计算机取证与分析鉴定

证据获取 黑客的攻击步骤
1）信息收集(Information gathering)：攻击者事先汇
集目标的信息，进行知识和情报准备以及策划，此时 尚未触及受害者； 2）踩点(Footprinting)：扫描目标系统，对其网络结 构、网络组成、接入方式等进行探测； 3）查点(Enumerating)：搜索目标系统上的用户和用 户组名、路由表、共享资源、SNMP信息等； 4）探测弱点(Probing for weaknesses)：尝试目标主机 的弱点、漏洞；
主讲：孙国梓 2018年8月9日
主要内容
网络取证之概述
网络环境下的网络证据获取 网络环境下的计算机取证处理工具概述 证据获取/工具使用实例
百度文库
概述 网络取证
一种通过网络进行的犯罪行为——网络犯罪应运而生 网络犯罪是伴随着计算机网络技术的飞速发展而出现的 一种新类型犯罪。 目前越来越多的政府机关、公司、企业都接入了互联网， 互联网为人类社会带来了极大的便利 与此同时，网络犯罪却如同侵入人类社会这台巨型计算 机上的病毒一样，不断蔓延和增多，严重的危及网络的 生存和安全运行，同时也给国家安全、公共安全和人们 的生命、财产造成重大影响。
证据获取 网络证据的来源
对于网络取证，其证据来源主要有 网络数据流 连网设备（包括各类调制解调器、网卡、路由器、集线 器、交换机、网线与接口等） 网络安全设备或软件（包括IDS、防火墙、网闸、反病 毒软件日志、网络系统审计记录、网络流量监控记录等 ）
证据获取 网络证据的来源
网络证据的整个过程，除了获取、保存、分析静态文
forensics)、互联网取证(cyber forensics)等概念比较， 网络取证(network forensics)突出了以下特征：
1）主要研究对象与数据报(packets)或网络数据流
(network traffic)有关，而不仅仅局限于计算机； 2）为满足证据的实时性和连续性，网络取证是动态的， 并且结合入侵前后的网络环境变量，可以重建入侵过程； 3）为保证证据的完整性，网络取证有时是分布式的，需 要部署多个取证点或取证代理(Agent)，而且这些取证点 是相关和联动的； 4）为实现网络取证，通常需要与网络监控(network monitoring)相结合。
概述 网络取证
加大打击网络犯罪力度是形势所需。
为了更好的打击网络犯罪，我们必须了解网络环境中
证据提取的相关知识
本章主要从技术的角度介绍网络环境下计算机取证与
分析鉴定的相关内容。
证据获取 网络取证的定义
“网络取证”一词在20世纪90年代由计算机安全专家
Marcus Ranum最早提出的，但由于当时网络的应用范 围还很有限，早期用的更多的术语则是数字取证或电 子取证。 区别于计算机取证，网络取证(network forensics)是指 针对涉及民事、刑事和管理事件而进行的对网络流量 的研究
件数据外，还要特别注意对日志文件数据的处理。
日志信息是证据的重要组成部分，包含许多系统被攻击
过程的历史记录，通过对主机日志系统的分析，可以发 现许多证据信息。
因为入侵者的行为都是与计算机的各种操作紧密相关，
会在系统日志中留下相应的记录。
通过分析，可以了解哪些远程主机访问了本地主机，在
入侵过程中执行了哪些操作等信息，重点是分析以下的 日志信息。
目的是保护用户和资源，防范由于持续膨胀的网络连接
而产生的被非法利用、入侵以及其他犯罪行为。
证据获取 网络取证的定义
网络取证同样要求对潜在的、有法律效力的证据的确
定与获取，但从当前的研究和应用来看，更强调对网 络的动态信息收集和网络安全的主动防御。
同时，网络取证也要应用计算机取证的一些方法和技
证据获取 黑客的攻击步骤
5）突破(Penetration)：针对弱点、漏洞发送精心构造的
数据，完成对目标主机的访问权由普通用户到root权限 的提升，达到对受害者系统的窃取、破坏等目的； 6）创建后门、种植木马(Back dooring，trojans，etc)等 ：方便攻击者下次重新侵入主机； 7）清除(Cleanup)、掩盖入侵踪迹：包括禁止系统审计 、清空事件日志、隐藏作案工具以及用Rootkit替换操作 系统文件等。
术。 目前，网络取证的相关技术包括
IP地址和MAC地址的获取和识别技术、身份认证技术、
电子邮件的取证和鉴定技术、网络监视技术、数据挖掘 和过滤技术、漏洞扫描技术、人工智能、机器学习、 IDS 技术、蜜阱技术、SVM和专家系统等。 网络取证技术在计算机取证技术中占有举足轻重的地位。
证据获取 网络取证的定义
网络取证的重点
1）周界网络(Perimeter Network)：指在本地网的防火
墙以外，与外部公网连接的所有设备及其连接； 2）端到端(End-to-End)：指攻击者的计算机到受害者 的计算机的连接； 3）日志相关(Log correlation)：指各种日志记录在时 间、日期、来源、目的甚至协议上满足一致性的匹配 元素； 4）环境数据(Ambient data)：删除后仍然存在，以及 存在于交换文件和slack空间的数据； 5）攻击现场(Attack scenario)：将攻击再现、重建并 按照逻辑顺序组织起来的事件。
证据获取 需重点分析的日志文件
1）主机日志文件
2）防火墙日志 3）网络监测日志（入侵检测日志、蜜罐日志、认证系
统、DHCP等） 4）其他日志，比如路由器、交换机等网络设备的日志
在实现方式上，网络取证通常与网络监控相结合
例如入侵检测技术(IDS)和蜜网(honeynet)技术，利用
网络监控激活取证。
网络可以显示入侵者突破网络的路径，揭示通过中间
媒介的入侵，提供重要和确凿的证据，但通常不能单 独处理某个案例，把嫌疑人和攻击事件直接关联。
证据获取 网络取证的特点
与计算机取证(computer forensics)、数字取证(digital