SQL Server數(shù)據(jù)庫的證據(jù)收集與分析

徐　坤錦州師范高等?？茖W校，遼寧錦州　121000

?

SQL Server數(shù)據(jù)庫的證據(jù)收集與分析

徐坤
錦州師范高等?？茖W校，遼寧錦州121000

摘要本文將對SQL Server數(shù)據(jù)庫概念及特點進行分析和研究，并在此基礎上提出證據(jù)收集與分析系統(tǒng)的構建。

關鍵詞SQL Server數(shù)據(jù)庫；證據(jù)收集；分析

互聯(lián)網(wǎng)時代下，網(wǎng)絡安全防范技術取得了進一步發(fā)展，但是防火墻等安防產品僅是一種被動的防御措施，難以有效打擊網(wǎng)絡犯罪。而計算機取證作為一種新型安防手段，能夠通過計算機取證技術獲取黑客攻擊全過程，成為呈堂證供，在一定程度上打擊了網(wǎng)絡犯罪行為。其中數(shù)據(jù)庫以其自身容量大等優(yōu)勢成為取證技術研究的重要方向，能夠收集更多犯罪行為，為偵破案件提供依據(jù)。因此加強對數(shù)據(jù)庫證據(jù)收集的研究具有現(xiàn)實意義。

1　SQL Server數(shù)據(jù)庫概述

SQL是指結構化查詢語言，對于其功能的分析，可以了解到它能夠在不同數(shù)據(jù)庫之間發(fā)揮橋梁作用。而SQL Server是一個具有可拓展、高性能的數(shù)據(jù)庫管理系統(tǒng)，能夠實現(xiàn)與WindowsNT有機結合，提供建立在事務基礎之上的企業(yè)級信息管理系統(tǒng)方案。

在實踐中，其具有高性能、先進的系統(tǒng)管理等特點，不僅能夠實現(xiàn)對數(shù)據(jù)庫的分布存儲和訪問，還能夠顯著降低系統(tǒng)負荷，增強系統(tǒng)運行穩(wěn)定性、可靠性。因此將其引入到取證系統(tǒng)設計及開發(fā)中具有較強可行性，減少黑客的攻擊。

2證據(jù)收集及分析

數(shù)據(jù)庫取證作為一種新型取證方式和方法，需要建立在傳統(tǒng)電子物證取證檢驗技術基礎之上。本章將從證據(jù)收集與分析探討數(shù)據(jù)庫取證技術的實施過程。

2.1模擬攻擊環(huán)境

網(wǎng)絡數(shù)據(jù)庫中擁有大量數(shù)據(jù)，其中包含一些具有經濟價值的數(shù)據(jù)信息，成為黑客攻擊的主要對象。一般情況下，黑客并不會采取直接物理接觸方式攻擊數(shù)據(jù)庫，而是獲取數(shù)據(jù)庫的控制權限之后，對數(shù)據(jù)進行相應的改動?；诖耍疚膶⒃趦炔烤W(wǎng)絡中構建數(shù)據(jù)庫應用平臺，并開發(fā)一個遠程訪問端，模擬一臺置于開放網(wǎng)絡環(huán)境中的數(shù)據(jù)庫，通過此探討數(shù)據(jù)庫調查取證的方法及技術路線[1]。

具體實驗環(huán)境如下：操作系統(tǒng)為Window Server2003,Web服務器等。在實驗過程中，利用端口掃描程序對特定網(wǎng)段進行掃描，確定主機存活后，開放其端口。通過對數(shù)據(jù)庫服務器密碼進行暴力破解后，通過遠程數(shù)據(jù)庫對數(shù)據(jù)進行修改等非合法操作。通過上述步驟能夠模擬黑客對數(shù)據(jù)的攻擊，為后續(xù)取證和證據(jù)分析做好鋪墊。

2.2取證過程

通過數(shù)據(jù)庫進行取證，能夠回放用戶對數(shù)據(jù)庫操作的全過程，對比數(shù)據(jù)前后變化，找到被破壞的數(shù)據(jù)，以此來恢復原有數(shù)據(jù)內容，并證明黑客攻擊過數(shù)據(jù)庫，同時還能夠確定數(shù)據(jù)庫入侵范圍及危害程度等。SQL Server數(shù)據(jù)庫取證建立在數(shù)字取證規(guī)則基礎之上，采取DDDCFLDD、系統(tǒng)自帶視圖、函數(shù)等多項取證分析工具獲取相應的證據(jù)。

確定分析工具后，我們需要鎖定取證范圍。就理論層面來說，獲取犯罪證據(jù)的關鍵在于證據(jù)并未被完全覆蓋或者消除?？梢?，司法鑒定范圍過于狹小，僅關注計算機內部，如軟盤、硬盤及DVD等、而SQL Server在Windows系統(tǒng)當中，為了確保證據(jù)連貫性及完整性，在取證時，需要收集存在于操作系統(tǒng)中的證據(jù)文件及其相關證據(jù)記錄。一旦出現(xiàn)黑客攻擊，如果未及時采集犯罪證據(jù)，將會被合法或者惡意系統(tǒng)覆蓋，而這將直接增加取證的難度。因此數(shù)據(jù)庫取證應預先確定證據(jù)范圍。具體來說，應按照動態(tài)數(shù)據(jù)——事務日志——數(shù)據(jù)文件等順序進行。

最后對于取證來說，如果面臨的是計算機運行環(huán)境、內存等可以采取WFT自動獲取，另外，還可以借助數(shù)據(jù)庫系統(tǒng)自身提供的SQLCMD及內置的函數(shù)等保存證據(jù)。具體操作時，用戶發(fā)出指令，系統(tǒng)相應指令并加載SQLCMD，獲取數(shù)據(jù)庫登陸賬戶信息，將此過程中記錄在文件中。然后收集數(shù)據(jù)文件等，最后關閉數(shù)據(jù)庫，完成該環(huán)節(jié)操作后，使用取證工具對數(shù)據(jù)文件、事務日志等進行鏡像保存，與原始文件進行對比，最后確定數(shù)據(jù)在復制時是否被改動。

取證作為關鍵關節(jié)，是整個系統(tǒng)開發(fā)的重中之重，只有確定證據(jù)的完整性、準確性，才能夠找到黑客攻擊的痕跡，制裁黑客，可見，取證是消除黑客攻擊的重要基礎。

2.3取證分析

完成取證后，需要對證據(jù)進行深入分析，具體來說，可以從3個層面入手：

第一，建立時間線索。收集線索后，可以在信任度較高的取證平臺上進行證據(jù)分析?；谠擁椆ぷ鲝碗s性、繁瑣性等特點的考慮，可以構建攻擊時間時間進程，按

照時間標準進行證據(jù)分析，找到數(shù)字證據(jù)的范圍。通過對提取證據(jù)全過程的觀察來看，數(shù)據(jù)庫錯誤日志中記錄了登陸情況、數(shù)據(jù)庫服務器啟動等相關信息。本文對數(shù)據(jù)庫最后一次SQL Eroor Log文件能夠發(fā)現(xiàn)諸多問題，如某段時間發(fā)現(xiàn)了登陸失敗事件等。數(shù)據(jù)庫business中的文件證明了客戶端曾被惡意攻擊過。

第二，分析證據(jù)。在具體分析之前，我們應先了解系統(tǒng)內置的日志分析函數(shù)命令，該命令包括大量信息，但是DBCC LOG輸出字段中僅有本次數(shù)據(jù)庫取證需要用到數(shù)據(jù)信息。通過對比數(shù)據(jù)信息，能夠發(fā)現(xiàn)其中多處數(shù)據(jù)與原來的文件存在不同，最終確定黑客攻擊證據(jù)。

最后，恢復數(shù)據(jù)。在數(shù)據(jù)庫中，當其中的記錄被刪除，會被標記一個ghost值，以此來提醒數(shù)據(jù)庫引擎在后續(xù)查詢過程中要將其隱藏，即便真實的數(shù)據(jù)仍然被物理保存在數(shù)據(jù)頁當中，也將出現(xiàn)隱藏情況。一般情況下，數(shù)據(jù)庫會重新啟動一個垃圾清理程序，定期對刪除的記錄進行重復利用[2]。而數(shù)據(jù)的事務日志會被詳細的記錄下來，被刪除的數(shù)據(jù)也能夠被恢復到原來的狀態(tài)。由此，模擬數(shù)據(jù)庫攻擊時間的整個過程將被還原，黑客攻擊的證據(jù)也會被提取，成為有力證據(jù)。

計算機取證是計算機技術發(fā)展的產物，研究該系統(tǒng)的最終目的是為了避免黑客攻擊，確保用戶重要信息的安全。因此在研究中，我們要掌握黑客攻擊的規(guī)律及特點，在此基礎上設計和開發(fā)數(shù)據(jù)庫取證技術，最大限度上保障用戶信息的安全。

3　結論

根據(jù)上文所述，數(shù)據(jù)庫取證系統(tǒng)的構建是一個綜合性、復雜性過程，需要取證人員具備專業(yè)知識。數(shù)據(jù)庫攻擊事件較為頻繁，在一定程度上增加了取證難度。因此相關人員應加大對計算機取證方法的研究，不斷引進先進技術，增強系統(tǒng)抗攻擊能力，了解和掌握黑客攻擊行為，為數(shù)據(jù)庫取證提供更多支持和幫助，從而構建安全、和諧的互聯(lián)網(wǎng)環(huán)境。

參考文獻

[1]閆旭.淺談SQL Server數(shù)據(jù)庫的特點和基本功能[J].價值工程，2012（22）：229-231.

[2]裴發(fā)根，仇根根,李立.基于VB和SQL Server大地電磁測深成果數(shù)據(jù)庫的設計與實現(xiàn)[J].物探與化探，2013（1）：155-159.

作者簡介：徐坤，碩士，講師，工作單位為錦州師范高等專科學校，從事計算機教學

中圖分類號TP39

文獻標識碼A

文章編號1674-6708（2015）155-0122-01