电子数据取证之网站分析和重构基础

一、网站分析概述
1、无论何种方式，使用何种工具勘验，服务器检材提取固定最终只会有以下几种常见形态：

网站页面数据；
服务器镜像文件；
网站代码+数据库文件；

2、对服务器镜像文件的分析分为静态分析和动态分析：

静态分析：通过证据分析软件自动识别，可以完成静态分析；
动态分析：使用仿真软件启动镜像的操作系统，并对网站进行配置和访问；

3、Linux常用的基本命令：

进入目录 cd
列出文件 ls
网卡配置 ifconfig
端口 netstat
历史命令 last

二、在动态取证，仿真启动镜像时会经常出现远程连接无法连接到服务器的情况，如何解决：

1、首先需要了解虚拟机网卡与本地网卡的对应关系：

vmware为我们提供了三种网络工作模式，它们分别是：Bridged（桥接模式）、NAT（网络地址转换模式）、Host-Only（仅主机模式）。

打开vmware虚拟机，我们可以在选项栏的“编辑”下的“虚拟网络编辑器”中看到VMnet0（桥接模式）、VMnet1（仅主机模式）、VMnet8（NAT模式），那么这些都是有什么作用呢？其实，我们现在看到的VMnet0表示的是用于桥接模式下的虚拟交换机；VMnet1表示的是用于仅主机模式下的虚拟交换机；VMnet8表示的是用于NAT模式下的虚拟交换机。

桥接模式，本地连接和虚拟机是平级关系，虚拟机也连接到了本机上一级的路由器；
NAT模式，VMnet8网卡，通过本机机连接；

2、以下情况可能需要手动设置：
----服务器镜像中网卡未设置自启动；
ifconfig没有数据，就是网卡没有启动；
解决方案：ifup 网卡名
例如：ifup ens33

----服务器镜像中配置了静态ip
vi 编辑
临时修改 ifcong 网卡名 192.168.1.3

三、通过命令获取相关数据

1、netstat -anpt 常用命令，输出一张表单，产看打开的端口和服务；
如果没有响应可以使用 ss -anpt 看到的东西几乎一样；
确认网络状态；

2、history命令；
或者打开这个文件：cat /root/.bash_history

3、查找网站后台：

4、Navicat连接数据库时，如果遇到连接不上的时候，可以试着用ssh连接的方式绕过；

四、各种服务器类型配置文件

1、apache服务器的配置文件：
文件名 httpd.conf
默认路径： /etc/httpd/conf/httpd.conf

重要配置：
listen 端口号；
ServerName 主机名，域名；
DocumentRoot 网站目录；
CustomLog 访问日志；

2、Nginx服务器的配置文件：
文件名 nginx.conf
默认路径： /etc/nginx/conf/nginx.conf

重要配置：
listen 端口号；
Server_name 主机名，域名；
root 网站目录；
access_log 访问日志；

apache和nginx都可以使用include字段，调用额外的配置文件；

3、tomcat服务器的配置文件：

Tomcat是基于Java语言的服务器；apache、nginx是基于PHP的服务器；
配置文件：server.xml ;
war包；直接放在Tomcat的webapps目录下面；直接检索war包，拿到包就固定了网站；

4、spring和sprinboot;
在spring和spring boot中有个组件是Tomcat，jar包，也是一个压缩文件；manifests文件，类似于APP解析

war包放到任何一个Tomcat中可以运行；jar包相对于来说比较复杂；

五、数据库配置文件

1、MySQL数据库：
文件名：my.cnf/my.ini
默认路径：/etc/my.cnf

port 端口；
datadir 数据目录；
default-storage-engine 存储引擎；
innodb-file-per-table独立空间表；

六、网站集成环境

LAMP网站环境：Linux apache mysql php