信息安全技術(shù)教程清華大學(xué)出版社-第十三章.ppt
《信息安全技術(shù)教程清華大學(xué)出版社-第十三章.ppt》由會員分享,可在線閱讀,更多相關(guān)《信息安全技術(shù)教程清華大學(xué)出版社-第十三章.ppt(20頁珍藏版)》請在裝配圖網(wǎng)上搜索。
2020 1 22 第13章計算機與網(wǎng)絡(luò)取證技術(shù) 13 1基本概念13 2計算機取證技術(shù)13 3網(wǎng)絡(luò)取證13 4取證工具13 5習(xí)題 13 1基本概念 計算機取證計算機取證技術(shù)就是在計算機的存儲介質(zhì) 如硬盤或其它磁盤中 進行信息檢索和調(diào)查 網(wǎng)絡(luò)取證網(wǎng)絡(luò)取證是從網(wǎng)絡(luò)存儲設(shè)備中獲取信息 也就是從網(wǎng)絡(luò)上開放的端口中檢索信息來進行調(diào)查 網(wǎng)絡(luò)取證特點網(wǎng)絡(luò)偵查中 雙方對系統(tǒng)的理解程度是一樣的在網(wǎng)絡(luò)取證的很多情況下 偵查員與罪犯使用的是同種工具 2020 1 22 13 2計算機取證技術(shù) 13 2 1計算機取證基本元素13 2 2計算機取證過程13 2 3計算機證據(jù)分析 2020 1 22 13 2 1計算機取證基本元素 線索材料物理材料 文件 信封 箱子電子材料 硬盤中的數(shù)據(jù) 電子郵件的內(nèi)容 電子郵件的地址 附件和網(wǎng)站日志文件 已經(jīng)刪除掉的文件 加密數(shù)據(jù)相關(guān)信息確定哪些信息與案件相關(guān) 合法性數(shù)據(jù)的合法性問題與數(shù)據(jù)的關(guān)聯(lián)性問題是一致的 其同樣基于數(shù)據(jù)的認證過程 2020 1 22 13 2 2計算機取證過程 尋找證據(jù)痕跡 包括指紋 刀痕 鞋印或其它遺留下來的痕跡 生物痕跡 包括血跡 毛發(fā) 指甲殼 汗液等 信息痕跡 保存在存儲設(shè)備中的二進制數(shù)據(jù)等 處理證據(jù)證據(jù)提取和證據(jù)保管 證據(jù)保管包括包裝 存儲和運輸 2020 1 22 證據(jù)恢復(fù)盡可能將所有的證據(jù)都收集到 避免重回現(xiàn)場取證對大容量硬盤中的證據(jù) 有必要在提取時使用壓縮和復(fù)制的方式對于每個項目中提取的證據(jù) 要分配一個唯一的標識號 并在每一個項目上寫出簡短的介紹當(dāng)所有證據(jù)都被收集并分類整理之后 就要將其存放在一個安全的位置 來保證證據(jù)的完好無損 對加密證據(jù)可以借助借助各種工具進行解密 2020 1 22 證據(jù)保存將證據(jù)封裝并進行歸類 然后放置于無靜電環(huán)境下 確保封裝后的證據(jù)不會被過冷 過熱或過濕的環(huán)境所影響 將原始數(shù)據(jù)進行備份 對所有嫌疑存儲介質(zhì)做磁盤鏡像 條件允許情況下 要對證據(jù)數(shù)據(jù)進行加密 加密可同時被偵查員和罪犯所用 作為罪犯 一般利用加密進行內(nèi)容隱藏 作為偵查員 一般利用加密保證證據(jù)的保密性和完整性 存儲證據(jù)時 要對證據(jù)執(zhí)行可信的訪問控制策略 以確保證據(jù)只能被授權(quán)人員使用 證據(jù)傳輸由于在傳輸過程中 可信的內(nèi)部人員能夠接觸到證據(jù) 因此為保持監(jiān)管 應(yīng)該檢查沿途所有處理過證據(jù)的人員的數(shù)字簽名 在傳輸過程中 要使用一些強大的數(shù)據(jù)隱藏技術(shù) 例如數(shù)據(jù)加密 信息隱藏 密碼保護等對證據(jù)進行保護 需要一些方法能夠檢測出信息證據(jù)在傳輸過程中是否出現(xiàn)過更改變動 2020 1 22 13 2 3計算機證據(jù)分析 隱藏的證據(jù)已被刪除的數(shù)據(jù) 系統(tǒng)中被刪除的數(shù)據(jù)是可以用十六進制編輯器手動恢復(fù)的隱藏的文件 數(shù)據(jù)隱藏是取證分析中需要面對的一個重大問題壞塊 偵查員對所有的 不良磁道 進行檢查之前 不要格式化磁盤 因為這樣有可能會使 不良磁道 的隱藏信息丟失 隱寫術(shù) 偵查員在取證調(diào)查時就應(yīng)該將搜查的范圍擴大 避免隱藏的信息分散注意力 2020 1 22 操作系統(tǒng)的證據(jù)分析 1 Microsoft文件系統(tǒng)在對硬盤信息進行映像之前 要對分析平臺的所有文件進行病毒掃描 在建立硬盤映像之后 繼續(xù)運行病毒掃描 包括硬盤驅(qū)動器的復(fù)本 恢復(fù)所有刪除的文件 將其保管到一個安全的位置 對所有恢復(fù)的證據(jù)進行分析和處理 2 UNIX和Linux文件系統(tǒng)維護系統(tǒng)中正在運行的所有數(shù)據(jù) 保護系統(tǒng)中運行程序的狀態(tài) 2020 1 22 13 3網(wǎng)絡(luò)取證 13 3 1入侵分析 2020 1 22 13 3 1入侵分析 入侵分析就是對端口掃描以及后門 間諜軟件或木馬等事件進行處理 及時發(fā)現(xiàn)破壞系統(tǒng)安全的行為 目的 回答以下問題 誰進入了系統(tǒng) 采取何種方式進入系統(tǒng) 發(fā)生了什么事件 該事件中取得了哪些教訓(xùn) 能否避免同種事件再次發(fā)生 主要功能 收集數(shù)據(jù)與分析數(shù)據(jù)提供服務(wù) 事故應(yīng)急響應(yīng)預(yù)案 應(yīng)急響應(yīng) 入侵數(shù)據(jù)的技術(shù)性分析 攻擊工具的逆向追蹤 2020 1 22 三個部分監(jiān)視與警報 系統(tǒng)達到實時監(jiān)控與報告的能力修復(fù)與報告 快速識別入侵并修復(fù)所有已查明的弱點或及時阻止攻擊并將該事件上報給責(zé)任主體追捕與檢舉 對事件進行監(jiān)控 當(dāng)入侵發(fā)生時及時收集證據(jù) 并將證據(jù)直接上報給執(zhí)法部門最終產(chǎn)品包括一系列的文檔 記錄系統(tǒng)的行為活動 事發(fā)前系統(tǒng)的配置信息 以及其他一些相關(guān)信息等 如接觸系統(tǒng)的人員名單及人員行為 工具的使用及工具使用者 2020 1 22 一 應(yīng)急響應(yīng)預(yù)案 二 應(yīng)急響應(yīng) 事件報告最先發(fā)現(xiàn)事件的人是誰 首先采取了哪些響應(yīng)措施 事件控制要盡可能地阻止事件繼續(xù)進行 減小事件帶來的影響步驟 確定受影響的系統(tǒng) 拒絕攻擊者訪問 移除流氓進程 重新獲取控制 2020 1 22 三 入侵技術(shù)分析 特點不同于計算機偵查取證 網(wǎng)絡(luò)取證的大部分證據(jù)都不在一個主機或一個存儲設(shè)備中 需要搜索大量的硬盤驅(qū)動器和大量的計算機 信息來源網(wǎng)絡(luò)服務(wù)提供商 ISP RADIUS記錄有連接分配的IP地址 連接的時間 連接者的號碼 登陸名等等電子郵件 郵件上注明了郵件的發(fā)信人地址和收信人地址 郵件服務(wù)器中會保存具體的信息日志 2020 1 22 四 逆向追蹤 通常防范黑客的技術(shù)就是抓取一個有問題的數(shù)據(jù)包 然后對其進行分析 從而了解數(shù)據(jù)包的工作方式與原理 最終達到防御的目的 這也常常用于反病毒技術(shù)中 通過抓取病毒特征簽名學(xué)習(xí)病毒的工作方式 最終推出具體的反病毒方案 2020 1 22 13 4取證工具 13 4 1計算機取證工具13 4 2網(wǎng)絡(luò)取證工具 2020 1 22 13 4 1計算機取證工具 基于軟件的取證工具查看程序 報告系統(tǒng)盤上的系統(tǒng)文件和文件類型 驅(qū)動器鏡像 普通的文件復(fù)制工具容易錯過隱藏數(shù)據(jù) 而取證軟件可以捕獲所有閑置的空間 未分配領(lǐng)域等 從而避免漏掉隱藏數(shù)據(jù) 磁盤擦 用于強力清除磁盤中的所有內(nèi)容 信息檢索 通過鍵入關(guān)鍵字對大量數(shù)據(jù)快速遍歷以尋找線索 基于硬件的取證工具固定的便攜或輕量級的 筆記本電腦寫阻斷器 可以使偵查員在不關(guān)閉系統(tǒng)的情況下對硬件驅(qū)動器進行移除和重連接操作 2020 1 22 13 4 2網(wǎng)絡(luò)取證工具 Tcpdump可以在大量信息中過濾個別符合條件的數(shù)據(jù)包Strings可以根據(jù)網(wǎng)絡(luò)數(shù)據(jù)傳遞相應(yīng)的信息商用取證工具在網(wǎng)絡(luò)中通過監(jiān)控網(wǎng)絡(luò)中每個端口的流量來監(jiān)控內(nèi)部 外部的網(wǎng)絡(luò)數(shù)據(jù) 通過這些數(shù)據(jù) 就可以知道網(wǎng)絡(luò)上的用戶行為與行為對象 偵查探針 2020 1 22 2020 1 22 13 5習(xí)題 一 選擇題1 犯罪偵查三個核心元素中不包括下列哪一項 A 與案件有關(guān)的材料B 案件材料的合法性C 案件材料的邏輯性D 線索材料2 通過對校驗和進行加密來判斷數(shù)據(jù)是否有更改的檢驗方法叫做 A AHSH算法B SHAH算法C SHHA算法D HASH算法 2020 1 22 二 問答題1 簡述計算機取證的含義 2 簡述計算機取證的技術(shù)及其過程 3 思考如何使用取證工具進行網(wǎng)絡(luò)取證- 1.請仔細閱讀文檔,確保文檔完整性,對于不預(yù)覽、不比對內(nèi)容而直接下載帶來的問題本站不予受理。
- 2.下載的文檔,不會出現(xiàn)我們的網(wǎng)址水印。
- 3、該文檔所得收入(下載+內(nèi)容+預(yù)覽)歸上傳者、原創(chuàng)作者;如果您是本文檔原作者,請點此認領(lǐng)!既往收益都歸您。
下載文檔到電腦,查找使用更方便
9.9 積分
下載 |
- 配套講稿:
如PPT文件的首頁顯示word圖標,表示該PPT已包含配套word講稿。雙擊word圖標可打開word文檔。
- 特殊限制:
部分文檔作品中含有的國旗、國徽等圖片,僅作為作品整體效果示例展示,禁止商用。設(shè)計者僅對作品中獨創(chuàng)性部分享有著作權(quán)。
- 關(guān) 鍵 詞:
- 信息 安全技術(shù) 教程 清華大學(xué)出版社 第十三
鏈接地址:http://www.3dchina-expo.com/p-5193951.html