第8章诱骗与取证分析.pptVIP

** 第八章 诱骗与取证 网络信息安全技术 本章主要内容 第一章 概 述 取证概论 时间证据 空间证据 日志证据 诱骗取证 结论 第八章 诱骗与取证 取证概论 英文“Forensics”，指司法案件调查取证的学问 “Computer forensics”有人翻译成“计算机犯罪调查取证”失之偏颇，因为还有大量的非刑事案件也涉及到取证的问题，比如侵犯数字版权以及侵犯个人隐私等 与非计算机取证的共性:从现状恢复历史 第八章 诱骗与取证 取证分析 搜集、分析数据，在此基础上重构一个计算机系统在过去一段时间里所发生的事件——再现历史 面临的问题 数据可能遗失，或者被有意破坏 数据的可信任程度不等 数据来源多样化，需要综合分析和融合 第八章 诱骗与取证 信息处理的多层次性 物理信号 处理器 内核 库 应用 用户 第八章 诱骗与取证 数据的多层次性 原始比特 磁盘数据块 网络连接 文件系统 进程 用户 可信任 可理解 第八章 诱骗与取证 数据的易挥发性（Volatility） 软盘/备份媒介 磁盘 正在执行的进程 网络状态 内存 寄存器/外设/缓存 易存留 易挥发 光盘/印刷品 第八章 诱骗与取证 取证来源 内存映像 MAC时间 网络状态 物理磁记录 MD5散列（消息文摘） 配置文件与日志文件 第八章 诱骗与取证 时间证据 数据或