第8章-數(shù)字取證技術(shù)課件

第8章數(shù)字取證技術(shù)8.1數(shù)字取證概述8.2電子證據(jù)8.3數(shù)字取證原則和過程8.4網(wǎng)絡(luò)取證技術(shù)8.5數(shù)字取證常用工具

8.1數(shù)字取證概述隨著計算機(jī)及網(wǎng)絡(luò)技術(shù)的高速發(fā)展和廣泛應(yīng)用，利用計算機(jī)進(jìn)行犯罪也在日趨增加。要想遏制這類犯罪案件的發(fā)生,就需要能證明犯罪的證據(jù),從計算機(jī)中提取證據(jù)成為案件偵破的關(guān)鍵。計算機(jī)取證對于起訴這類犯罪行為至關(guān)重要。計算機(jī)犯罪取證（數(shù)字取證）也被稱為計算機(jī)法醫(yī)學(xué)，是指把計算機(jī)看做犯罪現(xiàn)場，運(yùn)用先進(jìn)的辨析技術(shù)，對電腦犯罪行為進(jìn)行法醫(yī)式的解剖，搜尋確認(rèn)罪犯及其犯罪證據(jù)，并據(jù)此提起訴訟。它作為計算機(jī)領(lǐng)域和法學(xué)領(lǐng)域的一門交叉科學(xué)，正逐漸成為人們關(guān)注的焦點(diǎn)。利用計算機(jī)和其他數(shù)字產(chǎn)品進(jìn)行犯罪的證據(jù)都以數(shù)字形式通過計算機(jī)或網(wǎng)絡(luò)進(jìn)行存儲和傳輸，從而出現(xiàn)了電子證據(jù)。電子證據(jù)是指以電子的、數(shù)字的、電磁的、光學(xué)的或類似性能的相關(guān)技術(shù)形式保存記錄于計算機(jī)、磁性物、光學(xué)設(shè)備或類似設(shè)備及介質(zhì)中或通過以上設(shè)備生成、發(fā)送、接受的能夠證明刑事案件情況的一切數(shù)據(jù)或信息。數(shù)字證據(jù)是指任何使用計算機(jī)存儲和傳輸?shù)臄?shù)據(jù)，用于支持和反駁犯罪發(fā)生的推測，或者用于表述諸如動機(jī)、犯罪現(xiàn)場等的犯罪關(guān)鍵要素。一般情況數(shù)字證據(jù)與電子證據(jù)經(jīng)常交替使用。

數(shù)字取證主要是對電子證據(jù)識別、保存、收集、分析和呈堂，從而揭示與數(shù)字產(chǎn)品相關(guān)的犯罪行為或過失。數(shù)字取證技術(shù)將計算機(jī)調(diào)查和分析技術(shù)應(yīng)用于對潛在的、有法律效力的電子證據(jù)的確定與獲取，同樣它們都是針對黑客和入侵的，目的都是保障網(wǎng)絡(luò)的安全。從計算機(jī)取證技術(shù)的發(fā)展來看，先后有數(shù)字取證（DigitalForensics）、電子取證（ElectricForensics）、計算機(jī)取證（ComputerForensic）、網(wǎng)絡(luò)取證（NetworksForensics）等術(shù)語。1．電子取證電子取證則主要研究除計算機(jī)和網(wǎng)絡(luò)以外的電子產(chǎn)品中的數(shù)字證據(jù)獲取、分析和展示，如數(shù)碼相機(jī)、復(fù)印機(jī)、傳真機(jī)甚至有記憶存儲功能的家電產(chǎn)品等。2.計算機(jī)取證計算機(jī)取證的主要方法有對文件的復(fù)制、被刪除文件的恢復(fù)、緩沖區(qū)內(nèi)容獲取、系統(tǒng)日志分析等等，是一種被動式的事后措施，不特定于網(wǎng)絡(luò)環(huán)境。3．網(wǎng)絡(luò)取證網(wǎng)絡(luò)取證更強(qiáng)調(diào)對網(wǎng)絡(luò)安全的主動防御功能，主要通過對網(wǎng)絡(luò)數(shù)據(jù)流、審計、主機(jī)系統(tǒng)日志等的實時監(jiān)控和分析，發(fā)現(xiàn)對網(wǎng)絡(luò)系統(tǒng)的入侵行為，記錄犯罪證據(jù)，并阻止對網(wǎng)絡(luò)系統(tǒng)的進(jìn)一步入侵。

8.2電子證據(jù)8.2.1電子證據(jù)的特點(diǎn)

電子證據(jù)以文本、圖形、圖像、動畫、音頻、視頻等多種信息形式表現(xiàn)出來。證據(jù)一經(jīng)生成，會在計算機(jī)系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)中留下相關(guān)的痕跡或記錄并被保存于系統(tǒng)自帶日志或第三方軟件形成的日志中。但由于計算機(jī)數(shù)字信息存儲、傳輸不連續(xù)和離散，容易被截取、監(jiān)聽、剪接、刪除，同時還可能由于計算機(jī)系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、物理系統(tǒng)的原因，造成其變化且難有痕跡可尋。刑事電子證據(jù)要求數(shù)字取證應(yīng)遵循電子證據(jù)的特點(diǎn)，嚴(yán)格執(zhí)行證據(jù)規(guī)則，客觀、真實、合法，利用專門工具、專業(yè)人士取證保證。8.2.2數(shù)字證據(jù)存在的問題1.數(shù)字證據(jù)只是片斷或摘要計算機(jī)在工作時產(chǎn)生數(shù)據(jù)冗余只是人們操作電腦的一部分，對于鼠標(biāo)的電擊，鍵盤的敲打是記錄不下來的。所以記錄的數(shù)字證據(jù)只是片斷或摘要。2.容易被改變所有的證據(jù)都要證明它的真實性和惟一性。而電子數(shù)據(jù)證據(jù)的特殊數(shù)據(jù)信息形式，需要計算機(jī)技術(shù)和原有的操作系統(tǒng)環(huán)境才能再現(xiàn)數(shù)據(jù)形式。此外，從目前數(shù)字技術(shù)來說，所有的數(shù)字記錄都很難說明是否是原存儲介質(zhì)中的資料，是否進(jìn)行了修改，在證據(jù)中很難鑒別。目前的做法多是從旁證上同電子證據(jù)一起形成證據(jù)鏈，認(rèn)定犯罪事實。3.模糊的證據(jù)形式

我國《刑事訴訟法》中明確規(guī)定七種形式的證據(jù)：物證、書證；證人證言；被害人陳述；犯罪嫌疑人、被告人供述和辯解；鑒定結(jié)論；勘驗、檢查筆錄；視聽資料。對于日益增多的計算機(jī)犯罪案件中，只能根據(jù)具體的情況把電子證據(jù)作為視聽資料、物證或者書證使用，以便讓電子證據(jù)具有法律根據(jù)，在公安、檢察、法院三家認(rèn)定上也有不同的看法，從而使得在一些案件中即使抓住了犯罪嫌疑人，在移送起訴階段由于對證據(jù)的采信上的不同認(rèn)識而導(dǎo)致認(rèn)定的障礙。8.2.3常見電子設(shè)備中的電子證據(jù)電子證據(jù)幾乎無所不在。如計算機(jī)中的內(nèi)存、硬盤、光盤、移動存儲介質(zhì)、打印機(jī)、掃描儀、帶有記憶存儲功能的家用電器等。在這些存儲介質(zhì)中應(yīng)檢查的應(yīng)用數(shù)據(jù)包括:1．用戶自建的文檔；

2．用戶保護(hù)文檔；

3．計算機(jī)創(chuàng)建的文檔；

4．其他數(shù)據(jù)區(qū)中的數(shù)據(jù)證據(jù)；

5．ISP計算機(jī)系統(tǒng)創(chuàng)建的文檔、ftp文件等。

8.3數(shù)字取證原則和過程8.3.1數(shù)字取證原則

1．盡早搜集證據(jù)，并保證其沒有受到任何破壞；

2．必須保證取證過程中病毒不會被引入到目標(biāo)計算機(jī)；

3．必須保證“證據(jù)連續(xù)性”，即在證據(jù)被正式提交給法庭時必須保證一直能跟蹤證據(jù)，要能夠說明用于拷貝這些證據(jù)的進(jìn)程是可靠、可復(fù)驗的等；

4．整個檢查、取證過程必須是受到監(jiān)督的；

5．必須保證提取出來的證據(jù)不會受到機(jī)械或電磁損害；

6．被取證的對象如果必須運(yùn)行某些商務(wù)程序，只能影響一段有限的時間；

7．應(yīng)當(dāng)尊重不小心獲取的任何私人信息。8.3.2

數(shù)字取證過程

一般可劃分為四個階段：電子證據(jù)的確定和收集、電子證據(jù)的保護(hù)、電子證據(jù)的分析、展示階段。1．電子證據(jù)的確定和收集

要保存計算機(jī)系統(tǒng)的狀態(tài)，避免無意識破壞現(xiàn)場，同時不給犯罪者破壞證據(jù)提供機(jī)會，以供日后分析。包括封存目標(biāo)計算機(jī)系統(tǒng)并避免發(fā)生任何的數(shù)據(jù)破壞或病毒感染，繪制計算機(jī)犯罪現(xiàn)場圖、網(wǎng)絡(luò)拓?fù)鋱D等，在移動或拆卸任何設(shè)備之前都要拍照存檔，為今后模擬和還原犯罪現(xiàn)場提供直接依據(jù)。在這一階段使用的工具軟件由現(xiàn)場自動繪圖軟件、檢測和自動繪制網(wǎng)絡(luò)拓?fù)鋱D軟件等組成。獲取證據(jù)從本質(zhì)上說就是從眾多的未知和不確定性中找到確定性的東西。這一步使用的工具一般是具有磁盤鏡像、數(shù)據(jù)恢復(fù)、解密、網(wǎng)絡(luò)數(shù)據(jù)捕獲等功能的取證工具。要注意以下幾個方面：（1）收集數(shù)據(jù)前首先要咨詢證人使用計算機(jī)的習(xí)慣。（2）可以通過質(zhì)疑來獲取目標(biāo)計算機(jī)網(wǎng)絡(luò)上的相關(guān)信息。（3）咨詢系統(tǒng)管理員和其他可能與計算機(jī)系統(tǒng)有關(guān)的人員，確保掌握了關(guān)于備份系統(tǒng)的所有信息和數(shù)據(jù)可能的儲存位置。（4）不要對硬盤和其他媒介進(jìn)行任何操作，甚至不要啟動它們。（5）必須保護(hù)所有的媒介，對所有媒介進(jìn)行病毒掃描。（6）牢記“已刪除”并不意味著真的刪除了。（7）對不同類型的計算機(jī)采取不同的策略。2．電子證據(jù)的保護(hù)這一階段將使用原始數(shù)據(jù)的精確副本，應(yīng)保證能顯示存在于鏡像中的所有數(shù)據(jù)，而且證據(jù)必須是安全的，有非常嚴(yán)格的訪問控制。為此必須注意以下幾點(diǎn)：（l）通過計算副本和原始證據(jù)的hash值來保證取證的完整性；（2）通過寫保護(hù)和病毒審查文檔來保證數(shù)據(jù)沒有被添加、刪除或修改；（3）使用的硬件和軟件工具都必須滿足工業(yè)上的質(zhì)量和可靠性標(biāo)準(zhǔn)；（4）取證過程必須可以復(fù)驗；（5）數(shù)據(jù)寫入的介質(zhì)在分析過程中應(yīng)當(dāng)寫保護(hù)，以防止被破壞。3.電子證據(jù)的分析具體包括：文件屬性分析技術(shù)；文件數(shù)字摘要分析技術(shù)；日志分析技術(shù)；密碼破譯技術(shù)等。分析階段首先要確定證據(jù)的類型，主要可分為三種：（1）使人負(fù)罪的證據(jù)，支持已知的推測；（2）辨明無罪的證據(jù)，同已知的推測相矛盾；（3）篡改證據(jù)，以證明計算機(jī)系統(tǒng)已被篡改而無法用來作證。4．展示階段給出調(diào)查所得結(jié)論及相應(yīng)的證據(jù)，供法庭作為公訴證據(jù)。還要解釋是如何處理和分析證據(jù)的，以便說明監(jiān)管鏈和方法的徹底性。

目前，計算機(jī)取證所面臨的問題是入侵者的犯罪手段和犯罪技術(shù)的變化，計算機(jī)犯罪取證還需要更高的技術(shù)。

1.數(shù)據(jù)復(fù)制技術(shù)

數(shù)據(jù)復(fù)制包括數(shù)據(jù)備份、數(shù)據(jù)鏡像、拍照、攝像等。如具有視聽資料的證據(jù)，可以采用拍照、攝像的方法對取證全程進(jìn)行拍照、攝像，增加證明力、防止翻供。案發(fā)后，通過數(shù)據(jù)鏡像將備份迅速恢復(fù)到另一臺主機(jī)上，在映像上進(jìn)行分析工作要比在原件上操作更安全。8.3.3數(shù)字取證技術(shù)

2.信息加密技術(shù)

信息加密是信息安全的主要措施之一，數(shù)據(jù)加密技術(shù)是所有網(wǎng)絡(luò)上通信安全所依賴的基本技術(shù)。有：鏈路加密方式、節(jié)點(diǎn)加密方式和端對端加密方式。鏈路加密方式是一般網(wǎng)絡(luò)通信安全主要采取這種方式。鏈路加密方式把網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)報文每一個比特進(jìn)行加密。不但對數(shù)據(jù)報文正文加密，而且把路由信息、校驗和等控制信息全部加密。鏈路加密（LinkEncryption）是指傳輸數(shù)據(jù)僅在數(shù)據(jù)鏈路層上進(jìn)行加密。為了解決數(shù)據(jù)在節(jié)點(diǎn)中是明文的缺點(diǎn)，出現(xiàn)了一種新的加密方式——節(jié)點(diǎn)加密（NodeEncryption）。節(jié)點(diǎn)加密在中間節(jié)點(diǎn)裝有加密/解密保護(hù)裝置，由該裝置完成一個密鑰向另一個密鑰的變換。該方式使得在節(jié)點(diǎn)內(nèi)也不會出現(xiàn)明文。端對端加密方式由發(fā)送方加密的數(shù)據(jù)在沒有到達(dá)最終目的地接受節(jié)點(diǎn)之前是不被解密的，加解密只是在源、目的節(jié)點(diǎn)進(jìn)行。中間各節(jié)點(diǎn)不需要有密碼設(shè)備。因此，同鏈路加密相比，可減少很多密碼設(shè)備。端-端加密（EndtoEndEncryption）是傳輸數(shù)據(jù)在應(yīng)用層上完成加密的加密方式。即端-端加密只能對信息的正文（報文）進(jìn)行加密，而不能對報頭加密。端對端加密方式是將來的發(fā)展趨勢。3.數(shù)據(jù)復(fù)原技術(shù)

電子證據(jù)復(fù)原即對不同程度上數(shù)據(jù)的破壞所進(jìn)行的恢復(fù)，及不可見區(qū)域數(shù)據(jù)的恢復(fù)。大多數(shù)計算機(jī)系統(tǒng)都有自動生成備份數(shù)據(jù)和恢復(fù)數(shù)據(jù)、剩余數(shù)據(jù)的功能，有些重要的數(shù)據(jù)庫安全系統(tǒng)還會為數(shù)據(jù)庫準(zhǔn)備專門的備份。這些系統(tǒng)一般是由專門的設(shè)備、專門的操作管理組成，較難篡改。因此，當(dāng)發(fā)生計算機(jī)犯罪，其中有關(guān)證據(jù)已經(jīng)被修改、破壞時，可以通過對自動備份數(shù)據(jù)和已經(jīng)被處理過的數(shù)據(jù)證據(jù)進(jìn)行比較、恢復(fù)，獲取定案所需證據(jù)。4.數(shù)據(jù)截取技術(shù)

數(shù)據(jù)截取是指在犯罪者進(jìn)行計算機(jī)犯罪的同時，偵查人員利用某些技術(shù)把犯罪證據(jù)進(jìn)行截獲的技術(shù)。數(shù)據(jù)截取就是通過傳輸介質(zhì)進(jìn)行截取，數(shù)據(jù)傳輸分為有線傳輸和無線傳輸，在有線傳輸中采用網(wǎng)絡(luò)監(jiān)聽，網(wǎng)絡(luò)監(jiān)聽需要主機(jī)網(wǎng)卡設(shè)置為混雜模式，主機(jī)就能接受本網(wǎng)段內(nèi)在統(tǒng)一物理通道上傳輸?shù)乃行畔ⅲ瑏慝@取本某次通信中的信息。常用的工具由Sniffer、TCPDump。無線傳輸通道的截獲是通過電磁波捕獲。通過對捕獲的證據(jù)進(jìn)行分析作為犯罪證據(jù)。

5.數(shù)據(jù)欺騙技術(shù)

所采取的手段主要是陷阱和偽裝等。通過構(gòu)造一個虛擬等系統(tǒng)、服務(wù)或環(huán)境誘騙攻擊者對其發(fā)起進(jìn)攻。這種方式多用于網(wǎng)絡(luò)攻擊中的證據(jù)的獲取，在攻擊者不知情的情況下，取證系統(tǒng)就潛伏在這里記錄下攻擊者完整的攻擊流程、路徑等取得證實攻擊或入侵行為的有力證據(jù)。蜜罐和迷網(wǎng)就是廣泛使用的陷阱工具。

6.數(shù)字簽名技術(shù)和數(shù)字時間戳技術(shù)

數(shù)字簽名和數(shù)字時間戳都可以證明數(shù)據(jù)有效性的內(nèi)容。通常要進(jìn)行時間標(biāo)記的信息內(nèi)容包括：被調(diào)查機(jī)器的硬盤的映像文件、關(guān)機(jī)前被保留下來的所有信息、在收集證據(jù)過程中得到的證據(jù)、在可疑機(jī)器上得到的調(diào)查結(jié)果、調(diào)查人員每天得到的副本等。

7.掃描技術(shù)

掃描技術(shù)可分為主機(jī)掃描和網(wǎng)絡(luò)掃描。端口掃描技術(shù)和漏洞掃描技術(shù)是網(wǎng)絡(luò)安全掃描技術(shù)中的兩種核心技術(shù)，并且廣泛運(yùn)用于當(dāng)前較成熟的網(wǎng)絡(luò)掃描器中，如Superscan和X-scan。端口掃描是通過與目標(biāo)系統(tǒng)的TCP/IP端口連接，并查看該系統(tǒng)處于監(jiān)聽或運(yùn)行狀態(tài)的服務(wù)。漏洞掃描通常是在端口掃描的基礎(chǔ)上，對得到的信息進(jìn)行相關(guān)處理，進(jìn)而檢測出目標(biāo)系統(tǒng)存在的安全漏洞。

隨著數(shù)字取證技術(shù)和安全技術(shù)的融合發(fā)展，數(shù)字取證技術(shù)有效地抑制了網(wǎng)絡(luò)安全事件和計算機(jī)犯罪的發(fā)生，我們的網(wǎng)絡(luò)世界將會愈來愈安全和諧。

8.4網(wǎng)絡(luò)取證技術(shù)8.4.1網(wǎng)絡(luò)取證概述

網(wǎng)絡(luò)流的相關(guān)性、數(shù)據(jù)的完整性和包捕獲的速率是網(wǎng)絡(luò)取證、分析首要考慮的事情。相關(guān)性是指在某些環(huán)境下，應(yīng)當(dāng)在捕獲網(wǎng)絡(luò)流時應(yīng)用過濾器去掉不相關(guān)的數(shù)據(jù)。數(shù)據(jù)的完整性要求網(wǎng)絡(luò)取證工具應(yīng)當(dāng)一直監(jiān)控網(wǎng)絡(luò)流。網(wǎng)絡(luò)取證對數(shù)據(jù)的保護(hù)和一般的數(shù)字取證過程要求相同，網(wǎng)絡(luò)取證分析的相關(guān)技術(shù)包括人工智能、機(jī)器學(xué)習(xí)、數(shù)據(jù)挖掘、IDS技術(shù)、蜜阱技術(shù)、SVM和專家系統(tǒng)等。8.4.2網(wǎng)絡(luò)取證模型根據(jù)網(wǎng)絡(luò)攻擊一般過程，網(wǎng)絡(luò)取證模型如圖所示。

8.4.3IDS取證技術(shù)

將計算機(jī)取證結(jié)合到入侵檢測等網(wǎng)絡(luò)安全工具和網(wǎng)絡(luò)體系結(jié)構(gòu)中進(jìn)行動態(tài)取證，可使整個取證過程更加系統(tǒng)并具有智能性和實時性，并且還能迅速做出響應(yīng)。

IDS取證的具體步驟如下:

（l）尋找嗅探器（如sniffer）；（2）尋找遠(yuǎn)程控制程序；（3）尋找黑客可利用的文件共享或通信程序；（4）尋找特權(quán)程序；（5）尋找文件系統(tǒng)的變動；（6）尋找未授權(quán)的服務(wù)；（7）尋找口令文件的變動和新用戶；（8）核對系統(tǒng)和網(wǎng)絡(luò)配置，特別注意過濾規(guī)則；（9）尋找異常文件，這將依賴于系統(tǒng)磁盤容量的大??；（10）查看所有主機(jī)，特別是服務(wù)器；（11）觀察攻擊者，捕獲攻擊者，找出證據(jù)；（12）如果捕獲成功則準(zhǔn)備起訴，如立刻聯(lián)系律師等；（13）做完全的系統(tǒng)備份，將系統(tǒng)備份轉(zhuǎn)移到單用戶模式下，在單用戶模式下制作和驗證備份。在收集證據(jù)過程中，還要監(jiān)視攻擊者，監(jiān)視時要注意以下幾點(diǎn)：（1）最好利用備份作掩護(hù)來暗中監(jiān)視攻擊者，因為攻擊者如果發(fā)現(xiàn)自己被監(jiān)視，就會離開甚至破壞主機(jī)；（2）多查看shell命令歷史記錄，如果攻擊者忘記清除該歷史記錄，就可以清楚地了解他們使用過什么命令；（3）對付攻擊者可以使用“以毒攻毒”的辦法；（4）最后要記住適時退出系統(tǒng)，因為斷開網(wǎng)絡(luò)一兩天是整理系統(tǒng)的最容易的辦法，以提高安全性和日志功能。8.4.4蜜阱取證技術(shù)

蜜阱是包括蜜罐和蜜網(wǎng)等以誘騙技術(shù)為核心的網(wǎng)絡(luò)安全技術(shù)。它是一種精心設(shè)計的誘騙系統(tǒng)，當(dāng)黑客攻擊時，它能夠監(jiān)視攻擊者的行徑、策略、工具和目標(biāo)，從而自動收集相關(guān)的電子證據(jù)，實現(xiàn)實時網(wǎng)絡(luò)取證。利用蜜阱進(jìn)行取證分析時，一般遵循如下原則和步驟：

1．確定攻擊的方法、日期和時間（假設(shè)IDS的時鐘和NTP參考時間源同步）；

2．盡可能多地確定有關(guān)入侵者的信息；

3．列出所有入侵者添加或修改的文件，并對這些程序（包括末編譯或未重組部分，因為這些部分可能對確定函數(shù)在此事件中的作用和角色有幫助）進(jìn)行分析。

4．建立一條事件時間線，對系統(tǒng)行為進(jìn)行詳細(xì)分析，注意確認(rèn)證據(jù)的來源；

5．給出適合管理層面或新聞媒體需要的報告；

6．對事故進(jìn)行費(fèi)用估計。

8.4.5模糊專家系統(tǒng)取證技術(shù)

Jun-SunKim等人開發(fā)了一個基于模糊專家系統(tǒng)的網(wǎng)絡(luò)取證系統(tǒng)，由六個組件組成，如教材P214圖8-4所示。

1．網(wǎng)絡(luò)流分析器組件。完成網(wǎng)絡(luò)流的捕獲和分析，它要求捕獲所有的網(wǎng)絡(luò)流，為了保證數(shù)據(jù)的完整性。分析器應(yīng)用規(guī)則對捕獲的網(wǎng)絡(luò)流進(jìn)行重組，這種分類數(shù)據(jù)包的規(guī)則是協(xié)議相同的和時間連續(xù)的。

2．知識庫組件。存儲模糊推理引擎所使用的模糊規(guī)則，其形式為：IFX1=A1andX2=A2…andXn=AnTHENY=Z

3．模糊化組件。確定每個語義變量的模糊集所定義的隸屬函數(shù)和每個模糊集中輸入值的隸屬度。

4．模糊推理引擎組件。當(dāng)所有的輸入值被模糊化為各自的語義變量，模糊推理引擎訪問模糊規(guī)則庫，進(jìn)行模糊運(yùn)算，導(dǎo)出各語義變量的值。

5．反模糊化組件。運(yùn)用“最小-最大”運(yùn)算產(chǎn)生輸出值，作為取證分析器的輸入。

6．取證分析器。判斷捕獲的數(shù)據(jù)包是否存在攻擊，它的主要功能是收集數(shù)據(jù)、分析相關(guān)信息，并且生成數(shù)字證據(jù)。8.4.6SVM取證技術(shù)

SVM取證技術(shù)是為了發(fā)現(xiàn)信息行為的關(guān)鍵特征，去除無意義的噪聲，有助于減少信息存儲量，提高計算速度等。同時，網(wǎng)絡(luò)取證應(yīng)該是主動的防御，對未知的網(wǎng)絡(luò)攻擊具有識別和取證能力。

SVM特征選擇的基本思想是：

1．選擇訓(xùn)練集和測試集，對每個特征重復(fù)以下步驟；

2．從訓(xùn)練集和測試集中刪除該特征；

3．使用結(jié)果數(shù)據(jù)集訓(xùn)練分類器（SVM）；

4．根據(jù)既定的性能準(zhǔn)則，使用測試集分析分類器的性能；

5．根據(jù)規(guī)則標(biāo)記該特征的重要性等級。

8.4.7惡意代碼技術(shù)惡意代碼指能夠長期潛伏、秘密竊取敏感信息的有害代碼程序，應(yīng)用同樣的原理，可以設(shè)計用來進(jìn)行取證。

8.5數(shù)字取證常用工具

計算機(jī)取證技術(shù)也日益成熟，各種計算機(jī)取證軟件、計算機(jī)取證工具層出不窮，僅僅針對邏輯層的就有Guidance的Encase、AccessData的FTK、FINALData的FINALForensics等諸多軟件，針對物理層的計算機(jī)取證工具也不勝枚舉，但是要達(dá)到更有效打擊計算機(jī)犯罪的目的，法證界迫切需要多元化的計算機(jī)取證綜合解決方案。計算機(jī)取證的相關(guān)工具包括一般工具軟件，如用于檢測分區(qū)的工具軟件、殺毒軟件、各種壓縮工具軟件等。還有取證專用工具軟件，如文件瀏覽器、圖片檢查工具、反刪除工具、CD-ROM工具、磁盤擦除工具等。

Encaee自稱是唯一一個完全集成的基于Windows界面的取證應(yīng)用程序，是專業(yè)的計算機(jī)取證工具，包括Encase取證版解決方案和Encase企業(yè)版解決方案。

Encase取證版解決方案是國際領(lǐng)先的