1、2022-7-26第13章 计算机与网络取证技术 13.1 基本概念 13.2 计算机取证技术 13.3 网络取证 13.4 取证工具 13.5 习题13.1 基本概念 计算机取证 计算机取证技术就是在计算机的存储介质,如硬盘或其它磁盘中,进行信息检索和调查。网络取证 网络取证是从网络存储设备中获取信息,也就是从网络上开放的端口中检索信息来进行调查。网络取证特点 网络侦查中,双方对系统的理解程度是一样的 在网络取证的很多情况下,侦查员与罪犯使用的是同种工具。2022-7-2613.2 计算机取证技术 13.2.1 计算机取证基本元素 13.2.2 计算机取证过程 13.2.3 计算机证据分析2
2、022-7-2613.2.1 计算机取证基本元素 线索材料 物理材料:文件、信封、箱子 电子材料:硬盘中的数据、电子邮件的内容、电子邮件的地址、附件和网站日志文件、已经删除掉的文件、加密数据 相关信息 确定哪些信息与案件相关。合法性 数据的合法性问题与数据的关联性问题是一致的,其同样基于数据的认证过程。2022-7-2613.2.2 计算机取证过程 寻找证据 痕迹痕迹:包括指纹,刀痕,鞋印或其它遗留下来的痕迹;生物痕迹生物痕迹:包括血迹,毛发,指甲壳,汗液等;信息痕迹信息痕迹:保存在存储设备中的二进制数据等。处理证据 证据提取和证据保管,证据保管包括包装,存储和运输。2022-7-26 证据恢
3、复 尽可能将所有的证据都收集到,避免重回现场取证 对大容量硬盘中的证据,有必要在提取时使用压缩和复制的方式 对于每个项目中提取的证据,要分配一个唯一的标识号,并在每一个项目上写出简短的介绍 当所有证据都被收集并分类整理之后,就要将其存放在一个安全的位置,来保证证据的完好无损。对加密证据可以借助借助各种工具进行解密2022-7-26 证据保存 将证据封装并进行归类,然后放置于无静电环境下。确保封装后的证据不会被过冷,过热或过湿的环境所影响。将原始数据进行备份,对所有嫌疑存储介质做磁盘镜像。条件允许情况下,要对证据数据进行加密。加密可同时被侦查员和罪犯所用。作为罪犯,一般利用加密进行内容隐藏;作为
4、侦查员,一般利用加密保证证据的保密性和完整性。存储证据时,要对证据执行可信的访问控制策略,以确保证据只能被授权人员使用。证据传输 由于在传输过程中,可信的内部人员能够接触到证据,因此为保持监管,应该检查沿途所有处理过证据的人员的数字签名。在传输过程中,要使用一些强大的数据隐藏技术,例如数据加密,信息隐藏,密码保护等对证据进行保护。需要一些方法能够检测出信息证据在传输过程中是否出现过更改变动。2022-7-2613.2.3 计算机证据分析 隐藏的证据 已被删除的数据已被删除的数据:系统中被删除的数据是可以用十六进制编辑器手动恢复的 隐藏的文件隐藏的文件:数据隐藏是取证分析中需要面对的一个重大问题
5、 坏块坏块:侦查员对所有的“不良磁道”进行检查之前,不要格式化磁盘,因为这样有可能会使“不良磁道”的隐藏信息丢失。隐写术隐写术:侦查员在取证调查时就应该将搜查的范围扩大,避免隐藏的信息分散注意力2022-7-26 操作系统的证据分析(1)Microsoft文件系统 在对硬盘信息进行映像之前,要对分析平台的所有文件进行病毒扫描;在建立硬盘映像之后,继续运行病毒扫描,包括硬盘驱动器的复本;恢复所有删除的文件,将其保管到一个安全的位置;对所有恢复的证据进行分析和处理。(2)UNIX和Linux文件系统 维护系统中正在运行的所有数据,保护系统中运行程序的状态2022-7-2613.3 网络取证 13.
6、3.1 入侵分析2022-7-2613.3.1 入侵分析 入侵分析就是对端口扫描以及后门、间谍软件或木马等事件进行处理,及时发现破坏系统安全的行为。目的目的:回答以下问题:谁进入了系统、采取何种方式进入系统、发生了什么事件、该事件中取得了哪些教训、能否避免同种事件再次发生。主要功能主要功能:收集数据与分析数据 提供服务提供服务:事故应急响应预案、应急响应、入侵数据的技术性分析、攻击工具的逆向追踪。2022-7-26 三个部分 监视与警报监视与警报:系统达到实时监控与报告的能力 修复与报告修复与报告:快速识别入侵并修复所有已查明的弱点或及时阻止攻击并将该事件上报给责任主体 追捕与检举追捕与检举:
7、对事件进行监控,当入侵发生时及时收集证据,并将证据直接上报给执法部门 最终产品 包括一系列的文档,记录系统的行为活动,事发前系统的配置信息,以及其他一些相关信息等,如接触系统的人员名单及人员行为,工具的使用及工具使用者2022-7-26u(一)应急响应预案u(二)应急响应 事件报告 最先发现事件的人是谁,首先采取了哪些响应措施。事件控制 要尽可能地阻止事件继续进行,减小事件带来的影响 步骤:确定受影响的系统,拒绝攻击者访问,移除流氓进程,重新获取控制。2022-7-26u(三)入侵技术分析 特点 不同于计算机侦查取证,网络取证的大部分证据都不在一个主机或一个存储设备中,需要搜索大量的硬盘驱动器
8、和大量的计算机。信息来源 网络服务提供商(网络服务提供商(ISPISP):RADIUS记录有连接分配的IP地址,连接的时间,连接者的号码,登陆名等等 电子邮件电子邮件:邮件上注明了邮件的发信人地址和收信人地址,邮件服务器中会保存具体的信息日志2022-7-26u(四)逆向追踪 通常防范黑客的技术就是抓取一个有问题的数据包,然后对其进行分析,从而了解数据包的工作方式与原理,最终达到防御的目的。这也常常用于反病毒技术中,通过抓取病毒特征签名学习病毒的工作方式,最终推出具体的反病毒方案。2022-7-2613.4 取证工具 13.4.1 计算机取证工具 13.4.2 网络取证工具2022-7-261
9、3.4.1 计算机取证工具 基于软件的取证工具 查看程序查看程序:报告系统盘上的系统文件和文件类型。驱动器镜像驱动器镜像:普通的文件复制工具容易错过隐藏数据,而取证软件可以捕获所有闲置的空间,未分配领域等,从而避免漏掉隐藏数据。磁盘擦磁盘擦:用于强力清除磁盘中的所有内容。信息检索信息检索:通过键入关键字对大量数据快速遍历以寻找线索。基于硬件的取证工具 固定的固定的 便携或轻量级的便携或轻量级的:笔记本电脑 写阻断器写阻断器:可以使侦查员在不关闭系统的情况下对硬件驱动器进行移除和重连接操作2022-7-2613.4.2 网络取证工具 Tcpdump 可以在大量信息中过滤个别符合条件的数据包 St
10、rings 可以根据网络数据传递相应的信息 商用取证工具 在网络中通过监控网络中每个端口的流量来监控内部、外部的网络数据,通过这些数据,就可以知道网络上的用户行为与行为对象。侦查探针2022-7-262022-7-2613.5 习题一、选择题1.犯罪侦查三个核心元素中不包括下列哪一项?A.与案件有关的材料B.案件材料的合法性C.案件材料的逻辑性D.线索材料 2.通过对校验和进行加密来判断数据是否有更改的检验方法叫做?A.AHSH算法B.SHAH算法C.SHHA算法D.HASH算法2022-7-26二、问答题1.简述计算机取证的含义。2.简述计算机取证的技术及其过程。3.思考如何使用取证工具进行网络取证?
