1、 第第8 8章章 數字取證技術數字取證技術 -1-第第8 8章章 數字取證技術數字取證技術8.1 數字取證概述數字取證概述8.2 電子證據電子證據8.3 數字取證原則和過程數字取證原則和過程8.4 網絡取證技術網絡取證技術8.5 數字取證常用工具數字取證常用工具 第第8 8章章 數字取證技術數字取證技術 -2- 8.1 數字取證概述數字取證概述 數字取證技術將計算機調查和分析技術應用于對潛在的、有法律效力的電子證據的確定與獲取，同樣它們都是針對黑客和入侵的，目的都是保障網絡的安全。 從計算機取證技術的發(fā)展來看，先后有數字取證（Digital Forensics）、電子取證（Electric F

2、orensics）、計算機取證（Computer Forensic）、網絡取證（Networks Forensics）等術語。 第第8 8章章 數字取證技術數字取證技術 -3- 1電子取證 電子取證則主要研究除計算機和網絡以外的電子產品中的數字證據獲取、分析和展示，如數碼相機、復印機、傳真機甚至有記憶存儲功能的家電產品等。 2. 計算機取證 計算機取證的主要方法有對文件的復制、被刪除文件的恢復、緩沖區(qū)內容獲取、系統(tǒng)日志分析等等，是一種被動式的事后措施，不特定于網絡環(huán)境。 第第8 8章章 數字取證技術數字取證技術 -4- 3網絡取證 網絡取證更強調對網絡安全的主動防御功能，主要通過對網絡數據流、

3、審計、主機系統(tǒng)日志等的實時監(jiān)控和分析，發(fā)現對網絡系統(tǒng)的入侵行為，記錄犯罪證據，并阻止對網絡系統(tǒng)的進一步入侵。 第第8 8章章 數字取證技術數字取證技術 -5- 8.2 電子證據電子證據8.2.1 電子證據的概念電子證據的概念 電子證據是在計算機或計算機系統(tǒng)運行過程中產生的以其記錄的內容來證明案件事實的電磁記錄物。8.2.2 電子證據的特點電子證據的特點 1表現形式的多樣性 2存儲介質的電子性 3準確性 4脆弱性 第第8 8章章 數字取證技術數字取證技術 -6- 5數據的揮發(fā)性8.2.3 常見電子設備中的電子證據常見電子設備中的電子證據 電子證據幾乎無所不在。如計算機中的內存、硬盤、光盤、移動存

4、儲介質、打印機、掃描儀、帶有記憶存儲功能的家用電器等。在這些存儲介質中應檢查的應用數據包括: 1用戶自建的文檔； 2用戶保護文檔； 3計算機創(chuàng)建的文檔； 4其他數據區(qū)中的數據證據； 5ISP計算機系統(tǒng)創(chuàng)建的文檔、ftp文件等。 第第8 8章章 數字取證技術數字取證技術 -7- 8.3 數字取證原則和過程數字取證原則和過程8.3.1 數字取證原則數字取證原則 1盡早搜集證據，并保證其沒有受到任何破壞； 2必須保證取證過程中計算機病毒不會被引入到目標計算機； 3必須保證“證據連續(xù)性”，即在證據被正式提交給法庭時必須保證一直能跟蹤證據，要能夠說明用于拷貝這些證據的進程是可靠、可復驗的等； 第第8 8

5、章章 數字取證技術數字取證技術 -8- 4整個檢查、取證過程必須是受到監(jiān)督的； 5必須保證提取出來的可能有用的證據不會受到機械或電磁損害； 6被取證的對象如果必須運行某些商務程序，只能影響一段有限的時間； 7應當尊重不小心獲取的任何關于客戶代理人的私人信息。8.3.2 數字取證過程數字取證過程 數字取證的過程一般可劃分為四個階段： 1電子證據的確定和收集 第第8 8章章 數字取證技術數字取證技術 -9- 要保存計算機系統(tǒng)的狀態(tài)，避免無意識破壞現場，同時不給犯罪者破壞證據提供機會，以供日后分析。要注意以下幾個方面： （1）收集數據前首先要咨詢證人使用計算機的習慣。 （2）可以通過質疑來獲取目標計

6、算機網絡上的相關信息。 （3）咨詢系統(tǒng)管理員和其他可能與計算機系統(tǒng)有關系的人員，再次確保掌握了關于備份系統(tǒng)的所有信息和數據可能的儲存位置。 第第8 8章章 數字取證技術數字取證技術 -10- （4）不要對硬盤和其他媒介進行任何操作，甚至不要啟動它們。 （5）必須保護所有的媒介，對所有媒介進行病毒掃描。 （6）牢記“已刪除”并不意味著真的刪除了。 （7）對不同類型的計算機采取不同的策略。 2電子證據的保護 這一階段將使用原始數據的精確副本，應保證能顯示存在于鏡像中的所有數據，而且證據必須是安全的，有非常嚴格的訪問控制。為此必須注意以下幾點： 第第8 8章章 數字取證技術數字取證技術 -11- （

7、l）通過計算副本和原始證據的hash值來保證取證的完整性； （2）通過寫保護和病毒審查文檔來保證數據沒有被添加、刪除或修改； （3）使用的硬件和軟件工具都必須滿足工業(yè)上的質量和可靠性標準； （4）取證過程必須可以復驗； （5）數據寫入的介質在分析過程中應當寫保護，以防止被破壞。 第第8 8章章 數字取證技術數字取證技術 -12- 3.電子證據的分析 具體包括：文件屬性分析技術；文件數字摘要分析技術；日志分析技術；密碼破譯技術等。分析階段首先要確定證據的類型，主要可分為三種： （1）使人負罪的證據，支持已知的推測； （2）辨明無罪的證據，同已知的推測相矛盾； （3）篡改證據，以證明計算機系統(tǒng)已被

8、篡改而無法用來作證。 第第8 8章章 數字取證技術數字取證技術 -13- 4展示階段 給出調查所得結論及相應的證據，供法庭作為公訴證據。還要解釋是如何處理和分析證據的，以便說明監(jiān)管鏈和方法的徹底性。 第第8 8章章 數字取證技術數字取證技術 -14- 8.4 網絡取證技術網絡取證技術8.4.1 網絡取證概述網絡取證概述 網絡流的相關性、數據的完整性和包捕獲的速率是網絡取證、分析首要考慮的事情。相關性是指在某些環(huán)境下，應當在捕獲網絡流時應用過濾器去掉不相關的數據。數據的完整性要求網絡取證工具應當一直監(jiān)控網絡流。 網絡取證對數據的保護和一般的數字取證過程要求相同，網絡取證分析的相關技術包括人工智能

9、、機器學習、數據挖掘、IDS技術、蜜阱技術、SVM和專家系統(tǒng)等。 第第8 8章章 數字取證技術數字取證技術 -15-8.4.2 網絡取證模型網絡取證模型 根據網絡攻擊一般過程，網絡取證模型如圖所示。 第第8 8章章 數字取證技術數字取證技術 -16-8.4.3 IDS取證技術取證技術 將計算機取證結合到入侵檢測等網絡安全工具和網絡體系結構中進行動態(tài)取證，可使整個取證過程更加系統(tǒng)并具有智能性和實時性，并且還能迅速做出響應。 IDS取證的具體步驟如下: （l）尋找嗅探器（如sniffer）； （2）尋找遠程控制程序 ； （3）尋找黑客可利用的文件共享或通信程序 ； （4）尋找特權程序 ； 第第8

10、8章章 數字取證技術數字取證技術 -17- （5）尋找文件系統(tǒng)的變動； （6）尋找未授權的服務； （7）尋找口令文件的變動和新用戶； （8）核對系統(tǒng)和網絡配置，特別注意過濾規(guī)則； （9）尋找異常文件，這將依賴于系統(tǒng)磁盤容量的大小； （10）查看所有主機，特別是服務器； 第第8 8章章 數字取證技術數字取證技術 -18- （11）觀察攻擊者，捕獲攻擊者，找出證據； （12）如果捕獲成功則準備起訴，如立刻聯(lián)系律師等； （13）做完全的系統(tǒng)備份，將系統(tǒng)備份轉移到單用戶模式下，在單用戶模式下制作和驗證備份。 在收集證據過程中，還要監(jiān)視攻擊者，監(jiān)視時要注意以下幾點： 第第8 8章章 數字取證技術數字取證

11、技術 -19- （1）最好利用備份作掩護來暗中監(jiān)視攻擊者，因為攻擊者如果發(fā)現自己被監(jiān)視，就會離開甚至破壞主機； （2）多查看shell命令歷史記錄，如果攻擊者忘記清除該歷史記錄，就可以清楚地了解他們使用過什么命令； （3）對付攻擊者可以使用“以毒攻毒”的辦法； （4）最后要記住適時退出系統(tǒng)，因為斷開網絡一兩天是整理系統(tǒng)的最容易的辦法，以提高安全性和日志功能。 第第8 8章章 數字取證技術數字取證技術 -20-8.4.4蜜阱取證技術蜜阱取證技術 蜜阱是包括蜜罐和蜜網等以誘騙技術為核心的網絡安全技術。它是一種精心設計的誘騙系統(tǒng)，當黑客攻擊時，它能夠監(jiān)視攻擊者的行徑、策略、工具和目標，從而自動收集相

12、關的電子證據，實現實時網絡取證。 利用蜜阱進行取證分析時，一般遵循如下原則和步驟： 1確定攻擊的方法、日期和時間（假設IDS的時鐘和NTP參考時間源同步）； 第第8 8章章 數字取證技術數字取證技術 -21- 2盡可能多地確定有關入侵者的信息； 3列出所有入侵者添加或修改的文件，并對這些程序（包括末編譯或未重組部分，因為這些部分可能對確定函數在此事件中的作用和角色有幫助）進行分析 4建立一條事件時間線，對系統(tǒng)行為進行詳細分析，注意確認證據的來源； 5給出適合管理層面或新聞媒體需要的報告； 6對事故進行費用估計。 第第8 8章章 數字取證技術數字取證技術 -22-8.4.5 模糊專家系統(tǒng)取證技術

13、模糊專家系統(tǒng)取證技術 Jun-Sun Kim等人開發(fā)了一個基于模糊專家系統(tǒng)的網絡取證系統(tǒng)，由六個組件組成，如圖8-4所示。 1網絡流分析器組件。完成網絡流的捕獲和分析，它要求捕獲所有的網絡流，為了保證數據的完整性。 分析器應用規(guī)則對捕獲的網絡流進行重組，這種分類數據包的規(guī)則是協(xié)議相同的和時間連續(xù)的。 第第8 8章章 數字取證技術數字取證技術 -23- 2知識庫組件。存儲模糊推理引擎所使用的模糊規(guī)則，其形式為：IF X1=A1 and X2=A2and Xn=An THEN Y=Z 3模糊化組件。確定每個語義變量的模糊集所定義的隸屬函數和每個模糊集中輸入值的隸屬度。 4模糊推理引擎組件。當所有的

14、輸入值被模糊化為各自的語義變量，模糊推理引擎訪問模糊規(guī)則庫，進行模糊運算，導出各語義變量的值。 第第8 8章章 數字取證技術數字取證技術 -24- 5反模糊化組件。運用“最小-最大”運算產生輸出值，作為取證分析器的輸入。 6取證分析器。判斷捕獲的數據包是否存在攻擊，它的主要功能是收集數據、分析相關信息，并且生成數字證據。8.4.6 SVM取證技術取證技術 SVM取證技術是為了發(fā)現信息行為的關鍵特征，去除無意義的噪聲，有助于減少信息存儲量，提高計算速度等。同時，網絡取證應該是主動的防御，對未知的網絡攻擊具有識別和取證能力。 第第8 8章章 數字取證技術數字取證技術 -25- SVM特征選擇的基本

15、思想是：特征選擇的基本思想是： 1選擇訓練集和測試集，對每個特征重復以下步驟； 2從訓練集和測試集中刪除該特征； 3使用結果數據集訓練分類器（SVM）； 4根據既定的性能準則，使用測試集分析分類器的性能； 5根據規(guī)則標記該特征的重要性等級。 第第8 8章章 數字取證技術數字取證技術 -26- 8.4.7惡意代碼技術惡意代碼技術 惡意代碼指能夠長期潛伏、秘密竊取敏感信息的有害代碼程序，應用同樣的原理，可以設計用來進行取證。 第第8 8章章 數字取證技術數字取證技術 -27- 8.5 數字取證常用工具數字取證常用工具 可以用作計算機取證常見工具有Tcpdump、NetMonitor等， Encae

16、e是專業(yè)的計算機取證工具。 Encase軟件包括Encase取證版解決方案和Encase企業(yè)版解決方案。 Encase取證版解決方案是國際領先的受法院認可的計算機調查取證的工具。具有以下主要特性: （1）支持并能管理易變的時區(qū)； （2）能分析UNIX和LINUX的系統(tǒng)文件； 第第8 8章章 數字取證技術數字取證技術 -28- （3）能查看并搜索NTFS壓縮文件，能檢測NTFS文件系統(tǒng)中的附加分區(qū)中的信息； （4）允許查看NTFS文件/文件夾的所有者和訪問權； （5）允許用戶限制其可查看的數據，并能保護特權數據； （6）良好的EnScript程序界面，編輯和調試代碼的操作更加方便； （7）可以隱藏用戶定義的扇區(qū)或提前讀取一定數量的扇區(qū)，從而提高導航函數的速度； 第第8 8章章 數字取證技術數字取證技術 -29- （8）多個關鍵詞搜索算法能夠動態(tài)加快搜索速度； （9）支持RAID，了解動態(tài)磁盤分區(qū)結構并能處理所有可