网络犯罪侦查技术1

linying@ynu.edu.cn
19
利用扫描器
扫描器是自动检测远程或本地计算机主机 安全性弱点的程序。 安全性弱点的程序。扫描器是互联网安全领域 最出名的破解工具。 最出名的破解工具。利用扫描器能使行为人不 留痕迹地发现远在他国的一台服务器的安全性 的弱点，从而入侵该系统。 的弱点，从而入侵该系统。
linying@ynu.edu.cn 13
冒名顶替
冒名顶替是利用他人的访问代码， 冒名顶替是利用他人的访问代码，冒充授 权用户进入计算机信息系统的方法。 权用户进入计算机信息系统的方法。其获取他 人的访问代码的方式可能是偷窃来的， 人的访问代码的方式可能是偷窃来的，也可能 是利用特洛伊木马术而得到的。 是利用特洛伊木马术而得到的。
linying@ynu.edu.cn 15
特洛伊木马术
特洛伊木马术是公元前1200年古希腊特洛伊战争 年古希腊特洛伊战争 特洛伊木马术是公元前 中，希腊人为了攻陷特洛伊城，把士兵隐藏在木马腹 希腊人为了攻陷特洛伊城， 中进入敌方城堡，从而赢得了战争的胜利，这种战术 中进入敌方城堡，从而赢得了战争的胜利， 用在计算机犯罪手段上，是以软件程序为基础进行欺 用在计算机犯罪手段上， 骗和破坏的方法。 骗和破坏的方法。它是在一个计算机程序中隐藏作案 所需的计算机指令， 所需的计算机指令，使计算机在仍能完成原有任务的 前提下，执行非授权的功能。 前提下，执行非授权的功能。 特洛伊木马程序和计算机病毒不同， 特洛伊木马程序和计算机病毒不同，它不依附 于任何载体而独立存在， 于任何载体而独立存在，而病毒则须依附于其他载体 而存在并且具有传染性。 而存在并且具有传染性。AIDS事件就是一个典型的 事件就是一个典型的 特洛伊木马程序，它声称是爱滋病数据库， 特洛伊木马程序，它声称是爱滋病数据库，当运行时 它实际上毁坏了硬盘。 它实际上毁坏了硬盘。
linying@ynu.edu.cn
6
网络犯罪与计算机犯罪
计算机犯罪 ฀ 以计算机为犯罪工具或以计算机为犯罪对象 的犯罪行为 计算机单机犯罪 对单机信息系统进行删除、修改、增加、 ฀ 对单机信息系统进行删除、修改、增加、干 扰，造成计算机信息系统不能正常运行和故意制作、 造成计算机信息系统不能正常运行和故意制作、 传播计算机病毒等破坏性程序， 传播计算机病毒等破坏性程序，攻击计算机系统等 危害行为 计算机网络犯罪 对互联网的计算机信息系统进行删除、修改、增加、 对互联网的计算机信息系统进行删除、修改、增加、 干扰， 干扰，造成计算机信息系统不能正常运行和故意制 传播计算机病毒等破坏性程序， 作、传播计算机病毒等破坏性程序，攻击计算机系 统等危害行为。 统等危害行为。
linying@ynu.edu.cn 18
口令破解程序
口令破解程序是可以解开或者屏蔽口令保 护的程序。 护的程序。几乎所有多用户系统都是利用口令 来防止非法登录的， 来防止非法登录的，而口令破解程序经常利用 有问题而缺乏保护的口令进行攻击。 有问题而缺乏保护的口令进行攻击。如Crack 就是较为流行的口令破解程序。 和Claymore就是较为流行的口令破解程序。 就是较为流行的口令破解程序
linying@ynu.edu.cn
16
数据欺骗
数据欺骗是指非法篡改计算机输入、 数据欺骗是指非法篡改计算机输入、处理 和输出过程中的数据或者输入假数据， 和输出过程中的数据或者输入假数据，从而实 现犯罪目的的手段。这是一种最简单、 现犯罪目的的手段。这是一种最简单、最普通 的犯罪手段。 的犯罪手段。
linying@ynu.edu.cn 12
电子嗅探器
英文名称叫sniffer的电子嗅探器是用来截 的电子嗅探器是用来截 英文名称叫 获和收藏在网络上传输的信息的软件或硬件。 获和收藏在网络上传输的信息的软件或硬件。 它可以截获的不仅是用户的帐号和口令， 它可以截获的不仅是用户的帐号和口令，还可 以截获敏感的经济数据（如信用卡号）、 ）、秘密 以截获敏感的经济数据（如信用卡号）、秘密 信息（如电子邮件） 信息（如电子邮件）和专有信息并可以攻击相 邻的网络。需要注意的是， 邻的网络。需要注意的是，电子嗅探器就象专 用间谍器材一样，个人是不允许买卖、 用间谍器材一样，个人是不允许买卖、持有和 使用的，但是公安机关、 使用的，但是公安机关、国家安全机关可以用 此来侦破案件或获取情报。 此来侦破案件或获取情报。
linying@ynu.edu.cn 17
电子欺骗技术
电子欺骗技术是一种利用目标网络的信任 关系， 关系，即计算机之间的相互信任关系来获取计 算机系统非授权访问的一种方法。 算机系统非授权访问的一种方法。如IP地址电 地址电 子欺骗，就是伪造他人的源IP地址 地址， 子欺骗，就是伪造他人的源 地址，其实质就 是让一台机器来扮演另一台机器， 是让一台机器来扮演另一台机器，籍以达到蒙 混过关的目的。 混过关的目的。入侵者不用输入用户帐号和口 就可以侵入目标。 令，就可以侵入目标。
linying@ynu.edu.cn
9
意大利香肠术
这种计算机犯罪是采用他人不易觉察的手段， 这种计算机犯罪是采用他人不易觉察的手段， 使对方自动做出一连串的细小让步， 使对方自动做出一连串的细小让步，最后达 到犯罪的目的。 到犯罪的目的。
活动天窗
所谓活动天窗， 所谓活动天窗，是指程序设计者为了对软件 进行调试和维护故意设置在计算机软件系统 的入口点。 的入口点。通过这些入口可以绕过程序提供 的正常安全性检查而进入软件系统。 的正常安全性检查而进入软件系统。
linying@ynu.edu.cn 7
两者关系 随着网络技术的发展和不断普及， ฀ 随着网络技术的发展和不断普及，二 者的界定逐渐模糊。 者的界定逐渐模糊。
linying@ynu.edu.cn
8
计算机犯罪所用手段
意大利香肠术 活动天窗 废品利用 数据泄露 电子嗅探器 冒名顶替 社交方法 对程序、数据及系统 对程序、 设备的物理损坏 特洛伊木马术 数据欺骗 逻辑炸弹 电子欺骗技术 口令破解程序 利用扫描器 计算机病毒
linying@ynu.edu.cn
11
数据泄露
这是一种有意转移或窃取数据的手段。 这是一种有意转移或窃取数据的手段。如 有的作案者将一些关键数据混杂在一般性的报 表之中，然后在予以提取。 表之中，然后在予以提取。有的计算机间谍在 计算机系统的中央处理器上安装微型无线电发 射机， 射机，将计算机处理的内容传送给几公里之外 的接收机。 的接收机。如计算机和通信设备辐射出的电磁 波信号可以被专用设备接收用于犯罪。 波信号可以被专用设备接收用于犯罪。
网络犯罪侦察技术
林英.信息安全 林英 信息安全
linying@ynu.edu.cn
ቤተ መጻሕፍቲ ባይዱ
1
课程大纲
网络犯罪侦察技术概述 网络攻击模型 常用的网络攻击关键技术原 理剖析 Windows系统下的现场数据 系统下的现场数据 收集及调查 收集网络证据 网络通信分析 黑客工具研究 病毒原理与防治 防火墙的技术原理与应用 弱点挖掘的技术原理与应用 入侵检测的技术原理与应用 网络诱骗系统原理与应用 计算机及网络攻击应急响应 与取证
逻辑炸弹
逻辑炸弹是指在计算机系统中有意设置并 插入的某些程序编码， 插入的某些程序编码，这些编码只有在特定的 时间或在特定的条件下才自动激活， 时间或在特定的条件下才自动激活，从而破坏 系统功能或使系统陷入瘫痪状态。 系统功能或使系统陷入瘫痪状态。逻辑炸弹不 是病毒，它不符合病毒自我传播的特征。 是病毒，它不符合病毒自我传播的特征。
linying@ynu.edu.cn
21
观看端口扫描程序的运行结果， 观看端口扫描程序的运行结果，如果发现 有下列服务： Finger、sunrpc、nfs、 有下列服务： 、 、 、 nis(yp)、tftp、ftp、telnet、http、 、 、 、 、 、 shell(rsh)、login(rlogin)、smtp、 、 、 、 exec(rexec) 就应该引起注意， 就应该引起注意，因为这些服务或者无 偿向外界提供关于系统的重要信息， 偿向外界提供关于系统的重要信息，或者提供 某种使用户可以“登录”到系统的方法， 某种使用户可以“登录”到系统的方法，或者 使用户可以远程执行系统中的程序， 使用户可以远程执行系统中的程序，因此都有 可能成为网络入侵的重要途径。 可能成为网络入侵的重要途径。
社交方法
这是一种利用社交技巧来骗取合法用户的 信任， 信任，以获得非法入侵系统所需的口令或权限 的方法。 的方法。
linying@ynu.edu.cn 14
对程序、 对程序、数据及系统设备的物理损坏
程序、数据及系统设备的存放、 程序、数据及系统设备的存放、运行需要 特定的环境， 特定的环境，环境达不到要求或改变环境条件 程序、数据及系统设备就有可能物理损坏， ，程序、数据及系统设备就有可能物理损坏， 而且这种损坏是不可恢复的。如可以利用磁铁 而且这种损坏是不可恢复的。 消掉磁介质信息， 消掉磁介质信息，可以在计算机电路间插进金 属片造成计算机短路， 属片造成计算机短路，水、火、静电和一些化 学药品都能在短时间内损坏数百万美元的硬件 和软件。 和软件。
linying@ynu.edu.cn
20
TCP端口扫描： 端口扫描： 端口扫描 # tcp_scan numen.com 165535 7:echo: 9:discard: 13:daytime: 19:chargen: 21:ftp: 25:smtp: …
UDP端口扫描： 端口扫描： 端口扫描 # udp_scan numen.com 1-65535 7:echo: 9:discard: 13:daytime: 19:chargen: 37:time: 42:name: …
linying@ynu.edu.cn
2
教材及参考资料
网络攻防技术原理与实战 卿斯汉， 蒋建春， 卿斯汉， 蒋建春，科学出版社 应急响应——计算机犯罪调查 应急响应 计算机犯罪调查 Kevin Mandia, Chris Prosise, 清华大学出版 社 网站 中国计算机安全http://www.infosec.org.cn/ 中国计算机安全 国家计算机网络应急技术处理协调中心 http://www.cert.org.cn/index.shtml ……
linying@ynu.edu.cn 5
广义上的界定， 广义上的界定，即网络犯罪是以计算机网络为 犯罪工具或者犯罪对象而实施的严重危害网络 空间安全的行为。包括违反国家规定， 空间安全的行为。包括违反国家规定，直接危 害网络安全及网络正常秩序的各种犯罪行为。 害网络安全及网络正常秩序的各种犯罪行为。
linying@ynu.edu.cn 3
网络犯罪侦察技术概述
网络犯罪 网络犯罪概念 网络犯罪与计算机犯罪 计算机犯罪常用手段 针对网络的犯罪表现形式 网络犯罪的原因及特点 网络犯罪侦察 任务 常用技术
linying@ynu.edu.cn 4
网络犯罪——争议的概念
网络犯罪是犯罪学概念还是刑法学概念 ฀ 网络犯罪是基于网络的出现而产生的 一种新型犯罪现象 １９９７年修订的刑法典第二百八十 ฀ １９９７年修订的刑法典第二百八十 五条和二百八十六条规定的非法侵入计算机 信息系统罪和破坏计算机信息系统罪在绝大 多数的情形下，主要表现为网络犯罪。因此， 多数的情形下，主要表现为网络犯罪。因此， 刑法意义上所使用的网络犯罪一词， 刑法意义上所使用的网络犯罪一词，实际是 指这两个罪名所涵盖的犯罪行为 网络犯罪是工具犯罪还是对象犯罪 ฀ 以网络为犯罪对象的犯罪还是通过网 络实施的犯罪
linying@ynu.edu.cn 10
废品利用
废品利用是指有目的或有选择地在工作现 场或从废弃的资料、磁带、 场或从废弃的资料、磁带、磁盘中搜寻具有潜 在价值的数据和信息、密码等。 在价值的数据和信息、密码等。如搜集报废的 计算机打印文件或其他文件拷贝， 计算机打印文件或其他文件拷贝，获取系统还 没有清除的临时输入或输出的数据或磁盘、 没有清除的临时输入或输出的数据或磁盘、磁 带上的信息。 带上的信息。