信息与网络安全教学课件作者程光第14章计算机取证解答.ppt

;计算机取证概述;在案件调查的过程中，硬盘驱动器往往包含了关键的犯罪证据； 对电子邮件和即时消息?工具等通信手段的分析； Internet取证：研究重心与计算机取证略有不同，它的研究范围从个人计算机转向了Internet。随着越来越多的计算机成为Internet上的节点，Internet取证和计算机取证两者的联系越来越密切。 数字证据可能存在于诸如闪存盘，PDA，数码相机或者手机等多种带有存储功能的设备中； 所有现代操作系统都支持网络，在服务器，路由器，防火墙和各种代理设备上可能也会获得数字证据 ;证据发现;取证工作流程;取证工作流程;取证工作流程模型;取证工作流程模型;取证工作流程模型;取证工作流程模型;取证模型 － 过程抽象模型;取证模型 － 综合计算机取证模型;(2)部署阶段 这一阶段是为了提供侦查和确认机制，包括侦查和通报阶段、确认和授权阶段。前者对事件进行侦查和通告，后者是为了获得对事件的法律调查权。 (3)物理犯罪现场调查阶段 这一阶段的目的是收集和分析物理证据并重构犯罪行为。包括保护现场、调查取证、记录归档、 进一步搜索取证、重构和出示等六个阶段。 (4)数字犯罪现场调查阶段 这一阶段主要是收集和深入分析物理调查阶段获取的数字证据，它包括和物理调查阶段类似的步骤:；保护现场、调查取证、记录归档、深入分析、重构犯罪事实和出示证据六个阶段。 (5)总结阶段 这一阶段要对取证的整个过程进行跟踪总结，发现问题并积极改进。 ;取证模型 — 取证层次模型;取证模型 － 取证层次模型;;计算机操作系统;Windows操作系统 － 9x/ME;Windows NT4中增加了许多管理特性，稳定性进一步提高 Windows NT系统引入了NTFS文件系统，相对FAT而言，在大硬盘上使用NTFS文件系统减少了残留区(slack space)所占的硬盘存储空间，增加了通过文件系统镜像恢复受损驱动器的能力。 微软公司在2000年12月发布了Windows NT系列的纯32位操作系统Windows2000（； Windows2000支持使用 EFS文件加密系统，这在一定程度上增加了取证的难度。 ;Windows XP将用于个人消费和商业用途的两套Windows产品线合并，在2000的基础上微软开发了Windows XP。 Windows XP进一步加强了系统???安全性，保留了NT/2000系统的一些管理特性，改进了NTFS文件系统。 在SP2安装后，系统会增加一个Windows防火墙和安全中心，这也为取证调查增加了难度。 统计数据显示，WindowsXP是全球使用数量最多的操作系统，拥有最大的个人计算机操作系统的市场份额。 对于计算机取证而言，Windows XP是最重要的操作系统；反过来说，Windows XP强大的功能和卓越的稳定性是Windows取证环境的最佳选择。 ;Unix/Linux操作系统;*nix系统的取证工具包应该包括这些工具;;文件系统概述;文件系统概述;主引导记录;磁盘分区表;FAT文件系统;文件系统 － 簇(cluster);文件系统 － 残留区(slack space);假设磁盘上有5个空闲的簇被文件系统用来分配给两个文件File1和File2。File1的大小是12K，占用了这5个簇中的前3个；File2的大小是8K，占用了剩下的2个簇。 现在将File1删除，文件系统将原来已经分配出去的3个簇回收，并将它们标记为空闲块。 现有一个大小为10K的文件File3，因为先前删除File1释放掉的12K空间足够容纳File3，文件系统就将这3个簇分配给了新的File3。但是原先存储File1内容的第3个簇由于只用掉2KB，所以剩下的2KB空间中可以发现原来File1尾部2KB的文件内容;计算机取证不仅关心文件系统中实际存在的文件，同时也注意整个磁盘或者分区上没有直接通过文件系统接口体现的数据。 残留区会产生磁盘碎片，即用于存储文件所有数据的簇在磁盘上的分布是不连续的。 碎片整理就是合并碎片数据使文件的簇连续的过程，这样可以优化读写速度并且简化簇的映射。经过碎片整理之后，一个分区的开始部分经过整理之后大量的残留区会被覆盖；但是相对于开始部分的尾部空间被覆盖的概率就很小。 ;FAT文件系统 － 目录;NTFS提供了更强的容错性和灾难恢复特性并在安全性上有了重大的突破，性能上也提升了很多。 NTFS支持长文件名、文件访问控制和日志功能、文件和目录的压缩以及在NTFS后面的版本中增加的加密文件系统EFS。 访问控制和日志这些增强功能对取证带来了额外的帮助，但是如压缩和加密之类的特性就给取证工作增加了难度。 NTFS是一种日志型文件系统。（维护一致性）;NTFS文件系统的核心是MFT(?Master File Table，主文