计算机系统安全原理与技术（第3版）作者陈波第8章应急响应与灾难恢复课件.pptVIP

8.4 计算机取证8.4.2 计算机取证技术及发展 1．计算机取证技术 （1）存储介质的安全无损备份技术 （2）已删除文件的恢复技术 （3）Slack磁盘空间、未分配空间，交换文件和空闲空间中所包含信息的发掘技术 （4）日志反清除技术 （5）日志分析技术 * 计算机系统安全原理与技术(第3版) * 8.4 计算机取证8.4.2 计算机取证技术及发展 1．计算机取证技术 （6）取证数据传输安全技术 （7）取证数据的完整性检测技术 （8）网络数据报文截获和分析技术 （9）Honeypot/Honeynet(蜜罐/蜜网)技术 （10）其他方面的技术 * 计算机系统安全原理与技术(第3版) * 8.4 计算机取证8.4.2 计算机取证技术及发展 2．当前计算机取证技术的局限和反取证技术 当前的计算机取证技术还存在着很大的局限。 从理论上讲，计算机取证人员能否找到犯罪的证据取决于以下3个条件：首先，有关犯罪的电子证据必须没有被覆盖；其次，取证软件必须能够找到这些数据；再次，取证人员还要能够知道文件的内容，并且能够证明它们和犯罪有关。 从当前软件的实现情况来看，许多所谓的“取证分析”软件还仅仅是可以恢复被删除的文件，要用它们对付老奸巨猾的犯罪者还相差甚远。 * 计算机系统安全原理与技术(第3版) * 8.4 计算机取证8.4.2 计算机取证技术及发展 2．当前计