网络犯罪侦查技术1

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

linying@ynu.edu.cn
19
利用扫描器
扫描器是自动检测远程或本地计算机主机 安全性弱点的程序。 安全性弱点的程序。扫描器是互联网安全领域 最出名的破解工具。 最出名的破解工具。利用扫描器能使行为人不 留痕迹地发现远在他国的一台服务器的安全性 的弱点,从而入侵该系统。 的弱点,从而入侵该系统。
linying@ynu.edu.cn 13
冒名顶替
冒名顶替是利用他人的访问代码, 冒名顶替是利用他人的访问代码,冒充授 权用户进入计算机信息系统的方法。 权用户进入计算机信息系统的方法。其获取他 人的访问代码的方式可能是偷窃来的, 人的访问代码的方式可能是偷窃来的,也可能 是利用特洛伊木马术而得到的。 是利用特洛伊木马术而得到的。
linying@ynu.edu.cn 15
特洛伊木马术
特洛伊木马术是公元前1200年古希腊特洛伊战争 年古希腊特洛伊战争 特洛伊木马术是公元前 中,希腊人为了攻陷特洛伊城,把士兵隐藏在木马腹 希腊人为了攻陷特洛伊城, 中进入敌方城堡,从而赢得了战争的胜利,这种战术 中进入敌方城堡,从而赢得了战争的胜利, 用在计算机犯罪手段上,是以软件程序为基础进行欺 用在计算机犯罪手段上, 骗和破坏的方法。 骗和破坏的方法。它是在一个计算机程序中隐藏作案 所需的计算机指令, 所需的计算机指令,使计算机在仍能完成原有任务的 前提下,执行非授权的功能。 前提下,执行非授权的功能。 特洛伊木马程序和计算机病毒不同, 特洛伊木马程序和计算机病毒不同,它不依附 于任何载体而独立存在, 于任何载体而独立存在,而病毒则须依附于其他载体 而存在并且具有传染性。 而存在并且具有传染性。AIDS事件就是一个典型的 事件就是一个典型的 特洛伊木马程序,它声称是爱滋病数据库, 特洛伊木马程序,它声称是爱滋病数据库,当运行时 它实际上毁坏了硬盘。 它实际上毁坏了硬盘。
linying@ynu.edu.cn
6
网络犯罪与计算机犯罪
计算机犯罪 ฀ 以计算机为犯罪工具或以计算机为犯罪对象 的犯罪行为 计算机单机犯罪 对单机信息系统进行删除、修改、增加、 ฀ 对单机信息系统进行删除、修改、增加、干 扰,造成计算机信息系统不能正常运行和故意制作、 造成计算机信息系统不能正常运行和故意制作、 传播计算机病毒等破坏性程序, 传播计算机病毒等破坏性程序,攻击计算机系统等 危害行为 计算机网络犯罪 对互联网的计算机信息系统进行删除、修改、增加、 对互联网的计算机信息系统进行删除、修改、增加、 干扰, 干扰,造成计算机信息系统不能正常运行和故意制 传播计算机病毒等破坏性程序, 作、传播计算机病毒等破坏性程序,攻击计算机系 统等危害行为。 统等危害行为。
linying@ynu.edu.cn 18
口令破解程序
口令破解程序是可以解开或者屏蔽口令保 护的程序。 护的程序。几乎所有多用户系统都是利用口令 来防止非法登录的, 来防止非法登录的,而口令破解程序经常利用 有问题而缺乏保护的口令进行攻击。 有问题而缺乏保护的口令进行攻击。如Crack 就是较为流行的口令破解程序。 和Claymore就是较为流行的口令破解程序。 就是较为流行的口令破解程序
linying@ynu.edu.cn
16
数据欺骗
数据欺骗是指非法篡改计算机输入、 数据欺骗是指非法篡改计算机输入、处理 和输出过程中的数据或者输入假数据, 和输出过程中的数据或者输入假数据,从而实 现犯罪目的的手段。这是一种最简单、 现犯罪目的的手段。这是一种最简单、最普通 的犯罪手段。 的犯罪手段。
linying@ynu.edu.cn 12
电子嗅探器
英文名称叫sniffer的电子嗅探器是用来截 的电子嗅探器是用来截 英文名称叫 获和收藏在网络上传输的信息的软件或硬件。 获和收藏在网络上传输的信息的软件或硬件。 它可以截获的不仅是用户的帐号和口令, 它可以截获的不仅是用户的帐号和口令,还可 以截获敏感的经济数据(如信用卡号)、 )、秘密 以截获敏感的经济数据(如信用卡号)、秘密 信息(如电子邮件) 信息(如电子邮件)和专有信息并可以攻击相 邻的网络。需要注意的是, 邻的网络。需要注意的是,电子嗅探器就象专 用间谍器材一样,个人是不允许买卖、 用间谍器材一样,个人是不允许买卖、持有和 使用的,但是公安机关、 使用的,但是公安机关、国家安全机关可以用 此来侦破案件或获取情报。 此来侦破案件或获取情报。
linying@ynu.edu.cn 17
电子欺骗技术
电子欺骗技术是一种利用目标网络的信任 关系, 关系,即计算机之间的相互信任关系来获取计 算机系统非授权访问的一种方法。 算机系统非授权访问的一种方法。如IP地址电 地址电 子欺骗,就是伪造他人的源IP地址 地址, 子欺骗,就是伪造他人的源 地址,其实质就 是让一台机器来扮演另一台机器, 是让一台机器来扮演另一台机器,籍以达到蒙 混过关的目的。 混过关的目的。入侵者不用输入用户帐号和口 就可以侵入目标。 令,就可以侵入目标。
linying@ynu.edu.cn
9
意大利香肠术
这种计算机犯罪是采用他人不易觉察的手段, 这种计算机犯罪是采用他人不易觉察的手段, 使对方自动做出一连串的细小让步, 使对方自动做出一连串的细小让步,最后达 到犯罪的目的。 到犯罪的目的。
活动天窗
所谓活动天窗, 所谓活动天窗,是指程序设计者为了对软件 进行调试和维护故意设置在计算机软件系统 的入口点。 的入口点。通过这些入口可以绕过程序提供 的正常安全性检查而进入软件系统。 的正常安全性检查而进入软件系统。
linying@ynu.edu.cn 7
两者关系 随着网络技术的发展和不断普及, ฀ 随着网络技术的发展和不断普及,二 者的界定逐渐模糊。 者的界定逐渐模糊。
linying@ynu.edu.cn
8
计算机犯罪所用手段
意大利香肠术 活动天窗 废品利用 数据泄露 电子嗅探器 冒名顶替 社交方法 对程序、数据及系统 对程序、 设备的物理损坏 特洛伊木马术 数据欺骗 逻辑炸弹 电子欺骗技术 口令破解程序 利用扫描器 计算机病毒
linying@ynu.edu.cn
11
数据泄露
这是一种有意转移或窃取数据的手段。 这是一种有意转移或窃取数据的手段。如 有的作案者将一些关键数据混杂在一般性的报 表之中,然后在予以提取。 表之中,然后在予以提取。有的计算机间谍在 计算机系统的中央处理器上安装微型无线电发 射机, 射机,将计算机处理的内容传送给几公里之外 的接收机。 的接收机。如计算机和通信设备辐射出的电磁 波信号可以被专用设备接收用于犯罪。 波信号可以被专用设备接收用于犯罪。
网络犯罪侦察技术
林英.信息安全 林英 信息安全
linying@ynu.edu.cn
ቤተ መጻሕፍቲ ባይዱ
1
课程大纲
网络犯罪侦察技术概述 网络攻击模型 常用的网络攻击关键技术原 理剖析 Windows系统下的现场数据 系统下的现场数据 收集及调查 收集网络证据 网络通信分析 黑客工具研究 病毒原理与防治 防火墙的技术原理与应用 弱点挖掘的技术原理与应用 入侵检测的技术原理与应用 网络诱骗系统原理与应用 计算机及网络攻击应急响应 与取证
逻辑炸弹
逻辑炸弹是指在计算机系统中有意设置并 插入的某些程序编码, 插入的某些程序编码,这些编码只有在特定的 时间或在特定的条件下才自动激活, 时间或在特定的条件下才自动激活,从而破坏 系统功能或使系统陷入瘫痪状态。 系统功能或使系统陷入瘫痪状态。逻辑炸弹不 是病毒,它不符合病毒自我传播的特征。 是病毒,它不符合病毒自我传播的特征。
linying@ynu.edu.cn
21
观看端口扫描程序的运行结果, 观看端口扫描程序的运行结果,如果发现 有下列服务: Finger、sunrpc、nfs、 有下列服务: 、 、 、 nis(yp)、tftp、ftp、telnet、http、 、 、 、 、 、 shell(rsh)、login(rlogin)、smtp、 、 、 、 exec(rexec) 就应该引起注意, 就应该引起注意,因为这些服务或者无 偿向外界提供关于系统的重要信息, 偿向外界提供关于系统的重要信息,或者提供 某种使用户可以“登录”到系统的方法, 某种使用户可以“登录”到系统的方法,或者 使用户可以远程执行系统中的程序, 使用户可以远程执行系统中的程序,因此都有 可能成为网络入侵的重要途径。 可能成为网络入侵的重要途径。
社交方法
这是一种利用社交技巧来骗取合法用户的 信任, 信任,以获得非法入侵系统所需的口令或权限 的方法。 的方法。
linying@ynu.edu.cn 14
对程序、 对程序、数据及系统设备的物理损坏
程序、数据及系统设备的存放、 程序、数据及系统设备的存放、运行需要 特定的环境, 特定的环境,环境达不到要求或改变环境条件 程序、数据及系统设备就有可能物理损坏, ,程序、数据及系统设备就有可能物理损坏, 而且这种损坏是不可恢复的。如可以利用磁铁 而且这种损坏是不可恢复的。 消掉磁介质信息, 消掉磁介质信息,可以在计算机电路间插进金 属片造成计算机短路, 属片造成计算机短路,水、火、静电和一些化 学药品都能在短时间内损坏数百万美元的硬件 和软件。 和软件。
linying@ynu.edu.cn
20
TCP端口扫描: 端口扫描: 端口扫描 # tcp_scan numen.com 165535 7:echo: 9:discard: 13:daytime: 19:chargen: 21:ftp: 25:smtp: …
UDP端口扫描: 端口扫描: 端口扫描 # udp_scan numen.com 1-65535 7:echo: 9:discard: 13:daytime: 19:chargen: 37:time: 42:name: …
linying@ynu.edu.cn
2
教材及参考资料
网络攻防技术原理与实战 卿斯汉, 蒋建春, 卿斯汉, 蒋建春,科学出版社 应急响应——计算机犯罪调查 应急响应 计算机犯罪调查 Kevin Mandia, Chris Prosise, 清华大学出版 社 网站 中国计算机安全http://www.infosec.org.cn/ 中国计算机安全 国家计算机网络应急技术处理协调中心 http://www.cert.org.cn/index.shtml ……
linying@ynu.edu.cn 5
广义上的界定, 广义上的界定,即网络犯罪是以计算机网络为 犯罪工具或者犯罪对象而实施的严重危害网络 空间安全的行为。包括违反国家规定, 空间安全的行为。包括违反国家规定,直接危 害网络安全及网络正常秩序的各种犯罪行为。 害网络安全及网络正常秩序的各种犯罪行为。
linying@ynu.edu.cn 3
网络犯罪侦察技术概述
网络犯罪 网络犯罪概念 网络犯罪与计算机犯罪 计算机犯罪常用手段 针对网络的犯罪表现形式 网络犯罪的原因及特点 网络犯罪侦察 任务 常用技术
linying@ynu.edu.cn 4
网络犯罪——争议的概念
网络犯罪是犯罪学概念还是刑法学概念 ฀ 网络犯罪是基于网络的出现而产生的 一种新型犯罪现象 1997年修订的刑法典第二百八十 ฀ 1997年修订的刑法典第二百八十 五条和二百八十六条规定的非法侵入计算机 信息系统罪和破坏计算机信息系统罪在绝大 多数的情形下,主要表现为网络犯罪。因此, 多数的情形下,主要表现为网络犯罪。因此, 刑法意义上所使用的网络犯罪一词, 刑法意义上所使用的网络犯罪一词,实际是 指这两个罪名所涵盖的犯罪行为 网络犯罪是工具犯罪还是对象犯罪 ฀ 以网络为犯罪对象的犯罪还是通过网 络实施的犯罪
linying@ynu.edu.cn 10
废品利用
废品利用是指有目的或有选择地在工作现 场或从废弃的资料、磁带、 场或从废弃的资料、磁带、磁盘中搜寻具有潜 在价值的数据和信息、密码等。 在价值的数据和信息、密码等。如搜集报废的 计算机打印文件或其他文件拷贝, 计算机打印文件或其他文件拷贝,获取系统还 没有清除的临时输入或输出的数据或磁盘、 没有清除的临时输入或输出的数据或磁盘、磁 带上的信息。 带上的信息。
相关文档
最新文档