《数字取证技术》PPT课件.ppt

第8章 数字取证技术,8.1 数字取证概述 8.2 电子证据 8.3 数字取证原则和过程 8.4 网络取证技术 8.5 数字取证常用工具,8.1 数字取证概述 数字取证技术将计算机调查和分析技术应用于对潜在的、有法律效力的电子证据的确定与获取，同样它们都是针对黑客和入侵的，目的都是保障网络的安全。 从计算机取证技术的发展来看，先后有数字取证（Digital Forensics）、电子取证（Electric Forensics）、计算机取证（Computer Forensic）、网络取证（Networks Forensics）等术语。,1电子取证 电子取证则主要研究除计算机和网络以外的电子产品中的数字证据获取、分析和展示，如数码相机、复印机、传真机甚至有记忆存储功能的家电产品等。 2. 计算机取证 计算机取证的主要方法有对文件的复制、被删除文件的恢复、缓冲区内容获取、系统日志分析等等，是一种被动式的事后措施，不特定于网络环境。,3网络取证 网络取证更强调对网络安全的主动防御功能，主要通过对网络数据流、审计、主机系统日志等的实时监控和分析，发现对网络系统的入侵行为，记录犯罪证据，并阻止对网络系统的进一步入侵。,8.2 电子证据 8.2.1 电子证据的概念 电子证据是在计算机或计算机系统运行过程中产生的以其记录的内容来证明案件事实的电磁记录物。 8.2.2 电子证据的特点 1表现形式的多样性 2存储介质的电子性 3准确性 4脆弱性,5数据的挥发性 8.2.3 常见电子设备中的电子证据 电子证据几乎无所不在。如计算机中的内存、硬盘、光盘、移动存储介质、打印机、扫描仪、带有记忆存储功能的家用电器等。 在这些存储介质中应检查的应用数据包括: 1用户自建的文档； 2用户保护文档； 3计算机创建的文档； 4其他数据区中的数据证据； 5ISP计算机系统创建的文档、ftp文件等。,8.3 数字取证原则和过程 8.3.1 数字取证原则 1尽早搜集证据，并保证其没有受到任何破坏； 2必须保证取证过程中计算机病毒不会被引入到目标计算机； 3必须保证“证据连续性”，即在证据被正式提交给法庭时必须保证一直能跟踪证据，要能够说明用于拷贝这些证据的进程是可靠、可复验的等；,4整个检查、取证过程必须是受到监督的； 5必须保证提取出来的可能有用的证据不会受到机械或电磁损害； 6被取证的对象如果必须运行某些商务程序，只能影响一段有限的时间； 7应当尊重不小心获取的任何关于客户代理人的私人信息。 8.3.2 数字取证过程 数字取证的过程一般可划分为四个阶段： 1电子证据的确定和收集,要保存计算机系统的状态，避免无意识破坏现场，同时不给犯罪者破坏证据提供机会，以供日后分析。要注意以下几个方面： （1）收集数据前首先要咨询证人使用计算机的习惯。 （2）可以通过质疑来获取目标计算机网络上的相关信息。 （3）咨询系统管理员和其他可能与计算机系统有关系的人员，再次确保掌握了关于备份系统的所有信息和数据可能的储存位置。,（4）不要对硬盘和其他媒介进行任何操作，甚至不要启动它们。 （5）必须保护所有的媒介，对所有媒介进行病毒扫描。 （6）牢记“已删除”并不意味着真的删除了。 （7）对不同类型的计算机采取不同的策略。 2电子证据的保护 这一阶段将使用原始数据的精确副本，应保证能显示存在于镜像中的所有数据，而且证据必须是安全的，有非常严格的访问控制。为此必须注意以下几点：,（l）通过计算副本和原始证据的hash值来保证取证的完整性； （2）通过写保护和病毒审查文档来保证数据没有被添加、删除或修改； （3）使用的硬件和软件工具都必须满足工业上的质量和可靠性标准； （4）取证过程必须可以复验； （5）数据写入的介质在分析过程中应当写保护，以防止被破坏。,3.电子证据的分析 具体包括：文件属性分析技术；文件数字摘要分析技术；日志分析技术；密码破译技术等。分析阶段首先要确定证据的类型，主要可分为三种： （1）使人负罪的证据，支持已知的推测； （2）辨明无罪的证据，同已知的推测相矛盾； （3）篡改证据，以证明计算机系统已被篡改而无法用来作证。,4展示阶段 给出调查所得结论及相应的证据，供法庭作为公诉证据。还要解释是如何处理和分析证据的，以便说明监管链和方法的彻底性。,8.4 网络取证技术 8.4.1 网络取证概述 网络流的相关性、数据的完整性和包捕获的速率是网络取证、分析首要考虑的事情。相关性是指在某些环境下，应当在捕获网络流时应用过滤器去掉不相关的数据。数据的完整性要求网络取证工具应当一直监控网络流。 网络取证对数据的保护和一般的数字取证过程要求相同，网络取证分析的相关技术包括人工智能、机器学习、数据挖掘、IDS技术、蜜阱技术、SVM和专家系统等。,8.4.2 网络取证模型 根据网络攻击一般过程，网络取证模型如图所示。,8.4.3 IDS取证技术 将计算机取证结合到入侵检测等网络安全工具和网络体系结构中进行动态取证，可使整个取证过程更加系统并具有智能性和实时性，并且还能迅速做出响应。 IDS取证的具体步骤如下: （l）寻找嗅探器（如sniffer）； （2）寻找远程控制程序 ； （3）寻找黑客可利用的文件共享或通信程序 ； （4）寻找特权程序 ；,（5）寻找文件系统的变动； （6）寻找未授权的服务； （7）寻找口令文件的变动和新用户； （8）核对系统和网络配置，特别注意过滤规则； （9）寻找异常文件，这将依赖于系统磁盘容量的大小； （10）查看所有主机，特别是服务器；,（11）观察攻击者，捕获攻击者，找出证据； （12）如果捕获成功则准备起诉，如立刻联系律师等； （13）做完全的系统备份，将系统备份转移到单用户模式下，在单用户模式下制作和验证备份。 在收集证据过程中，还要监视攻击者，监视时要注意以下几点：,（1）最好利用备份作掩护来暗中监视攻击者，因为攻击者如果发现自己被监视，就会离开甚至破坏主机； （2）多查看shell命令历史记录，如果攻击者忘记清除该历史记录，就可以清楚地了解他们使用过什么命令； （3）对付攻击者可以使用“以毒攻毒”的办法； （4）最后要记住适时退出系统，因为断开网络一两天是整理系统的最容易的办法，以提高安全性和日志功能。,8.4.4蜜阱取证技术 蜜阱是包括蜜罐和蜜网等以诱骗技术为核心的网络安全技术。它是一种精心设计的诱骗系统，当黑客攻击时，它能够监视攻击者的行径、策略、工具和目标，从而自动收集相关的电子证据，实现实时网络取证。 利用蜜阱进行取证分析时，一般遵循如下原则和步骤： 1确定攻击的方法、日期和时间（假设IDS的时钟和NTP参考时间源同步）；,2尽可能多地确定有关入侵者的信息； 3列出所有入侵者添加或修改的文件，并对这些程序（包括末编译或未重组部分，因为这些部分可能对确定函数在此事件中的作用和角色有帮助）进行分析 4建立一条事件时间线，对系统行为进行详细分析，注意确认证据的来源； 5给出适合管理层面或新闻媒体需要的报告； 6对事故进行费用估计。,8.4.5 模糊专家系统取证技术 Jun-Sun Kim等人开发了一个基于模糊专家系统的网络取证系统，由六个组件组成，如图8-4所示。 1网络流分析器组件。完成网络流的捕获和分析，它要求捕获所有的网络流，为了保证数据的完整性。 分析器应用规则对捕获的网络流进行重组，这种分类数据包的规则是协议相同的和时间连续的。,2知识库组件。存储模糊推理引擎所使用的模糊规则，其形式为： IF X1=A1 and X2=A2and Xn=An THEN Y=Z 3模糊化组件。确定每个语义变量的模糊集所定义的隶属函数和每个模糊集中输入值的隶属度。 4模糊推理引擎组件。当所有的输入值被模糊化为各自的语义变量，模糊推理引擎访问模糊规则库，进行模糊运算，导出各语义变量的值。,5反模糊化组件。运用“最小-最大”运算产生输出值，作为取证分析器的输入。 6取证分析器。判断捕获的数据包是否存在攻击，它的主要功能是收集数据、分析相关信息，并且生成数字证据。 8.4.6 SVM取证技术 SVM取证技术是为了发现信息行为的关键特征，去除无意义的噪声，有助于减少信息存储量，提高计算速度等。同时，网络取证应该是主动的防御，对未知的网络攻击具有识别和取证能力。,SVM特征选择的基本思想是： 1选择训练集和测试集，对每个特征重复以下步骤； 2从训练集和测试集中删除该特征； 3使用结果数据集训练分类器（SVM）； 4根据既定的性能准则，使用测试集分析分类器的性能； 5根据规则标记该特征的重要性等级。,8.4.7恶意代码技术 恶意代码指能够长期潜伏、秘密窃取敏感信息的有害代码程序，应用同样的原理，可以设计用来进行取证。,8.5 数字取证常用工具 可以用作计算机取证常见工具有Tcpdump、NetMonitor等， Encaee是专业的计算机取证工具。 Encase软件包括Encase取证版解决方案和Encase企业版解决方案。 Encase取证版解决方案是国际领先的受法院认可的计算机调查取证的工具。具有以下主要特性: （1）支持并能管理易变的时区； （2）能分析UNIX和LINUX的系统文件；,（3）能查看并搜索NTFS压缩文件，能检测NTFS文件系统中的附加分区中的信息； （4）允许查看NTFS文件/文件夹的所有者和访问权； （5）允许用户限制其可查看的数据，并能保护特权数据； （6）良好的EnScript程序界面，编辑和调试代码的操作更加方便； （7）可以隐藏用户定义的扇区或提前读取一定数量的扇区，从而提高导航函数的速度；,（8）多个关键词搜索算法能够动态加快搜索速度； （9）支持RAID，了解动态磁盘分区结构并能处理所有可能的配置。 Encase企业版