SQL Server數據庫的證據收集與分析

徐　坤錦州師范高等專科學校，遼寧錦州　121000

?

SQL Server數據庫的證據收集與分析

徐坤
錦州師范高等專科學校，遼寧錦州121000

摘要本文將對SQL Server數據庫概念及特點進行分析和研究，并在此基礎上提出證據收集與分析系統的構建。

關鍵詞SQL Server數據庫；證據收集；分析

互聯網時代下，網絡安全防范技術取得了進一步發展，但是防火墻等安防產品僅是一種被動的防御措施，難以有效打擊網絡犯罪。而計算機取證作為一種新型安防手段，能夠通過計算機取證技術獲取黑客攻擊全過程，成為呈堂證供，在一定程度上打擊了網絡犯罪行為。其中數據庫以其自身容量大等優勢成為取證技術研究的重要方向，能夠收集更多犯罪行為，為偵破案件提供依據。因此加強對數據庫證據收集的研究具有現實意義。

1　SQL Server數據庫概述

SQL是指結構化查詢語言，對于其功能的分析，可以了解到它能夠在不同數據庫之間發揮橋梁作用。而SQL Server是一個具有可拓展、高性能的數據庫管理系統，能夠實現與WindowsNT有機結合，提供建立在事務基礎之上的企業級信息管理系統方案。

在實踐中，其具有高性能、先進的系統管理等特點，不僅能夠實現對數據庫的分布存儲和訪問，還能夠顯著降低系統負荷，增強系統運行穩定性、可靠性。因此將其引入到取證系統設計及開發中具有較強可行性，減少黑客的攻擊。

2證據收集及分析

數據庫取證作為一種新型取證方式和方法，需要建立在傳統電子物證取證檢驗技術基礎之上。本章將從證據收集與分析探討數據庫取證技術的實施過程。

2.1模擬攻擊環境

網絡數據庫中擁有大量數據，其中包含一些具有經濟價值的數據信息，成為黑客攻擊的主要對象。一般情況下，黑客并不會采取直接物理接觸方式攻擊數據庫，而是獲取數據庫的控制權限之后，對數據進行相應的改動。基于此，本文將在內部網絡中構建數據庫應用平臺，并開發一個遠程訪問端，模擬一臺置于開放網絡環境中的數據庫，通過此探討數據庫調查取證的方法及技術路線[1]。

具體實驗環境如下：操作系統為Window Server2003,Web服務器等。在實驗過程中，利用端口掃描程序對特定網段進行掃描，確定主機存活后，開放其端口。通過對數據庫服務器密碼進行暴力破解后，通過遠程數據庫對數據進行修改等非合法操作。通過上述步驟能夠模擬黑客對數據的攻擊，為后續取證和證據分析做好鋪墊。

2.2取證過程

通過數據庫進行取證，能夠回放用戶對數據庫操作的全過程，對比數據前后變化，找到被破壞的數據，以此來恢復原有數據內容，并證明黑客攻擊過數據庫，同時還能夠確定數據庫入侵范圍及危害程度等。SQL Server數據庫取證建立在數字取證規則基礎之上，采取DDDCFLDD、系統自帶視圖、函數等多項取證分析工具獲取相應的證據。

確定分析工具后，我們需要鎖定取證范圍。就理論層面來說，獲取犯罪證據的關鍵在于證據并未被完全覆蓋或者消除。可見，司法鑒定范圍過于狹小，僅關注計算機內部，如軟盤、硬盤及DVD等、而SQL Server在Windows系統當中，為了確保證據連貫性及完整性，在取證時，需要收集存在于操作系統中的證據文件及其相關證據記錄。一旦出現黑客攻擊，如果未及時采集犯罪證據，將會被合法或者惡意系統覆蓋，而這將直接增加取證的難度。因此數據庫取證應預先確定證據范圍。具體來說，應按照動態數據——事務日志——數據文件等順序進行。

最后對于取證來說，如果面臨的是計算機運行環境、內存等可以采取WFT自動獲取，另外，還可以借助數據庫系統自身提供的SQLCMD及內置的函數等保存證據。具體操作時，用戶發出指令，系統相應指令并加載SQLCMD，獲取數據庫登陸賬戶信息，將此過程中記錄在文件中。然后收集數據文件等，最后關閉數據庫，完成該環節操作后，使用取證工具對數據文件、事務日志等進行鏡像保存，與原始文件進行對比，最后確定數據在復制時是否被改動。

取證作為關鍵關節，是整個系統開發的重中之重，只有確定證據的完整性、準確性，才能夠找到黑客攻擊的痕跡，制裁黑客，可見，取證是消除黑客攻擊的重要基礎。

2.3取證分析

完成取證后，需要對證據進行深入分析，具體來說，可以從3個層面入手：

第一，建立時間線索。收集線索后，可以在信任度較高的取證平臺上進行證據分析。基于該項工作復雜性、繁瑣性等特點的考慮，可以構建攻擊時間時間進程，按

照時間標準進行證據分析，找到數字證據的范圍。通過對提取證據全過程的觀察來看，數據庫錯誤日志中記錄了登陸情況、數據庫服務器啟動等相關信息。本文對數據庫最后一次SQL Eroor Log文件能夠發現諸多問題，如某段時間發現了登陸失敗事件等。數據庫business中的文件證明了客戶端曾被惡意攻擊過。

第二，分析證據。在具體分析之前，我們應先了解系統內置的日志分析函數命令，該命令包括大量信息，但是DBCC LOG輸出字段中僅有本次數據庫取證需要用到數據信息。通過對比數據信息，能夠發現其中多處數據與原來的文件存在不同，最終確定黑客攻擊證據。

最后，恢復數據。在數據庫中，當其中的記錄被刪除，會被標記一個ghost值，以此來提醒數據庫引擎在后續查詢過程中要將其隱藏，即便真實的數據仍然被物理保存在數據頁當中，也將出現隱藏情況。一般情況下，數據庫會重新啟動一個垃圾清理程序，定期對刪除的記錄進行重復利用[2]。而數據的事務日志會被詳細的記錄下來，被刪除的數據也能夠被恢復到原來的狀態。由此，模擬數據庫攻擊時間的整個過程將被還原，黑客攻擊的證據也會被提取，成為有力證據。

計算機取證是計算機技術發展的產物，研究該系統的最終目的是為了避免黑客攻擊，確保用戶重要信息的安全。因此在研究中，我們要掌握黑客攻擊的規律及特點，在此基礎上設計和開發數據庫取證技術，最大限度上保障用戶信息的安全。

3　結論

根據上文所述，數據庫取證系統的構建是一個綜合性、復雜性過程，需要取證人員具備專業知識。數據庫攻擊事件較為頻繁，在一定程度上增加了取證難度。因此相關人員應加大對計算機取證方法的研究，不斷引進先進技術，增強系統抗攻擊能力，了解和掌握黑客攻擊行為，為數據庫取證提供更多支持和幫助，從而構建安全、和諧的互聯網環境。

參考文獻

[1]閆旭.淺談SQL Server數據庫的特點和基本功能[J].價值工程，2012（22）：229-231.

[2]裴發根，仇根根,李立.基于VB和SQL Server大地電磁測深成果數據庫的設計與實現[J].物探與化探，2013（1）：155-159.

作者簡介：徐坤，碩士，講師，工作單位為錦州師范高等專科學校，從事計算機教學

中圖分類號TP39

文獻標識碼A

文章編號1674-6708（2015）155-0122-01