计算机取证技术

谢谢观赏！
2020/11/5
31
证据保全工具
数据签名
用于验证传送对象的完整性以及传送者的身份
数字摘要（散列）
一般来说，数字签名是用来处理短消息的，而相对于较 长的消息则显得有些吃力。当然，可以将长的消息分成 若干小段，然后再分别签名。不过，这样做非常麻烦， 而且会带来数据完整性的问题。比较合理的做法是在数 字签名前对消息先进行数字摘要。数字摘要就是采用单 项Hash函数将需要加密的明文“摘要”成一串固定长 度（128位）的密文，这一串密文又称为数字指纹。
在整个过程中利用encase的报告功能可方便地将证据 及调查结果进行归档。
证据分析的内容
时间框架的分析 确定事件发生的时间；两种方法。 数据隐藏分析 应用程序和文件的分析 几个考虑角度 各类案件的取证重点 网上拍卖诈骗，计算机入侵，经济诈骗，恐吓、敲
诈，赌博
4.6整理文档、报告 4.5磁盘映像工具 磁盘映像软件工具 1. 映像工具的最重要的需求 2. 取证工具必须使用简单并且容易掌握 3. 提供快速磁盘映像功能 4. 提供压缩方法 目前比较公认的映像工具 硬盘克隆机
NT就是指微软的server操作系统，早些的有 windows NT4 ，后来有windows2000 server， windows2003 ，现在最新 的是windows2008，自带很多支持局域网各种功能的组件 ，比如wins，活动目录，dhcp（动态主机配置），rras（路 由与远程访问，做路由用的）
重点猜测
穷举破解
或称为暴力破解法，是一种针对于密码的破译方法，即将 密码进行逐个推算直到找出真正的密码为止。
密码破解技术
加密可以分为弱加密和强加密。从破译密码的角度所破 译的主要是弱加密。
专门用于office文件的破解工具AOPR 当使用像DES一类加密算法的时候，属于强加密的破解 L0phtCrack是在NT平台上使用的口令审计软件 在UNIX机上使用crypt命令就可以很明显的显示出一些强
4.3 计算机证据的收集与保存
4.3.1 计算机证据收集的原则 4.3.2 计算机证据收集的过程 4.3.3 独立计算机的证据收集 4.3.4 复杂系统的证据收集 4.3.5 磁盘映像 4.3.6 计算机证据的保存 1. 证据的保存 2. 证据的完整性保护
4.3.5 磁盘映像
磁盘的映像应该是取得磁盘的完全副本，这包括对 任何在磁盘上的信息的备份，这其中不仅仅是数据 还包括数据的位置。现有的观点是磁盘映像必须实 现每一个比特的复制。
证据提取中的两个问题 犯罪嫌疑人会对重要文件进行加密 犯罪嫌疑人作案后会删除、销毁证据
4.4.1 密码破解
使用的密码破解技术和方法 1. 密码分析技术 2. 密码破解技术：口令字典、重点猜测、穷举破解 3. 口令搜索：物理搜索、逻辑搜索、网络窃听 4. 口令提取：注册表
5. 口令恢复：使用密钥恢复机制可以从高级管理员那 里获得口令
Sniffer Pro
EasyRecovery
它是一个威力非常强大的硬盘数据恢复工具。能够帮你恢复丢 失的数据以及重建文件系统。
EasyRecovery不会向你的原始驱动器写入任何东西，它主要是 在内存中重建文件分区表使数据能够安全地传输到其他驱动器 中。你可以从被病毒破坏或是已经格式化的硬盘中恢复数据。 该软件可以恢复大于 8.4GB的硬盘。支持长文件名。被破坏的 硬盘中像丢失的引导记录、BIOS参数数据块；分区表；FAT 表 ；引导区都可以由它来进行恢复。
证据分析是一个将提取到的，对案情有重要意义的 数据进行合理解释的一个过程。
分析工作的第一步通常是分析可疑硬盘的分区表； 分区表内容不仅是提交给法院的一个重要条目，而 且它还将决定在分析时需要使用什么工具。
Ptable工具可以用来分析硬盘驱动器的分区情况
浏览文件系统的目录树；是一个文件管理工具，可 以将系统的文件按照上次使用的时间顺序进行排列 ，让分析人员可以建立用户在该系统上的行为时间 表。
Quick View Plus是一款优秀的文件浏览器 ThusmbsPlus对图片进行查阅
Encase
可正确并快速地识别反常文件（与真实数据类型不相 符的扩展名的文件）
提供自动更新功能，可以将试图隐藏的数据文件以列 表的形式列出来。
其中的分析工具包括关键字查找、文件数字摘要对比 分析等。
加密的漏洞。
协议分析器可以捕获它所连接的网段上的每块数据。当 以混杂方式运行这种工具时，它可以“嗅探出”该上发 生的每件事
AOPR
专门用于office文件的破解 提供包括口令字典、重点猜测、穷举破解等技术
L0phtCrack
最明显的漏洞就是明文文件及例子中的密钥
L0phtCrack是一款网络管理员的必备的工具，它可以用来 检测Windows、UNIX 用户是否使用了不安全的密码，同样 也是最好、最快的Win NT/2000/XP/UNIX 管理员帐号密码破 解工具。事实证明，简单的或容易遭受破解的管理员密码 是最大的安全威胁之一，因为攻击者往往以合法的身份登 陆计算机系统而不被察觉。
这个版本使用新的数据恢复引擎，并且能够对 ZIP 文件以及微 软的 Office系列文档进行修复！
Professioanl (专业) 版更是囊括了磁盘诊断、数据恢复、文件修 复、E-mail 修复等全部 4 大类目 19 个项目的各种数据文件修 复和磁盘诊断方案。
4.4.2 数据恢复
数据恢复原理
人员将被迅速地控制起来以及收集的可疑设备。 3. 提前将搜查令交给计算机调查人员及公诉人员检查。 常规取证
1. 现场勘察是获得计算机证据的第一步。首先要注意计 算机物理证据的获取，然后要获取计算机系统运行现 场的状态相关证据。
2. 特别注意保证证据连续性
4.2 对现场证据的评估
4.2.1 界定取证的范围 1. 确定哪些证据将要进行重点检查 2. 从前期调查人员那里了解案情 3. 调查要注意的事项 4.2.2 界定计算机证据 1. 计算机调查员应该对所有可能成为证据的设备有详细的
UltraEdit32和Winhex等工具或一种取证程序来检查磁 盘的主引导记录和引导扇区。
如果取证程序具备搜索功能时，可以用它搜索与案件 有关的词汇、术语。
搜索关键词是分析工作很重要的一步。Filter_we可以 对磁盘数据根据所给的关键词进行模糊搜索
Net Threat Analyzer \IPFilter\Ethereal：分析信息的工具 。
数据恢复工具使用实例
EasyRecovery能够对FAT和NTFS分区中的文件删除、 格式化分区进行数据恢复，也能够对没有文件系 统结构的信息即FAT表和目录区被破坏后的数据恢 复。
1. 恢复被删除的文件 2. 恢复已格式化分区中的文件 3. 从损坏的分区中恢复文件 4. 修复损坏的文件
4.5计算机证据的检验、分析与推理
证工具包 4.1.3应对具体案件的取证准备
4.1.2计算机取证工具
所需的工具必须要满足整个设备的收集过程，包括：存 档、收集、封装和运输。其中数据获取和分析工具是是 取证工具包中最基本、最重要的工具。
提前准备：工具能够满足要求，它的输出是否可信，如 何操作。
工具分类 1. 证据获取工具 2. 证据保全工具：证物监督链，三种技术 3. 证据分析工具：证据分析是计算机取证的核心和关键 4. 证据归档工具：NTI-DOC、encase
系统根据校验和等其它原始信息，通过逆向运算把数据尽可 能完整的还原
数据恢复分类
1. 基于文件目录的数据恢复 2. 基于文件数据特征的数据恢复 3. 逻辑分区的恢复 4. 原始信号恢复
基于文件目录的数据恢复
文件包括两部分内容：文件所包含的内容数据；文件 目录数据。
基于文件数据特征的数据恢复 逻辑分区的恢复 原始信号恢复 1. 用激光束对盘片表面进行扫描 2. 深层信号还原
了解
2. 注意数据很容易在取下电池或拔下电源时而丢失
3. 潜在证据：数据证据通常都是在可以存储数据的硬件驱 动器、存储设备或媒体中发现的。
电子设备分类
1. 计算机系统： 用户建立的文件、用户保护的文 件、操作系统建立 的文件、其它数据
2. 数码相机 3. 手持设备 4. 移动存储设备： 移动硬盘、存储卡、记忆棒 5. 网络部件包括网卡、路由器、交换机、集线器等 6. 打印机、复印机、扫描仪和传真机
1. 一般来说，数字时间戳产生的过程
2. 用户将需要加时间戳的文件用Hash算法运算 行程摘要
3. 将该摘要发送到DTS
4. DTS在加入了收到文件摘要的日期和事件信息 后再对该文件加密（数字签名），然后送达 用户。
4.1.3应对具体案件的取证准备
获得合法的取证手续 1. 在对现场进行搜查之前要获得取证的司法授权 2. 搜查令要清楚地说明哪些将可能称为证据，哪些可疑
破解第一步是精简操作系统存储加密口令的hash列表 ，之后才开始口令的破解，这个过程称为是 cracking。
口令字典
密码字典，主要是配合解密软件使用的，密码字典里包括 许多人们习惯性设置的密码，这样可以提高解密软件的 密码破解命中率，缩短解密时间，当然，如果一个人密 码设置没有规律或很复杂，未包含在密码字典里，这个 字典就没有用了，甚至会延长解密时间。
关于磁盘映像的几个重要问题
1. 磁盘映像工具是否可以制作一个和初始磁盘完全一 样的拷贝
2. 映像的内部验证问题 3. 磁盘映像的时间
4.4 计算机证据的提取
证据收集主要的工作是收集存储器的可疑数据，更 多的是在尽可能不改变数据的情况下复制数据
计算机证据的提取主要是在收集到的大量证据中找 出犯罪证据
计算机取证技术
本章将依据法律执行过程模型来介绍相关的计算机 取证技术
此模型在取证的过程中受法律约束
模型的内容
1. 准备阶段
2. 收集阶段：包括保护与评估现场，对现场进行记 录、归档、证据提取等
3. 检验阶段 4. 分析Biblioteka Baidu段 5. 报告阶段
4.1 计算机取证准备
4.1.1 计算机取证人员培训 美国NTI公司：取证设备制造和销售、计算机取证培训 4.1.2计算机取证工具 操作系统中已经存在的一些命令行工具；工具软件；取
数字时间戳技术
对于成功的电子商务应用，要求参与交易各方不能否认其行 为。这其中需要在经过数字签名的交易上打上一个可信赖 的时间戳，从而解决一系列的实际和法律问题。由于用户 桌面时间很容易改变，由该时间产生的时间戳不可信赖， 因此需要一个权威第三方来提供可信赖的且不可抵赖的时 间戳服务。
在书面合同中，文件签署的日期和签名一样均是十分重要的 防止文件被伪造和篡改的关键性内容。在电子文件中，同 样需对文件的日期和时间信息采取安全措施，而数字时间 戳服务（DTS：digital time-stamp service）就能提供电子文 件发表时间的安全保护。