第8章 数字取证技术
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
-3-
第 8章
数字取证技术
3.网络取证 网络取证更强调对网络安全的主动防御功能, 主要通过对网络数据流、审计、主机系统日志等 的实时监控和分析,发现对网络系统的入侵行为, 记录犯罪证据,并阻止对网络系统的进一步入侵。
-4-
第 8章
数字取证技术
8.2 电子证据
8.2.1 电子证据的概念 电子证据是在计算机或计算机系统运行过程 中产生的以其记录的内容来证明案件事实的电磁 记录物。 8.2.2 电子证据的特点 1.表现形式的多样性 2.存储介质的电子性 3.准确性 4.脆弱性
-23-
第 8章
数字取证技术
5.反模糊化组件。运用“最小-最大”运算 产生输出值,作为取证分析器的输入。 6.取证分析器。判断捕获的数据包是否存 在攻击,它的主要功能是收集数据、分析相关信 息,并且生成数字证据。 8.4.6 SVM取证技术 SVM取证技术是为了发现信息行为的关键 特征,去除无意义的噪声,有助于减少信息存储 量,提高计算速度等。同时,网络取证应该是主 动的防御,对未知的网络攻击具有识别和取证能 力。
-5-
第 8章
数字取证技术
5.数据的挥发性 8.2.3 常见电子设备中的电子证据 电子证据几乎无所不在。如计算机中的内存、 硬盘、光盘、移动存储介质、打印机、扫描仪、 带有记忆存储功能的家用电器等。 在这些存储介质中应检查的应用数据包括: 1.用户自建的文档; 2.用户保护文档; 3.计算机创建的文档; 4.其他数据区中的数据证据; 5.ISP计算机系统创建的文档、ftp文件等。
-28-
第 8章
数字取证技术
(8)多个关键词搜索算法能够动态加快搜索 速度; (9)支持RAID,了解动态磁盘分区结构并 能处理所有可能的配置。 Encase企业版解决方案是世界上第一个可有 效执行远程企业紧急事件响应 (Response)、审 计 (Audit)和发现 (Discovery)任务的解决方 案。 Encase企业版解决方案由SAFE、Examiner 和Servlet三部分组成。
数字取证技术
8.4.7恶意代码技术 恶意代码指能够长期潜伏、秘密窃取敏感信 息的有害代码程序,应用同样的原理,可以设计 用来进行取证。
-26-
第 8章
数字取证技术
8.5 数字取证常用工具
可以用作计算机取证常见工具有Tcpdump、 NetMonitor等, Encaee是专业的计算机取证工具。 Encase软件包括Encase取证版解决方案和 Encase企业版解决方案。 Encase取证版解决方案是国际领先的受法院 认可的计算机调查取证的工具。具有以下主要特 性: (1)支持并能管理易变的时区; (2)能分析UNIX和LINUX的系统文件;
-18-
第 8章
数字取证技术
(1)最好利用备份作掩护来暗中监视攻击 者,因为攻击者如果发现自己被监视,就会离开 甚至破坏主机; (2)多查看shell命令历史记录,如果攻击者 忘记清除该历史记录,就可以清楚地了解他们使 用过什么命令; (3)对付攻击者可以使用“以毒攻毒”的办 法; (4)最后要记住适时退出系统,因为断开网 络一两天是整理系统的最容易的办法,以提高安 全性和日志功能。
-27-
第 8章
数字取证技术
(3)能查看并搜索NTFS压缩文件,能检测 NTFS文件系统中的附加分区中的信息; (4)允许查看NTFS文件/文件夹的所有者和访 问权; (5)允许用户限制其可查看的数据,并能保护 特权数据; (6)良好的EnScript程序界面,编辑和调试代 码的操作更加方便; (7)可以隐藏用户定义的扇区或提前读取一定 数量的扇区,从而提高导航函数的速度;
-10-
第 8章
数字取证技术
(l)通过计算副本和原始证据的hash值来保 证取证的完整性; (2)通过写保护和病毒审查文档来保证数据 没有被添加、删除或修改; (3)使用的硬件和软件工具都必须满足工业 上的质量和可靠性标准; (4)取证过程必须可以复验; (5)数据写入的介质在分析过程中应当写保 护,以防止被破坏。
-29-
第 8章
数字取证技术Βιβλιοθήκη Baidu
本章教学要求: (1)知道数字取证、电子证据的特点;
(2)掌握数字取证原则和过程;
(3)了解网络取证概念; (4)了解IDS取证技术; (5)了解蜜阱取证技术; (6)了解数字取证常用工具。
-30-
-20-
第 8章
数字取证技术
2.尽可能多地确定有关入侵者的信息; 3.列出所有入侵者添加或修改的文件,并 对这些程序(包括末编译或未重组部分,因为这 些部分可能对确定函数在此事件中的作用和角色 有帮助)进行分析 4.建立一条事件时间线,对系统行为进行 详细分析,注意确认证据的来源; 5.给出适合管理层面或新闻媒体需要的报 告; 6.对事故进行费用估计。
-2-
第 8章
数字取证技术
1.电子取证 电子取证则主要研究除计算机和网络以外的 电子产品中的数字证据获取、分析和展示,如数 码相机、复印机、传真机甚至有记忆存储功能的 家电产品等。 2. 计算机取证 计算机取证的主要方法有对文件的复制、被 删除文件的恢复、缓冲区内容获取、系统日志分 析等等,是一种被动式的事后措施,不特定于网 络环境。
-11-
第 8章
数字取证技术
3.电子证据的分析 具体包括:文件属性分析技术;文件数字摘 要分析技术;日志分析技术;密码破译技术等。 分析阶段首先要确定证据的类型,主要可分为三 种: (1)使人负罪的证据,支持已知的推测; (2)辨明无罪的证据,同已知的推测相矛盾; (3)篡改证据,以证明计算机系统已被篡改 而无法用来作证。
-6-
第 8章
数字取证技术
8.3 数字取证原则和过程
8.3.1 数字取证原则 1.尽早搜集证据,并保证其没有受到任何 破坏; 2.必须保证取证过程中计算机病毒不会被 引入到目标计算机; 3.必须保证“证据连续性”,即在证据被 正式提交给法庭时必须保证一直能跟踪证据,要 能够说明用于拷贝这些证据的进程是可靠、可复 验的等;
-12-
第 8章
数字取证技术
4.展示阶段 给出调查所得结论及相应的证据,供法庭作 为公诉证据。还要解释是如何处理和分析证据的, 以便说明监管链和方法的彻底性。
-13-
第 8章
数字取证技术
8.4 网络取证技术
8.4.1 网络取证概述 网络流的相关性、数据的完整性和包捕获的 速率是网络取证、分析首要考虑的事情。相关性 是指在某些环境下,应当在捕获网络流时应用过 滤器去掉不相关的数据。数据的完整性要求网络 取证工具应当一直监控网络流。 网络取证对数据的保护和一般的数字取证过 程要求相同,网络取证分析的相关技术包括人工 智能、机器学习、数据挖掘、IDS技术、蜜阱技 术、SVM和专家系统等。
-7-
第 8章
数字取证技术
4.整个检查、取证过程必须是受到监督的; 5.必须保证提取出来的可能有用的证据不会 受到机械或电磁损害; 6.被取证的对象如果必须运行某些商务程 序,只能影响一段有限的时间; 7.应当尊重不小心获取的任何关于客户代 理人的私人信息。 8.3.2 数字取证过程 数字取证的过程一般可划分为四个阶段: 1.电子证据的确定和收集
-21-
第 8章
数字取证技术
8.4.5 模糊专家系统取证技术 Jun-Sun Kim等人开发了一个基于模糊专家系 统的网络取证系统,由六个组件组成,如图8-4所 示。 1.网络流分析器组件。完成网络流的捕获 和分析,它要求捕获所有的网络流,为了保证数 据的完整性。 分析器应用规则对捕获的网络流进行重组, 这种分类数据包的规则是协议相同的和时间连续 的。
-22-
第 8章
数字取证技术
2.知识库组件。存储模糊推理引擎所使用 的模糊规则,其形式为: IF X1=A1 and X2=A2…and Xn=An THEN Y=Z 3.模糊化组件。确定每个语义变量的模糊 集所定义的隶属函数和每个模糊集中输入值的隶 属度。 4.模糊推理引擎组件。当所有的输入值被 模糊化为各自的语义变量,模糊推理引擎访问模 糊规则库,进行模糊运算,导出各语义变量的值。
第 8章
数字取证技术
第8章 数字取证技术
8.1 数字取证概述
8.2 电子证据
8.3 数字取证原则和过程 8.4 网络取证技术 8.5 数字取证常用工具
-1-
第 8章
数字取证技术
8.1 数字取证概述
数字取证技术将计算机调查和分析技术应用 于对潜在的、有法律效力的电子证据的确定与获 取,同样它们都是针对黑客和入侵的,目的都是 保障网络的安全。 从计算机取证技术的发展来看,先后有数字 取证(Digital Forensics)、电子取证(Electric Forensics)、计算机取证(Computer Forensic)、 网络取证(Networks Forensics)等术语。
-9-
第 8章
数字取证技术
(4)不要对硬盘和其他媒介进行任何操作, 甚至不要启动它们。 (5)必须保护所有的媒介,对所有媒介进行 病毒扫描。 (6)牢记“已删除”并不意味着真的删除了。 (7)对不同类型的计算机采取不同的策略。 2.电子证据的保护 这一阶段将使用原始数据的精确副本,应保 证能显示存在于镜像中的所有数据,而且证据必 须是安全的,有非常严格的访问控制。为此必须 注意以下几点:
-16-
第 8章
数字取证技术
(5)寻找文件系统的变动; (6)寻找未授权的服务; (7)寻找口令文件的变动和新用户; (8)核对系统和网络配置,特别注意过滤规则; (9)寻找异常文件,这将依赖于系统磁盘容量 的大小; (10)查看所有主机,特别是服务器;
-17-
第 8章
数字取证技术
(11)观察攻击者,捕获攻击者,找出证据; (12)如果捕获成功则准备起诉,如立刻联 系律师等; (13)做完全的系统备份,将系统备份转移 到单用户模式下,在单用户模式下制作和验证备 份。 在收集证据过程中,还要监视攻击者,监视 时要注意以下几点:
-8-
第 8章
数字取证技术
要保存计算机系统的状态,避免无意识破坏 现场,同时不给犯罪者破坏证据提供机会,以供 日后分析。要注意以下几个方面: (1)收集数据前首先要咨询证人使用计算机 的习惯。 (2)可以通过质疑来获取目标计算机网络上 的相关信息。 (3)咨询系统管理员和其他可能与计算机系 统有关系的人员,再次确保掌握了关于备份系统 的所有信息和数据可能的储存位置。
-19-
第 8章
数字取证技术
8.4.4蜜阱取证技术 蜜阱是包括蜜罐和蜜网等以诱骗技术为核心 的网络安全技术。它是一种精心设计的诱骗系统, 当黑客攻击时,它能够监视攻击者的行径、策略、 工具和目标,从而自动收集相关的电子证据,实 现实时网络取证。 利用蜜阱进行取证分析时,一般遵循如下原 则和步骤: 1.确定攻击的方法、日期和时间(假设IDS 的时钟和NTP参考时间源同步);
-14-
第 8章
数字取证技术
8.4.2 网络取证模型 根据网络攻击一般过程,网络取证模型如图 所示。
-15-
第 8章
数字取证技术
8.4.3 IDS取证技术 将计算机取证结合到入侵检测等网络安全工 具和网络体系结构中进行动态取证,可使整个取 证过程更加系统并具有智能性和实时性,并且还 能迅速做出响应。 IDS取证的具体步骤如下: (l)寻找嗅探器(如sniffer); (2)寻找远程控制程序 ; (3)寻找黑客可利用的文件共享或通信程序 ; (4)寻找特权程序 ;
-24-
第 8章
数字取证技术
SVM特征选择的基本思想是: 1.选择训练集和测试集,对每个特征重复 以下步骤; 2.从训练集和测试集中删除该特征; 3.使用结果数据集训练分类器(SVM); 4.根据既定的性能准则,使用测试集分析 分类器的性能; 5.根据规则标记该特征的重要性等级。
-25-
第 8章
第 8章
数字取证技术
3.网络取证 网络取证更强调对网络安全的主动防御功能, 主要通过对网络数据流、审计、主机系统日志等 的实时监控和分析,发现对网络系统的入侵行为, 记录犯罪证据,并阻止对网络系统的进一步入侵。
-4-
第 8章
数字取证技术
8.2 电子证据
8.2.1 电子证据的概念 电子证据是在计算机或计算机系统运行过程 中产生的以其记录的内容来证明案件事实的电磁 记录物。 8.2.2 电子证据的特点 1.表现形式的多样性 2.存储介质的电子性 3.准确性 4.脆弱性
-23-
第 8章
数字取证技术
5.反模糊化组件。运用“最小-最大”运算 产生输出值,作为取证分析器的输入。 6.取证分析器。判断捕获的数据包是否存 在攻击,它的主要功能是收集数据、分析相关信 息,并且生成数字证据。 8.4.6 SVM取证技术 SVM取证技术是为了发现信息行为的关键 特征,去除无意义的噪声,有助于减少信息存储 量,提高计算速度等。同时,网络取证应该是主 动的防御,对未知的网络攻击具有识别和取证能 力。
-5-
第 8章
数字取证技术
5.数据的挥发性 8.2.3 常见电子设备中的电子证据 电子证据几乎无所不在。如计算机中的内存、 硬盘、光盘、移动存储介质、打印机、扫描仪、 带有记忆存储功能的家用电器等。 在这些存储介质中应检查的应用数据包括: 1.用户自建的文档; 2.用户保护文档; 3.计算机创建的文档; 4.其他数据区中的数据证据; 5.ISP计算机系统创建的文档、ftp文件等。
-28-
第 8章
数字取证技术
(8)多个关键词搜索算法能够动态加快搜索 速度; (9)支持RAID,了解动态磁盘分区结构并 能处理所有可能的配置。 Encase企业版解决方案是世界上第一个可有 效执行远程企业紧急事件响应 (Response)、审 计 (Audit)和发现 (Discovery)任务的解决方 案。 Encase企业版解决方案由SAFE、Examiner 和Servlet三部分组成。
数字取证技术
8.4.7恶意代码技术 恶意代码指能够长期潜伏、秘密窃取敏感信 息的有害代码程序,应用同样的原理,可以设计 用来进行取证。
-26-
第 8章
数字取证技术
8.5 数字取证常用工具
可以用作计算机取证常见工具有Tcpdump、 NetMonitor等, Encaee是专业的计算机取证工具。 Encase软件包括Encase取证版解决方案和 Encase企业版解决方案。 Encase取证版解决方案是国际领先的受法院 认可的计算机调查取证的工具。具有以下主要特 性: (1)支持并能管理易变的时区; (2)能分析UNIX和LINUX的系统文件;
-18-
第 8章
数字取证技术
(1)最好利用备份作掩护来暗中监视攻击 者,因为攻击者如果发现自己被监视,就会离开 甚至破坏主机; (2)多查看shell命令历史记录,如果攻击者 忘记清除该历史记录,就可以清楚地了解他们使 用过什么命令; (3)对付攻击者可以使用“以毒攻毒”的办 法; (4)最后要记住适时退出系统,因为断开网 络一两天是整理系统的最容易的办法,以提高安 全性和日志功能。
-27-
第 8章
数字取证技术
(3)能查看并搜索NTFS压缩文件,能检测 NTFS文件系统中的附加分区中的信息; (4)允许查看NTFS文件/文件夹的所有者和访 问权; (5)允许用户限制其可查看的数据,并能保护 特权数据; (6)良好的EnScript程序界面,编辑和调试代 码的操作更加方便; (7)可以隐藏用户定义的扇区或提前读取一定 数量的扇区,从而提高导航函数的速度;
-10-
第 8章
数字取证技术
(l)通过计算副本和原始证据的hash值来保 证取证的完整性; (2)通过写保护和病毒审查文档来保证数据 没有被添加、删除或修改; (3)使用的硬件和软件工具都必须满足工业 上的质量和可靠性标准; (4)取证过程必须可以复验; (5)数据写入的介质在分析过程中应当写保 护,以防止被破坏。
-29-
第 8章
数字取证技术Βιβλιοθήκη Baidu
本章教学要求: (1)知道数字取证、电子证据的特点;
(2)掌握数字取证原则和过程;
(3)了解网络取证概念; (4)了解IDS取证技术; (5)了解蜜阱取证技术; (6)了解数字取证常用工具。
-30-
-20-
第 8章
数字取证技术
2.尽可能多地确定有关入侵者的信息; 3.列出所有入侵者添加或修改的文件,并 对这些程序(包括末编译或未重组部分,因为这 些部分可能对确定函数在此事件中的作用和角色 有帮助)进行分析 4.建立一条事件时间线,对系统行为进行 详细分析,注意确认证据的来源; 5.给出适合管理层面或新闻媒体需要的报 告; 6.对事故进行费用估计。
-2-
第 8章
数字取证技术
1.电子取证 电子取证则主要研究除计算机和网络以外的 电子产品中的数字证据获取、分析和展示,如数 码相机、复印机、传真机甚至有记忆存储功能的 家电产品等。 2. 计算机取证 计算机取证的主要方法有对文件的复制、被 删除文件的恢复、缓冲区内容获取、系统日志分 析等等,是一种被动式的事后措施,不特定于网 络环境。
-11-
第 8章
数字取证技术
3.电子证据的分析 具体包括:文件属性分析技术;文件数字摘 要分析技术;日志分析技术;密码破译技术等。 分析阶段首先要确定证据的类型,主要可分为三 种: (1)使人负罪的证据,支持已知的推测; (2)辨明无罪的证据,同已知的推测相矛盾; (3)篡改证据,以证明计算机系统已被篡改 而无法用来作证。
-6-
第 8章
数字取证技术
8.3 数字取证原则和过程
8.3.1 数字取证原则 1.尽早搜集证据,并保证其没有受到任何 破坏; 2.必须保证取证过程中计算机病毒不会被 引入到目标计算机; 3.必须保证“证据连续性”,即在证据被 正式提交给法庭时必须保证一直能跟踪证据,要 能够说明用于拷贝这些证据的进程是可靠、可复 验的等;
-12-
第 8章
数字取证技术
4.展示阶段 给出调查所得结论及相应的证据,供法庭作 为公诉证据。还要解释是如何处理和分析证据的, 以便说明监管链和方法的彻底性。
-13-
第 8章
数字取证技术
8.4 网络取证技术
8.4.1 网络取证概述 网络流的相关性、数据的完整性和包捕获的 速率是网络取证、分析首要考虑的事情。相关性 是指在某些环境下,应当在捕获网络流时应用过 滤器去掉不相关的数据。数据的完整性要求网络 取证工具应当一直监控网络流。 网络取证对数据的保护和一般的数字取证过 程要求相同,网络取证分析的相关技术包括人工 智能、机器学习、数据挖掘、IDS技术、蜜阱技 术、SVM和专家系统等。
-7-
第 8章
数字取证技术
4.整个检查、取证过程必须是受到监督的; 5.必须保证提取出来的可能有用的证据不会 受到机械或电磁损害; 6.被取证的对象如果必须运行某些商务程 序,只能影响一段有限的时间; 7.应当尊重不小心获取的任何关于客户代 理人的私人信息。 8.3.2 数字取证过程 数字取证的过程一般可划分为四个阶段: 1.电子证据的确定和收集
-21-
第 8章
数字取证技术
8.4.5 模糊专家系统取证技术 Jun-Sun Kim等人开发了一个基于模糊专家系 统的网络取证系统,由六个组件组成,如图8-4所 示。 1.网络流分析器组件。完成网络流的捕获 和分析,它要求捕获所有的网络流,为了保证数 据的完整性。 分析器应用规则对捕获的网络流进行重组, 这种分类数据包的规则是协议相同的和时间连续 的。
-22-
第 8章
数字取证技术
2.知识库组件。存储模糊推理引擎所使用 的模糊规则,其形式为: IF X1=A1 and X2=A2…and Xn=An THEN Y=Z 3.模糊化组件。确定每个语义变量的模糊 集所定义的隶属函数和每个模糊集中输入值的隶 属度。 4.模糊推理引擎组件。当所有的输入值被 模糊化为各自的语义变量,模糊推理引擎访问模 糊规则库,进行模糊运算,导出各语义变量的值。
第 8章
数字取证技术
第8章 数字取证技术
8.1 数字取证概述
8.2 电子证据
8.3 数字取证原则和过程 8.4 网络取证技术 8.5 数字取证常用工具
-1-
第 8章
数字取证技术
8.1 数字取证概述
数字取证技术将计算机调查和分析技术应用 于对潜在的、有法律效力的电子证据的确定与获 取,同样它们都是针对黑客和入侵的,目的都是 保障网络的安全。 从计算机取证技术的发展来看,先后有数字 取证(Digital Forensics)、电子取证(Electric Forensics)、计算机取证(Computer Forensic)、 网络取证(Networks Forensics)等术语。
-9-
第 8章
数字取证技术
(4)不要对硬盘和其他媒介进行任何操作, 甚至不要启动它们。 (5)必须保护所有的媒介,对所有媒介进行 病毒扫描。 (6)牢记“已删除”并不意味着真的删除了。 (7)对不同类型的计算机采取不同的策略。 2.电子证据的保护 这一阶段将使用原始数据的精确副本,应保 证能显示存在于镜像中的所有数据,而且证据必 须是安全的,有非常严格的访问控制。为此必须 注意以下几点:
-16-
第 8章
数字取证技术
(5)寻找文件系统的变动; (6)寻找未授权的服务; (7)寻找口令文件的变动和新用户; (8)核对系统和网络配置,特别注意过滤规则; (9)寻找异常文件,这将依赖于系统磁盘容量 的大小; (10)查看所有主机,特别是服务器;
-17-
第 8章
数字取证技术
(11)观察攻击者,捕获攻击者,找出证据; (12)如果捕获成功则准备起诉,如立刻联 系律师等; (13)做完全的系统备份,将系统备份转移 到单用户模式下,在单用户模式下制作和验证备 份。 在收集证据过程中,还要监视攻击者,监视 时要注意以下几点:
-8-
第 8章
数字取证技术
要保存计算机系统的状态,避免无意识破坏 现场,同时不给犯罪者破坏证据提供机会,以供 日后分析。要注意以下几个方面: (1)收集数据前首先要咨询证人使用计算机 的习惯。 (2)可以通过质疑来获取目标计算机网络上 的相关信息。 (3)咨询系统管理员和其他可能与计算机系 统有关系的人员,再次确保掌握了关于备份系统 的所有信息和数据可能的储存位置。
-19-
第 8章
数字取证技术
8.4.4蜜阱取证技术 蜜阱是包括蜜罐和蜜网等以诱骗技术为核心 的网络安全技术。它是一种精心设计的诱骗系统, 当黑客攻击时,它能够监视攻击者的行径、策略、 工具和目标,从而自动收集相关的电子证据,实 现实时网络取证。 利用蜜阱进行取证分析时,一般遵循如下原 则和步骤: 1.确定攻击的方法、日期和时间(假设IDS 的时钟和NTP参考时间源同步);
-14-
第 8章
数字取证技术
8.4.2 网络取证模型 根据网络攻击一般过程,网络取证模型如图 所示。
-15-
第 8章
数字取证技术
8.4.3 IDS取证技术 将计算机取证结合到入侵检测等网络安全工 具和网络体系结构中进行动态取证,可使整个取 证过程更加系统并具有智能性和实时性,并且还 能迅速做出响应。 IDS取证的具体步骤如下: (l)寻找嗅探器(如sniffer); (2)寻找远程控制程序 ; (3)寻找黑客可利用的文件共享或通信程序 ; (4)寻找特权程序 ;
-24-
第 8章
数字取证技术
SVM特征选择的基本思想是: 1.选择训练集和测试集,对每个特征重复 以下步骤; 2.从训练集和测试集中删除该特征; 3.使用结果数据集训练分类器(SVM); 4.根据既定的性能准则,使用测试集分析 分类器的性能; 5.根据规则标记该特征的重要性等级。
-25-
第 8章