信息安全技术教程清华大学出版社–第十三章.ppt

* 二、问答题 1. 简述计算机取证的含义。 2. 简述计算机取证的技术及其过程。 3. 思考如何使用取证工具进行网络取证？ * * 第13章 计算机与网络取证技术 13.1 基本概念 13.2 计算机取证技术 13.3 网络取证 13.4 取证工具 13.5 习题 13.1 基本概念 计算机取证 计算机取证技术就是在计算机的存储介质，如硬盘或其它磁盘中，进行信息检索和调查。 网络取证 网络取证是从网络存储设备中获取信息，也就是从网络上开放的端口中检索信息来进行调查。 网络取证特点 网络侦查中，双方对系统的理解程度是一样的 在网络取证的很多情况下，侦查员与罪犯使用的是同种工具。 * 13.2 计算机取证技术 13.2.1 计算机取证基本元素 13.2.2 计算机取证过程 13.2.3 计算机证据分析 * 13.2.1 计算机取证基本元素 线索材料 物理材料：文件、信封、箱子 电子材料：硬盘中的数据、电子邮件的内容、电子邮件的地址、附件和网站日志文件、已经删除掉的文件、加密数据 相关信息 确定哪些信息与案件相关。 合法性 数据的合法性问题与数据的关联性问题是一致的，其同样基于数据的认证过程。 * 13.2.2 计算机取证过程 寻找证据 痕迹：包括指纹，刀痕，鞋印或其它遗留下来的痕迹； 生物痕迹：包括血迹，毛发，指甲壳，汗液等； 信息痕迹：保存在存储设备中的二进制数据等。 处理证据 证据提取和证据保管，证据保管包括包装，存储和运输。 * 证据恢复 尽可能将所有的证据都收集到，避免重回现场取证 对大容量硬盘中的证据，有必要在提取时使用压缩和复制的方式 对于每个项目中提取的证据，要分配一个唯一的标识号，并在每一个项目上写出简短的介绍 当所有证据都被收集并分类整理之后，就要将其存放在一个安全的位置，来保证证据的完好无损。 对加密证据可以借助借助各种工具进行解密 * 证据保存 将证据封装并进行归类，然后放置于无静电环境下。确保封装后的证据不会被过冷，过热或过湿的环境所影响。 将原始数据进行备份，对所有嫌疑存储介质做磁盘镜像。 条件允许情况下，要对证据数据进行加密。加密可同时被侦查员和罪犯所用。作为罪犯，一般利用加密进行内容隐藏；作为侦查员，一般利用加密保证证据的保密性和完整性。 存储证据时，要对证据执行可信的访问控制策略，以确保证据只能被授权人员使用。 证据传输 由于在传输过程中，可信的内部人员能够接触到证据，因此为保持监管，应该检查沿途所有处理过证据的人员的数字签名。 在传输过程中，要使用一些强大的数据隐藏技术，例如数据加密，信息隐藏，密码保护等对证据进行保护。 需要一些方法能够检测出信息证据在传输过程中是否出现过更改变动。 * 13.2.3 计算机证据分析 隐藏的证据 已被删除的数据：系统中被删除的数据是可以用十六进制编辑器手动恢复的 隐藏的文件：数据隐藏是取证分析中需要面对的一个重大问题 坏块：侦查员对所有的“不良磁道”进行检查之前，不要格式化磁盘，因为这样有可能会使“不良磁道”的隐藏信息丢失。 隐写术：侦查员在取证调查时就应该将搜查的范围扩大，避免隐藏的信息分散注意力 * 操作系统的证据分析 （1）Microsoft文件系统 在对硬盘信息进行映像之前，要对分析平台的所有文件进行病毒扫描； 在建立硬盘映像之后，继续运行病毒扫描，包括硬盘驱动器的复本； 恢复所有删除的文件，将其保管到一个安全的位置； 对所有恢复的证据进行分析和处理。 （2）UNIX和Linux文件系统 维护系统中正在运行的所有数据，保护系统中运行程序的状态 * 13.3 网络取证 13.3.1 入侵分析 * 13.3.1 入侵分析 入侵分析就是对端口扫描以及后门、间谍软件或木马等事件进行处理，及时发现破坏系统安全的行为。 目的：回答以下问题：谁进入了系统、采取何种方式进入系统、发生了什么事件、该事件中取得了哪些教训、能否避免同种事件再次发生。 主要功能：收集数据与分析数据 提供服务：事故应急响应预案、应急响应、入侵数据的技术性分析、攻击工具的逆向追踪。 * 三个部分 监视与警报：系统达到实时监控与报告的能力 修复与报告：快速识别入侵并修复所有已查明的弱点或及时阻止攻击并将该事件上报给责任主体 追捕与检举：对事件进行监控，当入侵发生时及时收集证据，并将证据直接上报给执法部门 最终产品 包括一系列的文档，记录系统的行为活动，事发前系统的配置信息，以及其他一些相关信息等，如接触系统的人员名单及人员行为，工具的使用及工具使用者 * （一）应急响应预案 （二）应急响应 事件报告 最先发现事件的人是谁，首先采取了哪些响应措施。 事件控制 要尽可能地阻止事件继续进行，减小事件带来的影响 步骤：确定受影响的系统，拒绝攻击者访问，移除流氓进程，重新获取控制。 * （三