网探服务器取证软件 V4.0 用户手册 上海弘连网络科技有限公司 地址 : 上海市闵行区中春路 7001 号 G 栋 3 楼 电话 :021-3136 1626 传真 :021-3136 1626 网址 :https://www.forensix.cn 论坛 :https://bbs.forensix.cn
目录第 1 章系统介绍... 2 1.1 产品概述... 2 1.2 产品特性... 2 1.3 系统要求... 2 第 2 章软件安装 更新 卸载... 3 2.1 安装... 3 2.2 更新... 5 2.3 卸载... 5 第 3 章启动软件... 7 第 4 章连接服务器... 8 4.1 连接 Windows... 8 4.2 连接 Linux... 9 4.3 连接 Mac... 10 4.4 使用代理... 11 4.5 其他... 12 第 5 章功能介绍... 14 5.1 远程终端... 14 5.1 内存镜像... 14 5.2 磁盘镜像... 15 5.3 磁盘挂载... 17 5.4 网络抓包... 18 5.5 网站... 19 5.6 数据库... 20 5.7 文件系统... 24 5.8 日志... 25 5.9 浏览器记录... 26 5.10 固定... 26 第 6 章软件界面... 27 6.1 启动界面... 27 6.2 基本信息... 28 6.3 用户列表... 29 6.4 进程列表... 29 6.5 登录日志... 29 6.6 防火墙规则... 30 6.7 网络连接... 30 6.8 网络服务... 30 6.9 ARP 缓存... 31 第 1 页
第 1 章系统介绍 1.1 产品概述 网探 (HackFindx) 是基于 Windows 平台的服务器远程固定的取证工具 它可以方便的将某服务器内容保存到本地硬盘, 并且可以离线浏览服务器内容, 同时还支持磁盘镜像 内存镜像, 磁盘映射,WebShell 检测 数据表的下载 随着网络应用的范围越来越广, 服务器的固定及取证需求量也越来越多, 简单地用人力来处理不仅费时费力, 而且容易出错 为了适应服务器固定数据量大 内容多的状况, 网探针对服务器基本信息 网络 网站 (Nginx Apache IIS Tomcat) 数据库(MySQL MongoDB PostgreSQL SQLServer) 文件系统等模块进行提取 1.2 产品特性 ² 服务器信息固定 固定内容包括服务器基本信息 用户列表 进程列表 登录日志 网络 网站 数据库 文件等各种信息 ² 支持连接 Windows Linux 和 Mac 服务器固定 ² 支持支持查看系统日志 应用日志 安全日志 内核日志等 ² 支持磁盘镜像到阿里云对象存储 (OSS) ² 历史任务管理 可以查看历史任务, 磁盘镜像类任务可支持断点续传 ² 使用代理中转连接服务器 ² 网站分析 支持 Nginx Apache IIS Tomcat 网站分析, 网站管理 ² 文件预览 支持文件搜索 预览 查找和过滤, 同时也支持下载文件, 下载或打包下载文件夹 ² 数据库分析 支持 MySQL MongoDB PostgreSQL SQLServer 数据库分析, 数据库管理 ² 网络抓包 支持网络抓包 网络抓包分析 本地 Pcap 文件分析 1.3 系统要求 (1)Windows 7 及更高版本的 Windows 操作系统, 推荐 Windows 10 x64 位操作系统 (2) 内存不小于 2G, 推荐使用 4G 或以上内存 (3) 带有网探许可的硬件加密狗或者有许可文件权限 第 2 页
第 2 章软件安装 更新 卸载 2.1 安装 双击 HackFindx 安装包 如果开启了 UAC 账户控制, 请在弹出的对话框中点击 是 以继续, 见图 2-1-1 启动安装包后进入安装界面, 见图 2-1-2 图 2-1-1 网探安装包 单击 下一步 选择程序安装位置, 见图 2-1-3 图 2-1-2 安装向导程序欢迎界面 图 2-1-3 选择安装的目标文件夹 单击 下一步 设置 开始菜单 文件夹, 见图 2-1-4 第 3 页
单击 安装 开始安装, 见图 2-1-5 图 2-1-4 选择 开始菜单 文件夹 单击 完成, 完成安装, 见图 2-1-6 图 2-1-5 正在安装 图 2-1-6 完成安装 第 4 页
2.2 更新 在网探软件菜单栏 帮助 下, 点击检查软件更新, 见图 2-2 2.3 卸载 图 2-2 检查软件更新 注意 : 卸载网探 (HackFindx) 将删除安装目录下的所有文件以及软件的配置信息 卸载的过程如下 : 右键桌面网探图标点击打开文件所在位置, 双击 uninst.exe 文件, 见图 2-3-1 确认是否卸载网探软件, 见图 2-3-2 图 2-3-1 HackFindx 卸载文件 开始卸载网探软件的过程, 见图 2-3-3 图 2-3-2 确认是否卸载 图 2-3-3 卸载过程 第 5 页
完成卸载网探软件, 见图 2-3-4 图 2-3-4 卸载成功 第 6 页
第 3 章启动软件 将带有网探授权的加密狗插入空闲的 USB 接口, 双击桌面上的网探快捷方式 也可以点击开始菜单 网探以启动软件 如果没有插入软件加密狗, 弹出登录弘连用户中心窗口, 登录成功即下载许可文件, 见图 3-1 图 3-1 登录用户中心 如果软件已经超出了服务期限, 将弹出对话框提示 如需延长服务期限请联系我公司或代理商 软件打开后主界面如图 3-2 所示 : 图 3-2 软件主界面 第 7 页
第 4 章连接服务器 4.1 连接 Windows 连接到 Windows 服务器的一般步骤如下 : 在连接界面点击 新建连接 按钮, 点击 连接 Windows, 填入主机 端口 用户名 密码, 然后点击 连接, 见图 4-1-1 图 4-1-1 连接 Windows 服务器 若连接失败, 弹出连接 Windows 窗口, 根据提示方法操作进行连接 第 8 页
在服务器上运行 startagent.exe, 见图 4-1-3 图 4-1-2 Windows 连接失败提示 图 4-1-3 运行 startagent 点击 已完成, 下一步, 输入端口号, 点击连接服务器即可 4.2 连接 Linux 连接到 Linux 服务器的一般步骤如下 : 点击 连接 Linux, 填入主机 端口 用户名 密码, 若选择私钥方式登录, 填写私钥路径和私钥密码, 然后点击 连接 第 9 页
图 4-2-1 连接 Linux 服务器 4.3 连接 Mac 连接到 Mac 服务器的一般步骤如下 : 点击 连接 Mac, 填入主机 端口 用户名 密码, 若选择私钥方式登录, 填写私钥路径和私钥密码, 然后点击 连接 图 4-3-1 连接 Mac 服务器 第 10 页
4.4 使用代理 4.4.1 连接代理 点击 连接代理, 填入主机 端口 会话 ID 会话密钥 链接密钥, 然后点击 连接, 见图 4-4-1-1 图 4-4-1 连接到代理连接成功后, 选择等待对方部署 Agent 后连接, 见图 4-4-2 在服务器上部署 agent, 填写相应的信息, 见图 4-4-3 图 4-4-2 连接到代理 -- 等待对方连接 第 11 页
图 4-4-3 连接到代理 等待对方连接 4.4.2 部署代理 点击 部署代理 可通过中转连接服务器, 见图 4-4-4 4.5 其他 图 4-4-4 部署代理 1) 本机运行 : 点击 本机运行 即可连接到本机, 获取本机信息 2) 连接到 Agent: 点击 下载 Agent, 下载或拷贝 agent 到服务器上运行, 见图 4-5-1 第 12 页
图 4-5-1 部署 Agent 图 4-5-2 服务器部署 Agent 在 连接 Agent, 填入主机 端口 认证密钥 ( 可选 ), 然后点击 连接, 见图 4-5-3 图 4-5-3 连接到 Agent 第 13 页
第 5 章功能介绍 5.1 远程终端 网探支持打开终端控制台, 可在通过输入指令完成任务操作 见图 5-1-1 图 5-1-1 远程终端 5.2 内存镜像 网探支持内存镜像, 点击顶部 内存镜像, 或者在系统信息区域右击选择 制作内存镜像, 选择镜像 保存位置, 开始制作内存镜像, 见图 5-2-1 图 5-2-1 内存镜像 若通过代理连接服务器, 则可选择制作内存镜像到代理服务器, 见图 5-2-2 第 14 页
图 5-2-2 制作内存镜像 在任务侧边栏可见当前内存镜像进度, 点击红色按钮即可停止内存镜像 若点击停止后, 无法继续下载, 需重新下载, 见图 5-2-3 图 5-2-3 内存镜像任务 5.3 磁盘镜像 网探支持磁盘镜像, 点击顶部 磁盘镜像, 或者在物理磁盘 逻辑卷区域选择需要镜像的磁盘, 右击选 择 制作磁盘镜像, 选择镜像保存位置 镜像格式 (DD\E01) 传输压缩, 开始制作磁盘镜像, 见图 5-3-1 第 15 页
图 5-3-1 磁盘镜像 磁盘镜像保存节点可选 : 本机 代理服务器 阿里云 OSS a 若通过代理连接服务器, 则可选择保存节点至代理服务器, 见图 5-3-2 图 5-3-2 磁盘镜像 b 若选择保存节点为阿里云 OSS, 需在软件内登陆阿里云 OSS, 且该 OSS 下含有 Bucket 信息, 见图 5-3-3 第 16 页
图 5-3-3 磁盘镜像至阿里云 在任务侧边栏可见当前磁盘镜像进度, 磁盘镜像支持断点续传, 见图 5.2.3 若镜像至代理服务器, 则在镜像完成 后可点击 取回 按钮, 取回镜像文件至本地, 见图 5-3-4 图 5-3-4 磁盘镜像 5.4 磁盘挂载 图 5-3-4 取回至本地 网探支持磁盘挂载, 点击顶部 磁盘挂载, 或者在物理磁盘 逻辑卷区域选择需要镜像的磁盘, 点击 挂载, 选择压缩传输 是否只读模式, 点击 开始 挂载磁盘, 见图 5-4-1 第 17 页
图 5-4-1 磁盘挂载 挂载成功后, 可在磁盘区域点击 取消挂载, 取消挂载磁盘, 见图 5-4-2 5.5 网络抓包 图 5-4-2 取消磁盘挂载 网探支持网络抓包分析 本地抓包文件分析 网络抓包分析, 连接服务器, 在左侧导航栏点击 网络 下的 网络抓包, 选择需要抓包的网卡, 点击 开始抓包 在网络抓包页面和底部状态栏均可看见当前抓包状态 点击 停止抓包, 即可完成当前网卡的网络抓包, 见图 5-5-1 第 18 页
图 5-5-1 网络抓包点击 分析, 软件将 Pcap 文件下载至本地默认保存目录, 对该 Pcap 文件进行网络抓包分析, 分析结果如图 5-4-2, 同时在本地默认路径生成分析文件夹, 点击顶部 保存目录 按钮, 可快速打开该文件夹 在网络抓包分析窗口, 显示会话类型 发送数据大小等数据 点击列表右侧 查看 按钮, 可查看该会话的 raw.txt 和 raw.hex.txt 文件, 以及 HTTP 类型和 DNS 类型的会话详情 点击列表右侧 打开 按钮, 将打开该会话文件保存的本地目录 5.6 网站 图 5-5-2 抓包分析 网探支持 Apache Nginx Tomcat 网站分析, 包括 : 网站配置信息 日志文件预览, 站点分析, 网站浏览, WebShell 检测 5.6.1 网站管理 点击站点右上角 浏览 按钮, 即可在浏览器中查看该站点的网页信息, 见图 5-6-1 5.6.2 WebShell 检测 图 5-6-1 网站管理 选择需要检测的网站目录, 或者添加自定义目录, 点击 开始检测, 见图 5-6-2 第 19 页
图 5-6-2 WebShell 检测目录 WebShell 检测结果, 见图 5-4-3, 点击 深度检测 可对检测结果进行深度检测, 见图 5-6-3 图 5-6-3 WebShell 检测结果 5.7 数据库 图 5-6-4 WebShell 深度检测 网探支持连接本机或其他服务器上的四种类型 (PostgreSql MySQL SLQServer MongoDB) 的数据库, 同时支持数据库管理和导出 5.7.1 数据库登录数据库登录页面提供了检测当前服务器上的数据库 连接数据库 搜索网站数据库账号, 搜索数据库账号功能 连接数据库 : 填写主机 用户名 密码 端口号, 见图 5-6-1-1 第 20 页
图 5-7-1 连接数据库 若无法通过账号密码连接数据库, 可根据搜索到的网络数据库账号列表, 点击 用此连接 连接数据库, 见 图 5-7-2 图 5-7-2 网站数据库账号 若需搜索数据库账号, 可手动选择某一网站目录 ( 默认全选 ), 点击 搜索, 搜索当前目录下根据关键字 搜索到的文件, 并显示其文件路径 行号和内容, 双击文件路径可预览该文件, 见图 5-7-3 图 5-7-3 搜索数据库账号 5.7.2 数据库概览数据库连接成功后, 可在左侧导航栏点击查看数据库配置信息和数据库列表 数据库概览页面显示了数据库配置信息 数据库日志列表, 并提供了数据库管理 断开数据库连接功能, 见图 5-7-4 第 21 页
图 5-6-4 数据库连接 5.7.3 数据库管理点击数据库概览页面的 管理 按钮, 若当前连接的是 MySQL 或 SQLServer 数据库, 即可打开数据库管理软件 若当前连接的是 MongoDB 数据库, 第一次管理数据库需要等待下载管理软件, 见图 5-7-5, 下载成功后自动打开管理界面, 手动选择当前连接的数据库主机地址一栏, 点击 连接, 见图 5-7-5 图 5-7-5 下载 MongoDB 管理软件 图 5-7-6 连接 MongoDB 管理软件若当前连接的是 PostgreSQL 数据库, 点击 管理, 根据提示, 在数据库管理软件内选择网络类型 (PostgreSQL) 主机名 (127.0.0.1) 用户名 密码 端口( 填写提示界面显示的映射端口号 ) 数据库( 填写连接的数据库名 ), 见图 5-7-7 第 22 页
图 5-7-7 管理 PostgreSQL 数据库 5.7.4 数据库导出 点击数据库列表右上角 导出 按钮, 若连接的是 MySQL MongoDB PostgreSQL 或当前服务器上的 SQLServer 数据库, 选择保存目录, 即可导出, 见图 5-7-8 图 5-7-8 导出数据库 若当前连接的是服务器上的 PostgreSQL 数据库, 需手动导出数据库文件, 步骤如下 : 点击 导出, 在数据 库管理软件界面, 右击左侧列表需要导出的数据库, 选择 导出数据脚本, 见图 5-7-9 5-7-10 图 5-7-9 导出 PostgreSQL 数据库 根据下图, 选择创建数据库 创建表 插入数据, 并选择保存路径, 点击 导出, 即可导出数据库, 见图 第 23 页
图 5-7-10 导出 PostgreSQL 数据库 5.8 文件系统 网探支持文件系统分析, 支持文件搜索, 支持预览 查找 过滤服务器日志, 支持预览 PDF office 等文档, 支持下载文件 下载 / 打包下载文件夹 5.8.1 文件搜索 连接服务器成功后, 网探将自动对文件系统进行索引, 若无需自动索引, 可在顶部点击 设置, 将自动 索引关闭, 见图 5-8-1 图 5-8-1 设置文件索引 若未设置自动索引, 或者自动索引失败, 可在文件搜索页面, 点击 重新索引 再次进行文件索引, 索引 完成后, 在输入框内输入搜索的关键字, 即可搜索文件, 见图 5-8-2 5.8.2 文件下载 图 5-8-2 文件搜索 在文件列表页面, 右击需要下载的文件选择 下载, 见图 5-8-3 图 5-8-3 文件下载 选择保存节点 保存目录 是否打包下载 ( 仅文件夹类型的文件可选择打包下载 ) 压缩传输, 点击 下 第 24 页
载, 开始下载任务, 见图 5-8-4 图 5-8-4 文件下载 在 任务 侧边栏, 可见当前正在下载的文件 下载速度和下载进度, 非文件夹类型的文件下载支持断点 续传, 见图 5-8-5 若保存节点为代理服务器, 可在任务完成后从代理服务器取回该文件 5.7.3 文件预览 图 5-8-5 文件下载任务 文件预览窗口支持文件下载 文件搜索 文件过滤, 见图 5-8-6 5.9 日志 图 5-8-6 文件预览 网探支持获取服务器的登陆日志 命令日志 系统日志 内核日志 安全日志 应用日志和其他日志等, 日志文件支持查看结尾和搜索, 见图 5-9-1 图 5-9-1 日志文件 第 25 页
5.10 浏览器记录 网探支持获取服务器的浏览器历史记录, 包括 IE Firefox Chrome 浏览器, 见图 5-10-1 图 5-10-1 日志文件 5.11 固定 网探支持对服务器信息 网络 网站 数据库 命令 文件的固定 选择需要导出的内容, 点击 一键 提证, 即可导出相应内容, 见图 5-11-1 图 5-11-1 固定 第 26 页
第 6 章 软件界面 6.1 启动界面 网探软件主界面分为 首页 连接 设置 帮助 屏幕录像 和 抓包分析 等功能 首页 显示当前系统版本号 软件许可信息 软件描述,见图 6-1-1 图 6-1-1 启动页--首页 连接 显示连接记录 可以快速连接服务器 快速打开文件目录以及删除连接记录 见图 6-1-2 图 6-1-2 启动页--连接列表 设置 软件自动索引 压缩传输 文件保存目录 录像 高级设置等设置 见图 6-1-3 图 6-1-3 启动页--设置 帮助 查看用户手册 检查更新许可 检查软件更新 查看演示视频 见图 6-1-4 第 27 页
图 6-1-4 启动页 -- 帮助 新建连接 : 详情见第三章, 连接服务器 屏幕录像 : 点击屏幕录像按钮, 选择保存目录, 开始屏幕录像, 点击停止即可完成录像 Pacp 分析 : 选择本地 Pcap 文件, 即可对本地 Pcap 文件进行分析, 分析结果见 5.4 节网络抓包分析 6.2 基本信息 基本信息界面分为 左侧导航栏 右侧导航栏 顶部功能栏 底部状态栏 和 系统信息 磁盘信息 (1) 左侧导航栏 : 切换软件界面 (2) 右侧导航栏 : 分为文件列表 任务管理 日志记录 连接拓扑 固定 文件列表 : 选择下载文件, 详情见 5.7 章文件系统 任务管理 : 开始 / 停止任务, 取回代理服务器文件, 查看任务详情 日志记录 : 记录软件日志 异常信息等 连接拓扑 : 显示服务器连接拓扑, 服务器信息, 加密信息 固定 : 选择需要固定的内容, 固定至本地 (3) 顶部功能栏 : 分为远程终端 内存镜像 磁盘镜像 磁盘挂载 文件搜索 保存目录 远程终端 : 可打开远程终端, 输入所需命令 内存镜像 / 磁盘镜像 / 磁盘挂载, 详情见 5.1 章节 5.2 章节 5.3 章节 文件搜索 : 可快速跳转到文件搜索页面, 详情见 5.7.1 章节文件搜索功能 保存目录 : 快速打开本地默认保存路径 (4) 底部状态栏 : 分为软件当前任务状态 传输速度 是否压缩传输 服务器时间和网络延迟 图 6-2 基本信息 第 28 页
6.3 用户列表 展示当前已登陆用户和用户列表 数据显示为 : 用户名 所在组 用户目录 描述 最后登录时间等 6.4 进程列表 图 6-3 用户列表 服务器进程信息 数据显示为 : 用户 PID 内存 (KB) 窗口标题 命令行 6.5 登录日志 图 6-4 进程列表 服务器登录系统的记录日志 数据显示为 : 日志文件, 时间 用户 客户端 IP 归属地 动作 端口 登录类型 第 29 页
图 6-5 登录日志 6.6 防火墙规则 数据显示为 : 协议 规则名称 本地端口 远程端口 是否启用 方向 目标 分组等 6.7 网络连接 图 6-6 防火墙规则 数据显示为 : 协议 本地地址 本地端口 远程地址 远程端口 IP 归属地 状态 PID 命令行 见图 6-7 6.8 网络服务 图 6-7 网络连接 网络服务可将服务器上的端口映射到本地, 可映射到本地指定端口或随机端口 列表数据显示 : 协议 监听地址 监听端口 PID 命令行和映射到本地的端口号 见图 6-8 第 30 页
图 6-8 网络服务 6.9 ARP 缓存 ARP 缓存是用来储存 IP 地址和 MAC 地址的缓冲区 图 6-9 ARP 缓存 第 31 页