电子取证分析
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1 电子取 证的新要 求
自从19年在美 国召开 的国际计算机专家会 议上首次提 91
出 “ 算机取证 ” 计 术语 以来 , 随着互联 网的普及和 计算机 犯
罪案件的增多, 计算机取证成 为了信息安全领域的热 门。 算 计 机取证研 究年会 (F W ) 一年 的举 行, DRS 每 也推动了计算机取 证技术在各个方 向的发展。 随着 网络犯罪的复 杂化 、 计算机存储容量的不断增长 , 原有的关闭计算机 , 直接获取系统硬盘镜像 的方法已不能胜 任 目前 的取证 分析 要求 。 例如 , 存在于内存 中的网络连 接信
r tn 2 1g 当错误 发生时, nW to 会记录描述 D asn 对 内存取证技术 的研究取得 了一定成果 。 现在内存 分析技术 文件d w s 3 .o 中。 描述信息包含程序名称和错误发生的日期 、 时间: 已经可以根据 内存中的进程结构定位进程在 内存镜像中使用 信息,
临时文件系统;
硬盘 ;
收稿 日 21-80 期: 000-9 作者简介: 陈亚峰、 李云亚、 宗夏楠, 江苏国 瑞信安科技有限
公司。
◆ 与可疑系统相关的远程 日志和镜像数据:
・
实验研 究
◆ ◆
物理配置 , 网络拓扑; 归档介质。
盘中的文件进行分析。 文件分析包括:
料供 检查使用的过程 , 其基本元素应该 是勘 察、 可靠与关联 容 的改变, 还应避免改变 文件和 目 的访问时间等。 录
(e o n i sn e R la i i ̄ a dR lv lt n ee a c) 见
1 )。
所 有原则中最重要 的是检 查过 程应该 按照从 易失部分 到非易失部分的顺 序执行。 型的按易失程度从高到低排序 典
:D c m n s a d S t i g\ l l 境, 无法确定找到的信息属于哪个进程 , 是否与检查有关。 在 关错误信息并保存到位于C\o u e t n e tn sA U e sh p iai n D t\ ir sf\ r W to 的文本 日志 s r\p lc to a aM c o o tD a s n 2 0 年D R S 0 5 F W 发起的一次 “ 内存 分析挑战 ”中, 比赛结果表 明
息、即时聊天客户端 的内容 、 类进程 的信息 能够 帮助 检查 各
人员准确 地分析系统中是否存在 木马或恶意程序运行, 敏感 数据是否从系统中被复制等。 但这些信息会 因为关闭计算机 而消失, 却不会 因为再次开机而恢复。 因此 , 电子取证面临着
新 的要 求 和挑 战 。
2 电子取证 的原则
信息安全拥有很多技 术方向, 例如访 问控制 、 生物 识别
R C 2 7( F 32 证据收集和存档指南) 明确指 出了电子证据 收 技术、网络 安全、 加密等 。 每一个方面都有其 具体 的方法与思 集 的原则: 维, 但通过一个核心原则: 密性 、 保 完整性和可用性 , 各个技 () 1 尽可能精确地捕获系统状态描述; 术方向可以相互关联。 信息安全的发展也是基于这个原则。
( 被检查 计算机中的各类系统事 件 日志、 一) 应用系统 事件日志、 浏览器历史文件 、 系统 中的各类安装、 计划任务日
3 电子证据分析技术
以及 防火墙 日志与系统还原日志等信息。 由于操作系统用 尽管R C 2 7 0 2 已经 提 出, F 3 2 在2 0 年 但是对 内存 提取、 分 志, 于跟 踪各种活动和功 能的文件产生了大 量的数 据, 了解系统 析的研究还是起步于2 0 年 。 0 5 过去 内存检 查主要只针对内存 镜像运行g e 或s r n 等程序进行搜索, 图发现 口令、I 内部维护信息文件 的位 置可 以使调查人员将其与其它 方面找 rp t ig 试 P 例如D .a s n 收集系统和程 序的有 rW t o 会 地址、 - a 1 E m i 地址等字符 串。 由于这些 信息没有上下文环 到的信息进 行关联 。 但
实验研究 ・
电子取证分析
■ 陈亚峰 李云亚 宗夏楠
摘 要: 电子证据通常是指计算机或计算机 系统运行过程中 产生的以其记录内容来证明事件事实的电磁记录物。 子取证包括证据 电
获取 、 证据 分析 和证据 报告三个过程 。 本文 就 目 电子取证 的技 术 、 前 方法进 行分析。 关键 词: 取证 分析 ; 电子证据 ; 电子取证
同样 , 电子取证也需要一个核心原则来指导不 同视角、 () 2 保存 详细的记录 , 包括 时间、日期 , 并注 意系统时
间与国际标准时 间的差别, 需要鉴 别出每个提供 的时间戳是
不同阶段 的取证程 序, ic SC Io g 0 6 R c i ..e n 于2 0 年提 出由于 标准 时间还是本地 时间; 电子取证是通过确定、 提取相关 信息与数字证据建 立事 实资 () 3 收集证据 时, 应该尽量避免 改变数据 , 除了避免 内
勘察 : 完成一个 电子取证调查需要使用 不同的方 法、 方 的系统如下所 示: 式与特定开发 的工具以收集 、 解码、 恢复、 提取、 分析与 转换 ◆ 寄存器 、 高速缓存;
数 据 而 不论 数 据 存储 在 系 统 任 何位 置 。
◆
◆
◆
路由表、 R 缓存 、 AP 进程表、 内核状态 、 存 ; 内
Re ,n y a c R猷hbI l 脚
图1 电子取证 元素 可靠: 数据 提 取不是简单复 制数 据到 磁盘 , 数据 提 在 取, 分析, 存储和传 输过程 中与证据相关的信息及操作行为
都应 当保存 下来 , 以保证数据 的可靠性 。 一般 来说证据的相 关信. 息应包括时间戳 、 证据的完整性等信息。 关联 : 并不是所有 收集 到的证据都有用, 只有对 调查有 影响或相关的证据才有用 , 如果调查 者明确哪些信息是调查 中需要的, 就可以减少用于调查的时间和成本 。