Microsoft Word - 网探使用说明.docx

网探服务器取证软件 V4.0 用户手册上海弘连网络科技有限公司地址 : 上海市闵行区中春路 7001 号 G 栋 3 楼电话 :021-3136 1626 传真 :021-3136 1626 网址 :https://www.forensix.cn 论坛 :https://bbs.forensix.cn

目录第 1 章系统介绍... 2 1.1 产品概述... 2 1.2 产品特性... 2 1.3 系统要求... 2 第 2 章软件安装更新卸载... 3 2.1 安装... 3 2.2 更新... 5 2.3 卸载... 5 第 3 章启动软件... 7 第 4 章连接服务器... 8 4.1 连接 Windows... 8 4.2 连接 Linux... 9 4.3 连接 Mac... 10 4.4 使用代理... 11 4.5 其他... 12 第 5 章功能介绍... 14 5.1 远程终端... 14 5.1 内存镜像... 14 5.2 磁盘镜像... 15 5.3 磁盘挂载... 17 5.4 网络抓包... 18 5.5 网站... 19 5.6 数据库... 20 5.7 文件系统... 24 5.8 日志... 25 5.9 浏览器记录... 26 5.10 固定... 26 第 6 章软件界面... 27 6.1 启动界面... 27 6.2 基本信息... 28 6.3 用户列表... 29 6.4 进程列表... 29 6.5 登录日志... 29 6.6 防火墙规则... 30 6.7 网络连接... 30 6.8 网络服务... 30 6.9 ARP 缓存... 31 第 1 页

第 1 章系统介绍 1.1 产品概述网探 (HackFindx) 是基于 Windows 平台的服务器远程固定的取证工具它可以方便的将某服务器内容保存到本地硬盘, 并且可以离线浏览服务器内容, 同时还支持磁盘镜像内存镜像, 磁盘映射,WebShell 检测数据表的下载随着网络应用的范围越来越广, 服务器的固定及取证需求量也越来越多, 简单地用人力来处理不仅费时费力, 而且容易出错为了适应服务器固定数据量大内容多的状况, 网探针对服务器基本信息网络网站 (Nginx Apache IIS Tomcat) 数据库(MySQL MongoDB PostgreSQL SQLServer) 文件系统等模块进行提取 1.2 产品特性 ² 服务器信息固定固定内容包括服务器基本信息用户列表进程列表登录日志网络网站数据库文件等各种信息 ² 支持连接 Windows Linux 和 Mac 服务器固定 ² 支持支持查看系统日志应用日志安全日志内核日志等 ² 支持磁盘镜像到阿里云对象存储 (OSS) ² 历史任务管理可以查看历史任务, 磁盘镜像类任务可支持断点续传 ² 使用代理中转连接服务器 ² 网站分析支持 Nginx Apache IIS Tomcat 网站分析, 网站管理 ² 文件预览支持文件搜索预览查找和过滤, 同时也支持下载文件, 下载或打包下载文件夹 ² 数据库分析支持 MySQL MongoDB PostgreSQL SQLServer 数据库分析, 数据库管理 ² 网络抓包支持网络抓包网络抓包分析本地 Pcap 文件分析 1.3 系统要求 (1)Windows 7 及更高版本的 Windows 操作系统, 推荐 Windows 10 x64 位操作系统 (2) 内存不小于 2G, 推荐使用 4G 或以上内存 (3) 带有网探许可的硬件加密狗或者有许可文件权限第 2 页

第 2 章软件安装更新卸载 2.1 安装双击 HackFindx 安装包如果开启了 UAC 账户控制, 请在弹出的对话框中点击是以继续, 见图 2-1-1 启动安装包后进入安装界面, 见图 2-1-2 图 2-1-1 网探安装包单击下一步选择程序安装位置, 见图 2-1-3 图 2-1-2 安装向导程序欢迎界面图 2-1-3 选择安装的目标文件夹单击下一步设置开始菜单文件夹, 见图 2-1-4 第 3 页

单击安装开始安装, 见图 2-1-5 图 2-1-4 选择开始菜单文件夹单击完成, 完成安装, 见图 2-1-6 图 2-1-5 正在安装图 2-1-6 完成安装第 4 页

2.2 更新在网探软件菜单栏帮助下, 点击检查软件更新, 见图 2-2 2.3 卸载图 2-2 检查软件更新注意 : 卸载网探 (HackFindx) 将删除安装目录下的所有文件以及软件的配置信息卸载的过程如下 : 右键桌面网探图标点击打开文件所在位置, 双击 uninst.exe 文件, 见图 2-3-1 确认是否卸载网探软件, 见图 2-3-2 图 2-3-1 HackFindx 卸载文件开始卸载网探软件的过程, 见图 2-3-3 图 2-3-2 确认是否卸载图 2-3-3 卸载过程第 5 页

完成卸载网探软件, 见图 2-3-4 图 2-3-4 卸载成功第 6 页

第 3 章启动软件将带有网探授权的加密狗插入空闲的 USB 接口, 双击桌面上的网探快捷方式也可以点击开始菜单网探以启动软件如果没有插入软件加密狗, 弹出登录弘连用户中心窗口, 登录成功即下载许可文件, 见图 3-1 图 3-1 登录用户中心如果软件已经超出了服务期限, 将弹出对话框提示如需延长服务期限请联系我公司或代理商软件打开后主界面如图 3-2 所示 : 图 3-2 软件主界面第 7 页

第 4 章连接服务器 4.1 连接 Windows 连接到 Windows 服务器的一般步骤如下 : 在连接界面点击新建连接按钮, 点击连接 Windows, 填入主机端口用户名密码, 然后点击连接, 见图 4-1-1 图 4-1-1 连接 Windows 服务器若连接失败, 弹出连接 Windows 窗口, 根据提示方法操作进行连接第 8 页

在服务器上运行 startagent.exe, 见图 4-1-3 图 4-1-2 Windows 连接失败提示图 4-1-3 运行 startagent 点击已完成, 下一步, 输入端口号, 点击连接服务器即可 4.2 连接 Linux 连接到 Linux 服务器的一般步骤如下 : 点击连接 Linux, 填入主机端口用户名密码, 若选择私钥方式登录, 填写私钥路径和私钥密码, 然后点击连接第 9 页

图 4-2-1 连接 Linux 服务器 4.3 连接 Mac 连接到 Mac 服务器的一般步骤如下 : 点击连接 Mac, 填入主机端口用户名密码, 若选择私钥方式登录, 填写私钥路径和私钥密码, 然后点击连接图 4-3-1 连接 Mac 服务器第 10 页

4.4 使用代理 4.4.1 连接代理点击连接代理, 填入主机端口会话 ID 会话密钥链接密钥, 然后点击连接, 见图 4-4-1-1 图 4-4-1 连接到代理连接成功后, 选择等待对方部署 Agent 后连接, 见图 4-4-2 在服务器上部署 agent, 填写相应的信息, 见图 4-4-3 图 4-4-2 连接到代理 -- 等待对方连接第 11 页

图 4-4-3 连接到代理等待对方连接 4.4.2 部署代理点击部署代理可通过中转连接服务器, 见图 4-4-4 4.5 其他图 4-4-4 部署代理 1) 本机运行 : 点击本机运行即可连接到本机, 获取本机信息 2) 连接到 Agent: 点击下载 Agent, 下载或拷贝 agent 到服务器上运行, 见图 4-5-1 第 12 页

图 4-5-1 部署 Agent 图 4-5-2 服务器部署 Agent 在连接 Agent, 填入主机端口认证密钥 ( 可选 ), 然后点击连接, 见图 4-5-3 图 4-5-3 连接到 Agent 第 13 页

第 5 章功能介绍 5.1 远程终端网探支持打开终端控制台, 可在通过输入指令完成任务操作见图 5-1-1 图 5-1-1 远程终端 5.2 内存镜像网探支持内存镜像, 点击顶部内存镜像, 或者在系统信息区域右击选择制作内存镜像, 选择镜像保存位置, 开始制作内存镜像, 见图 5-2-1 图 5-2-1 内存镜像若通过代理连接服务器, 则可选择制作内存镜像到代理服务器, 见图 5-2-2 第 14 页

图 5-2-2 制作内存镜像在任务侧边栏可见当前内存镜像进度, 点击红色按钮即可停止内存镜像若点击停止后, 无法继续下载, 需重新下载, 见图 5-2-3 图 5-2-3 内存镜像任务 5.3 磁盘镜像网探支持磁盘镜像, 点击顶部磁盘镜像, 或者在物理磁盘逻辑卷区域选择需要镜像的磁盘, 右击选择制作磁盘镜像, 选择镜像保存位置镜像格式 (DD\E01) 传输压缩, 开始制作磁盘镜像, 见图 5-3-1 第 15 页

图 5-3-1 磁盘镜像磁盘镜像保存节点可选 : 本机代理服务器阿里云 OSS a 若通过代理连接服务器, 则可选择保存节点至代理服务器, 见图 5-3-2 图 5-3-2 磁盘镜像 b 若选择保存节点为阿里云 OSS, 需在软件内登陆阿里云 OSS, 且该 OSS 下含有 Bucket 信息, 见图 5-3-3 第 16 页

图 5-3-3 磁盘镜像至阿里云在任务侧边栏可见当前磁盘镜像进度, 磁盘镜像支持断点续传, 见图 5.2.3 若镜像至代理服务器, 则在镜像完成后可点击取回按钮, 取回镜像文件至本地, 见图 5-3-4 图 5-3-4 磁盘镜像 5.4 磁盘挂载图 5-3-4 取回至本地网探支持磁盘挂载, 点击顶部磁盘挂载, 或者在物理磁盘逻辑卷区域选择需要镜像的磁盘, 点击挂载, 选择压缩传输是否只读模式, 点击开始挂载磁盘, 见图 5-4-1 第 17 页

图 5-4-1 磁盘挂载挂载成功后, 可在磁盘区域点击取消挂载, 取消挂载磁盘, 见图 5-4-2 5.5 网络抓包图 5-4-2 取消磁盘挂载网探支持网络抓包分析本地抓包文件分析网络抓包分析, 连接服务器, 在左侧导航栏点击网络下的网络抓包, 选择需要抓包的网卡, 点击开始抓包在网络抓包页面和底部状态栏均可看见当前抓包状态点击停止抓包, 即可完成当前网卡的网络抓包, 见图 5-5-1 第 18 页

图 5-5-1 网络抓包点击分析, 软件将 Pcap 文件下载至本地默认保存目录, 对该 Pcap 文件进行网络抓包分析, 分析结果如图 5-4-2, 同时在本地默认路径生成分析文件夹, 点击顶部保存目录按钮, 可快速打开该文件夹在网络抓包分析窗口, 显示会话类型发送数据大小等数据点击列表右侧查看按钮, 可查看该会话的 raw.txt 和 raw.hex.txt 文件, 以及 HTTP 类型和 DNS 类型的会话详情点击列表右侧打开按钮, 将打开该会话文件保存的本地目录 5.6 网站图 5-5-2 抓包分析网探支持 Apache Nginx Tomcat 网站分析, 包括 : 网站配置信息日志文件预览, 站点分析, 网站浏览, WebShell 检测 5.6.1 网站管理点击站点右上角浏览按钮, 即可在浏览器中查看该站点的网页信息, 见图 5-6-1 5.6.2 WebShell 检测图 5-6-1 网站管理选择需要检测的网站目录, 或者添加自定义目录, 点击开始检测, 见图 5-6-2 第 19 页

图 5-6-2 WebShell 检测目录 WebShell 检测结果, 见图 5-4-3, 点击深度检测可对检测结果进行深度检测, 见图 5-6-3 图 5-6-3 WebShell 检测结果 5.7 数据库图 5-6-4 WebShell 深度检测网探支持连接本机或其他服务器上的四种类型 (PostgreSql MySQL SLQServer MongoDB) 的数据库, 同时支持数据库管理和导出 5.7.1 数据库登录数据库登录页面提供了检测当前服务器上的数据库连接数据库搜索网站数据库账号, 搜索数据库账号功能连接数据库 : 填写主机用户名密码端口号, 见图 5-6-1-1 第 20 页

图 5-7-1 连接数据库若无法通过账号密码连接数据库, 可根据搜索到的网络数据库账号列表, 点击用此连接连接数据库, 见图 5-7-2 图 5-7-2 网站数据库账号若需搜索数据库账号, 可手动选择某一网站目录 ( 默认全选 ), 点击搜索, 搜索当前目录下根据关键字搜索到的文件, 并显示其文件路径行号和内容, 双击文件路径可预览该文件, 见图 5-7-3 图 5-7-3 搜索数据库账号 5.7.2 数据库概览数据库连接成功后, 可在左侧导航栏点击查看数据库配置信息和数据库列表数据库概览页面显示了数据库配置信息数据库日志列表, 并提供了数据库管理断开数据库连接功能, 见图 5-7-4 第 21 页

图 5-6-4 数据库连接 5.7.3 数据库管理点击数据库概览页面的管理按钮, 若当前连接的是 MySQL 或 SQLServer 数据库, 即可打开数据库管理软件若当前连接的是 MongoDB 数据库, 第一次管理数据库需要等待下载管理软件, 见图 5-7-5, 下载成功后自动打开管理界面, 手动选择当前连接的数据库主机地址一栏, 点击连接, 见图 5-7-5 图 5-7-5 下载 MongoDB 管理软件图 5-7-6 连接 MongoDB 管理软件若当前连接的是 PostgreSQL 数据库, 点击管理, 根据提示, 在数据库管理软件内选择网络类型 (PostgreSQL) 主机名 (127.0.0.1) 用户名密码端口( 填写提示界面显示的映射端口号 ) 数据库( 填写连接的数据库名 ), 见图 5-7-7 第 22 页

图 5-7-7 管理 PostgreSQL 数据库 5.7.4 数据库导出点击数据库列表右上角导出按钮, 若连接的是 MySQL MongoDB PostgreSQL 或当前服务器上的 SQLServer 数据库, 选择保存目录, 即可导出, 见图 5-7-8 图 5-7-8 导出数据库若当前连接的是服务器上的 PostgreSQL 数据库, 需手动导出数据库文件, 步骤如下 : 点击导出, 在数据库管理软件界面, 右击左侧列表需要导出的数据库, 选择导出数据脚本, 见图 5-7-9 5-7-10 图 5-7-9 导出 PostgreSQL 数据库根据下图, 选择创建数据库创建表插入数据, 并选择保存路径, 点击导出, 即可导出数据库, 见图第 23 页

图 5-7-10 导出 PostgreSQL 数据库 5.8 文件系统网探支持文件系统分析, 支持文件搜索, 支持预览查找过滤服务器日志, 支持预览 PDF office 等文档, 支持下载文件下载 / 打包下载文件夹 5.8.1 文件搜索连接服务器成功后, 网探将自动对文件系统进行索引, 若无需自动索引, 可在顶部点击设置, 将自动索引关闭, 见图 5-8-1 图 5-8-1 设置文件索引若未设置自动索引, 或者自动索引失败, 可在文件搜索页面, 点击重新索引再次进行文件索引, 索引完成后, 在输入框内输入搜索的关键字, 即可搜索文件, 见图 5-8-2 5.8.2 文件下载图 5-8-2 文件搜索在文件列表页面, 右击需要下载的文件选择下载, 见图 5-8-3 图 5-8-3 文件下载选择保存节点保存目录是否打包下载 ( 仅文件夹类型的文件可选择打包下载 ) 压缩传输, 点击下第 24 页

载, 开始下载任务, 见图 5-8-4 图 5-8-4 文件下载在任务侧边栏, 可见当前正在下载的文件下载速度和下载进度, 非文件夹类型的文件下载支持断点续传, 见图 5-8-5 若保存节点为代理服务器, 可在任务完成后从代理服务器取回该文件 5.7.3 文件预览图 5-8-5 文件下载任务文件预览窗口支持文件下载文件搜索文件过滤, 见图 5-8-6 5.9 日志图 5-8-6 文件预览网探支持获取服务器的登陆日志命令日志系统日志内核日志安全日志应用日志和其他日志等, 日志文件支持查看结尾和搜索, 见图 5-9-1 图 5-9-1 日志文件第 25 页

5.10 浏览器记录网探支持获取服务器的浏览器历史记录, 包括 IE Firefox Chrome 浏览器, 见图 5-10-1 图 5-10-1 日志文件 5.11 固定网探支持对服务器信息网络网站数据库命令文件的固定选择需要导出的内容, 点击一键提证, 即可导出相应内容, 见图 5-11-1 图 5-11-1 固定第 26 页

第 6 章软件界面 6.1 启动界面网探软件主界面分为首页连接设置帮助屏幕录像和抓包分析等功能首页显示当前系统版本号软件许可信息软件描述,见图 6-1-1 图 6-1-1 启动页--首页连接显示连接记录可以快速连接服务器快速打开文件目录以及删除连接记录见图 6-1-2 图 6-1-2 启动页--连接列表设置软件自动索引压缩传输文件保存目录录像高级设置等设置见图 6-1-3 图 6-1-3 启动页--设置帮助查看用户手册检查更新许可检查软件更新查看演示视频见图 6-1-4 第 27 页

图 6-1-4 启动页 -- 帮助新建连接 : 详情见第三章, 连接服务器屏幕录像 : 点击屏幕录像按钮, 选择保存目录, 开始屏幕录像, 点击停止即可完成录像 Pacp 分析 : 选择本地 Pcap 文件, 即可对本地 Pcap 文件进行分析, 分析结果见 5.4 节网络抓包分析 6.2 基本信息基本信息界面分为左侧导航栏右侧导航栏顶部功能栏底部状态栏和系统信息磁盘信息 (1) 左侧导航栏 : 切换软件界面 (2) 右侧导航栏 : 分为文件列表任务管理日志记录连接拓扑固定文件列表 : 选择下载文件, 详情见 5.7 章文件系统任务管理 : 开始 / 停止任务, 取回代理服务器文件, 查看任务详情日志记录 : 记录软件日志异常信息等连接拓扑 : 显示服务器连接拓扑, 服务器信息, 加密信息固定 : 选择需要固定的内容, 固定至本地 (3) 顶部功能栏 : 分为远程终端内存镜像磁盘镜像磁盘挂载文件搜索保存目录远程终端 : 可打开远程终端, 输入所需命令内存镜像 / 磁盘镜像 / 磁盘挂载, 详情见 5.1 章节 5.2 章节 5.3 章节文件搜索 : 可快速跳转到文件搜索页面, 详情见 5.7.1 章节文件搜索功能保存目录 : 快速打开本地默认保存路径 (4) 底部状态栏 : 分为软件当前任务状态传输速度是否压缩传输服务器时间和网络延迟图 6-2 基本信息第 28 页

6.3 用户列表展示当前已登陆用户和用户列表数据显示为 : 用户名所在组用户目录描述最后登录时间等 6.4 进程列表图 6-3 用户列表服务器进程信息数据显示为 : 用户 PID 内存 (KB) 窗口标题命令行 6.5 登录日志图 6-4 进程列表服务器登录系统的记录日志数据显示为 : 日志文件, 时间用户客户端 IP 归属地动作端口登录类型第 29 页

图 6-5 登录日志 6.6 防火墙规则数据显示为 : 协议规则名称本地端口远程端口是否启用方向目标分组等 6.7 网络连接图 6-6 防火墙规则数据显示为 : 协议本地地址本地端口远程地址远程端口 IP 归属地状态 PID 命令行见图 6-7 6.8 网络服务图 6-7 网络连接网络服务可将服务器上的端口映射到本地, 可映射到本地指定端口或随机端口列表数据显示 : 协议监听地址监听端口 PID 命令行和映射到本地的端口号见图 6-8 第 30 页

图 6-8 网络服务 6.9 ARP 缓存 ARP 缓存是用来储存 IP 地址和 MAC 地址的缓冲区图 6-9 ARP 缓存第 31 页