三、保存易失数据
    在安全调查人员开始调查受安全事件困扰主机时，会从现场系统中获得大量的信息。我们可以把这个现场看成未经过拍照或者尸体未被引动的刑事案件现场。从安全现场获得系统信息后，可以采用四种方法保存现场信息：

 将获取的数据保存在移动介质上；
 将获取的数据保存在目标系统的硬盘上；
 将获取的数据信息记录到笔记本上；
 用Netcat命令将获取的资料保存在远程主机，并利用Cryptcat加密保存到司法鉴定主机上。

    在这四种方法中，前三种方法由于受到资料数据量大、信息可能被篡改、手工记录困难的影响，都不是理想的选择。显然，最后一种方式更具有快捷和安全的保存功能。

    四、从网络获取易失性数据
    Netcat被誉为网络安全界的“瑞士军刀”，也就是人们常说的“nc”。它不但是网络安全工程师的必备工具之一，也是非常著名的黑客后门工具。它能够直接由其它程序和脚本轻松驱动系统，同时，也是一个功能强大的网络调试和探测工具，能够建立你需要的几乎所有类型的网络连接。

    nc的用法非常简单，读者可以在命令行下运行nc.exe -h即可看到各参数的使用方法。它的基本格式和参数如下：

connect to somewhere：nc [-options] hostname port[s] [ports] ...
listen for inbound：   nc -l -p port [options] [hostname] [port]
-d 后台模式；
-e prog 程序重定向，一旦连接就执行，非常危险的操作；
-g gateway source-routing hop point[s], up to 8；
-G num source-routing pointer: 4, 8, 12, ...；
-h 帮助信息；
-i secs 延时的间隔；
-l 监听模式，用于入站连接；
-L 连接关闭后,仍然继续监听；
-n 指定数字的IP地址，不能用hostname；
-o file 记录16进制的传输；
-p port 本地端口号；
-r 随机本地及远程端口；
-s addr 本地源地址；
-t 使用TELNET交互方式；
-u UDP模式；
-v 详细输出用两个-v可得到更详细的内容；
-w secs timeout的时间；
-z 将输入输出关掉，用于扫描时。

    比如要在鉴定主机上收集被入侵主机的有关进程和线程的信息，我们可以进行如下操作：

    • 步骤一
    启动在司法鉴定工作站上的Netcat监听程序，讲所有进入到系统的数据以文件的形式保存下来，图1说明了在司法鉴定工作站上监正在对3333端口上进入的连接进行监听，并将监听结果树出到文件。

 
图1在司法鉴定工作站上监听3333端口

    • 步骤二
    在目标系统上（通常指被黑客入侵或病毒感染的主机），用Netcat将应急响应工作中的输出结果传到司法鉴定工作站。图2中，PsList的输出结果直接保存到10.88.56.30主机上。

 
图2 在发生安全事件的主机上将PsList输出

    • 步骤三
    由于Netcat不会自动结束，所以我们要利用Ctrl+C结束命令。之后，打开司法鉴定工作站生成的文件，结果如图3所示：

 
图3 Pslist 输出的结果

    PsList 是 Sysinternals 命令行工具不断完善的 PsTools 工具包的一部分，用于协助管理本地和远程 Windows NT/2K 系统。
在通过网络获取数据的工具中，Cryptcat可以完成Netcat的所有功能，并且对传送信息进行了加密处理。也就是说：cryptcat= Netcat + Encryption。Cryptcat的使用方法与Netcat完全相同，在上面的例子中将“nc”替换为Cryptcat的执行文件即可。