信息安全技术教程清华大学出版社-第十三章.ppt

zkxjdbjdbdskj xbxhxbsubxkshxjdjjdkxjhdkdn 2017-5-20 第13章计算机与网络取证技术? 基本概念? 计算机取证技术? 网络取证? 取证工具****题 zkxjdbjdbdskj xbxhxbsubxkshxjdjjdkxjhdkdn 基本概念?计算机取证–计算机取证技术就是在计算机的存储介质,如硬盘或其它磁盘中,进行信息检索和调查。?网络取证–网络取证是从网络存储设备中获取信息,也就是从网络上开放的端口中检索信息来进行调查。?网络取证特点–网络侦查中,双方对系统的理解程度是一样的–在网络取证的很多情况下,侦查员与罪犯使用的是同种工具。 2017-5-20 zkxjdbjdbdskj xbxhxbsubxkshxjdjjdkxjhdkdn 计算机取证技术? 计算机取证基本元素? 计算机取证过程? 计算机证据分析 2017-5-20 zkxjdbjdbdskj xbxhxbsubxkshxjdjjdkxjhdkdn 计算机取证基本元素?线索材料–物理材料:文件、信封、箱子–电子材料:硬盘中的数据、电子邮件的内容、电子邮件的地址、附件和网站日志文件、已经删除掉的文件、加密数据?相关信息–确定哪些信息与案件相关。?合法性–数据的合法性问题与数据的关联性问题是一致的,其同样基于数据的认证过程。 2017-5-20 zkxjdbjdbdskj xbxhxbsubxkshxjdjjdkxjhdkdn 计算机取证过程?寻找证据–痕迹:包括指纹,刀痕,鞋印或其它遗留下来的痕迹; –生物痕迹:包括血迹,毛发,指甲壳,汗液等; –信息痕迹:保存在存储设备中的二进制数据等。?处理证据–证据提取和证据保管,证据保管包括包装,存储和运输。 2017-5-20 zkxjdbjdbdskj xbxhxbsubxkshxjdjjdkxjhdkdn ?证据恢复–尽可能将所有的证据都收集到,避免重回现场取证–对大容量硬盘中的证据,有必要在提取时使用压缩和复制的方式–对于每个项目中提取的证据,要分配一个唯一的标识号,并在每一个项目上写出简短的介绍–当所有证据都被收集并分类整理之后,就要将其存放在一个安全的位置,来保证证据的完好无损。–对加密证据可以借助借助各种工具进行解密 2017-5-20 zkxjdbjdbdskj xbxhxbsubxkshxjdjjdkxjhdkdn ?证据保存–将证据封装并进行归类,然后放置于无静电环境下。确保封装后的证据不会被过冷,过热或过湿的环境所影响。–将原始数据进行备份,对所有嫌疑存储介质做磁盘镜像。–条件允许情况下,要对证据数据进行加密。加密可同时被侦查员和罪犯所用。作为罪犯,一般利用加密进行内容隐藏;作为侦查员, 一般利用加密保证证据的保密性和完整性。–存储证据时,要对证据执行可信的访问控制策略,以确保证据只能被授权人员使用。?证据传输–由于在传输过程中,可信的内部人员能够接触到证据,因此为保持监管,应该检查沿途所有处理过证据的人员的数字签名。–在传输过程中,要使用一些强大的数据隐藏技术,例如数据加密, 信息隐藏,密码保护等对证据进行保护。–需要一些方法能够检测出信息证据在传输过程中是否出现过更改变动。 2017-5-20 zkxjdbjdbdskj xbxhxbsubxkshxjdjjdkxjhdkdn 计算机证据分析?隐藏的证据–已被删除的数据:系统中被删除的数据是可以用十六进制编辑器手动恢复的–隐藏的文件:数据隐藏是取证分析中需要面对的一个重大问题–坏块:侦查员对所有的“不良磁道”进行检查之前,不要格式化磁盘,因为这样有可能会使“不良磁道”的隐藏信息丢失。–隐写术:侦查员在取证调查时就应该将搜查的范围扩大,避免隐藏的信息分散注意力 2017-5-20 zkxjdbjdbdskj xbxhxbsubxkshxjdjjdkxjhdkdn ?操作系统的证据分析(1) Microsoft 文件系统–在对硬盘信息进行映像之前,要对分析平台的所有文件进行病毒扫描; –在建立硬盘映像之后,继续运行病毒扫描,包括硬盘驱动器的复本; –恢复所有删除的文件,将其保管到一个安全的位置; –对所有恢复的证据进行分析和处理。(2) UNIX 和 Linux 文件系统–维护系统中正在运行的所有数据,保护系统中运行程序的状态 2017-5-20 zkxjdbjdbdskj xbxhxbsubxkshxjdjjdkxjhdkdn 网络取证? 入侵分析 2017-5-20