计算机取证
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
证据发现
• 嫌疑人的机器;
• 各种存储介质,如硬盘,闪存,光存储介 质;
• 系统日志,如代理服务器日志,防火墙日 志,Windows系统日志; • 交换机、路由器、防火墙和其他网络设备; • 其他电子设备,如数码相机,手机,PDA等
取证工作流程
计算机取证遵循的证据获取和后续处理过程和其他取证 领域的工作流程基本一致,计算机取证一般包括以下几个步 骤:
取证模型 - 综合计算机取证模型
• IDIP,The Integrated Digital Investigation Model
准备阶段 Readiness Phases 物理犯罪现场调查阶段 Physical Crime Scene Investigation Phases 总结阶段 Review Phases
数据分析
报告阶段
提出解决方案 事件恢复 安全方案实施
取证工作流程模型
• 取证准备阶段:这一阶段完成取证之前的准备工作,例如 组建安全事件响应小组,购买和部署取证过程中需要使用 的设备的工作环境等,对相关人员进行培训,执行安全漏 洞评估和制定基本的响应策略。这个阶段是取证过程的开 始,和后面6个部分相对独立。 • 事件检测:找出潜在或者未被发现计算机安全事件隐患, 这个阶段对整个安全事件响应过程至关重要,因为事件检 测阶段是响应过程的起点。
计算机取证概述
• 取证(Forensics):采用技术手段调查和认定事实;
• 计算机取证:可以简单理解为从计算机上提取证 据。 • 计算机取证学是一个多学科知识交叉的领域; • 调查过程中,不仅需要计算机科学领域的知识和 方法;为了保证电子证据在法律上有效,还需要 遵守法学中取证的流程和规范。 • 计算机取证和其他取证领域一样,用科学原则来 对数字证据进行识别,获取和分析。它包括系统 取证和网络取证两方面。
取证模型 - 过程抽象模型
• Abstract Process Model
• 美国空军研究院、美国司法部、美国信息督导防 御局提出。
• 在数据取证基本理论和基本方法研究中具有里程 碑的作用。过程抽象模型包括:识别identification 、准备preparation、策略制定approach strategy、 保存preservation,收集collection、检验 examination、分析analysis、证据呈堂presentation 、证据返还returning evidences几个部分。
取证工作流程
• 证据收集,在犯罪现场收集证据。计算机取证人 员的工作是收集数字证据,物理证据的收集则交 给物理取证人员进行。
• 证据分析,将从现场收集的证据进行处理和分析 ,进一步提取出其中对案件有帮助的关键性证据 。 • 证据提交,提交最终获得的所有证据进行展示, 并将分析使用的一部分证据返还。
• 事件初步响应:对事件进行初步调查,记录事件发生现场 的一些基本细节信息,召集安全响应小组和通知相关人员 。
取证工作流程模型
• 制定响应策略:在已经了解事件基本情况的前提下,根据 初步响应得到的所有信息,制定出最佳响应方案并申报上 级部门同意。策略的制定需要围绕技术、法律和事件涉及 的商业规范而展开。
取证模型 - 综合计算机取证模型
部署阶段 Deployment Phases
数字犯罪现场调查阶段 Digital Crime Scene Investigation P百度文库ases
(1)准备阶段 这一阶段主要目的是保证取证所需的各种人力物力资源,主要任务有操作准备 和设备准备。操作准备就是保证取证人员通过培训能够胜任取证工作;设备准 备是指取证工具的准备是充分的。
• 取证准备,包括操作准备和设备准备两个环节,准备取 证过程中所要使用的工具和分析环境。 • 证据识别,在确定数字证据可能存在的所有场所之后, 要进行现场证据保护和设备保管,目的是保护物理或逻辑的 犯罪现场。物理犯罪现场需要物理保护,包括上锁,隔离和 看守。逻辑现场需要逻辑保护,比如锁定用户,将嫌疑人机 器从网络上断开或进行物理保护。
取证工作流程模型
• 在对各种安全事件进行响应之前,合理安排整个 工作过程是非常重要的。
• 在整个取证过程中应该明确划分工作流程,确定 每个阶段应该完成的任务。这样不但可以避免取 证流程的混乱,而且抽象出的整个工作流程的模 型能够适用于一大类安全事件的响应过程。 • 处理不同的安全事件可能需要考虑不同的问题, 这会对整个取证流程造成影响,所以提出一个好 的工作流程模型并不简单,需要同时考虑实际使 用中的可行性和定义的准确性。
证据发现
• 在案件调查的过程中,硬盘驱动器往往包含了关键的犯罪 证据; • 对电子邮件和即时消息 工具等通信手段的分析; • Internet取证:研究重心与计算机取证略有不同,它的研 究范围从个人计算机转向了Internet。随着越来越多的计 算机成为Internet上的节点,Internet取证和计算机取证两 者的联系越来越密切。 • 数字证据可能存在于诸如闪存盘,PDA,数码相机或者手 机等多种带有存储功能的设备中; • 所有现代操作系统都支持网络,在服务器,路由器,防火 墙和各种代理设备上可能也会获得数字证据
取证工作流程模型
• 图中的工作流程模型按照软件工程中黑盒的概念进行划分
• 整个工作流程被分割成子工作块,块与块之间交互的是每个子工作流 程产生的数据输出。
• 取证工作流按照箭头的方向流动,每个子工作流程完成后产生的数据 就是下一个子工作流程的输入数据。
取证准备阶段
事件检测
事件初步响应
制定响应策略
数据采集
• 数据采集和数据分析:进行深入的数据收集工作,对采集 到的数据进行细致分析。这个阶段需要解决的问题是安全 事件是如何发生的,何时发生的以及确定嫌疑人。
• 报告阶段:根据前面所有的调查结果向决策人员提供一份 准确的报告。 • 提出解决方案:采用安全各种必须的安全手段或者对现有 系统进行修改,以期在一段时间内可以对可以检测到的同 类安全时间做出有效响应,防止相同事件再次发生并且对 系统造成影响。