《计算机取证与司法鉴定》项目五在网络中进行取证.pptx

项目五在网络中进行取证;了解网络取证的定义和特点 了解网络监控的程序 了解网络取证的数据来源 掌握利用网络取证分析工具获取和分析网络数据包的基本方法 掌握云存储取证的基本方法 掌握利用蜜罐技术进行网络取证的基本方法;Tom 通过从项目一到项目四的调查和取证分析后，发现计算机系统中安装有“百度云管家”软件，因此怀疑可能有相当的犯罪证据和线索通过云存储服务存储在云端，这时取证调查人员Tom 应当怎样获取证据？;Tom 在进行取证调查过程中，发现为公司工作人员提供服务的服务器最近常受到黑客攻击，由于公司内部网络与Internet 物理断开，因此Tom 相信攻击源来自内部局域网。此时调查人员Tom 向公司主管Alice 汇报后，得到公司高层授权可以在网络中进行适当的设置和调查，那么Tom 应当怎样去获取证据和重要线索？;项目任务;项目任务;网络取证的特点;网络取证的特点;网络监控的程序;网络调查的信息源;网络取证分析工具;为了获取有价值的证据信息，Tom 决定对Adam 的计算机是否安装云存储服务的客户端软件进行调查，并且分析本地网页浏览记录中相应云存储服务网址的痕迹，从而首先确定Adam 使用了哪个提供商的云存储服务，在获取这些基本信息的基础上，对Adam 的计算机中与云存储服务相关的文件夹进行重点分析，获取被调查者在进行云存储时使用的用户名等重要信息，在获取这些重要信息后，根据案件取证调查的需要以及公司利益的需求，与公司高层协商是否提起诉讼并向公安机关申请，要求相应云服务提供商配合调查。;Tom 首先了解到被攻击服务器仅用于公司内部网络，与广域网物理断开，因此可以确定攻击源来自于公司内部局域网，攻击者很可能是内部员工。 由于攻击者在清除痕迹时对服务器日志等关键部分进行了较充分清理，而这台服务器没有实时在线异地备份日志等关键信息，因此如果仅对服务器和中间设备进行调查分析较为困难。 考虑到自己是公司高层授权进行秘密调查很可能攻击者并不知道自己的行为已引起注意，且最近一段时间服务器常受攻击，因此Tom 决定设立一个可引诱攻击者的蜜罐，从而获取相应??证据和重要线索的信息。;任务一：云存储取证案例分析;调查云存储痕迹;调查云存储痕迹;调查云存储痕迹;调查云存储痕迹;调查云存储痕迹;调查云存储痕迹;任务二：网络取证案例分析;搭建蜜罐;搭建蜜罐;搭建蜜罐;运用蜜罐技术进行网络取证调查;运用蜜罐技术进行网络取证调查;网络攻击者扫描和检测蜜罐简单尝试;网络攻击者扫描和检测蜜罐简单尝试;网络攻击者扫描和检测蜜罐简单尝试;网络攻击者扫描和检测蜜罐简单尝试;取证调查者利用蜜罐进行调查