2023/1/13第13章計算機與網(wǎng)絡(luò)取證技術(shù)13.1基本概念13.2計算機取證技術(shù)13.3網(wǎng)絡(luò)取證13.4取證工具13.5習(xí)題13.1基本概念計算機取證計算機取證技術(shù)就是在計算機的存儲介質(zhì)，如硬盤或其它磁盤中，進行信息檢索和調(diào)查。網(wǎng)絡(luò)取證網(wǎng)絡(luò)取證是從網(wǎng)絡(luò)存儲設(shè)備中獲取信息，也就是從網(wǎng)絡(luò)上開放的端口中檢索信息來進行調(diào)查。網(wǎng)絡(luò)取證特點網(wǎng)絡(luò)偵查中，雙方對系統(tǒng)的理解程度是一樣的在網(wǎng)絡(luò)取證的很多情況下，偵查員與罪犯使用的是同種工具。2023/1/1313.2計算機取證技術(shù)13.2.1計算機取證基本元素13.2.2計算機取證過程13.2.3計算機證據(jù)分析2023/1/1313.2.1計算機取證基本元素線索材料物理材料：文件、信封、箱子電子材料：硬盤中的數(shù)據(jù)、電子郵件的內(nèi)容、電子郵件的地址、附件和網(wǎng)站日志文件、已經(jīng)刪除掉的文件、加密數(shù)據(jù)相關(guān)信息確定哪些信息與案件相關(guān)。合法性數(shù)據(jù)的合法性問題與數(shù)據(jù)的關(guān)聯(lián)性問題是一致的，其同樣基于數(shù)據(jù)的認證過程。2023/1/1313.2.2計算機取證過程尋找證據(jù)痕跡：包括指紋，刀痕，鞋印或其它遺留下來的痕跡；生物痕跡：包括血跡，毛發(fā)，指甲殼，汗液等；信息痕跡：保存在存儲設(shè)備中的二進制數(shù)據(jù)等。處理證據(jù)證據(jù)提取和證據(jù)保管，證據(jù)保管包括包裝，存儲和運輸。2023/1/13證據(jù)保存將證據(jù)封裝并進行歸類，然后放置于無靜電環(huán)境下。確保封裝后的證據(jù)不會被過冷，過熱或過濕的環(huán)境所影響。將原始數(shù)據(jù)進行備份，對所有嫌疑存儲介質(zhì)做磁盤鏡像。條件允許情況下，要對證據(jù)數(shù)據(jù)進行加密。加密可同時被偵查員和罪犯所用。作為罪犯，一般利用加密進行內(nèi)容隱藏；作為偵查員，一般利用加密保證證據(jù)的保密性和完整性。存儲證據(jù)時，要對證據(jù)執(zhí)行可信的訪問控制策略，以確保證據(jù)只能被授權(quán)人員使用。證據(jù)傳輸由于在傳輸過程中，可信的內(nèi)部人員能夠接觸到證據(jù)，因此為保持監(jiān)管，應(yīng)該檢查沿途所有處理過證據(jù)的人員的數(shù)字簽名。在傳輸過程中，要使用一些強大的數(shù)據(jù)隱藏技術(shù)，例如數(shù)據(jù)加密，信息隱藏，密碼保護等對證據(jù)進行保護。需要一些方法能夠檢測出信息證據(jù)在傳輸過程中是否出現(xiàn)過更改變動。2023/1/1313.2.3計算機證據(jù)分析隱藏的證據(jù)已被刪除的數(shù)據(jù)：系統(tǒng)中被刪除的數(shù)據(jù)是可以用十六進制編輯器手動恢復(fù)的隱藏的文件：數(shù)據(jù)隱藏是取證分析中需要面對的一個重大問題壞塊：偵查員對所有的“不良磁道”進行檢查之前，不要格式化磁盤，因為這樣有可能會使“不良磁道”的隱藏信息丟失。隱寫術(shù)：偵查員在取證調(diào)查時就應(yīng)該將搜查的范圍擴大，避免隱藏的信息分散注意力2023/1/1313.3網(wǎng)絡(luò)取證13.3.1入侵分析2023/1/1313.3.1入侵分析入侵分析就是對端口掃描以及后門、間諜軟件或木馬等事件進行處理，及時發(fā)現(xiàn)破壞系統(tǒng)安全的行為。目的：回答以下問題：誰進入了系統(tǒng)、采取何種方式進入系統(tǒng)、發(fā)生了什么事件、該事件中取得了哪些教訓(xùn)、能否避免同種事件再次發(fā)生。主要功能：收集數(shù)據(jù)與分析數(shù)據(jù)提供服務(wù)：事故應(yīng)急響應(yīng)預(yù)案、應(yīng)急響應(yīng)、入侵數(shù)據(jù)的技術(shù)性分析、攻擊工具的逆向追蹤。2023/1/13三個部分監(jiān)視與警報：系統(tǒng)達到實時監(jiān)控與報告的能力修復(fù)與報告：快速識別入侵并修復(fù)所有已查明的弱點或及時阻止攻擊并將該事件上報給責任主體追捕與檢舉：對事件進行監(jiān)控，當入侵發(fā)生時及時收集證據(jù)，并將證據(jù)直接上報給執(zhí)法部門最終產(chǎn)品包括一系列的文檔，記錄系統(tǒng)的行為活動，事發(fā)前系統(tǒng)的配置信息，以及其他一些相關(guān)信息等，如接觸系統(tǒng)的人員名單及人員行為，工具的使用及工具使用者2023/1/13（一）應(yīng)急響應(yīng)預(yù)案（二）應(yīng)急響應(yīng)事件報告最先發(fā)現(xiàn)事件的人是誰，首先采取了哪些響應(yīng)措施。事件控制要盡可能地阻止事件繼續(xù)進行，減小事件帶來的影響步驟：確定受影響的系統(tǒng)，拒絕攻擊者訪問，移除流氓進程，重新獲取控制。2023/1/13（三）入侵技術(shù)分析特點不同于計算機偵查取證，網(wǎng)絡(luò)取證的大部分證據(jù)都不在一個主機或一個存儲設(shè)備中，需要搜索大量的硬盤驅(qū)動器和大量的計算機。信息來源網(wǎng)絡(luò)服務(wù)提供商（ISP）：RADIUS記錄有連接分配的IP地址，連接的時間，連接者的號碼，登陸名等等電子郵件：郵件上注明了郵件的發(fā)信人地址和收信人地址，郵件服務(wù)器中會保存具體的信息日志2023/1/13（四）逆向追蹤通常防范黑客的技術(shù)就是抓取一個有問題的數(shù)據(jù)包，然后對其進行分析，從而了解數(shù)據(jù)包的工作方式與原理，最終達到防御的目的。這也常常用于反病毒技術(shù)中，通過抓取病毒特征簽名學(xué)習(xí)病毒的工作方式，最終推出具體的反病毒方案。2023/1/1313.4.1計算機取證工具基于軟件的取證工具查看程序：報告系統(tǒng)盤上的系統(tǒng)文件和文件類型。驅(qū)動器鏡像：普通的文件復(fù)制工具容易錯過隱藏數(shù)據(jù)，而取證軟件可以捕獲所有閑置的空間，未分配領(lǐng)域等，從而避免漏掉隱藏數(shù)據(jù)。磁盤擦：用于強力清除磁盤中的所有內(nèi)容。信息檢索：通過鍵入關(guān)鍵字對大量數(shù)據(jù)快速遍歷以尋找線索。基于硬件的取證工具固定的便攜或輕量級的：筆記本電腦寫阻斷器：可以使偵查員在不關(guān)閉系統(tǒng)的情況下對硬件驅(qū)動器進行移除和重連接操作2023/1/1313.4.2網(wǎng)絡(luò)取證工具Tcpdump可以在大量信息中過濾個別符合條件的數(shù)據(jù)包Strings可以根據(jù)網(wǎng)絡(luò)數(shù)據(jù)傳遞相應(yīng)的信息商用取證工具在網(wǎng)絡(luò)中通過監(jiān)控網(wǎng)絡(luò)中每個端口的流量來監(jiān)控內(nèi)部、外部的