网络数据检验.ppt

* * * 网络数据检验 本章重点与学习要求：网络数据来源、种类、特点,网络数据检验的基本技术和方法。本章要求掌握网络数据检验的基本技术，尤其是计算机终端网络数据检验技术。 第一节 网络数据来源及其特点 一、网络数据来源。网络数据是指在网络上传输的数据，它不仅包括互联网数据也包括各行业、各单位的专用网络数据，如公安、银行等行业的专网数据。网络数据检验是对网络数据进行与案件相关性验证的过程。网络数据的来源主要有：网络设备（包括计算机终端、网卡、路由器等）；网络中实时传递的数据信息；能够远程访问到的服务器信息（如WEB服务器等）。 第一节 网络数据来源及其特点 二、网络数据特点。 （一）形式多样。 （二）电子性。 （三）准确性。 （四）脆弱性。 （五）易逝性。 第二节 网络数据检验技术 一、计算机终端网络信息检验技术。 netstat –s netstat –e netstat –r netstat –a netstat –n ipconfig /release和ipconfig /renew 第二节 网络数据检验技术 二、网络远程数据的固定 网络远程数据的固定是指通过各种方式（包括远程登陆，登陆应用服务，如WEB、FTP等）登录对方计算机或服务器，采用屏幕截屏或录像（包括屏幕录像）的方式获取对方计算机的重要信息。 最为常见的是使用浏览器登录目标WEB服务器，采用屏幕截屏或录像的方式将目标WEB服务器所提供的网页信息保存下来，作为证据或线索。这种方式多用于网络赌博以及网络色情类案件，尤其在网络赌博类案件中，一旦嫌疑人被抓捕，赌博网站随时会关停服务器或终止嫌疑人账号，对后续取证工作造成不利的影响。因此，在打击网络赌博类案件时应事先掌握嫌疑人登陆赌博网站的账号、密码，并登陆赌博网站将证据固定，以防止抓捕是造成赌博网站随时会关停服务器或嫌疑人账号被停用的情况，相关案例请参见第三节。 第三节 网络数据检验实例 一、网络远程数据的固定案例 （一）案情简介 在打击网络赌博专项行动中，发现嫌疑人张某参与非法“六合彩”网络赌博，赌博网站网址为“”，经过进一步技术侦查，获取其赌博账号为aaa888，密码为111111，需要在抓捕前事先固定其参与网络赌博的电子数据证据。 （二）证据固定过程 1.赌博网站登录首页信息 （二）证据固定过程 2.上下级关系以及分成关系 （二）证据固定过程 3.赔率及下注金额 第三节 网络数据检验实例 二、法轮功蹭网案件 （一）案情简介 某日，网络监控部门发现有人使用互联网向境外法轮功邪教组织传递境内突发事件的新闻稿件。经侦查发现，该人所使用的网络地址位于一写字间内，进一步查实，该地址为写字间内一家小型公司内部网络地址。 （二）案件勘查过程 根据现场勘查发现，该公司内有一台无线宽带路由器与写字楼的互联网相连，采用静态地址转换的上网模式。公司内有台式计算机三台，采用有线方式与路由器相连，两台笔记本、平板电脑以及手机等采用无线方式与路由器相连，拓扑图如下： 首先对该公司内部使用电脑进行现场勘查，未发现相关证据或线索。进一步对宽带路由器的连接日志进行勘查发现，有未知设备（连接设备的MAC地址不属于公司内的任何终端设备）连接过该路由器。对该路由器进行实时监控，当晚就发现有一台非该公司设备连接了路由器，如图所示： 发现该设备后，使用无线网络探测工具Aircrack-ng进行信号强度测试，如下图所示： 最后根据信号强度信息指示定位该无线连接设备信号发射位置，经现场勘查发现一台笔记本电脑以及一套无线蹭网设备，并在笔记本内发现大量法轮功宣传材料以及向境外发送的新闻稿件。 该案例中涉及多种网络数据的勘查，包括计算机、网络设备、无线网络等等。由于涉密原因，案例中并未提及相关工具（如Aircrack-ng、无线网络定位设备等）如何使用以及无线网路嗅探抓包技术（案例中无线网络加密方式为WPA2，因此抓包过程较为复杂）等等，有兴趣的同学可以模拟此案例学习相关工具和技术。 本章小结: 本章介绍从网络数据来源、特点入手，介绍了计算机终端网络信息检验技术、网络数据的嗅探技术和网络数据检验技术。最后以网络数据检验实例作为本章结束，学习本章重点在于理解和学会网络数据的检验方法，在发生涉网案件时，完成网络设备中勘查和取证工作。 本次