由于公司網絡上擁有的珍貴資源，許多不法分子總是想方設法尋找漏洞，潛入系統作一些不法勾當。作為單位的安全工作人員需要時刻關注其單位是否遭受了損害或攻擊。但有些損害或攻擊是清楚可見的，而有些攻擊卻留下很少痕跡。作為安全工作人員善于利用一些取證工具顯得尤為重要。

就目前來看，在遭受攻擊的單位中，有很多人員還不知道自己遭受了攻擊。許多人相信，主要的攻擊來自于公司外部。其實，很多重大的損害來自于內部。人稱禍起蕭墻。

那么，安全人員面臨的挑戰就是如何找到這些攻擊，并判斷其進入系統的方法和途徑。因為桌面用戶用得最多的是Windows系統，所以我們要看幾個可以針對這種系統進行取證的簡單工具。

◆Live View

使用此軟件首要的一點是為用戶的現有系統創建一個虛擬機，還要結合使用開源的Live View軟件。此軟件會檢測用戶的系統，如果沒有檢測到安裝有Vmware Server 1.x或工作站版本的虛擬軟件，它會為用戶下載一個。

Live View是一個基于Java的圖形化的取證工具，它可以創建原始磁盤映象或物理磁盤的一個 VMware虛擬機。它準許取證人員可以啟動這個鏡象或磁盤，并獲得一個交互性的、用戶級的環境視圖。因為對磁盤的所有更改都被寫往一個獨立的文件，檢查人員可以很快地恢復到磁盤的原始狀態。其最終的結果是用戶不需要創建額外的磁盤映象來構建虛擬機。

不過，目前此軟件僅支持Windows 2003、XP、2000等系統，也Linux也僅是有限支持。

圖1

◆OpenFilesView

這是一款可以列示系統上所有基于本地或網絡的文件。此軟件只有區區82.88k，其安裝后的界面如圖：

圖2

此軟件可窮舉系統中的所有句柄。在過濾了非句柄之后，它使用臨時設備驅動程序來從內核存儲區讀取每一個句柄。在用戶從該軟件退出之后，這個設備驅動程序又可以自動地將其從系統中釋放。顯然，在這一點上，這是其它的任務管理程序所不能及的。

如果用戶試圖刪除或移動或打開一個文件時，收到了類似于下面的錯誤消息，那么此軟件就極為有用：“無法刪除*共享文件,源文件或目標文件正在使用”

此外，如果與網絡連接的過程中，打開此軟件可以監視網絡進程，如果用戶懷疑某進程有問題，可以在其上單擊，如圖：

圖3

然后在彈出的菜單中選擇“properties”,打開如圖所示的窗口：

圖4

軟件對文件的多種屬性進行了描述，如句柄、進程ID、刪除共享等。在確信了某句柄是可疑句柄之后，可以單擊“OK”按鈕。再次在此文件上右擊，選擇“kill processes of selected files”。