计算机网络安全第十章(计算机取证)课件.pptVIP

计算机取证 定义 电子证据 取证原则 取证步骤 取证方法 证据分析 常用工具 法律问题 一个案例 — 案例情况 广东省阳江市一网民梁瑞本因被控乱发色情图片被当地公安部门罚款1500元；梁瑞本则称是黑客入侵系统后，利用他的机器向外乱发色情图片，他据此向阳江市江城区法院递交行政起诉状，请求撤消阳江市公安局对他的处罚。（金羊网-新快报，新浪转载） 一个案例 — 破案过程 1月17日，该局接到市民投诉，有人给她发送含有7张色情图片的电子邮件。随后网络警察通过查看邮件信息和市电信局服务器日志记录，发现了发送该色情图片的电脑IP地址。而依据该IP地址，查知该IP地址属梁瑞本的电脑。经向梁本人询问，在投诉人接到邮件的时间内，梁正在家里上网。带走他的电脑，并在其电脑中发现了那些色情图片。 一个案例 — 认定依据 公安局认为：IP地址在网上具有唯一性、排它性，因此可以证明该邮件正是梁所发。公安局在一个月后依据有关法规对梁作出1500元的处罚。公安局向法庭提交了关于从电信及投诉人处下载的证据材料。 一个案例 — 案例分析 取证分析不合理（直接在原始介质上进行分析） 破坏了证据的原始性； 可能导致证据破坏，例如属性变化； 可能导致证据丢失，例如磁盘空间的覆盖（碎片、恢复）。 证据不充分，可以获取更多的证据 通过网络取证（例如监控、sniffer等）获取更多的证据； 现场的其它存储介质，各种纸张、信函等； 在磁盘上寻找其它的辅助证据，例如：浏览器的记录、聊天记录等； 通过磁盘恢复和磁盘碎片分析寻找其它证据。 判定的依据不合理 单依据IP地址来判断网络行为并不科学。 什么是计算机取证？ 计算机取证（Computer Forensics）也称计算机法医学，它是指运用计算机辨析技术，对计算机犯罪行为进行分析以确认罪犯及电子证据，并据此提起诉讼。也就是针对计算机入侵与犯罪，进行证据获取、保存、分析和出示。 有什么意义？ 计算机取证在网络安全中属于主动防御安全技术，极具挑战性和发展性，在构建对入侵者有威慑力的网络安全主动防御系统时，具有重大的意义。 电子证据 电子证据的概念 电子证据的特点 常见电子证据 计算机证据国际组织（IOCE） 电子证据 法庭上可能成为证据的以二进制形式存储或传送的信息。 原始电子证据 查封计算机犯罪现场时，相关物理介质及其存储的数据对象。 电子证据副本 原始物理介质上获取的所有数据对象的完全拷贝。 拷贝 独立于物理介质，包含在数据对象中的信息的精确复制。 国内法学界 电子证据 在计算机或计算机系统运行过程中产生的以其记录的内容来证明案件事实的电磁记录物。 计算机证据 国内外很多业界人士、专家将电子证据称为计算机证据。 数字证据 是电子证据的一种，是主要的电子证据类型。 电子证据和传统证据 与传统证据一样，电子证据必须是：可信的、准确的、完整的、符合法律法规的，即可为法庭所接受的。电子证据和其他种类的证据一样，具有证明案件事实的能力。而且在某些情况下电子证据可能是唯一的证据。但是电子证据与其他种类的证据相比有其自身的特点。 电子证据的特点 — 之一 表现形式的多样性 电子证据可以以文本、图形、图像、动画、音频、视频等多媒体信息出现，但其实质是以一定格式存储在存储介质上的二进制代码，其形成和还原都要借助于计算机设备。 存储介质的电子性 电子证据依据计算机技术产生，化为一组组电子信息存储在特定的电子介质上，它的产生和重现必须依赖于这些特定的电子介质。这也正是电子证据的弱点，直接削弱了它的证明力度。 电子证据的特点 — 之二 准确性 如果没有人为的蓄意修改或毁坏，电子证据能准确地反映整个事件的完整过程和每一个细节，准确度非常高。 脆弱性 电子证据可以轻易地被改动，并且不会留下任何痕迹；而且，电子证据还很容易受到电磁攻击。电子证据的这种特点，使得计算机犯罪的作案行为变得更加容易而且事后追踪和复原变得更困难。 电子证据的特点 — 之三 数据的挥发性 在收集电子证据时必须充分考虑到数据的挥发性，即应在数据的有效期内及时收集数据。 电子证据的高科技性