1、一、判斷題1. ( )計算機(jī)取證一定要用取證軟件來進(jìn)行取證才能找到有效證據(jù)。2. ( )電子證據(jù)是指“以電子形式存在的、用作證據(jù)使用的一切材料及其派生物”。3. ( )收集到的電子證據(jù)只要是真實(shí)的就可以作為法庭的證據(jù)。二、名詞解釋題.1動態(tài)取證.（內(nèi)存數(shù)據(jù),通訊狀態(tài),IE自動提交數(shù)據(jù)獲取;通訊程序帳號/密碼的獲取;仿真運(yùn)行的數(shù)據(jù)-例如財務(wù)數(shù)據(jù)/數(shù)據(jù)庫）取證人員依照法律規(guī)定和取證程序，由具有法律資格人員對于開機(jī)或者聯(lián)網(wǎng)狀態(tài)下的計算機(jī)及其相關(guān)計算機(jī)設(shè)備（包括交換機(jī)，路由器等）的內(nèi)存數(shù)據(jù)，系統(tǒng)運(yùn)行狀態(tài)等進(jìn)行相關(guān)的數(shù)據(jù)實(shí)時監(jiān)控，分析和保存。從中發(fā)現(xiàn)相關(guān)的犯罪證據(jù)，作出具有法律效應(yīng)的檢測分析報告以證明違

2、法犯罪事實(shí)的存在。（通常采用動態(tài)仿真系統(tǒng)，將待分析的硬盤中的操作系統(tǒng)模擬運(yùn)行起來，然后再進(jìn)行取證分析，提取一些在靜態(tài)取證過程中無法獲得的數(shù)據(jù)（如系統(tǒng)中已保存的各種密碼），以及分析木馬、惡意代碼程序等）2靜態(tài)取證. （各種存儲介質(zhì)的獲取與復(fù)制）取證人員依照法律規(guī)定和取證程序，由具有法律資格人員對計算機(jī)硬件的原始數(shù)據(jù)進(jìn)行保全，檢查，分析，然后從中找出與案件有關(guān)的數(shù)字證據(jù)，并作出具有法律效應(yīng)的檢測分析報告以證明違法犯罪事實(shí)的存在。（就是直接分析硬盤中的文件內(nèi)容，不需要將硬盤中的操作系統(tǒng)運(yùn)行起來。）3磁盤鏡像.（指復(fù)制到相同功能的存儲裝置中以起到增強(qiáng)數(shù)據(jù)整合度，增強(qiáng)容錯功能，增加吞吐量等作用。指復(fù)制到

3、不同的裝置或數(shù)據(jù)格式，主要用于數(shù)據(jù)備份）磁盤鏡像”一詞一般有兩種不同含義。一種是指復(fù)制到相同功能的存儲裝置中以起到增強(qiáng)數(shù)據(jù)整合度，增強(qiáng)容錯功能，增加吞吐量等作用（如RAID）。這時對應(yīng)英文一般為Disk Mirror，以下稱為磁盤鏡。另一種含義是指復(fù)制到不同的裝置或數(shù)據(jù)格式，主要用于數(shù)據(jù)備份。這時對應(yīng)英文一般為Disk Image，以下稱為磁盤像。通常在使用中這兩者都稱為“鏡像”或“磁盤鏡像”。（：又稱磁盤映像，是將兩個或兩個以上的磁盤或磁盤子系統(tǒng)上生成同一個數(shù)據(jù)的鏡像視圖。）4只讀鎖.（通過屏蔽寫信號，確保不會修改犯罪嫌疑人的硬盤） 只讀隔離保護(hù)器（只讀鎖）提供了計算機(jī)海量存儲設(shè)備基于硬件的

4、安全寫保護(hù)方案，從硬件的層面阻止了寫入通道，能有效的保護(hù)存儲設(shè)備中的電子數(shù)據(jù)取證的安全性，數(shù)據(jù)能夠從源盤讀出來，但不會被意外修改，從而保證電子數(shù)據(jù)司法鑒定的有效性和數(shù)據(jù)完整性，是取證分析的必備工具。（：用于保護(hù)連接的硬盤中的數(shù)據(jù)，避免數(shù)據(jù)被篡改，確保電子介質(zhì)的訪問操作符合司法規(guī)范。）5主動取證. 主動取證是指主動獲取犯罪證據(jù)，作為證明犯罪者非法行為的電子數(shù)據(jù)證據(jù)的技術(shù)。主要包括蜜網(wǎng)，蜜罐技術(shù)，動態(tài)監(jiān)聽與日志保全技術(shù)以及網(wǎng)絡(luò)偵查陷阱。6司法鑒定.司法鑒定是指在訴訟活動中鑒定人運(yùn)用科學(xué)技術(shù)或者專門知識對訴訟涉及的專門性問題進(jìn)行鑒別和判斷并提供鑒定意見的活動。7證據(jù)固定.（應(yīng)當(dāng)提取什么樣的電子證據(jù)，

5、如何提取并有效的固定電子證據(jù)，是問題的關(guān)鍵。1 固定硬盤2 部分文件的固定3 固定易丟失的證據(jù)）證據(jù)固定是為保護(hù)證據(jù)的完整性，真實(shí)性，原始性，對證據(jù)固定和封存。針對電子證據(jù)的固定可分為，克隆硬盤，部分文件的固定，易丟失證據(jù)的固定。（由于有些證據(jù)因各種原因可能隨時滅失或者發(fā)生變化，從而影響證據(jù)的認(rèn)定，因此需要通過一些方式，把這些證據(jù)及時固定下來。）8MD5.（為計算機(jī)安全領(lǐng)域廣泛使用的一種散列函數(shù)，用以提供消息的完整性保護(hù)）MD5全稱是報文摘要算法常被用來驗(yàn)證網(wǎng)絡(luò)文件傳輸?shù)耐暾?，防止文件被人篡改。此算法對任意長度的信息逐位計算，產(chǎn)生一個二進(jìn)制長度為128位（十六進(jìn)制長度為32位）的“指紋”（或

6、稱“報文摘要”），而不同的文件產(chǎn)生相同的報文摘要的可能性非常小9蜜罐技術(shù)沒有業(yè)務(wù)上的用途，因此所有流入/流出蜜罐的流量都預(yù)示著掃描、攻擊及攻陷，主要用以監(jiān)視、檢測和分析攻擊。它用真實(shí)的或虛擬的系統(tǒng)模擬一個或多個易受攻擊的主機(jī)，給入侵者提供一個容易攻擊的目標(biāo)，從而發(fā)現(xiàn)攻擊者采用的手段。.（蜜罐好比是情報收集系統(tǒng)。蜜罐好像是故意讓人攻擊的目標(biāo)，引誘黑客前來攻擊。所以攻擊者入侵后，你就可以知道他是如何得逞的，隨時了解針對服務(wù)器發(fā)動的最新的攻擊和漏洞。還可以通過竊聽黑客之間的聯(lián)系，收集黑客所用的種種工具，并且掌握他們的社交網(wǎng)絡(luò)。）10.數(shù)字隱藏.數(shù)字隱藏（數(shù)據(jù)隱寫術(shù)）是一種隱秘通信技術(shù)，它是將隱秘信息

7、嵌入到其他正常媒體中，（如文本，圖像，音頻，視頻）通過對藏有隱秘信息的載體的傳輸，實(shí)現(xiàn)隱秘信息的傳遞。（或者：數(shù)據(jù)隱寫是將需要保密傳輸?shù)男畔㈦[藏在載體文件中，在載體文件的掩護(hù)下，秘密信息得以安全保密的傳輸，而且數(shù)據(jù)隱寫術(shù)還可以和密碼術(shù)進(jìn)行有效的結(jié)合，進(jìn)一步提高安全性）。（：或者采用將重要信息隱藏在一個看似平常的文件中來實(shí)現(xiàn)對重要信息的保密。）11. 存儲介質(zhì).（指存儲數(shù)據(jù)的載體。軟盤、光盤、DVD、硬盤、閃存、U盤、CF卡、SD卡、MMC卡、SM卡、記憶棒（Memory Stick）、xD卡等）存儲介質(zhì)是指存儲數(shù)據(jù)的載體。比如軟盤、光盤、DVD、硬盤、閃存、U盤、CF卡、SD卡、MMC卡、SM

8、卡、記憶棒（Memory Stick）、xD卡等。目前最流行的存儲介質(zhì)是基于閃存（Nand flash）的，比如U盤、CF卡、SD卡、SDHC卡、MMC卡、SM卡、記憶棒、xD卡等。12. 硬盤柱面、扇區(qū)、磁道. （磁盤柱面：所有盤面上的同一磁道構(gòu)成一個圓柱扇區(qū)：信息以脈沖串的形式記錄在這些軌跡中，這些同心圓不是連續(xù)記錄數(shù)據(jù)，而是被劃分成一段段的圓弧，每段圓弧叫做一個扇區(qū)（操作系統(tǒng)以扇區(qū)（Sector）形式將信息存儲在硬盤上，每個扇區(qū)包括512個字節(jié)的數(shù)據(jù)和一些其他信息。）磁道：磁盤在格式化時被劃分成許多同心圓，這些同心圓軌跡叫做磁道硬盤中，不同盤片相同半徑的磁道所組成的圓柱稱為柱面。磁盤上的

9、每個磁道被等分為若干個弧段，這些弧段便是磁盤的扇區(qū)。硬盤的讀寫以扇區(qū)為基本單位當(dāng)磁盤旋轉(zhuǎn)時，磁頭若保持在一個位置上，則每個磁頭都會在磁盤表面劃出一個圓形軌跡，這些圓形軌跡就叫做磁道。13. 低格.（從硬盤生產(chǎn)廠家出品的硬盤通常還是“ 盲盤 ”，對其劃分磁道和扇區(qū)這個工作必須完成以后才能在上面記錄數(shù)據(jù)）低級格式化就是將空白的磁盤劃分出柱面和磁道，再將磁道劃分為若干個扇區(qū)，每個扇區(qū)又劃分出標(biāo)識部分ID、間隔區(qū)GAP和數(shù)據(jù)區(qū)DATA等?？梢?，低級格式化是高級格式化之前的一件工作，它不僅能在DOS環(huán)境來完成，也能在Windows NT系統(tǒng)下完成。而且低級格式化只能針對一塊硬盤而不能支持單獨(dú)的某一個分區(qū)

10、。每塊硬盤在出廠時，已由硬盤生產(chǎn)商進(jìn)行低級格式化，因此通常使用者無需再進(jìn)行低級格式化操作。（簡稱低格，也稱硬盤物理格式化。它的作用是檢測硬盤磁介質(zhì)，劃分磁道，為每個磁道劃分扇區(qū)，并根據(jù)用戶選定的交叉因子安排扇區(qū)在磁道中的排列順序。）14. MBR.（即主引導(dǎo)記錄區(qū)，位于整個硬盤的 0 磁道 0 柱面 1 扇區(qū)。 它由兩部分組成，分別是主引導(dǎo)記錄MBR（main boot record）和分區(qū)表DPT（disk partition table）。）MBR，即主引導(dǎo)記錄，是對IBM兼容機(jī)的硬盤或者可移動磁盤分區(qū)時，在驅(qū)動器最前端的一段引導(dǎo)扇區(qū)。MBR描述了邏輯分區(qū)的信息，包含文件系統(tǒng)以及組織方式。

11、此外，MBR還包含計算機(jī)在啟動的第二階段加載操作系統(tǒng)的可執(zhí)行代碼或連接每個分區(qū)的引導(dǎo)記錄（VBR）。這個MBR代碼通常被稱為引導(dǎo)程序。（：主引導(dǎo)記錄區(qū)，位于整個硬盤的0磁道0柱面1扇區(qū)。它負(fù)責(zé)磁盤操作系統(tǒng)(DOS)對磁盤進(jìn)行讀寫時分區(qū)合法性的判別、分區(qū)引導(dǎo)信息的定位，它由磁盤操作系統(tǒng)(DOS)在對硬盤進(jìn)行初始化時產(chǎn)生的）15. 分區(qū).（就是將硬盤劃分為一個個的邏輯區(qū)域。）分區(qū)：是物理磁盤的一部分，其作用如同一個物理分隔單元。分區(qū)通常指主分區(qū)或擴(kuò)展分區(qū)。16. NTFS文件系統(tǒng)（是 WindowsNT 環(huán)境的文件系統(tǒng)。）是一個基于安全性的文件系統(tǒng)，它是建立在保護(hù)文件和目錄數(shù)據(jù)基礎(chǔ)上，同時照顧節(jié)省

12、存儲資源，減少磁盤占用量的一種先進(jìn)的文件系統(tǒng)。.17. AES.高級加密標(biāo)準(zhǔn)（英語：Advanced Encryption Standard，縮寫：AES），在密碼學(xué)中又稱Rijndael加密法，是美國聯(lián)邦政府采用的一種區(qū)塊加密標(biāo)準(zhǔn)。這個標(biāo)準(zhǔn)用來替代原先的DES，已經(jīng)被多方分析且廣為全世界所使用。經(jīng)過五年的甄選流程，高級加密標(biāo)準(zhǔn)由美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）于2001年11月26日發(fā)布于FIPS PUB 197，并在2002年5月26日成為有效的標(biāo)準(zhǔn)。2006年，高級加密標(biāo)準(zhǔn)已然成為對稱密鑰加密中最流行的算法之一。（：高級加密標(biāo)準(zhǔn)，在密碼學(xué)中又稱Rijndael加密法，是美國聯(lián)邦政府采

13、用的一種區(qū)塊加密標(biāo)準(zhǔn)）18. DES.DES全稱為Data Encryption Standard，即數(shù)據(jù)加密標(biāo)準(zhǔn)，是一種使用密鑰加密的塊算法，1976年被美國聯(lián)邦政府的國家標(biāo)準(zhǔn)局確定為聯(lián)邦資料處理標(biāo)準(zhǔn)（FIPS），隨后在國際上廣泛流傳開來。19. MAC地址.MAC（Media Access Control或者M(jìn)edium Access Control）地址，意譯為媒體訪問控制，或稱為物理地址、硬件地址，用來定義網(wǎng)絡(luò)設(shè)備的位置。在OSI模型中，第三層網(wǎng)絡(luò)層負(fù)責(zé) IP地址，第二層數(shù)據(jù)鏈路層則負(fù)責(zé) MAC地址。因此一個主機(jī)會有一個MAC地址，而每個網(wǎng)絡(luò)位置會有一個專屬于它的IP地址。（物理地址、

14、硬件地址，用來定義網(wǎng)絡(luò)設(shè)備的位置。）20. IP地址.（互聯(lián)網(wǎng)協(xié)議地址，是以TCP/IP協(xié)議進(jìn)行數(shù)據(jù)通信的雙方必須的、符合標(biāo)準(zhǔn)格式的節(jié)點(diǎn)（主機(jī)或路由器等）地址標(biāo)識符，同一網(wǎng)絡(luò)上聯(lián)網(wǎng)的節(jié)點(diǎn)IP地址不能重復(fù)（沖突）。）IP地址是指互聯(lián)網(wǎng)協(xié)議地址（英語：Internet Protocol Address，又譯為網(wǎng)際協(xié)議地址），是IP Address的縮寫。IP地址是IP協(xié)議提供的一種統(tǒng)一的地址格式，它為互聯(lián)網(wǎng)上的每一個網(wǎng)絡(luò)和每一臺主機(jī)分配一個邏輯地址，以此來屏蔽物理地址的差異。目前還有些ip代理軟件，但大部分都收費(fèi)。（互聯(lián)網(wǎng)協(xié)議地址，IP地址是IP協(xié)議提供的一種統(tǒng)一的地址格式，它為互聯(lián)網(wǎng)上的每一個網(wǎng)

15、絡(luò)和每一臺主機(jī)分配一個邏輯地址，以此來屏蔽物理地址的差異。）21.郵件客戶端. （指使用IMAP/APOP/POP3/SMTP/ESMTP/協(xié)議收發(fā)電子郵件的軟件。用戶不需要登入郵箱就可以收發(fā)郵件。）郵件客戶端通常指使用IMAP/APOP/POP3/SMTP/ESMTP/協(xié)議收發(fā)電子郵件的軟件。用戶不需要登入郵箱就可以收發(fā)郵件。（指使用IMAP/APOP/SMTP/ESMTP協(xié)議收發(fā)電子郵件的軟件。用戶不需要登入郵箱就可以收發(fā)郵件。）22.硬盤接口. （硬盤與主機(jī)系統(tǒng)間的連接部件，作用是在硬盤緩存和主機(jī)內(nèi)存之間傳輸數(shù)據(jù)?，F(xiàn)在的硬盤接口綜合起來說可以分成如下幾種：IDE（即ATA）、SCSI、I

16、EEE1394（即火線）、Serial ATA（串行ATA）與USB.）硬盤接口是硬盤與主機(jī)系統(tǒng)間的連接部件，作用是在硬盤緩存和主機(jī)內(nèi)存之間傳輸數(shù)據(jù)。不同的硬盤接口決定著硬盤與計算機(jī)之間的連接速度，在整個系統(tǒng)中，硬盤接口的優(yōu)劣直接影響著程序運(yùn)行快慢和系統(tǒng)性能好壞。（：硬盤與主機(jī)系統(tǒng)間的連接部件，作用是在硬盤緩存和主機(jī)內(nèi)存之間傳輸數(shù)據(jù)。）23.硬盤拷貝機(jī). （指對硬盤進(jìn)行復(fù)制，將硬盤的所有數(shù)據(jù)通過物理復(fù)制的方式進(jìn)行克隆。常規(guī)的拷貝方式包括：硬盤到硬盤，分區(qū)到分區(qū)，硬盤到分區(qū)，分區(qū)到硬盤，硬盤到文件，分區(qū)到文件等方式。）是指對硬盤進(jìn)行復(fù)制，將硬盤的所有數(shù)據(jù)通過物理復(fù)制的方式進(jìn)行克隆。（又稱硬盤拷貝

17、機(jī)、硬盤克隆機(jī)，它是司法過程中對嫌疑人計算機(jī)取證的常用工具之一。用于硬盤對硬盤的復(fù)制，在實(shí)現(xiàn)完全復(fù)制的同時，可使用CRC、MD5等校驗(yàn)技術(shù)檢驗(yàn)生成的復(fù)制數(shù)據(jù)與源硬盤數(shù)據(jù)的一致性。）24.系統(tǒng)日志.系統(tǒng)日志是記錄系統(tǒng)中硬件、軟件和系統(tǒng)問題的信息，同時還可以監(jiān)視系統(tǒng)中發(fā)生的事件。用戶可以通過它來檢查錯誤發(fā)生的原因，或者尋找受到攻擊時攻擊者留下的痕跡。系統(tǒng)日志包括系統(tǒng)日志、應(yīng)用程序日志和安全日志。25. IDS.入侵檢測系統(tǒng)IDS(Intrusion Detection System)：完成入侵檢測功能的軟件、硬件組合，該系統(tǒng)對系統(tǒng)資源的非授權(quán)使用能夠做出及時的判斷、記錄和報警（入侵檢測系統(tǒng)”。依照

18、一定的安全策略，通過軟、硬件，對網(wǎng)絡(luò)、系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)視，盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證網(wǎng)絡(luò)系統(tǒng)資源的機(jī)密性、完整性和可用性。）26.端口.（傳輸層提供應(yīng)用程序與網(wǎng)絡(luò)之間的各接口點(diǎn)稱為端口，它是個預(yù)定義的內(nèi)部地址（編號），以16位字標(biāo)識，提供從應(yīng)用程序到傳輸層或從傳輸層到應(yīng)用程序之間的一條通路。）"端口"是英文port的意譯，可以認(rèn)為是設(shè)備與外界通訊交流的出口。端口可分為虛擬端口和物理端口，其中虛擬端口指計算機(jī)內(nèi)部或交換機(jī)路由器內(nèi)的端口，不可見。例如計算機(jī)中的80端口、21端口、23端口等。物理端口又稱為接口，是可見端口，計算機(jī)背板的RJ45網(wǎng)口，

19、交換機(jī)路由器集線器等RJ45端口。電話使用RJ11插口也屬于物理端口的范疇。（或是設(shè)備與外界通訊交流的出口。端口可分為虛擬端口和物理端口，其中虛擬端口指計算機(jī)內(nèi)部或交換機(jī)路由器內(nèi)的端口，不可見。）27.SIM卡密碼.SIM卡密碼分為PIN碼、 PIN2碼, PUK碼和PUK2碼共四種, 這四種密碼的初始碼是由提供SIM卡的移動網(wǎng)絡(luò)運(yùn)營商提供的, 四種密碼的關(guān)系如下: PIN碼(PIN1)是SIM卡的個人識別密碼。 PUK碼(PUK1)由8位數(shù)字組成, 這是用戶無法更改的 。 PIN2碼是設(shè)定手機(jī)計費(fèi)時使用的 。如果PIN2碼輸入三次錯誤,手機(jī)就需要用PUK2碼解鎖 28.系統(tǒng)啟動項(xiàng). 就是開機(jī)

20、的時候系統(tǒng)會在前臺或者后臺運(yùn)行的程序。29.數(shù)字指紋.數(shù)字指紋是利用數(shù)字作品中普遍存在的元余數(shù)據(jù)與隨機(jī)性, 向被分發(fā)的每一份軟件、圖像或者其它數(shù)字拷貝中引人一定的誤差,使得該拷貝是唯一的,從而可以在發(fā)現(xiàn)被非法再分發(fā)的拷貝時,可以根據(jù)該拷貝中的誤差跟蹤到不誠實(shí)原始購買者的一種數(shù)字作品版權(quán)保護(hù)技術(shù)。 （或是將不同的標(biāo)志性識別代碼指紋，利用數(shù)字水印技術(shù)嵌入到數(shù)字媒體中，然后將嵌入了指紋的數(shù)字媒體分發(fā)給用戶。發(fā)行商發(fā)現(xiàn)盜版行為后，就能通過提取盜版產(chǎn)品中的指紋，確定非法復(fù)制的來源，對盜版者進(jìn)行起訴，從而起到版權(quán)保護(hù)的作用。） -三、畫圖1. 畫出一般的加密解密過程。.2. 畫出計算機(jī)取證與司法鑒定的層次

21、功能表.3. 畫出數(shù)字水印的嵌入和提取過程.4. 畫出信息隱藏系統(tǒng)的一般模型.5. TcP/IP協(xié)議與 Is0(模型)的對應(yīng)關(guān)系6. 手機(jī)取證的一般流程.獲取證物-提取數(shù)據(jù)-檢查分析-報告分析四、分析1、計算機(jī)犯罪現(xiàn)場勘査基本步驟： （1）研究案情，觀察、巡視現(xiàn)場，確定中心現(xiàn)場和勘查范圍；（2）根據(jù)現(xiàn)場環(huán)境和案情，確定勘查順序。一般以計算機(jī)為中心向外圍勘查，對于比較大的現(xiàn)場可采用分片、分區(qū)的辦法同時進(jìn)行；（3）.用照相、錄像、繪圖、筆錄等方法將原始現(xiàn)場“固定”下來。對顯示器屏幕上圖像、文字也要用照相、錄像的方法及時取證。拍照屏幕顯示內(nèi)容時，相機(jī)速度應(yīng)為130秒或更低，光圈為5.6或8，不要用閃

22、光燈；（4）在確保不破壞計算機(jī)內(nèi)部信息的前提下，尋找可能與犯罪有關(guān)的可疑痕跡物證，如手印、足跡、工具痕跡、墨水等痕跡，系統(tǒng)手冊、運(yùn)行記錄、打印資料等文件，磁盤、磁帶、光盤和優(yōu)盤等存儲器件。 （或現(xiàn)場安保-現(xiàn)場拍照或記錄現(xiàn)場設(shè)備連接狀態(tài)收集相關(guān)外部證物處理計算機(jī)是否關(guān)機(jī)若是則提取系統(tǒng)時間/若不是則固定易丟失數(shù)據(jù)介質(zhì)復(fù)制封存證物填寫清單）2、計算機(jī)取證、網(wǎng)絡(luò)取證、手機(jī)取證的異同點(diǎn)分析.計算機(jī)取證：是指運(yùn)用計算機(jī)辨析技術(shù)，對計算機(jī)犯罪行為進(jìn)行分析以確認(rèn)罪犯及計算機(jī)證據(jù)，并據(jù)此提起訴訟。網(wǎng)絡(luò)取證：是抓取、記錄和分析網(wǎng)絡(luò)事件以發(fā)現(xiàn)安全攻擊或其他的問題事件的來源。手機(jī)取證：是從手機(jī)SIM卡、手機(jī)內(nèi)/外置存

23、儲卡以及移動網(wǎng)絡(luò)運(yùn)營商數(shù)據(jù)庫中收集、保全和分析相關(guān)的電子證據(jù),并最終從中獲得具有法律效力、能被法庭所接受的證據(jù)的過程 。計算機(jī)取證的主要方法有對文件的復(fù)制，被刪除文件的恢復(fù)，緩沖區(qū)內(nèi)容獲取，系統(tǒng)日志分析等等，是一種被動式的事后措施，不特定于網(wǎng)絡(luò)環(huán)境。網(wǎng)絡(luò)取證更強(qiáng)調(diào)對網(wǎng)絡(luò)安全的主動防御功能，主要通過對網(wǎng)絡(luò)數(shù)據(jù)流，審計，主機(jī)系統(tǒng)日志等的實(shí)時監(jiān)控和分析，發(fā)現(xiàn)對網(wǎng)絡(luò)系統(tǒng)的入侵行為，記錄犯罪證據(jù)，并阻止對網(wǎng)絡(luò)系統(tǒng)的進(jìn)一步入侵。取證的數(shù)據(jù)源不同數(shù)字證據(jù)只是片斷或摘要容易被改變模糊的證據(jù)形式3、 如何對一塊帶有操作系統(tǒng)的嫌疑硬盤進(jìn)行取證. 第一步：連接嫌疑硬盤 將嫌疑人的硬盤與只讀鎖連接第二步：連接取證計算

24、機(jī)第三步：連接只讀鎖電源第四步：開始工作 4、 分析說明對硬盤做司法鑒定報告里主要要有哪些內(nèi)容? .一般包括標(biāo)題、編號、基本情況、檢案摘要、檢驗(yàn)過程、檢驗(yàn)結(jié)果、落款、附件及附注等內(nèi)容。（一）標(biāo)題：寫明司法鑒定機(jī)構(gòu)的名稱和委托鑒定事項(xiàng)；（二）編號：寫明司法鑒定機(jī)構(gòu)縮略名、年份、專業(yè)縮略語、文書性質(zhì)縮略語及序號；（三）基本情況：寫明委托人、委托鑒定事項(xiàng)、受理日期、鑒定材料、鑒定日期、鑒定地點(diǎn)、在場人員、被鑒定人等內(nèi)容。鑒定材料應(yīng)當(dāng)客觀寫明委托人提供的與委托鑒定事項(xiàng)有關(guān)的檢材和鑒定資料的簡要情況，并注明鑒定材料的出處；（四）檢案摘要：寫明委托鑒定事項(xiàng)涉及案件的簡要情況；（五）檢驗(yàn)過程：寫明鑒定的實(shí)施

25、過程和科學(xué)依據(jù)，包括檢材處理、鑒定程序、所用技術(shù)方法、技術(shù)標(biāo)準(zhǔn)和技術(shù)規(guī)范等內(nèi)容；（六）檢驗(yàn)結(jié)果：寫明對委托人提供的鑒定材料進(jìn)行檢驗(yàn)后得出的客觀結(jié)果；（七）分析說明：寫明根據(jù)鑒定材料和檢驗(yàn)結(jié)果形成鑒定意見的分析、鑒別和判斷的過程。引用的資料應(yīng)當(dāng)注明出處；（八）鑒定意見：應(yīng)當(dāng)明確、具體、規(guī)范，具有針對性和可適用性；（九）落款：由司法鑒定人簽名或者蓋章，并寫明司法鑒定人的執(zhí)業(yè)證號，同時加蓋司法鑒定機(jī)構(gòu)的司法鑒定專用章，并注明文書制作日期等；（十）附注：對司法鑒定文書中需要解釋的內(nèi)容，可以在附注中作出說明。司法鑒定文書附件應(yīng)當(dāng)包括與鑒定意見、檢驗(yàn)報告有關(guān)的關(guān)鍵圖表、照片等以及有關(guān)音像資料、參考文獻(xiàn)等的

26、目錄。附件是司法鑒定文書的組成部分，應(yīng)當(dāng)附在司法鑒定文書的正文之后。（或者報告包括有調(diào)查人員提供的分析結(jié)果、鑒定流程及使用的設(shè)備（軟件、硬件）等詳細(xì)描述。通常電子數(shù)據(jù)鑒定報告的容量較大，要求的報告形式也多種多樣，可能包括圖片、聲音、影像等。因此，除提供紙頁式的鑒定報告外，還會將大量數(shù)據(jù)資料作為附件存放在CD-ROM）5、系統(tǒng)用戶分析包括哪些內(nèi)容? .（1）用戶列表（2）用戶屬性（3）用戶相關(guān)的文檔（所有權(quán)等）五、簡答1.文檔碎片在電子取證中有什么應(yīng)用? .能夠獲取文件閑散區(qū)域中的內(nèi)容,并能夠利用搜索算法獲取該內(nèi)容的關(guān)鍵字等能夠?qū)Υ鎯橘|(zhì)上已刪除的數(shù)據(jù)塊進(jìn)行恢復(fù),但不能專門用來對文檔碎片證據(jù)進(jìn)行

27、提取、分析等通過分析word文檔作者信息和時間戳信息的存儲方法和格式,從破損的word文檔中提取作者信息和時間戳信息2.列舉4種注冊表在電子取證中的應(yīng)用。. （1）查看和分析自啟動位置可以給調(diào)查者提供線索，被調(diào)查的活動是用戶執(zhí)行的結(jié)果，還是惡意軟件或攻擊者執(zhí)行的結(jié)果。(2)查看最近打開或存儲的文件，可以得到近來關(guān)于用戶活動的線索。（3）通過對犯罪嫌疑人計算機(jī)Windows注冊表的查看和分析，調(diào)查員可以快速掌握其相關(guān)信息，如最后一次的登錄時間、最近打開的網(wǎng)頁、最近打開的文件和Outlook/Outlook Express帳戶密碼等關(guān)鍵信息（4）通過大量分析注冊表可以跟蹤和定位攻擊者，利用有效的技

28、術(shù)手段把注冊表文件作為有效證據(jù)起訴攻擊者（或1可以查看最近使用文件列表；2、保留了可移動存儲設(shè)備信息；3、查看和分析自啟動位置可以給調(diào)查者提供線索：被調(diào)查的活動是用戶執(zhí)行的結(jié)果，還是惡意軟件或攻擊者執(zhí)行的結(jié)果；4、可以查看用戶信息項(xiàng)。）3.列舉4種以上的網(wǎng)絡(luò)證據(jù)源。（1.）手機(jī)短信形式電子證據(jù)的收集。（2.）電子郵件形式電子證據(jù)的收集。（3.）網(wǎng)絡(luò)聊天形式電子證據(jù)材料的收集。.（4）防火墻日志 ，IDS日志 ，其它網(wǎng)絡(luò)工具所產(chǎn)生的記錄和日志等。（或1防火墻和路由器，2數(shù)據(jù)包嗅探器和協(xié)議分析器、3入侵檢測系統(tǒng)、遠(yuǎn)程訪問服務(wù)器、4安全事件管理（SEM）軟件、5網(wǎng)絡(luò)取證分析工具）4.如何獲取易丟失的

29、證據(jù)?.（1）打印。對網(wǎng)絡(luò)犯罪案件在文字內(nèi)容上有證明意義的情況下，可以直接將有關(guān)內(nèi)容打印在紙張上的方式進(jìn)行取證。（2）拷貝。是將計算機(jī)文件拷貝到軟盤、活動硬盤或光盤中的方式。（3）拍照、攝像。如果該證據(jù)具有視聽資料的證據(jù)意義，可以采用拍照、攝像的方法進(jìn)行證據(jù)的提取和固定，以便全面、充分地反映證據(jù)的證明作用。同時對取證全程進(jìn)行拍照、攝像，還具有增加證明力、防止翻供的作用。（4）制作司法文書。一般包括檢查筆錄和鑒定。（5）查封、扣押。對于涉及案件的證據(jù)材料、物件，為了防止有關(guān)當(dāng)事人進(jìn)行損毀、破壞，可以采取查封、扣押的方式，將有關(guān)材料置于司法機(jī)關(guān)保管之下。（6）公證。由于電子證據(jù)極易被破壞、一旦被破

30、還又難以恢復(fù)原狀，所以，通過公證機(jī)構(gòu)將有關(guān)證據(jù)進(jìn)行公證固定是獲取電子證據(jù)的有效途徑之一（或1運(yùn)行可信的cmd.exe程序2記錄系統(tǒng)時間和日期3確定哪些人登錄到該系統(tǒng)（包括遠(yuǎn)程用戶）4記錄所有文件的創(chuàng)建、修改和訪問時間5確定打開的端口）5.“取證大師”能完成的工作有哪些?.靜態(tài)存儲介質(zhì)分析、傻瓜式操作自動取證，在線狀態(tài)下動態(tài)獲取相關(guān)信息，簡單操作打打勾就完成取證分析內(nèi)容，方便快捷打印取證報告；提取各種硬盤中嫌疑人所安裝的操作系統(tǒng)的各種信息包括操作系統(tǒng)開關(guān)機(jī)時間、安裝日期、網(wǎng)絡(luò)信息、服務(wù)信息、安裝軟件列表、共享文件夾信息、用戶最后一次登錄時間等；直接察看用戶最近訪問的文檔、USB設(shè)備的使用情況；打

31、印信息記錄分析調(diào)查；上網(wǎng)記錄分析調(diào)查；即時通訊軟件聊天記錄自動分析；郵件調(diào)查；全球領(lǐng)先的WEB郵件分析功能；反取證軟件檢測技術(shù)；文檔自動分類和快速提取查找加密文件；（或自動取證；并行取證；電子郵件；即時通訊軟件信息自動分析；上網(wǎng)記錄自動分析；支持恢復(fù)已刪除訪問記錄；文檔自動分類和快速提??；直觀的用戶行為痕跡分析；獨(dú)創(chuàng)的反取證軟件檢測；格式化分區(qū)數(shù)據(jù)恢復(fù)；支持對加密光盤進(jìn)行調(diào)查。）6.實(shí)際取證一般要用哪些工具設(shè)備常用的計算機(jī)取證設(shè)備有ENCASE X-WAYS FTK 效率源DataCompass等工具。目前國內(nèi)的計算機(jī)取證設(shè)備不少，包括Data Copy King多功能復(fù)制擦除檢測一體機(jī)、Data Compass數(shù)據(jù)指南針?biāo)痉ㄈ∽C專版（簡稱DC）、網(wǎng)警計算機(jī)犯罪取證勘察箱等。（或電子證據(jù)只讀鎖；硬盤復(fù)制機(jī)；現(xiàn)場取證勘查箱；高性能取證分析綜合平臺；動態(tài)仿真系統(tǒng)；密碼恢復(fù)系統(tǒng)。）7.常見硬盤接口類型及差異分析從整體的角度上，硬盤接口分為IDE、SATA、SCSI和光纖通道四種。 （1）IDE硬盤 IDE和ATA是一種