1、2020/8/7,第13章 計算機與網絡取證技術,13.1 基本概念 13.2 計算機取證技術 13.3 網絡取證 13.4 取證工具 13.5 習題,13.1 基本概念,計算機取證 計算機取證技術就是在計算機的存儲介質，如硬盤或其它磁盤中，進行信息檢索和調查。 網絡取證 網絡取證是從網絡存儲設備中獲取信息，也就是從網絡上開放的端口中檢索信息來進行調查。 網絡取證特點 網絡偵查中，雙方對系統(tǒng)的理解程度是一樣的 在網絡取證的很多情況下，偵查員與罪犯使用的是同種工具。,2020/8/7,13.2 計算機取證技術,13.2.1 計算機取證基本元素 13.2.2 計算機取證過程 13.2.3 計算機證

2、據分析,2020/8/7,13.2.1 計算機取證基本元素,線索材料 物理材料：文件、信封、箱子 電子材料：硬盤中的數(shù)據、電子郵件的內容、電子郵件的地址、附件和網站日志文件、已經刪除掉的文件、加密數(shù)據 相關信息 確定哪些信息與案件相關。 合法性 數(shù)據的合法性問題與數(shù)據的關聯(lián)性問題是一致的，其同樣基于數(shù)據的認證過程。,2020/8/7,13.2.2 計算機取證過程,尋找證據 痕跡：包括指紋，刀痕，鞋印或其它遺留下來的痕跡； 生物痕跡：包括血跡，毛發(fā)，指甲殼，汗液等； 信息痕跡：保存在存儲設備中的二進制數(shù)據等。 處理證據 證據提取和證據保管，證據保管包括包裝，存儲和運輸。,2020/8/7,證據恢

3、復 盡可能將所有的證據都收集到，避免重回現(xiàn)場取證 對大容量硬盤中的證據，有必要在提取時使用壓縮和復制的方式 對于每個項目中提取的證據，要分配一個唯一的標識號，并在每一個項目上寫出簡短的介紹 當所有證據都被收集并分類整理之后，就要將其存放在一個安全的位置，來保證證據的完好無損。 對加密證據可以借助借助各種工具進行解密,2020/8/7,證據保存 將證據封裝并進行歸類，然后放置于無靜電環(huán)境下。確保封裝后的證據不會被過冷，過熱或過濕的環(huán)境所影響。 將原始數(shù)據進行備份，對所有嫌疑存儲介質做磁盤鏡像。 條件允許情況下，要對證據數(shù)據進行加密。加密可同時被偵查員和罪犯所用。作為罪犯，一般利用加密進行內容隱藏

4、；作為偵查員，一般利用加密保證證據的保密性和完整性。 存儲證據時，要對證據執(zhí)行可信的訪問控制策略，以確保證據只能被授權人員使用。 證據傳輸 由于在傳輸過程中，可信的內部人員能夠接觸到證據，因此為保持監(jiān)管，應該檢查沿途所有處理過證據的人員的數(shù)字簽名。 在傳輸過程中，要使用一些強大的數(shù)據隱藏技術，例如數(shù)據加密，信息隱藏，密碼保護等對證據進行保護。 需要一些方法能夠檢測出信息證據在傳輸過程中是否出現(xiàn)過更改變動。,2020/8/7,13.2.3 計算機證據分析,隱藏的證據 已被刪除的數(shù)據：系統(tǒng)中被刪除的數(shù)據是可以用十六進制編輯器手動恢復的 隱藏的文件：數(shù)據隱藏是取證分析中需要面對的一個重大問題 壞塊：

5、偵查員對所有的“不良磁道”進行檢查之前，不要格式化磁盤，因為這樣有可能會使“不良磁道”的隱藏信息丟失。 隱寫術：偵查員在取證調查時就應該將搜查的范圍擴大，避免隱藏的信息分散注意力,2020/8/7,操作系統(tǒng)的證據分析 （1）Microsoft文件系統(tǒng) 在對硬盤信息進行映像之前，要對分析平臺的所有文件進行病毒掃描； 在建立硬盤映像之后，繼續(xù)運行病毒掃描，包括硬盤驅動器的復本； 恢復所有刪除的文件，將其保管到一個安全的位置； 對所有恢復的證據進行分析和處理。 （2）UNIX和Linux文件系統(tǒng) 維護系統(tǒng)中正在運行的所有數(shù)據，保護系統(tǒng)中運行程序的狀態(tài),2020/8/7,13.3 網絡取證,13.3.

6、1 入侵分析,2020/8/7,13.3.1 入侵分析,入侵分析就是對端口掃描以及后門、間諜軟件或木馬等事件進行處理，及時發(fā)現(xiàn)破壞系統(tǒng)安全的行為。 目的：回答以下問題：誰進入了系統(tǒng)、采取何種方式進入系統(tǒng)、發(fā)生了什么事件、該事件中取得了哪些教訓、能否避免同種事件再次發(fā)生。 主要功能：收集數(shù)據與分析數(shù)據 提供服務：事故應急響應預案、應急響應、入侵數(shù)據的技術性分析、攻擊工具的逆向追蹤。,2020/8/7,三個部分 監(jiān)視與警報：系統(tǒng)達到實時監(jiān)控與報告的能力 修復與報告：快速識別入侵并修復所有已查明的弱點或及時阻止攻擊并將該事件上報給責任主體 追捕與檢舉：對事件進行監(jiān)控，當入侵發(fā)生時及時收集證據，并將證

7、據直接上報給執(zhí)法部門 最終產品 包括一系列的文檔，記錄系統(tǒng)的行為活動，事發(fā)前系統(tǒng)的配置信息，以及其他一些相關信息等，如接觸系統(tǒng)的人員名單及人員行為，工具的使用及工具使用者,2020/8/7,（一）應急響應預案,（二）應急響應,事件報告 最先發(fā)現(xiàn)事件的人是誰，首先采取了哪些響應措施。 事件控制 要盡可能地阻止事件繼續(xù)進行，減小事件帶來的影響 步驟：確定受影響的系統(tǒng)，拒絕攻擊者訪問，移除流氓進程，重新獲取控制。,2020/8/7,（三）入侵技術分析,特點 不同于計算機偵查取證，網絡取證的大部分證據都不在一個主機或一個存儲設備中，需要搜索大量的硬盤驅動器和大量的計算機。 信息來源 網絡服務提供商（I

8、SP）：RADIUS記錄有連接分配的IP地址，連接的時間，連接者的號碼，登陸名等等 電子郵件：郵件上注明了郵件的發(fā)信人地址和收信人地址，郵件服務器中會保存具體的信息日志,2020/8/7,（四）逆向追蹤,通常防范黑客的技術就是抓取一個有問題的數(shù)據包，然后對其進行分析，從而了解數(shù)據包的工作方式與原理，最終達到防御的目的。這也常常用于反病毒技術中，通過抓取病毒特征簽名學習病毒的工作方式，最終推出具體的反病毒方案。,2020/8/7,13.4 取證工具,13.4.1 計算機取證工具 13.4.2 網絡取證工具,2020/8/7,13.4.1 計算機取證工具,基于軟件的取證工具 查看程序：報告系統(tǒng)盤上

9、的系統(tǒng)文件和文件類型。 驅動器鏡像：普通的文件復制工具容易錯過隱藏數(shù)據，而取證軟件可以捕獲所有閑置的空間，未分配領域等，從而避免漏掉隱藏數(shù)據。 磁盤擦：用于強力清除磁盤中的所有內容。 信息檢索：通過鍵入關鍵字對大量數(shù)據快速遍歷以尋找線索。 基于硬件的取證工具 固定的 便攜或輕量級的：筆記本電腦 寫阻斷器：可以使偵查員在不關閉系統(tǒng)的情況下對硬件驅動器進行移除和重連接操作,2020/8/7,13.4.2 網絡取證工具,Tcpdump 可以在大量信息中過濾個別符合條件的數(shù)據包 Strings 可以根據網絡數(shù)據傳遞相應的信息 商用取證工具 在網絡中通過監(jiān)控網絡中每個端口的流量來監(jiān)控內部、外部的網絡數(shù)據，通過這些數(shù)據，就可以知道網絡上的用戶行為與行為對象。 偵查探針,2020/8/7,2020/8/7,13.5 習題,一、選擇題 1. 犯罪偵查三個核心元素中不包括下列哪一項？ A. 與案件有關的材料 B. 案件材料的合法性 C. 案件材料的邏輯性 D.