计算机取证技术.ppt

1、第三章 计算机取证技术,本章将依据法律执行过程模型来介绍相关的计算机取证技术 此模型在取证的过程中受法律约束 模型的内容 准备阶段 收集阶段：包括保护与评估现场，对现场进行记录、归档、证据提取等 检验阶段 分析阶段 报告阶段,4.1 计算机取证准备,4.1.1 计算机取证人员培训 美国NTI公司：取证设备制造和销售、计算机取证培训 4.1.2计算机取证工具 操作系统中已经存在的一些命令行工具；工具软件；取证工具包 4.1.3应对具体案件的取证准备,4.1.2计算机取证工具,所需的工具必须要满足整个设备的收集过程，包括：存档、收集、封装和运输。其中数据获取和分析工具是是取证工具包中最基本、最重要

2、的工具。 提前准备：工具能够满足要求，它的输出是否可信，如何操作。 工具分类 证据获取工具 证据保全工具：证物监督链，三种技术 证据分析工具：证据分析是计算机取证的核心和关键 证据归档工具：NTI-DOC、encase,证据保全工具,数据签名 用于验证传送对象的完整性以及传送者的身份 数字摘要（散列） 一般来说，数字签名是用来处理短消息的，而相对于较长的消息则显得有些吃力。当然，可以将长的消息分成若干小段，然后再分别签名。不过，这样做非常麻烦，而且会带来数据完整性的问题。比较合理的做法是在数字签名前对消息先进行数字摘要。数字摘要就是采用单项Hash函数将需要加密的明文“摘要”成一串固定长度（1

3、28位）的密文，这一串密文又称为数字指纹。,数字时间戳技术 对于成功的电子商务应用，要求参与交易各方不能否认其行为。这其中需要在经过数字签名的交易上打上一个可信赖的时间戳，从而解决一系列的实际和法律问题。由于用户桌面时间很容易改变，由该时间产生的时间戳不可信赖，因此需要一个权威第三方来提供可信赖的且不可抵赖的时间戳服务。 在书面合同中，文件签署的日期和签名一样均是十分重要的防止文件被伪造和篡改的关键性内容。在电子文件中，同样需对文件的日期和时间信息采取安全措施，而数字时间戳服务（DTS：digital time-stamp service）就能提供电子文件发表时间的安全保护。,一般来说，数字时

4、间戳产生的过程 用户将需要加时间戳的文件用Hash算法运算行程摘要 将该摘要发送到DTS DTS在加入了收到文件摘要的日期和事件信息后再对该文件加密（数字签名），然后送达用户。,4.1.3应对具体案件的取证准备,获得合法的取证手续 在对现场进行搜查之前要获得取证的司法授权 搜查令要清楚地说明哪些将可能称为证据，哪些可疑人员将被迅速地控制起来以及收集的可疑设备。 提前将搜查令交给计算机调查人员及公诉人员检查。 常规取证 现场勘察是获得计算机证据的第一步。首先要注意计算机物理证据的获取，然后要获取计算机系统运行现场的状态相关证据。 特别注意保证证据连续性,4.2 对现场证据的评估,4.2.1 界定

5、取证的范围 确定哪些证据将要进行重点检查 从前期调查人员那里了解案情 调查要注意的事项 4.2.2 界定计算机证据 计算机调查员应该对所有可能成为证据的设备有详细的了解 注意数据很容易在取下电池或拔下电源时而丢失 潜在证据：数据证据通常都是在可以存储数据的硬件驱动器、存储设备或媒体中发现的。,电子设备分类,计算机系统： 用户建立的文件、用户保护的文件、操作系统建立 的文件、其它数据 数码相机 手持设备 移动存储设备： 移动硬盘、存储卡、记忆棒 网络部件包括网卡、路由器、交换机、集线器等 打印机、复印机、扫描仪和传真机,4.3 计算机证据的收集与保存,4.3.1 计算机证据收集的原则 4.3.2

6、 计算机证据收集的过程 4.3.3 独立计算机的证据收集 4.3.4 复杂系统的证据收集 4.3.5 磁盘映像 4.3.6 计算机证据的保存 证据的保存 证据的完整性保护,4.3.5 磁盘映像,磁盘的映像应该是取得磁盘的完全副本，这包括对任何在磁盘上的信息的备份，这其中不仅仅是数据还包括数据的位置。现有的观点是磁盘映像必须实现每一个比特的复制。 关于磁盘映像的几个重要问题 磁盘映像工具是否可以制作一个和初始磁盘完全一样的拷贝 映像的内部验证问题 磁盘映像的时间,4.4 计算机证据的提取,证据收集主要的工作是收集存储器的可疑数据，更多的是在尽可能不改变数据的情况下复制数据 计算机证据的提取主要是

7、在收集到的大量证据中找出犯罪证据 证据提取中的两个问题 犯罪嫌疑人会对重要文件进行加密 犯罪嫌疑人作案后会删除、销毁证据,4.4.1 密码破解,使用的密码破解技术和方法 密码分析技术 密码破解技术：口令字典、重点猜测、穷举破解 口令搜索：物理搜索、逻辑搜索、网络窃听 口令提取：注册表 口令恢复：使用密钥恢复机制可以从高级管理员那里获得口令 破解第一步是精简操作系统存储加密口令的hash列表，之后才开始口令的破解，这个过程称为是cracking。,口令字典 密码字典，主要是配合解密软件使用的，密码字典里包括许多人们习惯性设置的密码，这样可以提高解密软件的密码破解命中率，缩短解密时间，当然，如果一

8、个人密码设置没有规律或很复杂，未包含在密码字典里，这个字典就没有用了，甚至会延长解密时间。 重点猜测 穷举破解 或称为暴力破解法，是一种针对于密码的破译方法，即将密码进行逐个推算直到找出真正的密码为止。,密码破解技术,加密可以分为弱加密和强加密。从破译密码的角度所破译的主要是弱加密。 专门用于office文件的破解工具AOPR 当使用像DES一类加密算法的时候，属于强加密的破解 L0phtCrack是在NT平台上使用的口令审计软件 在UNIX机上使用crypt命令就可以很明显的显示出一些强加密的漏洞。 协议分析器可以捕获它所连接的网段上的每块数据。当以混杂方式运行这种工具时，它可以“嗅探出”该

9、上发生的每件事,AOPR,专门用于office文件的破解 提供包括口令字典、重点猜测、穷举破解等技术,L0phtCrack,最明显的漏洞就是明文文件及例子中的密钥 L0phtCrack是一款网络管理员的必备的工具，它可以用来检测Windows、UNIX 用户是否使用了不安全的密码，同样也是最好、最快的Win NT/2000/XP/UNIX 管理员帐号密码破解工具。事实证明，简单的或容易遭受破解的管理员密码是最大的安全威胁之一，因为攻击者往往以合法的身份登陆计算机系统而不被察觉。 NT就是指微软的server操作系统，早些的有 windows NT4 ，后来有windows2000 server

10、， windows2003 ，现在最新的是windows2008，自带很多支持局域网各种功能的组件，比如wins，活动目录，dhcp（动态主机配置），rras（路由与远程访问，做路由用的）,Sniffer Pro,EasyRecovery,它是一个威力非常强大的硬盘数据恢复工具。能够帮你恢复丢失的数据以及重建文件系统。 EasyRecovery不会向你的原始驱动器写入任何东西，它主要是在内存中重建文件分区表使数据能够安全地传输到其他驱动器中。你可以从被病毒破坏或是已经格式化的硬盘中恢复数据。该软件可以恢复大于 8.4GB的硬盘。支持长文件名。被破坏的硬盘中像丢失的引导记录、BIOS参数数据块；

11、分区表；FAT 表；引导区都可以由它来进行恢复。 这个版本使用新的数据恢复引擎，并且能够对 ZIP 文件以及微软的 Office系列文档进行修复！ Professioanl (专业) 版更是囊括了磁盘诊断、数据恢复、文件修复、E-mail 修复等全部 4 大类目 19 个项目的各种数据文件修复和磁盘诊断方案。,4.4.2 数据恢复,数据恢复原理 系统根据校验和等其它原始信息，通过逆向运算把数据尽可能完整的还原 数据恢复分类 基于文件目录的数据恢复 基于文件数据特征的数据恢复 逻辑分区的恢复 原始信号恢复,基于文件目录的数据恢复 文件包括两部分内容：文件所包含的内容数据；文件目录数据。 基于文件

12、数据特征的数据恢复 逻辑分区的恢复 原始信号恢复 用激光束对盘片表面进行扫描 深层信号还原,数据恢复工具使用实例 EasyRecovery能够对FAT和NTFS分区中的文件删除、格式化分区进行数据恢复，也能够对没有文件系统结构的信息即FAT表和目录区被破坏后的数据恢复。 恢复被删除的文件 恢复已格式化分区中的文件 从损坏的分区中恢复文件 修复损坏的文件,4.5计算机证据的检验、分析与推理,证据分析是一个将提取到的，对案情有重要意义的数据进行合理解释的一个过程。 分析工作的第一步通常是分析可疑硬盘的分区表；分区表内容不仅是提交给法院的一个重要条目，而且它还将决定在分析时需要使用什么工具。 Pta

13、ble工具可以用来分析硬盘驱动器的分区情况 浏览文件系统的目录树；FileList是一个文件管理工具，可以将系统的文件按照上次使用的时间顺序进行排列，让分析人员可以建立用户在该系统上的行为时间表。,UltraEdit32和Winhex等工具或一种取证程序来检查磁盘的主引导记录和引导扇区。 如果取证程序具备搜索功能时，可以用它搜索与案件有关的词汇、术语。 搜索关键词是分析工作很重要的一步。Filter_we可以对磁盘数据根据所给的关键词进行模糊搜索 Net Threat Analyzer IPFilterEthereal：分析信息的工具。 Quick View Plus是一款优秀的文件浏览器 ThusmbsPlus对图片进行查阅,Encase 可正确并快速地识别反常文件（与真实数据类型不相符的扩展名的文件） 提供自动更新功能，可以将试图隐藏的数据文件以列表的形式列出来。 其中的分析工具包括关键字查找、文件数字摘要对比分析等。 在整个过程中利用encase