计算机取证分析0

计算机取证技术

课程内容课题背景计算机犯罪简述国外计算机取证应用现状国内计算机取证应用现状计算机取证概念、原则与步骤取证过程与方法展望-----------------------------

课题背景

随着社会信息化、网络化大潮的推进，社会生活中的计算机犯罪由最初的“小荷才露尖尖角”到目前的层出不穷，举不胜举，因此，电子数据证据的法律效力正在成为学界关注的焦点。

---------------------------------------------------------------

社会信息化发展步伐硬件方面：Moore定律：每18个月相同价格的集成电路的处理能力就会加倍。Intel研制出"纳米"晶体管摩尔定律将被推翻硅芯片晶体密度提百倍摩尔定律再用20年CSDN-英特尔即将启用远紫外技术摩尔定律再获新发展

……---------------------------------------------------------------

社会信息化发展步伐软件方面：

由最初的手动编制二进制代码到汇编语言、高级语言、面向对象的概念、软件工程到UML建模技术，软件开发日益呈现工程化、自动化趋势，软件的应用范围日益拓展，已成为社会生活重要组成部分。---------------------------------------------------------------

社会信息化发展步伐网络与通信：互联网在中国的发展CNNIC的统计:我们的网民总量截至2002年7月为4580万，上网计算机数量为1613万台，CN下注册的域名数量是126146个。WWW站点数（包括.CN、.COM、.NET、.ORG下的网站）大约293213个。---------------------------------------------------------------

计算机犯罪概念Computerrelatedcrimeorcomputeraimedcrime？

广义说：计算机犯罪———通常是指所有涉及计算机的犯罪。如：欧洲经济合作与发展组织的专家认为:“在自动数据处理过程中任何非法的、违反职业道德的、未经过批准的行为都是计算机犯罪。”我国刑法学者有人认为:“凡是故意或过失不当使用计算机致使他人受损失或有受损失危险的行为,都是计算机犯罪。”

---------------------------------------------------------------

计算机犯罪概念狭义说：计算机犯罪———通常是对计算机资产本身进行侵犯的犯罪。例如：瑞典的私人保密权法规定:“未经过批准建立和保存计算机私人文件,非法窃取电子数据处理记录或非法篡改、删除记录侵犯个人隐私的行为都是计算机犯罪。”我国有学者认为,“计算机犯罪是指利用计算机操作所实施的危害计算机信息系统(包括内存数据及程序)安全的犯罪行为”

---------------------------------------------------------------

计算机犯罪概念折衷说：计算机本身在计算机犯罪中以“犯罪工具”或“犯罪对象”的方式出现,这一概念注重的是计算机本身在犯罪中的作用。如：德国学者施奈德认为:“计算机犯罪指的是利用电子数据处理设备作为作案工具的犯罪行为或者把数据处理设备当作作案对象的犯罪行为。”我国学者认为:“计算机犯罪是以计算机为工具或以计算机资产为对象的犯罪行为。”

---------------------------------------------------------------

计算机犯罪的特点

犯罪形式的隐蔽性

计算机犯罪一般不受时间和地点限制,可以通过网络大幅度跨地域远程实现,其罪源可来自全球的任何一个终端,随机性很强。计算机犯罪黑数高。---------------------------------------------------------------

计算机犯罪的特点

犯罪主体和手段的智能性计算机犯罪的各种手段中,无论是“特洛依木马术”,还是“逻辑炸弹”,无一不是凭借高科技手段实施的,而熟练运用这些手段并实现犯罪目的的则是具有相当丰富的计算机技术知识和娴熟的计算机操作技能的专业人员。

---------------------------------------------------------------

计算机犯罪的特点

复杂性犯罪主体的复杂性。犯罪对象的复杂性。---------------------------------------------------------------

计算机犯罪的特点

跨国性网络冲破了地域限制，计算机犯罪呈国际化趋势。因特网络具有“时空压缩化”的特点，当各式各样的信息通过因特网络传送时，国界和地理距离的暂时消失就是空间压缩的具体表现。这为犯罪分了跨地域、跨国界作案提供了可能。犯罪分子只要拥有一台联网的终端机，就可以通过因特网到网络上任何一个站点实施犯罪活动。而且，可以甲地作案，通过中间结点，使其他联网地受害。由于这种跨国界、跨地区的作案隐蔽性强、不易侦破，危害也就更大。---------------------------------------------------------------

计算机犯罪的特点

匿名性

罪犯在接受网络中的文字或图像信息的过程是不需要任何登记，完全匿名，因而对其实施的犯罪行为也就很难控制。罪犯可以通过反复匿名登录，几经周折，最后直奔犯罪目标，而作为对计算机犯罪的侦查，就得按部就班地调查取证，等到接近犯罪的目标时，犯罪分子早已逃之夭夭了。

---------------------------------------------------------------

计算机犯罪的特点损失大，对象广泛，发展迅速，涉及面广计算机犯罪始于六十年代，七十年代迅速增长，八十年代形成威胁。美国因计算机犯罪造成的损失已在千亿美元以上，年损失达几十亿，甚至上百亿美元，英、德的年损失也达几十亿美元。我国从1986年开始每年出现至少几起或几十起计算机犯罪，到1993年一年就发生了上百起，近几年利用计算机计算机犯罪的案件以每年30%的速度递增，其中金融行业发案比例占61%，平均每起金额都在几十万元以上，单起犯罪案件的最大金额高达1400余万元，每年造成的直接经济损失近亿元。---------------------------------------------------------------

计算机犯罪的特点持获利和探秘动机居多

全世界每年被计算机犯罪直接盗走的资金达20亿美元。我国2001年发现的计算机作案的经济犯罪已达100余件，涉及金额达1700万元，在整个计算机犯罪中占有相当的比例。各种各样的个人隐私、商业秘密、军事秘密等等都成为计算机犯罪的攻击对象。侵害计算机信息系统的更是层出不穷。---------------------------------------------------------------

计算机犯罪的特点低龄化和内部人员多

我国对某地的金融犯罪情况的调查，犯罪的年龄在35岁以下的人占整个犯罪人数的比例：1989年是69.9%，1990年是73.2%，1991年是75.8%。其中年龄最小的只有18岁。此外，在计算机犯罪中犯罪主体中内部人员也占有相当的比例。据有关统计，计算机犯罪的犯罪主体集中为金融、证券业的“白领阶层”，身为银行或证券公司职员而犯罪的占78%，并且绝大多数为单位内部的计算机操作管理人员；从年龄和文化程度看，集中表现为具有一定专业技术知识、能独立工作的大、中专文化程度的年轻人，这类人员占83%，案发时最大年龄为34岁。---------------------------------------------------------------

计算机犯罪的特点巨大的社会危害性

网络的普及程度越高，计算机犯罪的危害也就越大，而且计算机犯罪的危害性远非一般传统犯罪所能比拟，不仅会造成财产损失，而且可能危及公共安全和国家安全。据美国联邦调查局统计测算，一起刑事案件的平均损失仅为2000美元，而一起计算机犯罪案件的平均损失高达50万美元。据计算机安全专家估算，近年因计算机犯罪给总部在美国的公司带来的损失为2500亿美元。---------------------------------------------------------------

计算机犯罪的类型举例非法侵入计算机信息系统罪。

《刑法》第285条规定,违反国家规定,侵入国有事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。---------------------------------------------------------------

计算机犯罪的类型举例破坏计算机信息系统罪。这一行为《刑法》第286条概括为破坏计算机信息系统罪。主要表现为:故意对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的行为;故意对计算机信息系统中存储处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的行为;故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的行为。---------------------------------------------------------------

计算机犯罪的类型举例《刑法》第287条规定了利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密罪。利用计算机实施盗窃的行为纳入盗窃罪定罪处罚的范围,从而使盗窃罪更具信息时代的特征。如盗窃电子资金,不法分子往往利用电子资金过户系统,例如定点销售系统(ＰＯＳＳ)、自动存取款机(ＡＴＭＳ)自动化票据交换所(ＡＣＨＳ)、电子身份证系统等提供的便利,使用计算机技术通过网络修改电子资金帐目,窃取电子资金。

---------------------------------------------------------------

计算机犯罪的形式数据欺骗非法篡改输入/输出数据获取个人利益,是最普通最常见的计算机犯罪活动。发生在金融系统的此种计算机犯罪多为内外勾结,串通作案,由内部人员修改数据,外部人员提取钱款。---------------------------------------------------------------

计算机犯罪的形式意大利香肠术

侵吞存款利息余额,积少成多的一种作案手段,是金融系统计算机犯罪的典型类型。这种方法很像偷吃香肠一样,每次偷吃一小片并不引起人们的注意,但是日积月累的数目也是相当可观。此类案件在国内外均有发现,因为只有修改计算机程序才能达到其犯罪目的,故多为直接接触程序的工作人员所为。目前国内多数为局域网管理银行帐目而产生此类犯罪,因此,要警惕采用此手段作案的罪犯。---------------------------------------------------------------

计算机犯罪的形式特洛依木马

“特洛依木马”来源于古希腊传说,相传希腊人为了攻陷特洛依城,在城外故意抛下一个木马并假装撤退,特洛依人将木马拖回城内后,埋伏在木马内的希腊士兵就打开城门,里应外合而将特洛依城攻陷。它是表面上来看是正常合适的,但在内部却隐藏秘密指令和非法程序段的程序的代名词。“特洛依木马”就是用来表示以软件程序为基础进行欺骗和破坏的方法。

---------------------------------------------------------------

计算机犯罪的形式冒名顶替

利用别人口令,窃用计算机谋取个人私利的做法。在机密信息系统和金融系统中,罪犯常以此手法作案。单用户环境多为内部人员所为,网络系统则可能为非法渗透。由于人们普遍存在猎奇心理,对别人加密程序,总想解密一睹,因此用户口令应注意保密和更新,且最好不用容易破译的口令密码,如电话号码、出生日期、人名缩写等。---------------------------------------------------------------

计算机犯罪的形式清理垃圾从计算机系统周围废弃物中获取信息的一种方法。由此带来损失的例子并不罕见,提醒计算机用户不要随便处理所谓废弃物,因为其中可能含有不愿泄漏的信息资料。---------------------------------------------------------------

计算机犯罪的形式逻辑炸弹

指插入用户程序中的一些异常指令编码,该代码在特定时刻或特定条件下执行破坏作用,所以称为逻辑炸弹或定时炸弹。---------------------------------------------------------------

国外计算机取证历史及现状法律的制定：自1976年的FederalRulesofEvidence起，美国出现了如下一些法律解决由电子证据带来的问题：TheEconomicEspionageActof1996:处理商业机密窃取问题TheElectronicCommunicationsPrivacyActof1986:处理电子通信的窃听问题TheComputerSecurityActof1987(PublicLaw100-235):处理政府计算机系统的安全问题---------------------------------------------------------------

国外计算机取证历史及现状取证技术：逐渐走向自动化、智能化，政府与各专业机构均投入巨大人力、物力开发计算机取证专用工具。---------------------------------------------------------------

国外计算机取证历史及现状

用于电子数据证据获取的工具：如HigherGroundSoftwareInc.的软件HardDriveMechanic可用于从被删除的、被格式化的和已被重新分区的硬盘中获取数据。NTI公司的GetFree可从活动的WindowsSwap分区中恢复数据，该公司的软件GetSlack可自动搜集系统中的文件碎片并将其写入一个统一的文件。---------------------------------------------------------------

国外计算机取证历史及现状用于电子数据证据保全的工具：GuidanceSoftware公司生产的硬件设备Fastbloc可用于Windows操作系统下计算机媒质内容的快速镜像，NTI的软件系统CRCMd5可用于在计算机犯罪调查过程中保护已搜集来的电子证据，保证其不被改变，也可以用于将系统从一台计算机迁移到另一台计算机时保障系统的完整性。该公司的软件SEIZED可用于保证用户无法对正在被调查的计算机或系统进行操作。---------------------------------------------------------------

国外计算机取证历史及现状

用于电子数据证据分析的工具：这类工具中最著名的是NTI公司的软件系统NetThreatAnalyzer。该软件使用人工智能中的模式识别技术，分析Slack磁盘空间、未分配磁盘空间、自由空间中所包含的信息，研究交换文件、缓存文件、临时文件及网络流动数据，从而发现系统中曾发生过的Email交流、Internet浏览及文件上传下载等活动，提取出与生物、化学、核武器等恐怖袭击、炸弹制造及性犯罪等相关的内容。该软件在美国9.11事件的调查中起到了很大的作用。---------------------------------------------------------------

国外计算机取证历史及现状用于电子数据证据归档的工具：如NTI公司的软件NTI-DOC可用于自动记录电子数据产生的时间、日期及文件属性。---------------------------------------------------------------

国外计算机取证历史及现状结论：针对计算机取证的全部活动而言，美国的各研究机构与公司所开发的工具主要覆盖了电子数据证据的获取、保全、分析和归档的过程，各研究机构与公司也都在进一步优化现有的各种工具，提高利用工具进行电子证据搜集、保全、鉴定、分析的可靠性和准确度，进一步提高计算机取证的自动化和智能化。但目前还没有能够全面鉴定电子数据证据设备来源、地址来源、软件来源的工具。---------------------------------------------------------------

国内计算机取证历史及现状我国的计算机普及与应用起步较晚，有关计算机取证的研究与实践工作也仅有10年的历史，相关的法律法规仍很不完善，学界对计算机犯罪的研究也主要集中于计算机犯罪的特点、预防对策及其给人类带来的影响。目前法庭案例中出现的计算机证据都比较简单，多是文档、电子邮件、程序源代码等不需特殊工具就可以取得的信息。但随着技术的进步，计算机犯罪的水平也在不断提高，目前的计算机取证技术己不能满足打击计算机犯罪、保护网络与信息安全的要求，自主开发适合我国国情的、能够全面检查计算机与网络系统的计算机取证的工具与软件已经迫在眉睫。---------------------------------------------------------------

有关电子数据证据任何材料要成为证据，均需具备三性：客观性关联性合法性---------------------------------------------------------------

计算机取证（电子取证）定义计算机取证专业资深人士JuddRobins:计算机取证不过是简单地将计算机调查和分析技术应用于对潜在的、有法律效力的证据的确定与获取上。---------------------------------------------------------------

计算机取证（电子取证）定义

一家专业的计算机紧急事件响应和计算机取证咨询公司：计算机取证包括了对以磁介质编码信息方式存储的计算机证据的保护、确认、提取和归档。---------------------------------------------------------------

计算机取证（电子取证）定义一篇综述文章给出了如下的定义：计算机取证是使用软件和工具，按照一些预先定义的程序全面地检查计算机系统，以提取和保护有关计算机犯罪的证据。---------------------------------------------------------------

计算机取证（电子取证）定义综合：

计算机取证是指对能够为法庭接受的、足够可靠和有说服性的，存在于计算机和相关外设中的电子证据的确认、保护、提取和归档的过程。---------------------------------------------------------------

取证对比-----------------------------

名称法医取证刑侦取证计算机取证专业基础医学侦破学计算机科学对象尸体现场、作案工具…计算机、信息载体…目标死因、证据物理证据、作案手段…信息证据、作案技术…电子证据与传统证据的区别计算机数据无时无刻不在改变；计算机数据不是肉眼直接可见的，必须借助适当的工具；搜集计算机数据的过程，可能会对原始数据造成很严重的修改，因为打开文件、打印文件等一般都不是原子操作；电子证据问题是由于技术发展引起的，因为计算机和电信技术的发展非常迅猛，所以取证步骤和程序也必须不断调整以适应技术的进步。---------------------------------------------------------------

计算机取证的主要原则尽早搜集证据，并保证其没有受到任何破坏必须保证“证据连续性”（有时也被称为“chainofcustody”），即在证据被正式提交给法庭时，必须能够说明在证据从最初的获取状态到在法庭上出现状态之间的任何变化，当然最好是没有任何变化。整个检查、取证过程必须是受到监督的，也就是说，由原告委派的专家所作的所有调查取证工作，都应该受到由其它方委派的专家的监督。

---------------------------------------------------------------

计算机取证的基本步骤在取证检查中，保护目标计算机系统，避免发生任何的改变、伤害、数据破坏或病毒感染。搜索目标系统中的所有文件。包括现存的正常文件，已经被删除但仍存在于磁盘上（即还没有被新文件覆盖）的文件，隐藏文件，受到密码保护的文件和加密文件。全部（或尽可能）恢复发现的已删除文件。

---------------------------------------------------------------

计算机取证的基本步骤

最大程度地显示操作系统或应用程序使用的隐藏文件、临时文件和交换文件的内容。如果可能并且如果法律允许，访问被保护或加密文件的内容。

---------------------------------------------------------------

计算机取证的基本步骤分析在磁盘的特殊区域中发现的所有相关数据。特殊区域至少包括下面两类：①所谓的未分配磁盘空间——虽然目前没有被使用，但可能包含有先前的数据残留。②文件中的“slack”空间——如果文件的长度不是簇长度的整数倍，那么分配给文件的最后一簇中，会有未被当前文件使用的剩余空间，其中可能包含了先前文件遗留下来的信息，可能是有用的证据。

---------------------------------------------------------------

计算机取证的基本步骤打印对目标计算机系统的全面分析结果，然后给出分析结论：系统的整体情况，发现的文件结构、数据、和作者的信息，对信息的任何隐藏、删除、保护、加密企图，以及在调查中发现的其它的相关信息。给出必需的专家证明。

---------------------------------------------------------------

计算机取证的基本步骤注：如上计算机取证原则及步骤都是基于一种静态的视点，即事件发生后对目标系统的静态分析。随着计算机犯罪技术手段的提高，这种静态的视点已经无法满足要求，发展趋势是将计算机取证结合到入侵检测等网络安全工具和网络体系结构中，进行动态取证。整个取证过程将更加系统并具有智能性，也将更加灵活多样。

---------------------------------------------------------------

计算机取证相关技术数据获取技术包括：对计算机系统和文件的安全获取技术，避免对原始介质进行任何破坏和干扰；对数据和软件的安全搜集技术；对磁盘或其它存储介质的安全无损伤备份技术；对已删除文件的恢复、重建技术；

---------------------------------------------------------------

计算机取证相关技术数据获取技术包括：对磁盘空间、未分配空间和自由空间中包含的信息的发掘技术；对交换文件、缓存文件、临时文件中包含的信息的复原技术；计算机在某一特定时刻活动内存中的数据的搜集技术；网络流动数据的获取技术等。

---------------------------------------------------------------

计算机取证相关技术数据分析技术：在已经获取的数据流或信息流中寻找、匹配关键词或关键短语是目前的主要数据分析技术，具体包括：文件属性分析技术；文件数字摘要分析技术；日志分析技术；

---------------------------------------------------------------

计算机取证相关技术数据分析技术：根据已经获得的文件或数据的用词、语法和写作（编程）风格，推断出其可能的作者的分析技术；发掘同一事件的不同证据间的联系的分析技术；数据解密技术；密码破译技术；对电子介质中的被保护信息的强行访问技术等。

---------------------------------------------------------------

计算机取证技术发展趋势计算机取证技术进一步与信息安全技术相结合。在网络协议设计过程中考虑到未来取证的需要，为潜在的取证活动保留充足信息。（如RecursivesessiontokenprotocolusedincomputerforensicsandTCPtraceback）取证工具的开发往往结合人工智能、机器学习、神经网络和数据挖掘技术。

---------------------------------------------------------------

电子数据证据的获取－技术性采集关于数据恢复原理：微机系统，大多采用FAT、FAT32或者NTFS三种文件系统。以FAT文件系统为例，数据文件写到基于该系统的磁盘上以后，会在目录入口和FAT表中记录相应信息。目录入口保留我们通常通过资源管理器等工具能看到的文件信息，如文件名称、大小、类型等，它还保留了该文件在FAT表（FileAllocationTable文件分配表）中相应记录项的地址；而FAT表记录了该文件在磁盘上所占用的各个实际扇区的位置。当我们从磁盘上删除一个文件（并从Windows提供的回收站中清除，下同）后，该文件在目录入口中的信息就被清除了，在FAT表中记录的该文件所占用的扇区也被标识为空闲，但其实这时保存在磁盘上的实际数据并未被真正清除；只有当其他文件写入，有可能使用该文件占用的扇区时（因为它们已被标识为空闲），该文件才会被真正覆盖掉。

---------------------------------------------------------------------------

电子数据证据的获取－技术性采集文件被删除或系统被格式化时的恢复：

一般的来说，文件删除仅仅是把文件的首字节，改为E5H，而并不破坏本身，因此可以恢复。但由于对不连续文件要恢复文件链，由于手工交叉恢复对一般计算机用户来说并不容易，用工具处理，如可用NortonUtilities，可以用他来查找。另外，RECOVERNT等工具，都是恢复的利器。特别注意的是，千万不要在发现文件丢失后，在本机安装什么恢复工具，你可能恰恰把文件覆盖掉了。特别是你的文件在C盘的情况下，如果你发现主要文件被你失手清掉了，（比如你按SHIFT删除），你应该马上直接关闭电源，用软盘启动进行恢复或把硬盘串接到其他有恢复工具的机器处理。误格式化的情况可以用等工具处理。

---------------------------------------------------------------------------

电子数据证据的获取－技术性采集文件损坏时的恢复:一般的说，恢复文件损坏需要清楚的了解文件的结构，不是很容易的事情，而这方面的工具也不多。不过一般的说，文件如果字节正常，不能正常打开往往是文件头损坏。就文件恢复举几个简单例子。类型特征处理

ZIP、TGZ等压缩包无法解压

ZIP文件损坏的情况下可以用一个名为ZIPFIX的工具处理。

---------------------------------------------------------------------------

电子数据证据的获取－技术性采集文件损坏时的恢复:自解压文件无法解压

可能是可执行文件头损坏，可以用对应压缩工具按一般压缩文件解压。DBF文件死机后无法打开

典型的文件头中的记录数与实际不匹配了，把文件头中的记录数向下调整。

---------------------------------------------------------------------------

电子数据证据的获取－技术性采集硬盘被加密或变换时的恢复：

一定要反解加密算法，或找到被移走的重要扇区。对于那些加密硬盘数据的病毒，清除时一定要选择能恢复加密数据的可靠杀毒软件。

---------------------------------------------------------------------------

电子数据证据的获取－技术性采集加密文件后密码破解：

采用口令破解软件，如zipcrack等，其原理是字典攻击。有些软件是有后门的，比如DOS下的WPS，Ctrl+qiubojun就是通用密码。

---------------------------------------------------------------------------

电子数据证据的获取－技术性采集缺乏用户口令进入文件系统方法：

用软盘启动（也可以把盘挂接在其他NT上），找到支持该文件系统结构的软件（比如针对NT的NTFSDOS），利用他把密码文件清掉、或者是COPY出密码档案，用破解软件套字典来处理。

---------------------------------------------------------------------------

电子数据证据的获取－技术性采集其余数据恢复策略：系统不认硬盘

系统从硬盘无法启动，从A盘启动也无法进入C盘，使用CMOS中的自动监测功能也无法发现硬盘的存在。这种故障大都出现在连接电缆或IDE端口上，硬盘本身故障的可能性不大，可通过重新插接硬盘电缆或者改换IDE口及电缆等进行替换试验，就会很快发现故障的所在。如果新接上的硬盘也不被接受，一个常见的原因就是硬盘上的主从跳线，如果一条IDE硬盘线上接两个硬盘设备，就要分清楚主从关系。

---------------------------------------------------------------------------

电子数据证据的获取－技术性采集其余数据恢复策略：CMOS引起的故障

CMOS中的硬盘类型正确与否直接影响硬盘的正常使用。现在的机器都支持“IDEAutoDetect”的功能，可自动检测硬盘的类型。当硬盘类型错误时，有时干脆无法启动系统，有时能够启动，但会发生读写错误。比如CMOS中的硬盘类型小于实际的硬盘容量，则硬盘后面的扇区将无法读写，如果是多分区状态则个别分区将丢失。还有一个重要的故障原因，由于目前的IDE都支持逻辑参数类型，硬盘可采用“Normal,LBA,Large”等，如果在一般的模式下安装了数据,而又在CMOS中改为其它的模式，则会发生硬盘的读写错误故障，因为其映射关系已经改变，将无法读取原来的正确硬盘位置。

---------------------------------------------------------------------------

电子数据证据的获取－技术性采集其余数据恢复策略：主引导程序引起的启动故障主引导程序位于硬盘的主引导扇区，主要用于检测硬盘分区的正确性，并确定活动分区，负责把引导权移交给活动分区的DOS或其他操作系统。此段程序损坏将无法从硬盘引导，但从软驱或光驱启动之后可对硬盘进行读写。修复此故障的方法较为简单，使用高版本DOS的FDISK最为方便，当带参数/mbr运行时，将直接更换(重写)硬盘的主引导程序。实际上硬盘的主引导扇区正是此程序建立的，FDISK.EXE之中包含有完整的硬盘主引导程序。虽然DOS版本不断更新，但硬盘的主引导程序一直没有变化，从DOS3.x到Windos95的DOS，只要找到一种DOS引导盘启动系统并运行此程序即可修复。

---------------------------------------------------------------------------

电子数据证据的获取－技术性采集其余数据恢复策略：分区表错误引发的启动故障分区表错误是硬盘的严重错误，不同的错误程度会造成不同的损失。如果是没有活动分区标志，则计算机无法启动。但从软驱或光驱引导系统后可对硬盘读写，可通过FDISK重置活动分区进行修复。如果是某一分区类型错误，可造成某一分区的丢失。分区表的第四个字节为分区类型值，正常的可引导的大于32MB的基本DOS分区值为06，而扩展的DOS分区值是05。很多人利用此类型值实现单个分区的加密技术，恢复原来的正确类型值即可使该分区恢复正常。

---------------------------------------------------------------------------

电子数据证据的获取－技术性采集其余数据恢复策略：分区表错误引发的启动故障分区表中还有其它数据用于记录分区的起始或终止地址。这些数据的损坏将造成该分区的混乱或丢失，可用的方法是用备份的分区表数据重新写回，或者从其它的相同类型的并且分区状况相同的硬盘上获取分区表数据。恢复的工具可采用NU等工具软件，操作非常方便。当然也可采用DEBUG进行操作，但操作繁琐并且具有一定的风险。

---------------------------------------------------------------------------

电子数据证据的获取－技术性采集其余数据恢复策略：分区有效标志错误的故障在硬盘主引导扇区中还存在一个重要的部分，那就是其最后的两个字节：“55aa”，此字节为扇区的有效标志。当从硬盘、软盘或光盘启动时，将检测这两个字节，如果存在则认为有硬盘存在，否则将不承认硬盘。此处可用于整个硬盘的加密技术，可采用DEBUG方法进行恢复处理。另外，当DOS引导扇区无引导标志时，系统启动将显示为：“MmissingOperatingSystem”。可使用DOS系统通用的修复方法。

---------------------------------------------------------------------------

电子数据证据的获取－技术性采集其余数据恢复策略：DOS引导系统引起的启动故障

DOS引导系统主要由DOS引导扇区和DOS系统文件组成。系统文件主要包括IO.SYS、MSDOS.SYS、COMMAND.COM，其中COMMAND.COM是DOS的外壳文件，可用其它的同类文件替换，但缺省状态下是DOS启动的必备文件。在Windows95携带的DOS系统中，MSDOS.SYS是一个文本文件，是启动Windows必须的文件，但只启动DOS时可不用此文件。DOS引导出错时，可从软盘或光盘引导系统后使用SYSC:命令传送系统，即可修复故障，包括引导扇区及系统文件都可自动修复到正常状态。

---------------------------------------------------------------------------

电子数据证据的获取－技术性采集其余数据恢复策略：FAT表引起的读写故障

FAT表记录着硬盘数据的存储地址，每一个文件都有一组FAT链指定其存放的簇地址。FAT表的损坏意味着文件内容的丢失。庆幸的是DOS系统本身提供了两个FAT表，如果目前使用的FAT表损坏，可用第二个进行覆盖修复。但由于不同规格的磁盘其FAT表的长度及第二个FAT表的地址也是不固定的，所以修复时必须正确查找其正确位置，一些工具软件如NU等本身具有这样的修复功能，使用也非常的方便。采用DEBUG也可实现这种操作，即采用其m命令把第二个FAT表移到第一个表处即可。如果第二个FAT表也损坏了，则也无法把硬盘恢复到原来的状态，但文件的数据仍然存放在硬盘的数据区中，可采用CHKDSK或SCANDISK命令进行修复，最终得到*.CHK文件，这便是丢失FAT链的扇区数据。如果是文本文件则可从中提取出完整的或部分的文件内容。

---------------------------------------------------------------------------

电子数据证据的获取－技术性采集其余数据恢复策略：目录表损坏引起的引导故障目录表记录着硬盘中文件的文件名等数据，其中最重要的一项是该文件的起始簇号。目录表由于没有自动备份功能，所以如果目录损坏将丢失大量的文件。一种减少损失的方法也是采用CHKDSK或SCANDISK程序恢复的方法，从硬盘中搜索出*.CHK文件，由于目录表损坏时仅是首簇号丢失，每一个*.CHK文件即是一个完整的文件，把其改为原来的名字即可恢复大多数文件。

---------------------------------------------------------------------------

电子数据证据的获取－技术性采集其余数据恢复策略：格式化后硬盘数据的恢复在DOS高版本状态下，FORMAT格式化操作在缺省状态下都建立了用于恢复格式化的磁盘信息，实际上是把磁盘的DOS引导扇区、FAT分区表及目录表的所有内容复制到了磁盘的最后几个扇区中(因为后面的扇区很少使用)，而数据区中的内容根本没有改变。这样通过运行UNFORMAT命令即可恢复。另外DOS还提供了一个MIROR命令用于记录当前磁盘的信息，供格式化或删除之后的恢复使用，此方法也比较有效。

---------------------------------------------------------------------------

电子数据证据的获取－技术性采集网络数据获取方法：Sniffer:如：windows平台上的sniffer工具：netxray和snifferpro软件等Linux平台下的TCPDump：dumpthetrafficeonanetwork.，根据使用者的定义对网络上的数据包进行截获的包分析工具。

---------------------------------------------------------------------------

电子数据证据保全技术数据加密技术：加密就是把数据和信息转换为不可辩识的密文的过程，使不应了解该数据和信息的人不能够识别，欲知密文的内容，需将其转换为明文，这就是解密过程。加密系统的组成。加密是在不安全的环境中实现信息安全传输的重要方法。

---------------------------------------------------------------------------

电子数据证据保全技术数据加密技术：

加密和解密过程组成为加密系统，明文与密文总称为报文，任何加密系统，不管形式多么复杂，至少包括以下4个组成部分：

1、待加密的报文，也称明文；

2、加密后的报文，也称密文；

3、加密、解密装置或算法；

4、用于加密和解密的钥匙，它可以是数字、词汇或语句

---------------------------------------------------------------------------

电子数据证据保全技术传统加密方法：代码加密

发送秘密消息的最简单方法，就是使用通信双方预先设定的一组代码，它简单而有效，得到了广泛的应用。例如：

密文：老鼠已经出洞了

明文：匪徒已出现在目标区

---------------------------------------------------------------------------

电子数据证据保全技术传统加密方法：替换加密

明文中的每个字母或每组字母被替换成另一个或一组字母，例如下面的一组字母之间的对应关系就构成了一个替换加密器。

明文字母：ABCD……

密文字母：LKJL……

---------------------------------------------------------------------------

电子数据证据保全技术传统加密方法：变位加密

变位加密不隐藏原明文的字符，但却将字符重新排列。例如：

密钥：3145260

明文：火车已安全发出

密文：出车全火已安发

---------------------------------------------------------------------------

电子数据证据保全技术传统加密方法：一次性密码簿加密

如果要既保持代码加密的可靠性，又保持替换加密器的灵活性，可采用一次性密码簿进行加密。密码簿的每一页都是不同的代码表，可以用一页上的代码来加密一些词，用后毁掉；再用另一页的代码加密另一些词，直到全部的明文都被加密，破译密文的惟一方法就是获得一份相同的密码簿。

---------------------------------------------------------------------------

电子数据证据保全技术基于公钥的加密算法：RSAPHP

---------------------------------------------------------------------------

电子数据证据保全技术数字摘要技术：数字摘要技术（DigitalDigest）也称作为安全HASH编码法（SHA：SecureHashAlgorithm）。数字摘要技术用于对所要传输的数据进行运算生成信息摘要，它并不是一种加密机制，但却能产生信息的数字"指纹"，它的目的是为了确保数据没有被修改或变化，保证信息的完整性不被破坏。

---------------------------------------------------------------------------

电子数据证据保全技术数字摘要技术的特点：

·它能处理任意大小的信息，并对其生成固定大小的数据摘要，数据摘要的内容不可预见

·对于相同的数据信息进行HASH后，总是能得到同样的摘要；如果数据信息被修改，进行Hash后，其摘要必定与先前不同

·HASH函数是不可逆的，无法通过生成的数据摘要恢复出源数据

---------------------------------------------------------------------------

电子数据证据保全技术数字签名技术

数字签名（DigitalSignature）用来保证信息传输过程中完整性、提供信息发送者的身份认证和不可抵赖性。使用公开密钥算法是实现数字签名的主要技术。

由于公开密钥算法的运算速度比较慢，因此可使用HASH函数对要签名的信息进行摘要处理，减小使用公开密钥算法的运算量。因此，数字签名一般是结合了数字摘要技术和公开密钥算法共同使用

---------------------------------------------------------------------------

电子数据证据保全技术实现数学签名的过程：

签名信息

1.对信息M进行HASH函数处理，生成摘要H

2.用你的（发送者的）私钥加密H来获取数字签名S

3.发送{M,S}

验证签名信息

1.接受{M,S}并区分开它们

2.对接收到的信息M进行HASH函数处理，生成摘要H*

3.取得发送者的公钥

4.用公钥解密S，来获取H

5.比较H和H*，如果H和H*是一样的，即说明信息在发送过程中没有被篡改。

由于对信息进行数字签名后，明文信息也通过网络进行传递，因此，在做完数字签名后，还要对整个信息（包括明文信息M和数字签名的密文信息S）进行加密，以保证信息的保密性。

---------------------------------------------------------------------------

电子数据证据保全技术数字证书

公开密钥加密技术允许人们用私有密钥给电子信息进行数字签名。信息接收者可使用发送者的公开密钥来查证该信息确为相应私钥所签发。这一验证过程说明信息发送者确实拥有相应的私人密钥，但这并不能说明发送者是合法的。也就是说，信息发送者无法证明他们确为其所称之人。

为了得到身份验证的身份证明，公共密钥必须以某种值得信赖的方式与个人相联系。这一任务由数字证书来完成。数字证书是一些电子信息，它将公钥与其所有者的个人详细资料（诸如姓名、地址）联系起来。

然而，证书本身并无法保证其所有者的身份。要使别人认可，证书必须由更高的权威机构--认证中心（CA）签署。CA向身份得到证实的用户签署并颁发证书。其他人因此便可以信任这些证书了，因为这是由他们所信任的CA签署的。

现在，当人们用他的私钥签发电子信息时，接收者可用与之相应的公钥核实电子信息，并且可用包含有公钥的证书验证发送者的身份。现今使用的证书格式大多遵循X.509标准。

---------------------------------------------------------------------------

电子数据证据分析技术日志分析：操作系统日志分析防火墙日志分析IDS软件日志分析应用软件日志分析

---------------------------------------------------------------------------

电子数据证据鉴定技术电子数据证据硬件来源软件来源地址来源内容分析----------------------------------------------------------------

电子数据证据鉴定技术设备来源鉴定：CPU：提取CPU类型、序列号信息；存储设备：类型、ID；网络设备：网络接口卡：类型、MAC地址集线器、交换机、路由器：IP地址、物理地址、机器类型ATM交换机：IP地址、ATM地址

---------------------------------------------------------------------------

电子数据证据鉴定技术软件来源鉴定：根据文件扩展名、摘要、作者名、软件注册码判断数据来自某一个软件及其作者、产生时间。鉴定时要考虑各种软件运行的动态特性。如下例：

---------------------------------------------------------------------------

电子数据证据鉴定技术---------------------------------------------------------------------------

被鉴定软件静态特征运行中特征运行后残留特征

MSWord摘要特征：原始作者、最后保存者、编辑时间、生成时间、修订号、公司名称

注册特征：每个office文档，都会包含类似标识信息如：S-1-5-21-1177238915-1202660629-842925246-1000编辑文档时，将证书信息如A3BDA6FB5D97F5245AE8600E717538FB6FE19AE4、以及key信息如10371F0D906B55A54BE3AC5A833B8D3E132B466B包含到文档中。

当office产生错误时，除了在temp目录下产生tmp或tm0文件，还发送报错信息到系统日志正常退出特征：用户所在目录的template下，存储本次文档编辑的一部份信息；在%user%目录下的ApplicationData---micsoft—office存储了自装机以来历次的删除记录、文档原来所在的目录，文档名；在系统本身%systemroot%中，存在每个程序的使用记录。

异常退出特征：缓存文件中存储一部份恢复信息。

电子数据证据鉴定技术软件来源鉴定：在主机或网络中的有害代码与操作具有某些特点，如，为非授权用户在系统中制造一些后门：放宽文件许可权、重新开放不安全的服务（如REXD、TFTP等）、修改系统的配置（如系统启动文件、网络服务配置文件）、替换系统本身的共享库文件、修改系统的源代码、安装特洛伊木马、安装sniffers、建立隐藏通道；或是采取各种方法来清除操作痕迹：篡改日志文件中的审计信息、改变系统时间造成日志文件数据紊乱以迷惑系统管理员、删除或停止审计服务进程。

---------------------------------------------------------------------------

工具类型名称使用效果鉴别依据特征扫描与信息收集cheops可以将攻击目标所在的网络拓朴构画出来，包括各种服务器、网络设备、客户机操作系统以及各节点间的通讯信息。

使用ping、跟踪路由等完成工具所提供的功能，所在网络有大量ping包产生，攻击机发出大量数据包。受害机上无特殊日志，可使用abacusportsentry监视端口并与防火墙连动。攻击者机器上在.history留下操作记录，读取此文件可看到cheops关键字。Nmap端口、服务、系统判断类的扫描工具，同时也可以作为D.O.S工具进行攻击。存在大量syn\fin\tree\null这样的会话，受害机受到ftp跳转扫描、udp扫描。受害机上无特殊日志，可使用portsentry监视端口连接。攻击者机器上在.history文件中留下操作记录，看到nmap关键字，对于windows机器，可在”程序”－＞”文档”中留下记录。

Snifferpro绘制网络拓扑与各节点会话，窃取共享环境下的应用会话

本地网卡设为混杂模式受害机上无特殊日志。攻击者机器上，网卡设为混杂模式，可以ipconfig/all中看到，或在网络属性中看到“MONITRO”一项。

Firetalk测试攻击途径中所遇防火墙的过滤规则。只能针对过滤防火墙进行攻击，对代理无效，攻击时存在一些ICMP包的超时错误防火墙日志中留下大量被拒绝的连接，防火墙日志功能没打开，则没有记录，具体记录格式与各防火墙的日志系统有关。攻击者机器上在.history留下操作记录，看到firewall关键字。

Hping对防火墙进行穿透性测试。

同时同上

Nessus综合性的漏洞扫描工具。占用网络资源、系统资源，暴力式扫描容易被IDS系统察觉。受害机对外提供的服务日志中存在大量来自同一IP的连接记录；。如针对smtp扫描，可用snoop工具看到：xx..xx.xxx.xx->nextsmtpcport=1974xx..xx.xxx.xx->nextsmtpcport=1974mailfrom:<dfddf@vin………。攻击者机器上在.history留下操作记录，可看到nessus关键字。/usr/local/share下有大量*.nasl文件。

Strobe服务与版本扫描与目标机建立完整对话，只与服务建立短时对话，取到issue后断开对话。受害机所存在对外服务如http/ftp/mail/telnet等服务存在几秒内来自同一IP地址的连接。如在secure文件中存在记录:may1410:20:30washackedin.telnetd[473]connetctfrom2(00.62)攻击者机器上用find/-name可查到此工具，在.history查看操作记录，看到storbe关键字。

Supperscan最快的扫描工具占用大量网络、系统资源。受害机所存在对外服务如http/ftp/mail/telnet等服务存在几秒内来自同一IP地址的连接。本机上操作记录，搜索硬盘可查到snanner及scan.lst等几个文件。

流光国内使用较多的漏洞扫描工具占用资源，对目标系统产生影响，速度较慢，但可以查出几个易于利用的漏洞。受害机所存在对外服务如http/ftp/mail/telnet等服务存在几秒内来自同一IP地址的连接。本地硬盘上存在fluxay及netxeyes等几个关键文件，也可查看注册表。

Sss俄罗斯出品的漏洞扫描工具同上受害机所存在对外服务如http/ftp/mail/telnet等服务存在几秒内来自同一IP地址的连接。存在plugin\install.log\dic\domules可供查看,也可查看注册表。

攻击工具IishackIis远程漏洞利用，取得远程cmd.exe执行权限导致目标机绶冲区溢出，产生新的端口，可远程执行cmd.exe。受害机Iis日志存在"GET/default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0......

这样一些超长字符串，攻击者机器本地硬盘是否有些文件，本机是否有此连接记录如防火墙是否有记录，是否有此软件的操作记录。

Fragroute分片攻击工具将正常数据包打碎分流，影响IDS的判断能力，影响防火墙的过滤控制能力。受害机连接大量的cgi扫描记录.如这样的记录肯定意为着一次攻击：GET/index.htm%0d%0a[Thu%20Nov%2044%2066:88:66%202666]%20[error]%20[client%20666.999.666.999]%20File%20does%20not%20exist:%20c:/web/index.htmlHTTP/1.1。Fragroute自由并不会产生任何记录，当与其它工具结合使用时产生一些奇怪的记录。攻击者机器是否在.hoistory中存在操作记录，本机有路由转发功能。

Lophtcrack密码攻击工具破解nt/2000的所有用户口令。受害机在被远程穷举密码时存在安全记录。在注册表中存在此键值

Tfn拒绝服务攻击工具攻击网络与系统、占用正常资源。本机被安装此文件时，可被控制对其它目标提供dos功能，可用lsof/ifstatus/smrsh查看文件信息，以及查看网络连接记录，找到攻击源。主要看是否有此文件，本机是否受到远程操控。

Bo2k木马文件机器被人远程操纵，同时相似的还要查看是否有跳板程序。