信息安全技術(shù)教程第十三章計(jì)算機(jī)與網(wǎng)絡(luò)取證技術(shù)教學(xué)案例

2025/1/29第13章計(jì)算機(jī)與網(wǎng)絡(luò)取證技術(shù)13.1基本概念13.2計(jì)算機(jī)取證技術(shù)13.3網(wǎng)絡(luò)取證13.4取證工具13.5習(xí)題13.1基本概念計(jì)算機(jī)取證計(jì)算機(jī)取證技術(shù)就是在計(jì)算機(jī)的存儲(chǔ)介質(zhì)，如硬盤或其它磁盤中，進(jìn)行信息檢索和調(diào)查。網(wǎng)絡(luò)取證網(wǎng)絡(luò)取證是從網(wǎng)絡(luò)存儲(chǔ)設(shè)備中獲取信息，也就是從網(wǎng)絡(luò)上開(kāi)放的端口中檢索信息來(lái)進(jìn)行調(diào)查。網(wǎng)絡(luò)取證特點(diǎn)網(wǎng)絡(luò)偵查中，雙方對(duì)系統(tǒng)的理解程度是一樣的在網(wǎng)絡(luò)取證的很多情況下，偵查員與罪犯使用的是同種工具。2025/1/2913.2計(jì)算機(jī)取證技術(shù)13.2.1計(jì)算機(jī)取證基本元素13.2.2計(jì)算機(jī)取證過(guò)程13.2.3計(jì)算機(jī)證據(jù)分析2025/1/2913.2.2計(jì)算機(jī)取證過(guò)程尋找證據(jù)痕跡：包括指紋，刀痕，鞋印或其它遺留下來(lái)的痕跡；生物痕跡：包括血跡，毛發(fā)，指甲殼，汗液等；信息痕跡：保存在存儲(chǔ)設(shè)備中的二進(jìn)制數(shù)據(jù)等。處理證據(jù)證據(jù)提取和證據(jù)保管，證據(jù)保管包括包裝，存儲(chǔ)和運(yùn)輸。2025/1/29證據(jù)恢復(fù)盡可能將所有的證據(jù)都收集到，避免重回現(xiàn)場(chǎng)取證對(duì)大容量硬盤中的證據(jù)，有必要在提取時(shí)使用壓縮和復(fù)制的方式對(duì)于每個(gè)項(xiàng)目中提取的證據(jù)，要分配一個(gè)唯一的標(biāo)識(shí)號(hào)，并在每一個(gè)項(xiàng)目上寫出簡(jiǎn)短的介紹當(dāng)所有證據(jù)都被收集并分類整理之后，就要將其存放在一個(gè)安全的位置，來(lái)保證證據(jù)的完好無(wú)損。對(duì)加密證據(jù)可以借助借助各種工具進(jìn)行解密2025/1/29證據(jù)保存將證據(jù)封裝并進(jìn)行歸類，然后放置于無(wú)靜電環(huán)境下。確保封裝后的證據(jù)不會(huì)被過(guò)冷，過(guò)熱或過(guò)濕的環(huán)境所影響。將原始數(shù)據(jù)進(jìn)行備份，對(duì)所有嫌疑存儲(chǔ)介質(zhì)做磁盤鏡像。條件允許情況下，要對(duì)證據(jù)數(shù)據(jù)進(jìn)行加密。加密可同時(shí)被偵查員和罪犯所用。作為罪犯，一般利用加密進(jìn)行內(nèi)容隱藏；作為偵查員，一般利用加密保證證據(jù)的保密性和完整性。存儲(chǔ)證據(jù)時(shí)，要對(duì)證據(jù)執(zhí)行可信的訪問(wèn)控制策略，以確保證據(jù)只能被授權(quán)人員使用。證據(jù)傳輸由于在傳輸過(guò)程中，可信的內(nèi)部人員能夠接觸到證據(jù)，因此為保持監(jiān)管，應(yīng)該檢查沿途所有處理過(guò)證據(jù)的人員的數(shù)字簽名。在傳輸過(guò)程中，要使用一些強(qiáng)大的數(shù)據(jù)隱藏技術(shù)，例如數(shù)據(jù)加密，信息隱藏，密碼保護(hù)等對(duì)證據(jù)進(jìn)行保護(hù)。需要一些方法能夠檢測(cè)出信息證據(jù)在傳輸過(guò)程中是否出現(xiàn)過(guò)更改變動(dòng)。2025/1/2913.2.3計(jì)算機(jī)證據(jù)分析隱藏的證據(jù)已被刪除的數(shù)據(jù)：系統(tǒng)中被刪除的數(shù)據(jù)是可以用十六進(jìn)制編輯器手動(dòng)恢復(fù)的隱藏的文件：數(shù)據(jù)隱藏是取證分析中需要面對(duì)的一個(gè)重大問(wèn)題壞塊：偵查員對(duì)所有的“不良磁道”進(jìn)行檢查之前，不要格式化磁盤，因?yàn)檫@樣有可能會(huì)使“不良磁道”的隱藏信息丟失。隱寫術(shù)：偵查員在取證調(diào)查時(shí)就應(yīng)該將搜查的范圍擴(kuò)大，避免隱藏的信息分散注意力2025/1/29操作系統(tǒng)的證據(jù)分析（1）Microsoft文件系統(tǒng)在對(duì)硬盤信息進(jìn)行映像之前，要對(duì)分析平臺(tái)的所有文件進(jìn)行病毒掃描；在建立硬盤映像之后，繼續(xù)運(yùn)行病毒掃描，包括硬盤驅(qū)動(dòng)器的復(fù)本；恢復(fù)所有刪除的文件，將其保管到一個(gè)安全的位置；對(duì)所有恢復(fù)的證據(jù)進(jìn)行分析和處理。（2）UNIX和Linux文件系統(tǒng)維護(hù)系統(tǒng)中正在運(yùn)行的所有數(shù)據(jù)，保護(hù)系統(tǒng)中運(yùn)行程序的狀態(tài)2025/1/2913.3網(wǎng)絡(luò)取證13.3.1入侵分析2025/1/2913.3.1入侵分析入侵分析就是對(duì)端口掃描以及后門、間諜軟件或木馬等事件進(jìn)行處理，及時(shí)發(fā)現(xiàn)破壞系統(tǒng)安全的行為。目的：回答以下問(wèn)題：誰(shuí)進(jìn)入了系統(tǒng)、采取何種方式進(jìn)入系統(tǒng)、發(fā)生了什么事件、該事件中取得了哪些教訓(xùn)、能否避免同種事件再次發(fā)生。主要功能：收集數(shù)據(jù)與分析數(shù)據(jù)提供服務(wù)：事故應(yīng)急響應(yīng)預(yù)案、應(yīng)急響應(yīng)、入侵?jǐn)?shù)據(jù)的技術(shù)性分析、攻擊工具的逆向追蹤。2025/1/29三個(gè)部分監(jiān)視與警報(bào)：系統(tǒng)達(dá)到實(shí)時(shí)監(jiān)控與報(bào)告的能力修復(fù)與報(bào)告：快速識(shí)別入侵并修復(fù)所有已查明的弱點(diǎn)或及時(shí)阻止攻擊并將該事件上報(bào)給責(zé)任主體追捕與檢舉：對(duì)事件進(jìn)行監(jiān)控，當(dāng)入侵發(fā)生時(shí)及時(shí)收集證據(jù)，并將證據(jù)直接上報(bào)給執(zhí)法部門最終產(chǎn)品包括一系列的文檔，記錄系統(tǒng)的行為活動(dòng)，事發(fā)前系統(tǒng)的配置信息，以及其他一些相關(guān)信息等，如接觸系統(tǒng)的人員名單及人員行為，工具的使用及工具使用者2025/1/29（一）應(yīng)急響應(yīng)預(yù)案（二）應(yīng)急響應(yīng)事件報(bào)告最先發(fā)現(xiàn)事件的人是誰(shuí)，首先采取了哪些響應(yīng)措施。事件控制要盡可能地阻止事件繼續(xù)進(jìn)行，減小事件帶來(lái)的影響步驟：確定受影響的系統(tǒng)，拒絕攻擊者訪問(wèn)，移除流氓進(jìn)程，重新獲取控制。2025/1/29（三）入侵技術(shù)分析特點(diǎn)不同于計(jì)算機(jī)偵查取證，網(wǎng)絡(luò)取證的大部分證據(jù)都不在一個(gè)主機(jī)或一個(gè)存儲(chǔ)設(shè)備中，需要搜索大量的硬盤驅(qū)動(dòng)器和大量的計(jì)算機(jī)。信息來(lái)源網(wǎng)絡(luò)服務(wù)提供商（ISP）：RADIUS記錄有連接分配的IP地址，連接的時(shí)間，連接者的號(hào)碼，登陸名等等電子郵件：郵件上注明了郵件的發(fā)信人地址和收信人地址，郵件服務(wù)器中會(huì)保存具體的信息日志2025/1/29（四）逆向追蹤通常防范黑客的技術(shù)就是抓取一個(gè)有問(wèn)題的數(shù)據(jù)包，然后對(duì)其進(jìn)行分析，從而了解數(shù)據(jù)包的工作方式與原理，最終達(dá)到防御的目的。這也常常用于反病毒技術(shù)中，通過(guò)抓取病毒特征簽名學(xué)習(xí)病毒的工作方式，最終推出具體的反病毒方案。2025/1/2913.4取證工具13.4.1計(jì)算機(jī)取證工具13.4.2網(wǎng)絡(luò)取證工具2025/1/2913.4.1計(jì)算機(jī)取證工具基于軟件的取證工具查看程序：報(bào)告系統(tǒng)盤上的系統(tǒng)文件和文件類型。驅(qū)動(dòng)器鏡像：普通的文件復(fù)制工具容易錯(cuò)過(guò)隱藏?cái)?shù)據(jù)，而取證軟件可以捕獲所有閑置的空間，未分配領(lǐng)域等，從而避免漏掉隱藏?cái)?shù)據(jù)。磁盤擦：用于強(qiáng)力清除磁盤中的所有內(nèi)容。信息檢索：通過(guò)鍵入關(guān)鍵字對(duì)大量數(shù)據(jù)快速遍歷以尋找線索?；谟布娜∽C工具固定的便攜或輕量級(jí)的：筆記本電腦寫阻斷器：可以使偵查員在不關(guān)閉系統(tǒng)的情況下對(duì)硬件驅(qū)動(dòng)器進(jìn)行移除和重連接操作2025/1/2913.4.2網(wǎng)絡(luò)取證工具Tcpdump可以在大量信息中過(guò)濾個(gè)別符合條件的數(shù)據(jù)包Strings可以根據(jù)網(wǎng)絡(luò)數(shù)據(jù)傳遞相應(yīng)的信息商用取證工具在網(wǎng)絡(luò)中通過(guò)監(jiān)控網(wǎng)絡(luò)中每個(gè)端口的流量來(lái)監(jiān)控內(nèi)部、外部的網(wǎng)絡(luò)數(shù)據(jù)，通過(guò)這些數(shù)據(jù)，就可以知道網(wǎng)絡(luò)上的用戶行為與行為對(duì)象。偵查探針2025/1/292025/1/2913.5習(xí)題一、選擇題1.犯罪偵查三個(gè)核心元素中不包括下列哪一項(xiàng)？ A.與案件有關(guān)的材料 B.案件材料的合法性 C.案件材料的邏輯性 D.線索材料2.通過(guò)對(duì)校驗(yàn)和進(jìn)行加