计算机取证与分析鉴定概论.ppt

主讲： * 主要内容 Windows系统现场证据获取 Windows系统中电子证据获取 证据获取/工具使用实例 证据保全 1 保证证据的真实性 1）所有需要作为证据的数据都必须有真实性保护 2）保证电子证据真实性的原则 3）保证电子证据真实性的措施 2 保证证据的完整性 1）所有需要作为证据的数据都必须有完整性保护 2）完整性保证措施：MD5校验值(也称为哈希值) 3）封存 现场证据获取 固定证据 固定犯罪证据十分重要。 应当提取什么样的电子证据，如何提取并有效的固定电子证据，是问题的关键。 Windows系统作为目前最常用的操作系统，研究Windows系统上的计算机取证方法具有非常重要的现实意义。 目前Windows系统的计算机取证方法已经日趋成熟。 1 固定硬盘 2 部分文件的固定 3 固定易丢失的证据 现场证据获取 深入获取 1 深入获取证据的重要性 Windows初始响应在收集易丢失的证据之后，可以继续进行一些调查。两个关键的证据来源是事件日志和目标系统上的注册表。这样，在大多数调查中，就需要对这两个目标进行彻底的调查。 2 深入获取证据的途径 1）事件日志 2）注册表 3）系统密码 4）转储系统RAM 现场证据获取 日志 1 系统日志 Windows操作系统维护三个相互独立的日志文件：系统日志、应用程序日志和安全日志。 2 服务程序日志 可以搜索这一时间范围内所有被修改、访问或删除的文件以重建这一突发事件。通过仔细查看Web服务器日志可以从中找出攻击的证据信息。 3 防火墙、入侵检测系统日志 会保存系统收到的各种不安全信息的时间、类型等。通过分析这些日志，可以发现曾经发生过或者正在进行的系统入侵行为。 系统证据获取 文件和目录 1 启动目录 2 系统目录 3 我的文档 4 最近打开的文档 5 删除文件的恢复 系统证据获取 注册表 1 启动项 2 用户信息项 3 系统信息项 系统证据获取 进程列表 1 系统进程 2 用户进程 3 开始运行处的进程 4 进程分析（操作文件、注册表或者访问网络的情况） 系统证据获取 网络轨迹 所谓网络轨迹，是指系统访问网络之后留下来的一些记录。 犯罪嫌疑人在利用网络进行犯罪，或因为犯罪嫌疑人对计算机不是很了解，或因为犯罪嫌疑人的疏忽大意，会在Windows系统上留下一些记录。 网络轨迹主要包括： 1 网站访问下拉列表 2 网站访问的历史记录 3 网站收藏夹 4 网络聊天工具分析 系统证据获取 系统服务 Windows 上提供了很多服务，这些服务一方面使得合法用户可以访问，但另一方面也为有害的入侵者提供了一个接入口。 1 计划任务服务 2 共享服务 3 远程控制和远程访问服务 系统证据获取 用户分析 Windows 具有完善的用户体系，它规定了系统中有哪些帐户，这些帐户分别属于哪些组，这些帐户有什么权限，这些帐户有哪些文件存放在哪些目录下，其他帐户对该帐户的文档有什么权限。 攻击者通常会在他得到控制权的系统上添加一个管理员帐号，或者将克隆管理员帐户(Administrator)权限到来宾帐户(Guest)。 1 用户列表 2 用户属性 3 用户相关的文档（所有权等） 系统证据获取 ENCASE EnCase是目前使用最为广泛的计算机取证工具，至少超过2000家的法律执行部门在使用它。 它提供良好的基于windows的界面，左边是case文件的目录结构，右边是用户访问目录的证据文件的列表。 实例 ENCASE特点 (1)EnCase可获取各个分区从而作为证据文件，在获取各个分区的同时恢复数据。 (2)EnCase的过滤器机制使得可搜索出符合某种条件的文件。 (3)EnCase查找使得用户可以迅速的找到关键字。 (4)EnCase使用脚本完成一系列的工作。 (5)EnCase支持中文关键字的查找，通过EnCase伴侣得到中文的编码，在EnCase中设置编码方式即可查找。 实例 MD5校验值计算工具: md5sum 做md5校验的目的就是保证文件的完整性和唯一性，给文件做个md5校验，将md5校验值与原始文件的md5校验值比较，如果二者匹配，说明这个文件和原始文件是一模一样的，没有被修改过。 md5校验也能确认系统没有被入侵。 当刚装好系统后就给系统文件做md5校验，过了一段时间如果怀疑系统被攻破了，某些文件被人换掉，那么就可以给系统文件重新做个md5校验，若和从前得到的md5校验码不一样，那么有可能系统已经被入侵过了。 实例 进程工具：pslist 实例 注册表工具：autoruns autoruns具有全面的自启动程序检测功能，找出那些被设定在系统启动和登录期间自动运行的程序，并显示Windows加载它们的顺