下载文档原格式
《计算机取证实用教程》内容简介在这本教材里,编者阐述了计算机取证的概念和内容,介绍了计算机取证的技术与工具,剖析了主流的磁盘分区和文件系统,分析了数据恢复的基本原理和关键技术。
本书所讨论的设备对象涵盖了计算机、移动智能终端和网络设备;分析的操作系统包含了:三种主流的计算机操作系统(Windows、Linux和Mac OS X),两种占据了绝大部分市场份额的的移动智能终端操作系统(Android和iOS),网络设备中最具代表性的思科IOS操作系统。
本书从取证原理、相关技术和常用工具等方面系统地介绍了计算机取证的核心内容,并辅以必需的预备知识介绍,使读者能够在短时间内了解计算机取证的主要内容和通用程序,掌握计算机取证的的基础理论和技术方法。
全书通俗易懂的原理分析、图文并茂的流程说明,能够令读者在学习过程中感受到良好的实践体验。
本书既可以作为高等院校计算机科学与技术、信息安全、法学、侦查学等专业计算机取证、电子数据检验鉴定等课程的教材,也可作为计算机取证从业人员的培训和参考用书。
对于信息安全技术与管理人员、律师和司法工作者、信息安全技术爱好者,本书也具有很高的参考价值。
前言信息技术的迅猛发展,计算机和网络应用的全方位普及,不断改变着人们工作、学习和生活的习惯和方式,政府运作、商贸往来乃至个人休闲娱乐都已进入了网络模式。
在企事业单位内部调查、民事纠纷、刑事诉讼等案/事件的举证中,数字证据正在发挥越来越大的作用,成为信息化时代的证据之王。
信息技术的专业性和数字证据来源的多样性,决定了计算机取证的复杂性。
本书编者试图凭借多年的教学和实践经验,将博大精深的计算机取证知识体系提炼为通俗易懂、循序渐进的篇章。
只会操作自动取证软件,无法成为独当一面的优秀取证分析师。
本书的编写旨在培养读者掌握技术原理基础上的实践技能,同时注重提高读者对相关知识的自主学习能力,为胜任不同类型的计算机取证工作奠定牢固的理论基础。
计算机取证的目的是发现与案/事件相关联的行为及其结果,为证明案/事件事实和重现案/事件提供依据。
计算机犯罪取证概述 作者: 邹君2006-01-25页面 1 共有 2 内容摘要:随着信息技术的发展,利用计算机系统作为犯罪的工具或目标的案件在司法实践中已经越来越多,因此电子证据(electronic evidence )也将成为越来越重要的呈堂证供。
但对于这类证据的取得,即计算机犯罪取证(computerforensics )却是司法人员要面对的一大难题。
本文从技术的角度对计算机犯罪取证作一概述。
关键词:计算机犯罪,电子证据,计算机犯罪取证 Computer Forensics IntroductionZou JunAbstract :With the development of information technologies, the criminal cases whose tool or goal is computer system are increasing in law practice, so electronic evidence is becoming a more and more important legal evidence. But acquiring this kind of evidence, that is compute r forensics, is a big problem to juridical practitioners. This paper briefly described the definition, main principles and common steps of computer forensics, as well as the related techniques and tools.Keywords :Computer Forensics ,electronic evidence ,computer crime 引言这个世界从来都是道消魔长的世界,当计算机系统给人们带来越来越多便利的同时,它也成为犯罪分子手中的“利器”:恐怖分子用它联络行动计划、聪明的骗子用它诈骗钱财、反动分子用它传递反动材料……我院受理的王某某利用国际互联网传播“法轮功”邪教材料一案中,犯罪嫌疑人就利用国际互联网大肆传播“法轮功”邪教材料、与“功友”交流所谓的心得体会。
计算机取证(Computer Forensics)在打击计算机和网络犯罪中作用十分关键,它的目的是要将犯罪者留在计算机中的“痕迹”作为有效的诉讼证据提供给法庭,以便将犯罪嫌疑人绳之以法。
计算机取证(Compu te r Forensics)在打击计算机和网络犯罪中作用十分关键,它的目的是要将犯罪者留在计算机中的“痕迹”作为有效的诉讼证据提供给法庭,以便将犯罪嫌疑人绳之以法。
因此,计算机取证是计算机领域和法学领域的一门交叉科学,被用来解决大量的计算机犯罪和事故,包括网络入侵、盗用知识产权和网络欺骗等。
1 网络取证概述1.1 概念计算机取证(Computer Forensics、计算机取证技术、计算机鉴识、计算机法医学)是指运用计算机辨析技术,对计算机犯罪行为进行分析以确认罪犯及计算机证据,并据此提起诉讼。
也就是针对计算机入侵与犯罪,进行证据获取、保存、分析和出示。
计算机证据指在计算机系统运行过程中产生的以其记录的内容来证明案件事实的电磁记录物。
从技术上而言,计算机取证是一个对受侵计算机系统进行扫描和破解,以对入侵事件进行重建的过程。
可理解为“从计算机上提取证据”即:获取、保存分析出示提供的证据必须可信计算机取证(Computer Forensics)在打击计算机和网络犯罪中作用十分关键,它的目的是要将犯罪者留在计算机中的“痕迹”作为有效的诉讼证据提供给法庭,以便将犯罪嫌疑人绳之以法。
因此,计算机取证是计算机领域和法学领域的一门交叉科学,被用来解决大量的计算机犯罪和事故,包括网络入侵、盗用知识产权和网络欺骗等。
按照Sims ON Garfinkel[3]的观点,网络取证包括2种方式:(1)“catch it as you can”(尽可能地捕捉)。
这种方式中所有的包都经过一定的节点来捕获,将报文全部保存下来,形成一个完整的网络流量记录,把分析的结果按照批量方式写入存储器。
这种方式能保证系统不丢失任何潜在的信息,最大限度地恢复黑客攻击时的现场,但对系统存储容量的要求非常高,通常会用到独立冗余磁盘阵列(RAID)系统。
简述计算机取证的技术及其过程
计算机取证(Computer Forensics)是一种用于获取、保护和分析在计算机或网络环境中发现的可用作证据的数据的技术。
它是一种针对计算机存在的各种欺诈行为、犯罪行为、不当行为以及各种违反公法的行为而进行的技术支持。
计算机取证是一种复杂的过程,涉及到非常多的技术,它涉及到计算机和网络存储设备的分析、取证和恢复等多个环节。
一般来说,它的流程主要分为以下几个步骤:
1.取证:经过法律手段进入犯罪现场,及时收集相关信息,以及收集、拍摄、测量和鉴定当地存在的物体和环境条件;
2.鉴定:根据收集的物证资料鉴定取证中的计算机设备的制造商、型号、序列号等情况;
3.数据恢复:数据恢复技术可以使损坏的媒体介质上存储的数据恢复可用;
4.数据取证:根据取证计划的要求,从收集的电脑设备中检索需要的相关信息;
5.数据分析:根据取证计划的要求,进行分析技术,以建立案件证据;
6.报告归档:根据案件定性,对取证结果进行实体报告,供警方、检察院、法院以及其他部门使用。
计算机取证工作对专业性要求非常高,取证过程中涉及的法律、技术等都是需要专业人员配合进行的。
取证技术的应用可以非常大程
度上帮助警方侦破各类犯罪,充分发挥计算机取证在司法取证中的重要作用。
计算机取证是指对能够为法庭接受的、足够可靠和有说服力的,存在于计算机和相关外设中的电子证据的确认、保护、提取和归档的过程[1]。
由于计算机取证科学是一门综合性的学科,涉及到磁盘分析、加解密、图形和音频文件的分析、日志信息挖掘、数据库技术、媒体介质的物理分析等,如果没有合适的取证工具,依赖人工实现就会大大降低取证的速度和取证结果的可靠性。
随着大容量磁盘和动态证据信息的出现,手工取证也是不可行的。
所以计算机取证工作需要一些相应的工具软件和外围设备来支持。
在计算机取证过程中最重要的是要学会运用一些软件工具。
这些工具既包括操作系统中已经存在的一些命令行工具,还包括专门开发的工具软件和取证工具包。
调查取证成功与否在很大程度上取决于调查人员是否熟练掌握了足够的、合适的、高效的取证工具。
取证工具的选用1 取证工具通常按照调查取证的流程来分类(见图),1其中数据获取和分析工具是计算机取证工具包中最基本、最重要的工具。
在选用现有的系统命令和工具软件作为取证工具之前,首先要验证所选用的工具能否满足要求,即需要准确地核实工具的用途;判定它的输出是否可信;以及确定如何操作这个工具。
这种验证对于确保计算机系统内部信息的正确提取十分重要。
图1 计算机取证工具设计模型计算机取证有业余和专业的之分,业余的取证可以找到犯罪的根源和动机,以确保同样的事情不再发生。
它是系统管理和应急响应的延伸。
取证的目的不同,对取证所使用的工具要求也会不一样。
证据获取工具2 数字证据主要来自两个方面,一个是主机系统方面的,另一个是网络方面的。
证据获取工具就是用来从这些证据源中得到准确的数据。
计算机取证的重要原则是,在不对原有证物进行任何改动或损坏的前提下获取证据,否则证据将不被法庭接受[2]。
为了能有效地分析证据,首先必须安全、全面地获取证据,以保证证据信息的完整性和安全性。
证据获取工具的体系结构如图所示。
2图2 证据获取工具的体系结构计算机系统和文件的基本信息获取工具2.1 保护现场是计算机调查取证工作中很重要的一步,通常需要根据受害系统的性质和安全管理的政策规定来决定是让可疑计算机继续运行,还是立即拔掉电源,或者进行正常的关机过程。
在互联网入侵案件中,如果未对计算机取得一个映像之前切断网络或关机,就有毁掉所有可能的证据的危险。
表列出了常用的工具。
1计算机取证的工具体系陈祖义1, 2,龚俭 1,徐晓琴1(东南大学计算机系,江苏省计算机网络技术重点实验室,南京;空军第一航空学院,信阳)1. 2100962. 464000摘要: 介绍了计算机取证所需的工具集,对相关的工具进行了比较,重点阐述了数据获取工具,给出了取证工具的国内外发展现况,最后指出了取证工具的发展趋势。
关键词:计算机犯罪;电子证据;计算机取证;取证工具Tool Set of Computer ForensicsCHEN Zuyi 1, 2, GONG Jian 1, XU Xiaoqin 1(1.Department of Computer Science & Engineering, Southeast University, Key Lab of Computer Network Technology, Jiangsu Province, ;)Nanjing 210096 2. First Aviation College of the Air Force, Xinyang 464000【Abstract 】This paper introduces the state-of-art of computer forensics toolkits with the evidence collecting tools being emphasized. These tools are compared, and their development trends are prospected.【Key words 】Computer crime; Digital evidence; Computer forensics; Forensics tools第31卷 第5期Vol.31 № 5计 算 机 工 程Computer Engineering2005年3月·安全技术·中图分类号:TP311文章编号:1000—3428(2005)05 —0162—03文献标识码:A—162—March 2005表计算机系统和文件的基本信息的获取工具1工具作用Last列出用户注册和注销系统的基本信息W列出系统中活动用户的基本信息Who列出系统中正登录的用户基本信息Lastcomm列出系统中最近执行的shell命令Ls列出系统的文件、目录信息Lsof列出最近被系统打开的文件Ps列出系统中当前运行的进程Find列出某时间后被修改过的文件和目录磁盘映像工具2.2在分析证物时最好使用原始证物的精确拷贝。
取证意义上的备份必须是对原始驱动器每一个比特的精确克隆。
因为一般的备份程序只能对单个的文件系统作备份,它无法捕获闲散空间、未分配区域以及文件。
只有逐位拷贝才能Swap建立整个驱动器的映像,才可以确保得到所有可能需要的数据,例如已被删除或隐藏的文件。
获得精确备份的最好方法是应用磁盘映像工具。
一个适用的磁盘映像工具应该能够进行位流复制或者是对磁盘或分区做映像;在映像时不改变原始磁盘的内容;既可以访问磁盘也可访问磁盘;校IDE SCSI验磁盘映像文件;记录错误;提供全面的文档;有很快I/O的映像速度;提供压缩能力等特性[3]。
表是常用的磁盘映2像工具的比较。
表常用的磁盘映像工具比较2性质工具映像文件校验方式可映像的介质磁盘接口复制的方式Safe Back Version 3.0CRCchecksumHard drive, tape,removable mediaIDE Sector-by-sectorSnapBack DataArrest MD5checksumHard drive, tape,removable mediaSCSI Sector-by-sectorLinux "dd" Version 7.0MD5checksumHard drive, tape,removable mediaSCSI IDE Sector-by-sector file-by-fileDIBS PERU DIVA Optical media SCSI IDE Sector-bysector 磁盘擦除工具和反删除工具2.3把映像文件存放到分析机的存储介质之前,必须确保分析机器的存储介质里没有包含任何残留数据,因为这些残留数据可能对取证造成干扰。
只是简单地删除或格式化存储介质是不够的,有一些专门程序可以系统地对存储介质的每一个扇区的数据进行清除,比如公司的工具NTI DiskScrub [4]。
计算机犯罪往往在入侵后将自己残留在受害方系统中的“痕迹”擦除掉,取证人员就必须把这些被删除的关键信息恢复出来。
是一套用于恢复已被删除文件的工具,包TCT UNIX括从比特流重新构造一系列连贯数据的工具和在环境UNIX下从文件系统中创建这样一个比特流的工具。
也是这Unrm样一个工具,它能产生一个单独的对象,包括文件系统Unix未分配空间中所有的数据。
可使用工具系统地分析整lazarus个被创建的对象,判断其中是否有特殊的文件或二进制文件。
该工具的分析效果非常好从中可得到很多细节信息,[5]。
的软件也可Higher Ground Software Inc. Hard Drive Mechanic用于从被删除的、被格式化的和已被重新分区的硬盘中获取数据。
磁盘特殊区域数据获取工具2.4磁盘的特殊区域也就是指在通常情况下无法访问到的区域。
通常包括未分配磁盘空间和文件的空间。
未分配slack空间虽然目前没有被使用,但可能包含有先前的数据残留,同样文件的空间也可能包含先前文件遗留下来的信slack息。
所以这些磁盘特殊区域很可能是证据的隐藏之地。
NTI 公司的工具可以捕获磁盘未分配空间数据GetFree[4],该公司的工具可自动搜集磁盘文件系统中的文件碎片GetSlack slack并将其写入一个统一的文件中[4]。
磁盘特殊文件获取工具2.5在调查取证中有一些比较容易忽视的特殊文件,但这些文件对证据的发现又很有帮助,可能隐藏有要寻找的证据,这些特殊文件一般包括文件、缓存文件、临时文件和Swap页面文件等。
在操作系统下的Windows Windows swap(page),大概有的容量,记录着字符处理、消file20~200MB Email 息、浏览行为、数据库事务处理以及几乎其它任何Internet有关会话工作的信息。
公司的工具可Windows NTI GetSwap以用来获取静态的交换文件和页面文件的内容[4]。
Cain V2.5可以读取缓存文件、临时文件,比如缓存for NT/2000/XP IE和等,从而可以破解屏保密码、密码、共享密COOKIE PWL码、缓存口令、远程共享口令、口令等。
SMB网络信息获取工具2.6上面讲到的一些取证工具都是基于一种静态的观点,即事件发生后对目标系统数据的静态获取。
但随着计算机犯罪技术手段的不断提高,这种静态的获取有时无法满足要求,必须开发和使用动态的网络信息获取工具。
网络信息获取工具用来在网络信道监测,获取特定的可成为证据的信息,这样可以发现对基于主机系统来说不易发现的犯罪证据。
网络信息获取工具可以与、、紧密结合,IDS Honeypot Honeynet实时获取数据。
整个获取过程将更加具有系统性、智能性和灵活性[6]。
常用的网络信息获取工具有、、windump iris、、、、、等。
还tcpdump ngrep snort sniffit dsniff grave-robber有一些获取本地网络状态信息的工具,如、、netstat route arp等。
运行在平台上,可以识别系统中哪个应用Fport Windows软件在与别的计算机通信或在监听别的计算机。
证据保全工具3取证工作的第个基本原则是要证明所获得的证据和原2有的数据是完全相同的。
在普通的案件取证中,证明所收集到的证物没有被修改过是一件非常困难的事情,也是很重要的事情,电子证据更是如此。
需要证明的是取证人员在取证调查过程中没有造成任何对原始证物的改变;或者如果存在对证物的改变,也是由于计算机的本质特征造成的,并且这种改变对证物在取证上没有任何的影响。
在取证过程中可采用保护证物的方法,如证物监督链,它可以使法院确信取证过程中原始证物没有发生任何改变,并且由证物推测出的结论也是可信的[7]。
