是遺憾的是成功拿下這臺服務器權限的黑客已經做了專業處理，把他的一些痕跡進行了全面清理，個人認為他使用了日本地下黑客組織開發的專項日志清除工具，經過我和助手的共同努力還是把系統日志恢復到當年5月份。

二 手工分析可疑文件
在本服務器的c盤根目錄下面有一個sethc..exe 文件。這個文件是微軟自帶的，是系統粘制鍵，真實的大小應為27kb，而這個文件為270kb，起初我以為是由于打補丁的原因。但是經過翻閱一些資料和做比對之后，才知道這樣的文件是一個新開發的流行后門，主要用法：通過3389終端，然后通過5次敲擊shift鍵，直接調用sethc.exe而直接取得系統權限。隨后達到控制整個服務器，通常他還是通過刪除正常的一些c盤exe文件。然后把自己偽造成那個所刪除的exe文件名。造成一種假象。

這里我們提供解決方法如下：個人建議這個功能實用性并不高，建議直接刪除這個文件，如果有人利用這個手法來對你的服務器進行入侵，那就肯定是有人做了手腳，可以第一時間發現黑客入侵行為，也可以作為取證分析的一個思路；在控制面板的輔助功能里面設置取消粘制鍵。