网络安全16-取证技术解析.pptVIP

网络安全 罗 敏 武汉大学计算机学院 第15章 安全恢复技术 重点回顾 网络灾难 安全恢复的条件 安全恢复的实现 第16章 取证技术 计算机取证是计算机科学和法学领域的一门新兴交叉学科，本章介绍了计算机取证的基本概念、电子证据的特点，计算机取证的基本原则和步骤，简单介绍了计算机取证的一些相关技术。接着介绍了蜜罐技术——用于计算机取证的一种主动防御技术，最后介绍了用于计算机取证的几个著名工具。 第16章 取证技术 16.1 取证的基本概念 16.2 取证的原则与步骤 16.3 蜜罐技术 16.4 取证工具 16.1 取证的基本概念 定义 计算机取证（ computer forensics ）就是对计算机犯罪的证据进行获取、保存、分析和出示，实际上可以认为是一个详细扫描计算机系统以及重建入侵事件的过程 可以认为，计算机取证是指对能够为法庭接受的、足够可靠和有说服性的，存在于数字犯罪场景(计算机和相关外设)中的数字证据的确认、保护、提取和归档的过程 16.1 取证的基本概念 目的 计算机取证的目的是根据取证所得的证据进行分析，试图找出入侵者和/或入侵的机器，并重构或解释入侵过程 who /when /where/ how/ what 16.1 取证的基本概念 计算机取证希望解决的问题 攻击者是如何进入的？ 攻击者停留了多长时间？ 攻击者做了什么？ 攻击者得到了什么？ 如何确定在攻击者主机上的犯罪证据？ 如何赶走攻击者？ 如何防止事件的再次发生？ 如何能欺骗攻击者？ 16.1 取证的基本概念 电子证据 定义 在计算机或计算机系统运行过程中产生的以其记录的内容来证明案件事实的电磁记录物 与传统证据的不同之处在于它是以电子介质为媒介的 16.1 取证的基本概念 证据的特点 可信的 准确的 完整的 使法官信服的 符合法律法规的，即可为法庭所接受的 16.1 取证的基本概念 电子证据的特点 表现形式和存储格式的多样性 高科技性和准确性 脆弱性和易毁坏性 数据的挥发性 16.1 取证的基本概念 电子证据的优点 可以被精确的复制 用适当的软件工具和原件对比，很容易鉴别当前的电子证据是否有改变 在一些情况下，犯罪嫌疑人完全销毁电子证据是比较困难的 16.1 取证的基本概念 电子证据的来源 来自系统 硬盘、移动硬盘、U盘、MP3播放器、各类软盘、磁带和光盘等 系统日志文件、应用程序日志文件等 交换区文件，如386.swp、PageFile.sys；临时文件、数据文件等 硬盘未分配空间；系统缓冲区等 备份介质等 16.1 取证的基本概念 电子证据的来源 来自网络 防火墙日志、IDS日志 系统登录文件、应用登录文件、AAA登录文件 (比如 RADIUS 登录)、网络单元登录（Network Element logs） 磁盘驱动器、网络数据区和记数器、文件备份等 16.1 取证的基本概念 电子证据的来源 来自其他数字设备 便携设备中存储的数据 路由器、交换机中的数据 各种配置信息 磁卡、IC卡等 16.2 取证的原则与步骤 一般原则 尽早搜集证据，并保证其没有受到任何破坏 必须保证取证过程中计算机病毒不会被引入目标计算 不要在作为证据的计算机上执行无关的程序 16.2 取证的原则与步骤 一般原则 必须保证“证据连续性” 整个检查、取证过程必须是受到监督的 要妥善保存得到的物证 详细记录所有的取证活动 16.2 取证的原则与步骤 计算机取证的过程 数据获取 数据分析 证据陈述 16.2 取证的原则与步骤 计算机取证的过程 数据获取 了解所有可能存放有电子证据的地方 了解主机系统以外的相关软硬件配置 无损地复制硬盘上所有已分配和未分配的数据 对不同类型的计算机采取不同的策略以收集计算机内的所有数据 16.2 取证的原则与步骤 计算机取证的过程 数据获取 在取证检查中，保护目标计算机系统，远离磁场，避免发生任何的改变、伤害、数据破坏或病毒感染 对系统进行数据备份 16.2 取证的原则与步骤 计算机取证的过程 数据分析阶段 根据现有的（包括已经被删除的、临时的、交换区、加密的）数据，分析出对案件有价值的电子证据 需要分析师的经验和智慧 注意保护数据完整性 取证过程必须可以复验以供诉状结尾的举例证明 16.2 取证的原则与步骤 计算机取证的过程 证据陈述阶段 对专家和/或法官给出调查所得到的结论及相应的证据 陈述过程中需注意遵守国家法律、政策、企业规章制度 16.2 取证的原则与步骤 计算机取证相关技术 数据获取技术 搜索软件、数据和文件 磁盘无损伤备份 已删除、未分配空间和自由空间 交换文件、缓存文件、临时文件 内存 网络 16.2 取证的原则与步骤 计算机取证相关技术 数据分析技术 文件属性分析技术