“一般来讲，黑客执行下一步的网络攻击都需要非静态数据，而进攻取证是一种捕获这种非静态数据的黑客攻击技术”，计算机取证和电子搜索公司LLC伯克利分校研究小组的首席研究员Joe Sremack表示。

　　在进攻取证过程中，黑客捕捉内存中的非静态数据用以获取密码、加密密钥以及活跃网络会话数据，这些都可以帮助他们不受任何限制地访问宝贵数据资源。

　　为了说明这一点，举一个进攻取证攻击的简单例子。进攻取证攻击过成功中黑客会捕捉Windows剪贴板，这是一个不够精明的企业网络用户经常复制和粘贴安全密码的地方。黑客通常利用Flash的漏洞来展开这种类型的攻击。

　　“黑客往往利用浏览器中的Flash插件结合较弱的甚至错误的配置来读取浏览器的完整信息，包括内存中的密码，”Sremack说。

　　安全意识是击败进攻取证的第一步技巧和战术，及时的行动是第二步。

　　目的和手段

　　黑客使用进攻取证获取凭证，如用户名和密码。这些都允许他们访问敏感数据同时能够隐瞒自己的身份，以拖延攻击时被发现的时间并避免暴露自己的行踪。

　　“他们还想延长时间，以便于其在被发现之前有充足的时间去访问系统和目标数据，从而增加其犯罪所得，” 安全和风险管理公司Neohapsis的首席安全顾问Scott Hazdra说。

　　黑客寻找这种以半永久记忆的形式存在如RAM内存或交换文件中的动态/非静态数据。

　　“Windows临时文件、Windows或Mac的剪贴板、从一个Telnet或FTP应用程序中未加密的登录数据，和web浏览器缓存等都是非静态数据目标，”Sremack说。

　　一旦黑客获得暂时存储在明文中的用户ID和密码，他们就可以进入下一个等级的访问，进一步获取资源，如内部网站、文档管理系统和SharePoint站点，Sremack解释道。

　　“这基本上是一个黑客必须使用键盘记录器才能够检索到的信息的途径，但没有键盘记录器，”Sremack说。

　　这对于黑客来说极为重要，因为反病毒和反恶意软件工具可以检测并移除键盘记录。黑客们则运行其他的各种工具，比如查看剪贴板、注册表或者电脑用明文存储这些数据的任何工具。

　　这些工具，为黑客实时进行这些进攻时成为一件免费的福利，并且极容易接入互联网。虽然Linux上有工具，但是通常犯这种典型错误(以明文将密码储存在剪贴板)的人使在工作站的终端使用者进行攻击取证成为可能，而这些使用者通常运行Windows和Mac操作系统。

　　一些黑客使用特定的工具包括脚本工具作为取证的利器。

　　“还有大范围用于此用途的各样其他工具，包括免费的和高价的，比如FTK成像仪、RedLine、Volatility, CAINE, 和HELIX3 ”，Hazdra说。

　　据悉，西电华为创新俱乐部成立于2010年11月，是华为技术有限公司成立的首家高校创新俱乐部，是由西电校团委和华为西安研究所合作交流处联合指导，俱乐部学生自主运营的全校性科技创新型技术社团。成立以来，俱乐部始终秉承校企合作培养创新人才的理念，以技术创新为导向，下设无线通信组、网络媒体组、云计算组、固定带宽组等技术研发方向，组织开展 “华创杯”科技创新竞赛、创新产品“孵化计划”、“麦子地•微碰撞”技术沙龙、“西电汇创新”创新创业沙龙等一系列科技创新活动，并于2013年协助组织承担了“西电-华为长期合作两周年研讨会”。俱乐部实施“双导师”制度，聘请华为专家担任俱乐部技术导师，和学校专家一起联合指导学校学生开展科技创新活动，成员在全国“挑战杯”、全国“电子设计竞赛”、“微软创新杯”、“全美数模”、“星火杯”等科技竞赛中多次获得全国一等奖、学校特等奖等优异成绩。

　　据了解，首届全国高校华为俱乐部年会 “华山论剑·勇攀信息之巅”，是由西安电子科技大学主办，华为技术有限公司协办，共青团西安电子科技大学委员会、华为西安研究所合作交流处、西电华为创新俱乐部承办，华为荣耀业务部支持的高校华为俱乐部交流会议，旨在为全国各高校华为俱乐部搭建一个多层次的交流平台，分享信息行业发展趋势，研讨校企合作以及高校间资源开发与共享等课题，促进不同高校之间的交流与合作，开创校企协作培养创新型人才的新局面。

　　企业响应

　　“进攻取证很难计数，因为攻击目标机器中的文件可能是安全的，而且传统标准也将宣布系统是安全的，但是入侵者却能够访问机器并能捕捉内存，”Sremack说。

　　对付进攻取证的方法包括运行能够掩藏和保护内存数据的安全功能。这些类型的应用程序包括KeePass和KeeScrambler。KeePass是一个加密的剪贴板工具，能够自动清除剪贴板历史;KeeScrambler则加密浏览历史。

　　“每当用户将字母键入浏览器，系统就会加密以防止黑客读取储存在内存中的数据，”Sremack解释道。目前有免费版的KeeScrambler;同样能对付键盘记录程序的还有付费版本。

　　最佳实践要求一个企业网络用户必须在一个特定的机器上登陆进行系统活动，这样一来，黑客就更难以消除自己的行踪。此外，企业应该使用文件系统可仅标记文件为“附录”的特性(不会删除或覆盖现有的数据)，这样即使是那台特定机器的系统管理员都无权删除所写，除非机器进入离线维护模式，Lancope的首席技术官TK Keanini这样解释道。

　　放眼大局来看，企业必须做足充分准备，以针对进攻取证袭击作出有效的事件响应。一个企业应该从三个等级做好救援事件响应准备，Keanini说，每一个等级需要添加一个维度来补充上一个等级力所不及的。

　　“即使攻击者可以规避其中的一个等级，他们还是终将暴露在其他等级中，“Keanini说。

　　第一个等级是端点遥测。每个端点应该有一些负责操作整个设备的系统级程序。

　　“虽然你永远不能做到100%的准确率，然而百分之零的准确率是绝对不可接受的，”Keanini说。

　　第二个等级是网关和接入点遥测。在网络的入口和出口上，一些技术应该记录入站和出站连接。这将为网络互联提供检测和网络取证的依据。

　　第三个等级是基础设施遥测。

　　“所有的网络基础设施应该展示未取样的Netflow/IPFIX(流量分析 /互联网协议流信息输出)，”Keanini认为，IT安全利用跟踪所有元数据水平下网络流量的工具来收集这些数据集。

　　“这个数据集作为网络的总帐目，能够提供给你网络中最完整的活动列表，”Keanini说。

　　如果一个企业用三个等级的遥测技术来武装其自身安全，几乎没有任何攻击或者攻击者可以找到藏身之处。

　　Keanini认为，“更重要的是，当黑客进行某种形式的数据挖掘时，在执行其他阶段的攻击时其仍然要想方设法地去掩藏自己。”

　　在运营阶段，企业可以发现具备这些遥测水平的攻击者，并在黑客完成进攻目标之前做出相应部署。

　　企业需要时刻留意进攻取证，它像其他攻击技术一样将持续发展进化。进行网络犯罪的黑客将使用一切可能的工具来完成网络进攻，即使该工具本身是良性的，网络黑客也会背离其设计者的初衷而在犯罪过程中歪曲地使用它。

　　首席安全官和首席信息安全官们需要不断对其IT团队和安全团队进行技术培训，来让他们知晓当前的最新威胁及破解途径。大多数IT安全团队最终还是需要最新的工具来检测进攻取证攻击的，Hazdra说。

　　高价值资产需要最先进的保护模式，以便安全团队能够检测威胁并防止黑客利用取证工具窃取企业数据，Hazdra认为。

　　“未经授权使用这些工具的情况很可能发生于大多数企业和组织网络管理的盲区。因为管理员会监控包括网络流量、文件完整性、入侵检测和未经授权的访问尝试等在内的行为，却没有适当的工具来检测系统上执行内存转储的人或者其安全团队是否在使用进攻取证工具，”Hazdra解释道。