操作系统安全3单元.pptVIP

持续的进行监控 TCPWrapper记录和监视着远程客户端用户和服务器端的程序或守护进程之间的联系 telnetd ftpd rlogind talkd fingerd 用于对个别文件进行安全性检查的工具，它可以检测任何对文件的更改和破坏，MD5可以把任意长度的文件做成128位的数字摘要 。 信息摘要5(MD5) 第八单元 计算机取证 本课目标 了解计算机取证定义 电子证据的收集和标识 了解取证技术 掌握硬盘分析和文件恢复技术 了解内存快照 了解计算机取证的一般原则和步骤 计算机取证的概念 计算机取证是指对能够为法庭接受的、足够可靠和有说服力的、存在于计算机和相关外设中的电子证据(Electronic Evidence)的确定、收集、保护、分析、归档以及法庭出示的过程 。 计算机取证的类别 简单取证 复杂取证 收集电子证据 电子证据的概念电子证据也称为计算机证据，是指在计算机或计算机系统运行过程中产生的，以其记录的内容来证明案件事实的电磁记录物。 收集电子证据的技术 对计算机系统和文件的安全获取技术，避免对原始介质进行任何破坏和干扰； 对数据和软件的安全搜集技术； 对磁盘或其他存储介质的安全无损备份技术； 对已删除文件的恢复、重建技术； 对slack磁盘空间、未分配空间和自由空间中包含的信息的发掘技术； 对交换文件、缓存文件、临时文件中包含的信息的复原技术； 计算机在某一特定时刻活动内存中的数据的搜集技术；网络流动数据的获取技术。 收集电子证据的相关工具 传统的取证工具 收集电子证据专用工具 其他工具 记录 保护 分析 备份 固定 按照以下顺序处置相关文件 确认 进一步获取数据 封存 提取 再次进行数据分析 保管 收集电子证据的步骤和方法 被侵犯系统 攻击系统 围绕两大系统收集电子证据 取证技术 网络入侵取证技术 现场取证技术 数据还原取证技术 电子邮件调查取证技术及源代码取证技术 磁盘恢复 实际操作中，删除文件、重新分区并快速格式化（format不要加U参数）、快速低格、重整硬盘缺陷列表等等，都不会把数据从物理扇区中实际抹去。删除文件只是把文件的地址信息在列表中抹去，而文件的数据本身还是在原来的地方静静躺着，除非拷贝新的数据进去那些扇区，才会把原来的数据真正抹去 。 一些常用的恢复磁盘数据的软件： FinalData EasyRecovery 内存镜像 能够帮助我们分析直接写入内存的病毒，恢复一个E-mail内 容，恢复曾经编辑过的文档内容，还可以发现黑客所有的命 令输入 计算机取证的相关工具 文件浏览器 图片检查工具 反删除工具 CD-ROM工具 文本搜索工具 驱动器映像程序 磁盘擦除工具 一般工具软件 取证专用工具软件 取证程序 Forensic Toolkit The Coroner’s Toolkit(TCT) EnCase ForensicX 金诺网安 New Technologies Incorporated 计算机取证的有效性和合法性 有效性由证据的客观原始性和取证活动的合法、科学性决定的（简称计算机证据合法的二元构成） 合法性： 主体合法 对象合法 手段合法 过程证明 计算机取证过程证据合法的证明链  处理器 内存 接口 控制台端口和辅助端口 软件部分 路由器的基本组成及有关术语 实验6-1恢复路由器的IOS 实验6-2恢复路由器的密码 IOS的安全策略 注意物理安全 堵住安全漏洞 避免身份危机 禁用不必要服务 限制逻辑访问 监控配置更改 实施配置管理 交换机和网桥的安全 交换机作为局域网信息交换的主要设备，特别是核心、汇聚交换机承载着极高的数据流量，在突发异常数据或攻击时，极易造成负载过重或宕机现象 广播风暴控制技术 广播风暴抑制比 为VLAN指定广播风暴抑制比 设置最多可学习到的MAC地址数 设置系统MAC地址老化时间 设置MAC地址表的老化时间 MAC地址控制技术 基本访问控制列表 二层访问控制列表 ACL（访问控制列表）技术 企业中无线局域网WLAN的安全防护 在有线网络中，您可以清