反取证技术
- 格式:ppt
- 大小:49.50 KB
- 文档页数:10
一:填空题1:计算机取证模型包括:基本过程模型;事件响应模型;执法过程模型;过程抽象模型2:在证据收集过程中必须收集的易失证据主要有:系统日期和时间;当前运行的活动目录;当前的网络连接;当前打开的端口;当前打开的套接字上的应用程序;当前登录用户3:目前的计算机翻反取证技术主要有:删除技术;隐藏技术4:在windows工作模式下显示系统的基本信息包括:用户;网络环境;系统进程;系统硬件环境5:隐藏术通常通过两种方法对数据进行保护:使数据不可见,隐藏起所有属性;对数据加密6:在MACtimes中的Mtime指文件的最后修改事件;Atimes指:文件最后访问时间按;Ctimes 指:文件的最后创建时间7:防止密码被破译的措施:强壮的加密算法;动态的会话密钥;良好的密码使用管理制度8:目前主要的数据分析技术包括:文件属性分析技术;文件数字摘要分析技术;日志分析技术;数据分析技术9:安全管理主要包括三个方面:技术安全管理;法律法规安全管理;网络安全管理10:计算机信息系统安全管理的三个原则:多人负责原则;任期有限原则;职责分离原则11:信息系统安全包括:身份认证;访问控制;数据保密;数据完整性;不可否认性12:任何材料要成为证据,均需具备三性:客观相;关联性;合法性13:计算机取证是指对能够为法庭接受的,足够可靠和有说服性的存在于计算机和相关外设中的电子证据的确认;保护;提取和归档的过程14:DES是对称密钥加密算法,DES算法大致可以分为四个部分:初始置换;迭代过程;子密钥生成;逆置换15:目前反取证技术分为:擦出技术;隐藏技术;加密技术16:网络安全管理的隐患有:安全机制;安全工具;安全漏洞和系统后门二.判断1.取证的目的是为了据此找出入侵者(或入侵的机器),并解释入侵的过程。
( F )2.网络入侵取证系统中,日志文件是可以很轻易被人修改的,但是这种修改是很容易被发现的。
( F )3.硬盘由很多盘片组成,每个盘片被划分为若干个同心圆,称为磁道。
试论电子证据取证技术的相关问题中图分类号:tn 文献标识码:a 文章编号:1007-0745(2008)12-00摘要:计算机技术的产生极大的方便了人民生活,但网络犯罪也随之而来,要查证这些犯罪电子证据的取证问题是个难点,笔者在本文中对计算机证据的特点,取证过程,相关理论进行了论述。
关键词:电子证据取证技术计算机技术的产生极大的方便了人民生活,但是计算机诈骗,攻击政府、军事部门网站,色情信息、网站的泛滥等等网络犯罪也随之而来。
侦破这些案件必须要用到计算机取证技术,搜寻确认罪犯及其犯罪证据,并据此提起诉讼。
电子证据本身和取证过程有许多不同于传统物证和取证的特点,给司法工作和计算机科学领域都提出了新的挑战。
一、计算机取证的概念、特点、发展电子证据也称为计算机证据,是指在计算机或计算机系统运行过程中产生的,以其记录的内容来证明案件事实的电磁记录物。
电子证据的表现形式是多样的,尤其是多媒体技术的出现,更使电子证据综合了文本、图形、图像、动画、音频及视频等多种媒体信息,这种以多媒体形式存在的计算机证据几乎涵盖了所有传统证据类型。
与传统证据一样,电子证据必须是:可信的、准确的、完整的、符合法律法规的,即可为法庭所接受的。
同时我们不难发现,电子证据还具有与传统证据有别的其它特点:①磁介质数据的脆弱性;②电子证据的无形性;③高科技性;④人机交互性;⑤电子证据是由计算机和电信技术引起的,由于其它技术的不断发展,所以取证步骤和程序必须不断调整以适应技术的进步。
计算机取证是伴随着计算机犯罪事件的出现而发展起来的,在我国计算机证据出现在法庭上只是近10年的事情,在信息技术较发达的美国已有了30年左右的历史。
最初的电子证据是从计算机中获得的正式输出,法庭不认为它与普通的传统物证有什么不同。
但随着计算机技术的发展,以及随着与计算机相关的法庭案例的复杂性的增加,电子证据与传统证据之间的类似性逐渐减弱。
于是90年代中后期,对计算机取证的技术研究、专门的工具软件的开发以及相关商业服务陆续出现并发展起来。
网警的主要技术是取证,下面我们就来了解一下什么是取证技术。
一般看刑警电视剧比较多的人都知道,发生了什么案子首先是封锁和保护现场,不让任何人破坏现场,然后就是给现场做技术鉴定,使用各种手段尽量还原当时案发现场的情况并寻找凶手留下来的信息(比如指纹、凶器等等)。
而网警破案的第一步也是封锁现场,让调查人员来到计算机犯罪现场或入侵现场,寻找并扣留相关的计算机硬件。
这一步在计算机取证上也叫物理证据获取,一般网警在这一步做的主要事情是:保护寄存器、数据文件、交换区、隐藏文件、空闲磁盘空间、打印机缓存、网络数据区、用户进程存储区、堆栈、日志、缓冲区、文件系统中的数据不被破坏和修改。
还有就是获取内存和硬盘中的数据,顺序为先内存后硬盘,因为内存为易灭失数据而硬盘为相对稳定数据。
对内存数据的获取主要用内存检查命令和内存数据分析工具(如内存数据分析编辑器)来实现,而硬盘数据的获取也是通过专门的工具(如“美亚网警”多功能硬盘克隆机)对硬盘进行逐扇区的读取,将硬盘数据完整地克隆出来;第二步是就是对保护和提取的数据进行分析,它的范围包括现存的正常文件、已经删除但没有被新文件覆盖的文件、隐藏文件、受到密码保护的文件及加密文件等等。
分析数据常用的手段有:1.用搜索工具搜索所有的逻辑文件Slack磁盘空间、自由空间、未分配的空间中所有特定的数据。
打个比方说:在上午10点的时候发生了入侵事件,那么在使用搜索工具时肯定是首先搜索记录时间为10点左右的文件2.由于黑客在入侵时会删除数据,所以我们还要用数据恢复工具对没有覆盖的文件进行恢复3.对系统中所有加密的文件进行解密4.用MD5对原始证据上的数据进行摘要,然后把原始证据和摘要信息保存。
上面的就是网警在取证时所要进行技术处理的地方,然后根据分析的结果(如IP地址等等)来抓人。
下面介绍一些网警在取证时常用到的专业软件,对此方向感兴趣的朋友可以到网上去下载。
文件浏览器:专门用来查看数据文件的阅读工具,只可以查看但没有编辑和恢复功能,可以防止数据的破坏,Quick View Plus是其中的代表。
电子技术‖82‖网络电子证据取证技术与反取证技术研究◆唐冬清信息化网络建设步伐的加快,为各种网络犯罪活动的开展创造了有利的条件,客观决定了采取有效的技术手段打击网络犯罪的必要性。
在此形势影响下,结合网络犯罪的特点,完善网络电子证据的管理机制,增强网络电子证据取证技术与反取证技术的实际应用效果,就显得尤为重要。
基于此,本文将对网络电子证据取证技术与反取证技术进行必要的研究。
各种信息化技术的不断更新,客观地加大了打击网络犯罪行为的工作难度,需要相关的技术人员结合网络犯罪的特点,采取有效的技术手段增强犯罪证据获取的可靠性,为系统网络安全性的提高提供可靠的保障。
同时,由于网络犯罪证据都是以数字化的方式出现的,需要在可靠的网络电子证据取证技术与反取证技术的支持下进行针对性地操作,确保犯罪证据提取的时效性。
1 网络电子证据的相关内容网络电子证据主要是指各种犯罪证据在网络设备的支持下采用电子形式表现出来,用于侦破案件的重要参考依据。
电子形式的网络证据通过电磁学、光学等技术保存在计算机或者其它设备中,并利用数字化的方式进行发送。
结合目前网络电子证据的研究现状,可知这种证据主要的存在形式是电磁或者电子脉冲,具体的表现形式丰富多样。
网络电子证据的有效获取,需要借助专业化的工具和可靠的技术手段进行深入地分析,确保这些证据在案件事实证明中能够提供必要的参考信息。
网络电子证据取证特点主要包括:(1)具有重大嫌疑的网络是由工作站、交换机等重要的基础设施组成的,需要对其中不同软件的信息进行有效地分析,找出具有重大参考价值的证据;(2)网络电子证据取证过程是动态的;(3)按照一定的方式将网络电子证据取证与网络监控技术有效地结合起来,实现系统自动取证;(4)网络电子证据取证过程中网络设备的数据流对于取证工作的完成具有重要的参考依据;(5)需要设置多个联动取证点,确保证据获取的完整性。
2 网络电子证据取证技术2.1 网络数据截获技术。
计算机反取证技术一、引言如今计算机犯罪日益猖獗,围绕计算机取证与反取证的斗争一直在进行。
在计算机网络犯罪手段与网络安全防御技术之间的对抗不断升级的形势下,计算机取证作为一门交叉学科,越来越受到计算机安全和法律专家的重视,与此同时,一种新的反计算机取证技术也正悄然兴起。
二、反取证技术在计算机取证技术发展的同时,犯罪分子也在绞尽脑汁对付取证。
反取证技术就是在这种背景下发展起来的。
与计算机取证研究相比,人们对反取证技术的研究相对较少。
对于计算机取证人员来说,研究反取证技术意义非常重大,一方面可以了解入侵者有哪些常用手段用来掩盖甚至擦除入侵痕迹:另一方面可以在了解这些手段的基础上,开发出更加有效、实用的计算机取证工具,从而加大对计算机犯罪的打击力度,保证信息系统的安全性。
它主要包括三类技术:数据擦除、数据隐藏和数据加密。
综合使用这些技术,将使计算机取证更加困难。
三、反取证技术介绍(1)数据擦除数据擦除是阻止取证调查人员获取、分析犯罪证据的最有效的方法,一般情况下是用一些毫无意义的、随机产生的‘O’、‘1’字符串序列来覆盖介质上面的数据,使取证调查人员无法获取有用的信息。
反取证的最直接、最有效做法就是数据擦除,它是指清除所有可能的证据索引节点、目录文件和数据块中的原始数据。
反取证工具TDT 专门设计了两款用于数据擦除的工具软件Necrofile和Klismafile 。
其中,Necrofile用于擦除文件的数据,它把所有可以找到的索引节点的内容用特定的数据覆盖,同时用随机数重写相应的数据块。
目前最极端的数据擦除工具是Data Security Inc、开发的基于硬件的degaussers工具,该工具可以彻底擦除计算机硬盘上的所有电磁信息。
其它用软件实现的数据擦除工具既有商业软件包,也有开放源代码的自由软件,其中最有名的是基于UNIX系统的数据擦除工具The Deft—ler’S Toolkit,The Defiler’S Toolkit 提供两个工具来彻底清除UNIX类系统中的文件内容(2)数据隐藏为了逃避取证,计算机犯罪者还会把暂时不能被删除的文件伪装成其他类型,或者把它们隐藏在图形和音乐文件中。
黑客实施的攻击步骤是什么介绍在今天的数字化时代,黑客攻击成为了一个不可忽视的威胁。
黑客利用各种技术和手段试图入侵系统,窃取敏感信息,制造破坏,甚至对组织和个人进行勒索。
了解黑客攻击的步骤可以帮助我们更好地防范和应对这些攻击。
本文将介绍黑客实施攻击的一般步骤。
1. 侦查黑客的攻击通常从侦查阶段开始。
在这个阶段,黑客会搜集目标系统和网络的信息,以了解可能的弱点和入侵途径。
他们可能会使用各种技术和工具,例如网络扫描、漏洞扫描、社交工程等,以获取尽可能多的目标信息。
•网络扫描:黑客使用扫描工具,如Nmap,探测目标系统的开放端口和服务。
•漏洞扫描:黑客利用漏洞扫描工具,如OpenVAS,检测目标系统可能存在的安全漏洞。
•社交工程:黑客通过伪装成合法用户、发送钓鱼邮件等手段,获取目标系统用户的登录凭证和敏感信息。
2. 入侵在侦查阶段完成后,黑客会开始利用他们发现的漏洞和弱点来入侵目标系统。
入侵的方式和方法因黑客的技能水平和攻击目标的不同而有所差异。
•身份验证攻击:黑客使用暴力破解、通过社交工程或使用被盗的凭证等方式尝试获取系统的管理员权限或用户凭证。
•系统漏洞利用:黑客利用之前发现的系统漏洞来获取对系统的控制权,例如通过远程执行代码攻击(Remote Code Execution)或拒绝服务攻击(Denial of Service)等方式。
•社交工程:黑客可能通过伪装成合法用户、发送恶意文件或链接等方式诱导目标用户执行恶意代码。
3. 提权一旦黑客成功入侵目标系统,他们通常会努力提高他们在目标系统中的权限,以便更深入地探索目标系统、窃取敏感信息或执行其他恶意活动。
•垂直提权:黑客试图获取比当前具有的权限更高级别的用户权限。
•水平提权:黑客试图获取与当前用户具有类似权限但不同的用户账户,以便扩大攻击范围或深度。
4. 横向移动黑客通过横向移动在目标系统中移动,探索和攻击其他相关系统和网络。
这使他们能够更广泛地获得敏感信息或对其他系统造成破坏。