1、第8章數(shù)字取證技術(shù)第8章 數(shù)字取證技術(shù)8.1 數(shù)字取證概述8.2 電子證據(jù)8.3 數(shù)字取證原則和過程8.4 網(wǎng)絡(luò)取證技術(shù)8.5 數(shù)字取證常用工具-9-第8章數(shù)字取證技術(shù)8.1 數(shù)字取證概述數(shù)字取證技術(shù)將計算機調(diào)查和分析技術(shù)應(yīng)用于對潛在的、有法律效力的電子證據(jù)的確定與獲取，同樣它們都是針對 和入侵的，目的都是保障網(wǎng)絡(luò)的安全。從計算機取證技術(shù)的發(fā)展來看，先后有數(shù)字取證（Digital Forensics）、電子取證（Electric Forensics）、計算機取證（Computer Forensic）、網(wǎng)絡(luò)取證（Networks Forensics）等術(shù)語。第8章數(shù)字取證技術(shù)1. 電子取證電子取

2、證則主要研究除計算機和網(wǎng)絡(luò)以外的電子產(chǎn)品中的數(shù)字證據(jù)獲取、分析和展示，如數(shù)碼相機、復印機、傳真機甚至有記憶存儲功能的家電產(chǎn)品等。2. 計算機取證計算機取證的主要方法有對文件的復制、被刪除文件的恢復、緩沖區(qū)內(nèi)容獲取、系統(tǒng)日志分析等等，是一種被動式的事后措施，不特定于網(wǎng)絡(luò)環(huán)境。第8章數(shù)字取證技術(shù)3. 網(wǎng)絡(luò)取證網(wǎng)絡(luò)取證更強調(diào)對網(wǎng)絡(luò)安全的主動防御功能， 主要通過對網(wǎng)絡(luò)數(shù)據(jù)流、審計、主機系統(tǒng)日志等 的實時監(jiān)控和分析，發(fā)現(xiàn)對網(wǎng)絡(luò)系統(tǒng)的入侵行為， 記錄 證據(jù)，并阻止對網(wǎng)絡(luò)系統(tǒng)的進一步入侵。第8章數(shù)字取證技術(shù)8.2 電子證據(jù)8.2.1 電子證據(jù)的概念電子證據(jù)是在計算機或計算機系統(tǒng)運行過程中產(chǎn)生的以其記錄的內(nèi)容

3、來證明 事實的電磁記錄物。8.2.2 電子證據(jù)的特點 1表現(xiàn)形式的多樣性2存儲介質(zhì)的電子性3 準 確 性 4脆弱性第8章數(shù)字取證技術(shù)5數(shù)據(jù)的揮發(fā)性8.2.3 常見電子設(shè)備中的電子證據(jù)電子證據(jù)幾乎無所不在。如計算機中的內(nèi)存、硬盤、光盤、移動存儲介質(zhì)、打印機、掃描儀、 帶有記憶存儲功能的家用電器等。在這些存儲介質(zhì)中應(yīng)檢查的應(yīng)用數(shù)據(jù)包括: 1用戶自建的文檔；2. 用戶保護文檔；3. 計算機創(chuàng)建的文檔；4. 其他數(shù)據(jù)區(qū)中的數(shù)據(jù)證據(jù)；5. ISP計算機系統(tǒng)創(chuàng)建的文檔、ftp文件等。第8章數(shù)字取證技術(shù)8.3 數(shù)字取證原則和過程8.3.1 數(shù)字取證原則1. 盡早搜集證據(jù)，并保證其沒有受到任何破壞；2. 必須

4、保證取證過程中計算機病毒不會被引入到目標計算機；3. 必須保證“證據(jù)連續(xù)性”，即在證據(jù)被正式提交給法庭時必須保證一直能跟蹤證據(jù)，要能夠說明用于拷貝這些證據(jù)的進程是可靠、可復驗的等；第8章數(shù)字取證技術(shù)4. 整個檢查、取證過程必須是受到監(jiān)督的；5. 必須保證提取出來的可能有用的證據(jù)不會受到機械或電磁損害；6. 被取證的對象如果必須運行某些商務(wù)程序，只能影響一段有限的時間；8.3.2 數(shù)字取證過程數(shù)字取證的過程一般可劃分為四個階段：1. 電子證據(jù)的確定和收集第8章數(shù)字取證技術(shù)要保存計算機系統(tǒng)的狀態(tài)，避免無意識破壞現(xiàn)場，同時不給 者破壞證據(jù)提供機會，以供日后分析。要注意以下幾個方面：（1） 收集數(shù)據(jù)前

5、首先要咨詢證人使用計算機的習慣。（2） 可以通過質(zhì)疑來獲取目標計算機網(wǎng)絡(luò)上的相關(guān)信息。（3） 咨詢系統(tǒng)管理員和其他可能與計算機系統(tǒng)有關(guān)系的人員，再次確保掌握了關(guān)于備份系統(tǒng)的所有信息和數(shù)據(jù)可能的儲存位置。第8章數(shù)字取證技術(shù)（4） 不要對硬盤和其他媒介進行任何操作， 甚至不要啟動它們。（5） 必須保護所有的媒介，對所有媒介進行病毒掃描。（6） 牢記“已刪除”并不意味著真的刪除了。（7） 對不同類型的計算機采取不同的策略。2. 電子證據(jù)的保護這一階段將使用原始數(shù)據(jù)的精確副本，應(yīng)保證能顯示存在于鏡像中的所有數(shù)據(jù)，而且證據(jù)必須是安全的，有非常嚴格的訪問控制。為此必須注意以下幾點：-31-第8章數(shù)字取證技

6、術(shù)（l）通過計算副本和原始證據(jù)的hash值來保證取證的完整性；（2） 通過寫保護和病毒審查文檔來保證數(shù)據(jù)沒有被添加、刪除或修改；（3） 使用的硬件和軟件工具都必須滿足工業(yè)上的質(zhì)量和可靠性標準；（4） 取證過程必須可以復驗；（5） 數(shù)據(jù)寫入的介質(zhì)在分析過程中應(yīng)當寫保護，以防止被破壞。第8章數(shù)字取證技術(shù)3. 電子證據(jù)的分析具體包括：文件屬性分析技術(shù)；文件數(shù)字摘要分析技術(shù)；日志分析技術(shù)； 破譯技術(shù)等。分析階段首先要確定證據(jù)的類型，主要可分為三種：（1） 使人負罪的證據(jù)，支持已知的推測；（2） 辨明無罪的證據(jù)，同已知的推測相矛盾；（3） 篡改證據(jù)，以證明計算機系統(tǒng)已被篡改而無法用來作證。第8章數(shù)字取證

7、技術(shù)4. 展示階段給出調(diào)查所得結(jié)論及相應(yīng)的證據(jù)，供法庭作 為公訴證據(jù)。還要解釋是如何處理和分析證據(jù)的， 以便說明監(jiān)管鏈和方法的徹底性。第8章數(shù)字取證技術(shù)8.4 網(wǎng)絡(luò)取證技術(shù)8.4.1 網(wǎng)絡(luò)取證概述網(wǎng)絡(luò)流的相關(guān)性、數(shù)據(jù)的完整性和包捕獲的速率是網(wǎng)絡(luò)取證、分析首要考慮的事情。相關(guān)性是指在某些環(huán)境下，應(yīng)當在捕獲網(wǎng)絡(luò)流時應(yīng)用過濾器去掉不相關(guān)的數(shù)據(jù)。數(shù)據(jù)的完整性要求網(wǎng)絡(luò)取證工具應(yīng)當一直監(jiān)控網(wǎng)絡(luò)流。網(wǎng)絡(luò)取證對數(shù)據(jù)的保護和一般的數(shù)字取證過程要求相同，網(wǎng)絡(luò)取證分析的相關(guān)技術(shù)包括人工智能、機器學習、數(shù)據(jù)挖掘、IDS技術(shù)、蜜阱技術(shù)、SVM和專家系統(tǒng)等。第8章數(shù)字取證技術(shù)8.4.2 網(wǎng)絡(luò)取證模型。根據(jù)網(wǎng)絡(luò)攻擊一般過程

8、，網(wǎng)絡(luò)取證模型如圖所示第8章數(shù)字取證技術(shù)8.4.3 IDS取證技術(shù)將計算機取證結(jié)合到入侵檢測等網(wǎng)絡(luò)安全工具和網(wǎng)絡(luò)體系結(jié)構(gòu)中進行動態(tài)取證，可使整個取證過程更加系統(tǒng)并具有智能性和實時性，并且還能迅速做出響應(yīng)。IDS取證的具體步驟如下:（l）尋找嗅探器（如sniffer）；（2） 尋找遠程控制程序；（3） 尋找 可利用的文件共享或通信程序；（4） 尋找 程序；第8章數(shù)字取證技術(shù)（5） 尋找文件系統(tǒng)的變動；（6） 尋找未授權(quán)的服務(wù)；（7） 尋找口令文件的變動和新用戶；（8） 核對系統(tǒng)和網(wǎng)絡(luò)配置，特別注意過濾規(guī)則；（9） 尋找異常文件，這將依賴于系統(tǒng)磁盤容量的大??；（10） 查看所有主機，特別是服務(wù)器；

9、第8章數(shù)字取證技術(shù)（11）觀察攻擊者，捕獲攻擊者，找出證據(jù)；（12）如果捕獲成功則準備 ，如立刻聯(lián)系律師等；（13）做完全的系統(tǒng)備份，將系統(tǒng)備份轉(zhuǎn)移到單用戶模式下，在單用戶模式下制作和驗證備份。在收集證據(jù)過程中，還要監(jiān)視攻擊者，監(jiān)視時要注意以下幾點：第8章數(shù)字取證技術(shù)（1）最好利用備份作掩護來監(jiān)視攻擊者，因為攻擊者如果發(fā)現(xiàn)自己被監(jiān)視，就會離開甚至破壞主機；（2） 多查看shell命令歷史記錄，如果攻擊者忘記清除該歷史記錄，就可以清楚地了解他們使用過什么命令；（3） 對付攻擊者可以使用“以毒攻毒”的辦法；（4） 最后要記住適時退出系統(tǒng)，因為斷開網(wǎng)絡(luò)一兩天是整理系統(tǒng)的最容易的辦法，以提高安全性和日

10、志功能。第8章數(shù)字取證技術(shù)8.4.4 蜜阱取證技術(shù)蜜阱是包括蜜罐和蜜網(wǎng)等以誘騙技術(shù)為核心 的網(wǎng)絡(luò)安全技術(shù)。它是一種精心設(shè)計的誘騙系統(tǒng)， 當 攻擊時，它能夠監(jiān)視攻擊者的行徑、策略、工具和目標，從而自動收集相關(guān)的電子證據(jù)，實 現(xiàn)實時網(wǎng)絡(luò)取證。利用蜜阱進行取證分析時，一般遵循如下原則和步驟：1. 確定攻擊的方法、日期和時間（假設(shè)IDS的時鐘和NTP參考時間源同步）；第8章數(shù)字取證技術(shù)2. 盡可能多地確定有關(guān)入侵者的信息；3. 列出所有入侵者添加或修改的文件，并對這些程序（包括末編譯或未重組部分，因為這些部分可能對確定函數(shù)在此 中的作用和角色有幫助）進行分析4. 建立一條 時間線，對系統(tǒng)行為進行詳細分

11、析，注意確認證據(jù)的來源；5. 給出適合管理層面或新聞媒體需要的報告；6. 對事故進行費用估計。第8章數(shù)字取證技術(shù)8.4.5 模糊專家系統(tǒng)取證技術(shù)Jun-Sun Kim等人開發(fā)了一個基于模糊專家系統(tǒng)的網(wǎng)絡(luò)取證系統(tǒng)，由六個組件組成，如圖8-4所示。1. 網(wǎng)絡(luò)流分析器組件。完成網(wǎng)絡(luò)流的捕獲和分析，它要求捕獲所有的網(wǎng)絡(luò)流，為了保證數(shù)據(jù)的完整性。分析器應(yīng)用規(guī)則對捕獲的網(wǎng)絡(luò)流進行重組， 這種分類數(shù)據(jù)包的規(guī)則是協(xié)議相同的和時間連續(xù)的。第8章數(shù)字取證技術(shù)2. 知識庫組件。存儲模糊推理引擎所使用的模糊規(guī)則，其形式為：IF X1=A1 and X2=A2and Xn=An THEN Y=Z3. 模糊化組件。確定每

12、個語義變量的模糊集所定義的隸屬函數(shù)和每個模糊集中輸入值的隸屬度。4. 模糊推理引擎組件。當所有的輸入值被 模糊化為各自的語義變量，模糊推理引擎訪問模 糊規(guī)則庫，進行模糊運算，導出各語義變量的值。第8章數(shù)字取證技術(shù)5. 反模糊化組件。運用“最小-最大”運算產(chǎn)生輸出值，作為取證分析器的輸入。6. 取證分析器。判斷捕獲的數(shù)據(jù)包是否存在攻擊，它的主要功能是收集數(shù)據(jù)、分析相關(guān)信息，并且生成數(shù)字證據(jù)。8.4.6 SVM取證技術(shù)SVM取證技術(shù)是為了發(fā)現(xiàn)信息行為的關(guān)鍵特征，去除無意義的噪聲，有助于減少信息存儲量，提高計算速度等。同時，網(wǎng)絡(luò)取證應(yīng)該是主動的防御，對未知的網(wǎng)絡(luò)攻擊具有識別和取證能力。第8章數(shù)字取證

13、技術(shù)SVM特征選擇的基本思想是：1. 選擇訓練集和測試集，對每個特征重復以下步驟；2. 從訓練集和測試集中刪除該特征；3. 使用結(jié)果數(shù)據(jù)集訓練分類器（SVM）；4. 根據(jù)既定的性能準則，使用測試集分析分類器的性能；5. 根據(jù)規(guī)則標記該特征的重要性等級。第8章數(shù)字取證技術(shù)8.4.7 惡意代碼技術(shù)惡意代碼指能夠長期潛伏、 竊取敏感信息的有害代碼程序，應(yīng)用同樣的原理，可以設(shè)計用來進行取證。第8章數(shù)字取證技術(shù)8.5 數(shù)字取證常用工具可以用作計算機取證常見工具有Tcpdump、NetMonitor等， Encaee是專業(yè)的計算機取證工具。Encase軟件包括Encase取證版解決方案和Encase企業(yè)版

14、解決方案。Encase取證版解決方案是國際領(lǐng)先的受 認可的計算機調(diào)查取證的工具。具有以下主要特性:（1） 支持并能管理易變的時區(qū)；（2） 能分析UNIX和LINUX的系統(tǒng)文件；第8章數(shù)字取證技術(shù)（3） 能查看并搜索NTFS壓縮文件，能檢測NTFS文件系統(tǒng)中的附加分區(qū)中的信息；（4） 允許查看NTFS文件/文件夾的所有者和訪問權(quán)；（5） 允許用戶限制其可查看的數(shù)據(jù)，并能保護數(shù)據(jù)；（6） 良好的EnScript程序界面，編輯和調(diào)試代碼的操作更加方便；（7） 可以隱藏用戶定義的扇區(qū)或提前讀取一定數(shù)量的扇區(qū)，從而提高導航函數(shù)的速度；第8章數(shù)字取證技術(shù)（8） 多個關(guān)鍵詞搜索算法能夠動態(tài)加快搜索速度；（9） 支持RAID，了解動態(tài)磁盤分區(qū)結(jié)構(gòu)并能處理所有可能的配置。E