第7章 计算机取证.pptVIP

数据库的操作记录，硬盘驱动的交换 (swap)分区、slack区和空闲区 软件设置，完成特定功能的脚本文件 Web浏览器数据缓冲，书签 历史记录或会话日志、实时聊天记录等等 电子证据的一般特点： 电子证据与传统证据有别的特点： 计算机数据无时无刻不在改变； 计算机数据不是肉眼直观可见的，必须借助适当的工具； 搜集计算机数据的过程，可能会对原始数 据造成很严重的修改; 因电子证据问题是由于技术发展引起的，所以取证步骤和程序也必须不断调整以适应技术的进步。 7.1.2 计算机取证的定义 计算机取证的阶段 定义 物理证据获取是指计算机取证调查人员到计算机犯罪或入侵的现场，寻找并扣留相关的计算机硬件和其他物品； 信息发现是指从原始数据(包括文件，日志等)中寻找可以用来证明或者反驳的证据。 物理证据的获取 加强计算机犯罪的侦查力量和有效起诉 处理证据要注意的法律问题 证据监督链（chain of Custody） 证据收集 证据标识 证据运输 证据存储 记录取证调查工作 电子数据证据的法律性收集 包括： 全面收集原则：这主要是指在刑事诉讼中，既要收集对犯罪嫌疑人、被告人不利的证据，也要收集对其有利的证据，收集过程中要注重对其人权的保护。 民事诉讼中电子证据的收集的程序要求分为法院主持下的收集和当事人的收集; 无论是何种收集方式，在收集时都应当有相关的见证人在场，特别是记载该数据的计算机的操作员或者管理者在场。 7.2计算机取证技术 组成一个UNIX 文件系统的数据分为两类： 在目录项中记录文件名、索引节点号等信息。另外，由于目录项的长度不是固定的，所以目录项中还有专门的变量表示自身的长度。每次建立一个文件就会在目录文件中增加一个新的目录项。 它提供良好的基于Windows的界面； 它能调查Windows、Macintosh、Linux、 UNIX或DOS机器的硬盘，把硬盘中的文件镜像成只读的证据文件，这样可以防止调查人员修改数据而使其成为无效的证据； 为了确定镜像数据与原始数据相同，EnCase会计算CRC校验码并和MD5哈希（Hash）值进行比较。 EnCase对硬盘驱动镜像后重新组织文件结构 ，采用Windows GUI显示文件的内容，允许调查员使用多个工具完成多个任务。 7.2.2 电子证据获取技术 对已删除文件的恢复、重建技术； 对磁盘空间、未分配空间和自由空间中包含的信息的发掘技术； 对交换文件、缓存文件、临时文件中包含的信息的复原技术； 计算机在某一特定时刻活动内存中的数据的搜集技术； 网络流动数据的获取技术等。 硬盘数据的获取 计算机及硬盘数据恢复原理: (1) 文件被删除或系统被格式化时的恢复 (2) 文件损坏时的恢复 (3) 硬盘被加密或变换时的恢复 (4) 缺乏用户口令进入文件系统方法 2. 其余数据恢复策略 (1) 系统不认硬盘 (2) CMOS引起的故障 (3) 主引导程序引起的启动故障 (4) 分区表错误引发的启动故障 (5) 分区有效标志错误的故障 (6) DOS引导系统引起的启动故障 (7) FAT表引起的读写故障  (8) 目录表损坏引起的引导故障  (9) 格式化后硬盘数据的恢复 3. 网络数据获取方法 7.2.3 电子证据数据保全技术 7.2.4 电子证据数据分析技术 根据已经获得的文件或数据的用词、语法和写作（编程）风格，推断出其可能的作者的分析技术； 发掘同一事件的不同证据间的联系的分析技术； 数据解密技术； 密码破译技术； 对电子介质中的被保护信息的强行访问技术等。 1. 文件属性分析技术 其次，在页面篡改时间之后，攻击者可能利用浏览器访问这个网站，观察修改页面是否成功。因此，在此时间之后一小段时间内访问网站的IP地址可能是可疑的IP地址。 2. 文件数字摘要分析技术 文件数字摘要分析技术在计算机证据分析中有如下三个作用： 发现被篡改的文件 攻击者在入侵之后可能替换了系统的关键程序并留下后门或隐藏自己的踪迹。 3. Windows系统中的证据分析 这个选项可以如下配置： ntlast操作命令如下： ntlast –n 50 作用：显示最后50次登录的情况。 ntlast –v 作用：详细显示登录的情况。 ntlast –f –r –n 50 作用：输出最近50次远程错误登录记录。 （2）