2020 1 22 第13章計(jì)算機(jī)與網(wǎng)絡(luò)取證技術(shù) 13 1基本概念13 2計(jì)算機(jī)取證技術(shù)13 3網(wǎng)絡(luò)取證13 4取證工具13 5習(xí)題 13 1基本概念 計(jì)算機(jī)取證計(jì)算機(jī)取證技術(shù)就是在計(jì)算機(jī)的存儲(chǔ)介質(zhì) 如硬盤或其它磁盤中 進(jìn)行信息檢索和調(diào)查 網(wǎng)絡(luò)取證網(wǎng)絡(luò)取證是從網(wǎng)絡(luò)存儲(chǔ)設(shè)備中獲取信息 也就是從網(wǎng)絡(luò)上開放的端口中檢索信息來進(jìn)行調(diào)查 網(wǎng)絡(luò)取證特點(diǎn)網(wǎng)絡(luò)偵查中 雙方對系統(tǒng)的理解程度是一樣的在網(wǎng)絡(luò)取證的很多情況下 偵查員與罪犯使用的是同種工具 2020 1 22 13 2計(jì)算機(jī)取證技術(shù) 13 2 1計(jì)算機(jī)取證基本元素13 2 2計(jì)算機(jī)取證過程13 2 3計(jì)算機(jī)證據(jù)分析 2020 1 22 13 2 1計(jì)算機(jī)取證基本元素 線索材料物理材料 文件 信封 箱子電子材料 硬盤中的數(shù)據(jù) 電子郵件的內(nèi)容 電子郵件的地址 附件和網(wǎng)站日志文件 已經(jīng)刪除掉的文件 加密數(shù)據(jù)相關(guān)信息確定哪些信息與案件相關(guān) 合法性數(shù)據(jù)的合法性問題與數(shù)據(jù)的關(guān)聯(lián)性問題是一致的 其同樣基于數(shù)據(jù)的認(rèn)證過程 2020 1 22 13 2 2計(jì)算機(jī)取證過程 尋找證據(jù)痕跡 包括指紋 刀痕 鞋印或其它遺留下來的痕跡 生物痕跡 包括血跡 毛發(fā) 指甲殼 汗液等 信息痕跡 保存在存儲(chǔ)設(shè)備中的二進(jìn)制數(shù)據(jù)等 處理證據(jù)證據(jù)提取和證據(jù)保管 證據(jù)保管包括包裝 存儲(chǔ)和運(yùn)輸 2020 1 22 證據(jù)恢復(fù)盡可能將所有的證據(jù)都收集到 避免重回現(xiàn)場取證對大容量硬盤中的證據(jù) 有必要在提取時(shí)使用壓縮和復(fù)制的方式對于每個(gè)項(xiàng)目中提取的證據(jù) 要分配一個(gè)唯一的標(biāo)識(shí)號(hào) 并在每一個(gè)項(xiàng)目上寫出簡短的介紹當(dāng)所有證據(jù)都被收集并分類整理之后 就要將其存放在一個(gè)安全的位置 來保證證據(jù)的完好無損 對加密證據(jù)可以借助借助各種工具進(jìn)行解密 2020 1 22 證據(jù)保存將證據(jù)封裝并進(jìn)行歸類 然后放置于無靜電環(huán)境下 確保封裝后的證據(jù)不會(huì)被過冷 過熱或過濕的環(huán)境所影響 將原始數(shù)據(jù)進(jìn)行備份 對所有嫌疑存儲(chǔ)介質(zhì)做磁盤鏡像 條件允許情況下 要對證據(jù)數(shù)據(jù)進(jìn)行加密 加密可同時(shí)被偵查員和罪犯所用 作為罪犯 一般利用加密進(jìn)行內(nèi)容隱藏 作為偵查員 一般利用加密保證證據(jù)的保密性和完整性 存儲(chǔ)證據(jù)時(shí) 要對證據(jù)執(zhí)行可信的訪問控制策略 以確保證據(jù)只能被授權(quán)人員使用 證據(jù)傳輸由于在傳輸過程中 可信的內(nèi)部人員能夠接觸到證據(jù) 因此為保持監(jiān)管 應(yīng)該檢查沿途所有處理過證據(jù)的人員的數(shù)字簽名 在傳輸過程中 要使用一些強(qiáng)大的數(shù)據(jù)隱藏技術(shù) 例如數(shù)據(jù)加密 信息隱藏 密碼保護(hù)等對證據(jù)進(jìn)行保護(hù) 需要一些方法能夠檢測出信息證據(jù)在傳輸過程中是否出現(xiàn)過更改變動(dòng) 2020 1 22 13 2 3計(jì)算機(jī)證據(jù)分析 隱藏的證據(jù)已被刪除的數(shù)據(jù) 系統(tǒng)中被刪除的數(shù)據(jù)是可以用十六進(jìn)制編輯器手動(dòng)恢復(fù)的隱藏的文件 數(shù)據(jù)隱藏是取證分析中需要面對的一個(gè)重大問題壞塊 偵查員對所有的 不良磁道 進(jìn)行檢查之前 不要格式化磁盤 因?yàn)檫@樣有可能會(huì)使 不良磁道 的隱藏信息丟失 隱寫術(shù) 偵查員在取證調(diào)查時(shí)就應(yīng)該將搜查的范圍擴(kuò)大 避免隱藏的信息分散注意力 2020 1 22 操作系統(tǒng)的證據(jù)分析 1 Microsoft文件系統(tǒng)在對硬盤信息進(jìn)行映像之前 要對分析平臺(tái)的所有文件進(jìn)行病毒掃描 在建立硬盤映像之后 繼續(xù)運(yùn)行病毒掃描 包括硬盤驅(qū)動(dòng)器的復(fù)本 恢復(fù)所有刪除的文件 將其保管到一個(gè)安全的位置 對所有恢復(fù)的證據(jù)進(jìn)行分析和處理 2 UNIX和Linux文件系統(tǒng)維護(hù)系統(tǒng)中正在運(yùn)行的所有數(shù)據(jù) 保護(hù)系統(tǒng)中運(yùn)行程序的狀態(tài) 2020 1 22 13 3網(wǎng)絡(luò)取證 13 3 1入侵分析 2020 1 22 13 3 1入侵分析 入侵分析就是對端口掃描以及后門 間諜軟件或木馬等事件進(jìn)行處理 及時(shí)發(fā)現(xiàn)破壞系統(tǒng)安全的行為 目的 回答以下問題 誰進(jìn)入了系統(tǒng) 采取何種方式進(jìn)入系統(tǒng) 發(fā)生了什么事件 該事件中取得了哪些教訓(xùn) 能否避免同種事件再次發(fā)生 主要功能 收集數(shù)據(jù)與分析數(shù)據(jù)提供服務(wù) 事故應(yīng)急響應(yīng)預(yù)案 應(yīng)急響應(yīng) 入侵?jǐn)?shù)據(jù)的技術(shù)性分析 攻擊工具的逆向追蹤 2020 1 22 三個(gè)部分監(jiān)視與警報(bào) 系統(tǒng)達(dá)到實(shí)時(shí)監(jiān)控與報(bào)告的能力修復(fù)與報(bào)告 快速識(shí)別入侵并修復(fù)所有已查明的弱點(diǎn)或及時(shí)阻止攻擊并將該事件上報(bào)給責(zé)任主體追捕與檢舉 對事件進(jìn)行監(jiān)控 當(dāng)入侵發(fā)生時(shí)及時(shí)收集證據(jù) 并將證據(jù)直接上報(bào)給執(zhí)法部門最終產(chǎn)品包括一系列的文檔 記錄系統(tǒng)的行為活動(dòng) 事發(fā)前系統(tǒng)的配置信息 以及其他一些相關(guān)信息等 如接觸系統(tǒng)的人員名單及人員行為 工具的使用及工具使用者 2020 1 22 一 應(yīng)急響應(yīng)預(yù)案 二 應(yīng)急響應(yīng) 事件報(bào)告最先發(fā)現(xiàn)事件的人是誰 首先采取了哪些響應(yīng)措施 事件控制要盡可能地阻止事件繼續(xù)進(jìn)行 減小事件帶來的影響步驟 確定受影響的系統(tǒng) 拒絕攻擊者訪問 移除流氓進(jìn)程 重新獲取控制 2020 1 22 三 入侵技術(shù)分析 特點(diǎn)不同于計(jì)算機(jī)偵查取證 網(wǎng)絡(luò)取證的大部分證據(jù)都不在一個(gè)主機(jī)或一個(gè)存儲(chǔ)設(shè)備中 需要搜索大量的硬盤驅(qū)動(dòng)器和大量的計(jì)算機(jī) 信息來源網(wǎng)絡(luò)服務(wù)提供商 ISP RADIUS記錄有連接分配的IP地址 連接的時(shí)間 連接者的號(hào)碼 登陸名等等電子郵件 郵件上注明了郵件的發(fā)信人地址和收信人地址 郵件服務(wù)器中會(huì)保存具體的信息日志 2020 1 22 四 逆向追蹤 通常防范黑客的技術(shù)就是抓取一個(gè)有問題的數(shù)據(jù)包 然后對其進(jìn)行分析 從而了解數(shù)據(jù)包的工作方式與原理 最終達(dá)到防御的目的 這也常常用于反病毒技術(shù)中 通過抓取病毒特征簽名學(xué)習(xí)病毒的工作方式 最終推出具體的反病毒方案 2020 1 22 13 4取證工具 13 4 1計(jì)算機(jī)取證工具13 4 2網(wǎng)絡(luò)取證工具 2020 1 22 13 4 1計(jì)算機(jī)取證工具 基于軟件的取證工具查看程序 報(bào)告系統(tǒng)盤上的系統(tǒng)文件和文件類型 驅(qū)動(dòng)器鏡像 普通的文件復(fù)制工具容易錯(cuò)過隱藏?cái)?shù)據(jù) 而取證軟件可以捕獲所有閑置的空間 未分配領(lǐng)域等 從而避免漏掉隱藏?cái)?shù)據(jù) 磁盤擦 用于強(qiáng)力清除磁盤中的所有內(nèi)容 信息檢索 通過鍵入關(guān)鍵字對大量數(shù)據(jù)快速遍歷以尋找線索 基于硬件的取證工具固定的便攜或輕量級(jí)的 筆記本電腦寫阻斷器 可以使偵查員在不關(guān)閉系統(tǒng)的情況下對硬件驅(qū)動(dòng)器進(jìn)行移除和重連接操作 2020 1 22 13 4 2網(wǎng)絡(luò)取證工具 Tcpdump可以在大量信息中過濾個(gè)別符合條件的數(shù)據(jù)包Strings可以根據(jù)網(wǎng)絡(luò)數(shù)據(jù)傳遞相應(yīng)的信息商用取證工具在網(wǎng)絡(luò)中通過監(jiān)控網(wǎng)絡(luò)中每個(gè)端口的流量來監(jiān)控內(nèi)部 外部的網(wǎng)絡(luò)數(shù)據(jù) 通過這些數(shù)據(jù) 就可以知道網(wǎng)絡(luò)上的用戶行為與行為對象 偵查探針 2020 1 22 2020 1 22 13 5習(xí)題 一 選擇題1 犯罪偵查三個(gè)核心元素中不包括下列哪一項(xiàng) A 與案件有關(guān)的材料B 案件材料的合法性C 案件材料的邏輯性D 線索材料2 通過對校驗(yàn)和進(jìn)行加密來判斷數(shù)據(jù)是否有更改的檢驗(yàn)方法叫做 A AHSH算法B SHAH算法C SHHA算法D HASH算法 2020 1 22 二 問答題1 簡述計(jì)算機(jī)取證的含義 2 簡述計(jì)算機(jī)取證的技術(shù)及其過程 3 思考如何使用取證工具進(jìn)行網(wǎng)絡(luò)取證