信息安全原理与技术 蒋朝惠 武彤 王晓鹏 邓少勋编著 第9章 计算机取证.PPTVIP

信息安全原理与技术  蒋朝惠 武彤 王晓鹏 邓少勋编著中国铁道出版社2009.5 第9章 计算机取证 9.1 电子证据 9.2 计算机取证的概念 9.3 计算机取证的原则与步骤 9.3.1 计算机取证的基本原则 9.3.2 计算机取证的一般步骤 第9章 计算机取证（续） 9.4 计算机取证技术 9.4.1 基本的取证技术 9.4.2 基于IDS的取证技术 9.4.3 基于蜜罐的取证技术 9.5 常用的取证工具 第9章 计算机取证 作为计算机领域和法学领域的一门交叉科学，计算机取证（computer forensics）正逐渐成为人们研究于关注的焦点。 本章从电子证据的概念、特点、类型与来源以及常见电子设备中潜在的电子证据入手，介绍了计算机取证的概念、原理与步骤以及常用工具，最后介绍了计算机取证的常用技术——蜜罐。 9.1 电子证据 电子证据是自计算机技术出现及发展以后产生的一种新型证据类型，是指以储存的电子化信息资料来证明案件真实情况的电子物品或者电子记录。 1、电子证据的概念 电子材料说：电子证据是以电子形式存在的、用作证据使用的一切材料及其派生物；或者说，借助电子技术或电子设备而形成的一切证据。 电子物品说：电子证据是指以储存的电子化信息资料来证明案件真实情况的电子物品或者电子记录。 网上证据说: 网上证据即电子证据，是指在计算机或计算机系统运行过程中产生的以其记录的内容来证明案件事实的电磁记录物。 1、电子证据的概念（续） 计算机证据说：计算机证据是指在计算机或计算机系统运行过程中产生的以其记录的内容来证明案件事实的电磁记录物。 独立证据说：电子证据是以通过计算机存储的材料和证据证明案件事实的一种手段，它最大的功能是存储数据，能综合、连续地反映与案件有关的资料数据，是一种介于物证与书证之间的独立证据。 诉讼证据说： 电子证据是存储于磁性介质之中，以电子数据形式存在的诉讼证据。 2．电子证据的特点 表现形式的多样性 电于证据超越了以往所有的证据形式，不仅可以用文字、图像和声音等多种方式存储，还可以以多媒体形式存在。例如：某出版社出版的“大百科图书光盘”，通过计算机播放，不仅有文宇，而且配有图像、动画甚至电影片段，还有优美的解说，这种将多种表现形式融为一体的特点是电子证据所特有的。 2．电子证据的特点（续） 存储介质的电子性 电子证据依据计算机技术产生，化为一组组电子信息存储在特定的电子介质上，例如，计算机硬盘和光盘等，它的产生和重现必须依赖于这些特定的电子介质，而传统的证据（例如笔录）则毋需依赖于其他介质就可以独立重现，这点也正是电子证据的弱点，直接削弱了它的证明力度。因为，如果有人在电子介质上做手脚，例如，运用黑客手段人侵电脑网络，就能改变电子证据本来面目，给证据的认定带来困难。 2．电子证据的特点（续） 准确性 电子信息严格按照运行于计算机上的各种软件和技术标准产生和运行，其结果完全是“铁面无私”的机器内部对一组组二进制编码的运行结果，丝毫不会受到感情、经验等多种主观因素的影响。因此，如果没有人为的蓄意修改或毁坏，电子证据能准确地反映整个事件的完整过程和每一细节，准确度非常高。 2．电子证据的特点（续） 脆弱性 书面文件使用纸张为载体，不仅真实记录有签署人的笔迹和各种特征，而且可以长久保存；如有任何改动或添加，都会留下“蛛丝马迹”，通过专家或司法鉴定等手段均不难识别。但电子证据使用电磁介质，储存的数据修改简单而且不易留下痕迹，这导致了当有人利用非法手段入侵系统、盗用密码、操作人员误操作时或供电系统和网络故障等情况发生时，电子证据均有可能被轻易地盗取、修改甚至全盘毁灭而不留下任何证据。它还容易受到电磁攻击，比如，鉴定证据时，一旦不小心打开文件，那么文件的最近修改时间就会改变。 2．电子证据的特点（续） 数据的挥发性 在计算机系统中，有些紧急事件的数据必须在一定的时间内获得才有效，这就是数据的“挥发性”，即经过一段时间数据可能就无法得到或失效了，就像“挥发”了一样。因此，在收集电子证据时必须充分考虑到数据的挥发性，在数据的有效期内及时收集数据。表9-1描述了数据的挥发性。 2．电子证据的特点（续） 2．电子证据的特点（续） 电子证据和传统证据相比，具有以下优点: 可以被精确的复制，这样只需对副件进行检查分析，避免原件受损坏的风险; 用适当的软件工具和原件对比，很容易鉴别当前的电子证据是否有改变，譬如MD5算法可以认证消息的完整性，数据中的一个比特（bit）的变化就会引起检验结果的很大差异； 在一些情况下，犯罪嫌疑人完全销毁电子证据是比较困难的，如计算机中的数据被删