《信息安全技術(shù)教程清華大學出版社-第十三章.ppt》由會員分享，可在線閱讀，更多相關(guān)《信息安全技術(shù)教程清華大學出版社-第十三章.ppt（20頁珍藏版）》請在裝配圖網(wǎng)上搜索。

2020 1 22 第13章計算機與網(wǎng)絡(luò)取證技術(shù) 13 1基本概念13 2計算機取證技術(shù)13 3網(wǎng)絡(luò)取證13 4取證工具13 5習題 13 1基本概念 計算機取證計算機取證技術(shù)就是在計算機的存儲介質(zhì) 如硬盤或其它磁盤中 進行信息檢索和調(diào)查 網(wǎng)絡(luò)取證網(wǎng)絡(luò)取證是從網(wǎng)絡(luò)存儲設(shè)備中獲取信息 也就是從網(wǎng)絡(luò)上開放的端口中檢索信息來進行調(diào)查 網(wǎng)絡(luò)取證特點網(wǎng)絡(luò)偵查中 雙方對系統(tǒng)的理解程度是一樣的在網(wǎng)絡(luò)取證的很多情況下 偵查員與罪犯使用的是同種工具 2020 1 22 13 2計算機取證技術(shù) 13 2 1計算機取證基本元素13 2 2計算機取證過程13 2 3計算機證據(jù)分析 2020 1 22 13 2 1計算機取證基本元素 線索材料物理材料 文件 信封 箱子電子材料 硬盤中的數(shù)據(jù) 電子郵件的內(nèi)容 電子郵件的地址 附件和網(wǎng)站日志文件 已經(jīng)刪除掉的文件 加密數(shù)據(jù)相關(guān)信息確定哪些信息與案件相關(guān) 合法性數(shù)據(jù)的合法性問題與數(shù)據(jù)的關(guān)聯(lián)性問題是一致的 其同樣基于數(shù)據(jù)的認證過程 2020 1 22 13 2 2計算機取證過程 尋找證據(jù)痕跡 包括指紋 刀痕 鞋印或其它遺留下來的痕跡 生物痕跡 包括血跡 毛發(fā) 指甲殼 汗液等 信息痕跡 保存在存儲設(shè)備中的二進制數(shù)據(jù)等 處理證據(jù)證據(jù)提取和證據(jù)保管 證據(jù)保管包括包裝 存儲和運輸 2020 1 22 證據(jù)恢復盡可能將所有的證據(jù)都收集到 避免重回現(xiàn)場取證對大容量硬盤中的證據(jù) 有必要在提取時使用壓縮和復制的方式對于每個項目中提取的證據(jù) 要分配一個唯一的標識號 并在每一個項目上寫出簡短的介紹當所有證據(jù)都被收集并分類整理之后 就要將其存放在一個安全的位置 來保證證據(jù)的完好無損 對加密證據(jù)可以借助借助各種工具進行解密 2020 1 22 證據(jù)保存將證據(jù)封裝并進行歸類 然后放置于無靜電環(huán)境下 確保封裝后的證據(jù)不會被過冷 過熱或過濕的環(huán)境所影響 將原始數(shù)據(jù)進行備份 對所有嫌疑存儲介質(zhì)做磁盤鏡像 條件允許情況下 要對證據(jù)數(shù)據(jù)進行加密 加密可同時被偵查員和罪犯所用 作為罪犯 一般利用加密進行內(nèi)容隱藏 作為偵查員 一般利用加密保證證據(jù)的保密性和完整性 存儲證據(jù)時 要對證據(jù)執(zhí)行可信的訪問控制策略 以確保證據(jù)只能被授權(quán)人員使用 證據(jù)傳輸由于在傳輸過程中 可信的內(nèi)部人員能夠接觸到證據(jù) 因此為保持監(jiān)管 應該檢查沿途所有處理過證據(jù)的人員的數(shù)字簽名 在傳輸過程中 要使用一些強大的數(shù)據(jù)隱藏技術(shù) 例如數(shù)據(jù)加密 信息隱藏 密碼保護等對證據(jù)進行保護 需要一些方法能夠檢測出信息證據(jù)在傳輸過程中是否出現(xiàn)過更改變動 2020 1 22 13 2 3計算機證據(jù)分析 隱藏的證據(jù)已被刪除的數(shù)據(jù) 系統(tǒng)中被刪除的數(shù)據(jù)是可以用十六進制編輯器手動恢復的隱藏的文件 數(shù)據(jù)隱藏是取證分析中需要面對的一個重大問題壞塊 偵查員對所有的 不良磁道 進行檢查之前 不要格式化磁盤 因為這樣有可能會使 不良磁道 的隱藏信息丟失 隱寫術(shù) 偵查員在取證調(diào)查時就應該將搜查的范圍擴大 避免隱藏的信息分散注意力 2020 1 22 操作系統(tǒng)的證據(jù)分析 1 Microsoft文件系統(tǒng)在對硬盤信息進行映像之前 要對分析平臺的所有文件進行病毒掃描 在建立硬盤映像之后 繼續(xù)運行病毒掃描 包括硬盤驅(qū)動器的復本 恢復所有刪除的文件 將其保管到一個安全的位置 對所有恢復的證據(jù)進行分析和處理 2 UNIX和Linux文件系統(tǒng)維護系統(tǒng)中正在運行的所有數(shù)據(jù) 保護系統(tǒng)中運行程序的狀態(tài) 2020 1 22 13 3網(wǎng)絡(luò)取證 13 3 1入侵分析 2020 1 22 13 3 1入侵分析 入侵分析就是對端口掃描以及后門 間諜軟件或木馬等事件進行處理 及時發(fā)現(xiàn)破壞系統(tǒng)安全的行為 目的 回答以下問題 誰進入了系統(tǒng) 采取何種方式進入系統(tǒng) 發(fā)生了什么事件 該事件中取得了哪些教訓 能否避免同種事件再次發(fā)生 主要功能 收集數(shù)據(jù)與分析數(shù)據(jù)提供服務 事故應急響應預案 應急響應 入侵數(shù)據(jù)的技術(shù)性分析 攻擊工具的逆向追蹤 2020 1 22 三個部分監(jiān)視與警報 系統(tǒng)達到實時監(jiān)控與報告的能力修復與報告 快速識別入侵并修復所有已查明的弱點或及時阻止攻擊并將該事件上報給責任主體追捕與檢舉 對事件進行監(jiān)控 當入侵發(fā)生時及時收集證據(jù) 并將證據(jù)直接上報給執(zhí)法部門最終產(chǎn)品包括一系列的文檔 記錄系統(tǒng)的行為活動 事發(fā)前系統(tǒng)的配置信息 以及其他一些相關(guān)信息等 如接觸系統(tǒng)的人員名單及人員行為 工具的使用及工具使用者 2020 1 22 一 應急響應預案 二 應急響應 事件報告最先發(fā)現(xiàn)事件的人是誰 首先采取了哪些響應措施 事件控制要盡可能地阻止事件繼續(xù)進行 減小事件帶來的影響步驟 確定受影響的系統(tǒng) 拒絕攻擊者訪問 移除流氓進程 重新獲取控制 2020 1 22 三 入侵技術(shù)分析 特點不同于計算機偵查取證 網(wǎng)絡(luò)取證的大部分證據(jù)都不在一個主機或一個存儲設(shè)備中 需要搜索大量的硬盤驅(qū)動器和大量的計算機 信息來源網(wǎng)絡(luò)服務提供商 ISP RADIUS記錄有連接分配的IP地址 連接的時間 連接者的號碼 登陸名等等電子郵件 郵件上注明了郵件的發(fā)信人地址和收信人地址 郵件服務器中會保存具體的信息日志 2020 1 22 四 逆向追蹤 通常防范黑客的技術(shù)就是抓取一個有問題的數(shù)據(jù)包 然后對其進行分析 從而了解數(shù)據(jù)包的工作方式與原理 最終達到防御的目的 這也常常用于反病毒技術(shù)中 通過抓取病毒特征簽名學習病毒的工作方式 最終推出具體的反病毒方案 2020 1 22 13 4取證工具 13 4 1計算機取證工具13 4 2網(wǎng)絡(luò)取證工具 2020 1 22 13 4 1計算機取證工具 基于軟件的取證工具查看程序 報告系統(tǒng)盤上的系統(tǒng)文件和文件類型 驅(qū)動器鏡像 普通的文件復制工具容易錯過隱藏數(shù)據(jù) 而取證軟件可以捕獲所有閑置的空間 未分配領(lǐng)域等 從而避免漏掉隱藏數(shù)據(jù) 磁盤擦 用于強力清除磁盤中的所有內(nèi)容 信息檢索 通過鍵入關(guān)鍵字對大量數(shù)據(jù)快速遍歷以尋找線索 基于硬件的取證工具固定的便攜或輕量級的 筆記本電腦寫阻斷器 可以使偵查員在不關(guān)閉系統(tǒng)的情況下對硬件驅(qū)動器進行移除和重連接操作 2020 1 22 13 4 2網(wǎng)絡(luò)取證工具 Tcpdump可以在大量信息中過濾個別符合條件的數(shù)據(jù)包Strings可以根據(jù)網(wǎng)絡(luò)數(shù)據(jù)傳遞相應的信息商用取證工具在網(wǎng)絡(luò)中通過監(jiān)控網(wǎng)絡(luò)中每個端口的流量來監(jiān)控內(nèi)部 外部的網(wǎng)絡(luò)數(shù)據(jù) 通過這些數(shù)據(jù) 就可以知道網(wǎng)絡(luò)上的用戶行為與行為對象 偵查探針 2020 1 22 2020 1 22 13 5習題 一 選擇題1 犯罪偵查三個核心元素中不包括下列哪一項 A 與案件有關(guān)的材料B 案件材料的合法性C 案件材料的邏輯性D 線索材料2 通過對校驗和進行加密來判斷數(shù)據(jù)是否有更改的檢驗方法叫做 A AHSH算法B SHAH算法C SHHA算法D HASH算法 2020 1 22 二 問答題1 簡述計算機取證的含義 2 簡述計算機取證的技術(shù)及其過程 3 思考如何使用取證工具進行網(wǎng)絡(luò)取證