当前位置:文档之家 › 计算机取证分析2

计算机取证分析2

  • 格式:ppt
  • 大小:1.94 MB
  • 文档页数:106

下载文档原格式

  / 106

合集下载

计算机取证技术实验报告

计算机取证技术实验报告

计算机取证技术实验报告一、实验目的二、实验原理1.计算机文件的删除计算机文件的删除并不是真正的删除,而是将文件的存储空间标记为可重用状态。

通过合适的方法可以恢复已删除的文件。

2.隐藏文件计算机中的文件可以通过更改文件的属性来隐藏。

隐藏文件需要特殊的手段进行查找和恢复。

3.数据流计算机中的数据都是以数据流的形式存储的,可以通过分析数据流来获取有用的信息和证据。

4.元数据元数据是指记录文件属性和存储位置的数据,包括文件的创建时间、修改时间等信息。

通过分析元数据可以还原文件的使用轨迹。

三、实验步骤1.文件删除恢复实验首先,在计算机上创建一个包含敏感信息的文件,然后将其删除到回收站。

接下来,使用特定的恢复软件对回收站进行扫描,找回已删除的文件。

最后,验证恢复的文件是否包含原始的敏感信息。

2.隐藏文件实验在计算机上创建一个需要隐藏的文件,并将其属性设置为隐藏。

然后,通过查找隐藏文件的方法来寻找被隐藏的文件。

验证查找结果是否正确。

3.数据流分析实验在计算机上创建一个包含敏感信息的文件,并将其复制到不同的位置。

通过分析数据流,找到敏感文件的所有副本。

验证数据流分析的准确性。

4.元数据分析实验在计算机上创建一个包含敏感信息的文件,并对其进行不同的操作,如复制、重命名等。

通过分析文件的元数据,还原文件的使用过程。

验证元数据分析的有效性。

四、实验结果与分析本实验中,通过对文件删除恢复、隐藏文件、数据流分析和元数据分析的实验,成功地获取了敏感信息和相关证据。

实验结果表明,计算机取证技术是一种高效、可靠的方法,对于犯罪活动的调查和审判具有重要的意义。

五、实验总结本实验通过对计算机取证技术的实践,加深了对计算机取证技术原理和方法的理解和掌握。

计算机取证技术在现代社会中具有重要的应用价值,对于维护社会安全和网络安全起到了重要的作用。

通过本次实验,我对计算机取证技术有了更深入的了解,并对其在实际工作中的应用有了更清晰的认识。

计算机取证分析

计算机取证分析
ห้องสมุดไป่ตู้
a ayi o o ue mmi r fen e t,fa r ,picpe ,poes ,t h oo is n 0O . nls f mp t f s c ro s ne e i t mso oepa e t e us r ils rcse e n lge ,a d8 i n s c l
技 术等 。
关键词 : 计算机犯 罪; 电子证据 ; 计算机取证
中图分类号 :P9 T 3 文献标识码 : A
An ls fCo ue o e sc ayi o mp trF rn is s
YU B r n 0 . U Mi2
( .a dY u oaoa Clg , a ll 303 C i .m  ̄ o eeo Pbi Ser 1J  ̄ ot V ct nl oee N lT 303 , h a2 J ,Clg ul eui acag 306 Cia i h i l ag ns i i l f c  ̄,N nhn 304 , h ) n
20 年第 1 期 06 2
于波等: 计算机取证分析
算机取证必须保障其程序和证据的合法性。
印等功能的软件 , 主要用来确定证据数据的可靠性 。
. 计算机证据的有效性和可信度是由证据的客观 3 4 分析证 据 这是计算机取证 的核心和关键。证据分析的内 原始性和取证活动 的法定性决定的( 简称计算机证据
维普资讯
20 年第 1期 06 2
计 算 机 与 现 代 化 J U MI Y XA D I U I A U / N AH A s
总第 16 3 期
计算机取证分析
于 波 涂 , 敏2
(. 1 江西青年职业学院, 江西 南昌 3 3;. 30 32江西公安专科学校, 0 江西 南昌 3(4) 306 1 摘要: 目前, 计算机取证 已 成为网络安全领域研究的又一热点。本文详细分析了计算机取证的概念和特点、 原则、 流程与

计算机取证分析

计算机取证分析

计算机取证分析内部编号:(YUUT-TBBY-MMUT-URRUY-UOOY-DBUYI-0128)摘要信息技术的不断发展给人们的生活带来了巨大的改变,网络已经越来越渗透到人们的现实生活与工作当中。

然而,网络在为人民生活和工作带来便利的同时,也引发了无数网络犯罪。

计算机静态取证便是针对网络犯罪而出现的一种电子取证技术,而随着网络犯罪形式和手段的千变万化,计算机静态取证已不能满足打击网络犯罪的需求,为适应信息化发展的要求,建立安全网络环境和严厉打击网络犯罪行为势在必行,本论文针对计算机动态取证技术进行分析,主要浅谈电子动态取证采集系统的实现、网络证据收集和网络数据分析等几个方面。

通过对计算机取证基本概念、特点和技术的基础研究,对计算机动态取证进行分析。

关键词:电子取证动态取证动态电子证据采集网络数据协议目录一、概述(一)、研究背景目前,人类社会已经迈入了网络时代,计算机与互联网已经与老百姓的日常工作、学习与工作息息相关,社会信息化对政治、经济、文化和科技等各项社会生活产生了深远的影响。

然而,网络技术给人类社会带来有利影响的同时,也带来了负面的影响。

在国外,1988年11月美国国防部的军用九三级网络遭受莫里斯病毒袭击,致使美国Internet网络上6000多台计算机感染,直接经济损失9600万美元。

2000年5月,“爱虫”病毒通过电子邮件传播,在世界各地迅速蔓延,造成全世界空前的计算机系统破坏。

而在国内,人们利用计算机网络犯罪的案例也层出不穷。

2002年,作案人吕薜文通过盗用他人账号,对中国公众多媒体通信网广州主机进行了攻击,并对其部分文件进行删除、修改、增加等一系列非法操作,造成严重后果。

2008年4月,作案人赵哲窜至上海某证券攻击营业部,利用该营业部电脑安全防范上的漏洞,修改该营业部部分股票交易数据,致使股价短时间内剧烈震荡。

计算机以及其他信息设备越来越多的被运用到犯罪活动中,尽管随着入侵检测系统的广泛使用降低了非法使用计算机资源所带来的损失,但网络犯罪依然不可忽视。

2计算机犯罪与取证

2计算机犯罪与取证

2计算机犯罪与取证计算机犯罪是指利用计算机技术、网络和互联网进行的非法活动。

这些非法活动包括网络欺诈、黑客攻击、网络间谍、电子数据篡改以及色情、赌博等违法行为。

在信息时代,计算机犯罪的手段日益多样化、隐蔽化,犯罪分子可以通过计算机渗透他人网络、窃取个人隐私、盗取财产,甚至造成对国家机密情报的泄露。

计算机犯罪的黑暗势力正不断挑战法律、技术和社会的底线。

计算机犯罪不仅给个人和社会造成了巨大的经济损失,还给社会进行计算机犯罪的调查和打击提出了巨大的挑战。

这就需要计算机取证这一技术手段的运用。

计算机取证是一门取证学科,通过对计算机的取证和分析,来揭示犯罪的事实和犯罪的产生过程。

计算机取证的流程主要包括收集证据、保存证据、分析证据和呈现证据。

首先,要收集证据。

这包括收集与计算机犯罪相关的数据和信息。

然后,收集到的证据需要被保存起来,以确保证据的完整性和可靠性。

这一步骤非常重要,因为计算机犯罪的证据一旦丢失或损坏,将对取证工作产生不可估量的影响。

接下来,对证据进行分析。

这意味着对证据进行提取、比对、恢复和解读,以获取证据中蕴含的意义和信息。

最后,将分析的结果呈现给相关的调查人员、法庭或其他需要使用这些证据的人员。

计算机取证的过程并不容易。

首先,计算机犯罪的手段和方式非常多样化、复杂化。

这就要求取证人员具备一定的专业知识和技能,能够熟练操作各种取证工具和技术。

其次,随着科技的不断发展,计算机犯罪的手段也在不断更新。

这就要求取证人员不断学习和更新自己的知识,跟上技术的变化。

再者,计算机犯罪往往跨越国界,这意味着取证人员可能需要与其他国家的执法机构合作,需要进行跨国调查和取证。

最后,取证工作需要保护证据的完整性和可靠性,以避免证据被篡改或意外丢失。

因此,取证人员必须严格遵守法律、规章和道德准则,确保取证工作的准确性和合法性。

在计算机犯罪与取证的斗争中,法律和技术是两个不可或缺的因素。

法律的制定和实施为打击计算机犯罪提供了重要的法律依据和保障。

浅析计算机取证技术

浅析计算机取证技术

名 主动 取 证 和 实 时取 证 。这 两 种 取证 方 式 相 互依 存 ,各有
侧 重 。随 着计 算 机 犯 罪 网 络化 和 职 能化 ,计算 机 取 证 方式
三、结束语
近 年 来 ,计 算 机取 证 技 术 在计 算 机 信 息 安全 领 域 得 到
广泛 的关 注 与认 可 ,尽 管 目前 该 技 术仍 有 一 定 的 局 限性 , 但 随着 计 算 机 和 网络 的 发展 ,越来 越 多 的人 意识 到取 证 的
由以前 常用 的 静 态取 证 ,逐 渐 发 展 为动 态 取 证 或静 、动 态 取 证技 术 两 者 结合 ,这样 能够 更 全 面地 获 取 电 子证 据 ,更
好地 满足 取证 需要 。
( 三 )取 证工 具 及 取 证模 型 。现 国 内外 计算 机 司法 取 证过 程 中 ,最 常用 的三款 分析 取证 软件分 别是 :E n C a s e 7 、
F T K 3以及 x — w a y s F o r e n s i c s 。E n C a s e 7的特 点 是 自由度 相
意义 与 重 要性 ,计算 机 取 证 成 为处 理 计 算 机 犯罪 案 件 中不 可或 缺 的一 部分 。现 如今 ,我 国 的计 算 机 取 证技 术 仍 有 较 大 的发 展 空 间 ,需要 从 事 这 方 面 的科 研 工 作 者 和爱 好 者 共
( 一 )来源 。 计算 机 取 证 的 主要 的 信 息 来源 通 常 包括 以 下几 个 方 面 :计 算 机 的 主机 系 统 、网 络及 其 他 的 电子设 备 。 1 . 在 计 算 机 的主 机 系 统方 面 的证据 包 括 :硬 盘 盘 片数 据 、寄 存 器数 据 、用户 创 建 的 文 档及 保 护 文 档 、系 统 软件 及应用 软件 的使 用情况 等 。 2 . 在 网络缓 存方 面 的证 据包 括 :I D S日志 、交换 机或路 由器上 存 在 的 记 录 、网络 通 信 信 道上 的数 据 记 录 、登 陆 日

计算机网络取证技术

计算机网络取证技术

计算机取证技术1 计算机取证概述针对计算机取证技术的特殊性,在后续利用阶段要对技术类型进行分析,按照取证流程进行。

所谓的计算机取证指的是对计算机入侵、破坏或者攻击等犯罪行为采用有效的硬软件技术进行分析,考虑到国家相关法律政策以及规范系统的具体要求,要取证阶段,要对其进行分析和保存。

从技术角度而言,计算机取证能对入侵计算机系统进行破解和扫描,考虑到系统重建模式的属性变化,在利用和设计过程中要及时对信息指标进行分析。

在取证阶段分为不同的阶段,其一是获取数据、发现信息,此外在获取数据的阶段要对入侵现象进行评价,按照计算机硬件系统指标要求落实。

其次是对信息进行分析,也就是取证调查,包括现场勘查、数据分析和证据分析等方面。

由于不同的步骤都有自己的特点,因此需要结合数据结果和犯罪事实数据形式要求,对案件进行取证分析。

2 计算机取证技术分析考虑到计算机取证技术形式的特殊要求,在数据分析阶段,可以从不同角度入手,做好数据分析工作。

随着计算机技术的不断推广和发展,取证技术种类增加,应用优势显著。

以下将对计算机取证技术进行分析。

2.1 蜜罐网络取证技术蜜罐网络取证技术的应用优势显著,近些年来得到了广泛的推广。

通过安全网的有效布置和操控,能及时对各类信息进行总结和比较。

主动蜜罐系统成为关键所在,该系统形式可以自动生成一个匹配对象,系统本身可以实现自动化处理,对各类信息进行比较。

此外蜜罐网系统中中的蜜罐都是虚拟的,其本身配备合法的外部ID,能对独立的机器进行处理。

此外考虑到操作系统的属性变化,在系统模仿分析阶段,要独立收集数据,实现日志和蜜罐的分离操作。

通过蜜罐系统可以对攻击者在蜜罐的时间进行掌握,获取针对性的信息,此外考虑到防范措施系统的具体要求,为了提升系统的安全性,需要对技术属性进行分析,满足取证技术的具体要求。

2.2 数字图像过滤技术所谓的数字图像过滤技术指的是对图像篡改或者图像不真实的现象进行处理,最重要的是对图像合成进行检测。

计算机取证

摘要计算机取证及数据恢复技术包括两个部分,即计算机取证和数据恢复。

电子证据既有法律方面的问题,也有技术方面的问题,本文就其子集“计算机取证”的技术体系进行研究和分析,指出了计算机取证的技术体系及其层次关系,为深入研究计算机取证提供了一个借鉴。

社会信息化的发展给我们生活带来诸多便捷的同时,也给信息罪犯带来可乘之机。

病毒、黑客、网络攻击的日益泛滥,计算机犯罪案件数量不断上升,搜集电子证据就成为提供重要线索及破案的关键。

计算机取证是使用软件和工具提取和保护有关计算机犯罪的证据。

数据恢复技术,是一门新兴的边缘学科,是技术性与实践性相结合的新技术,需要非常深厚的技术功底和实践经验,绝不是一种简单的流水线作业似的操作。

数据恢复技术目的在于让人们学到如何把硬盘上被破坏的数据抢救回来、以及如何保护硬盘中的重要数据的方法。

它同时要求人们通过各种手段来把丢失和遭到破坏的数据还原为正常的数据。

本文主要研究了计算机取证技术及数据恢复的基本原理,并通过一个具体实例演示了数据恢复的过程。

关键词:计算机取证: 计算机取证技术恢复技术目录第一章绪论 (1)1.1计算机取证总论 (1)1.1.1病毒的威胁 (1)1.1.2计算机取证技术的高科技性 (1)1.1.3计算机取证的发展 (1)1.2数据恢复总论 (2)1.2.1数据恢复的定义 (2)1.2.2数据恢复的服务范围 (2)1.2.3数据恢复的一般原则 (3)第二章计算机取证技术研究概述 (4)2.1计算机取证的基本概念 (4)2.1.1计算机取证服务 (4)2.1.2计算机取证的原则和步骤 (4)2.2计算机取证技术的发展 (5)2.2.1计算机取证遇到的问题 (5)2.2.2计算机取证的工具 (5)2.2.3电子证据基本内容机及获取 (6)第三章数据恢复基本原理 (8)3.1硬盘的工作原理 (8)3.1.1 硬盘的分区 (8)3.1.2 硬盘分区方式 (9)3.2数据存储原理 (9)第四章数据恢复实例 (12)4.1恢复软件的下载及安装 (12)4.2数据恢复软件的运行过程 (12)4.3数据恢复操作 (15)4.3.1快速文件搜索 (15)4.3.2完整文件搜索 (18)4.3.3快速格式化恢复 (18)4.3.4完全格式化恢复 (19)4.3.5保存为CD/VCD方式 (20)第五章总结语 (21)致谢 (22)参考文献 (22)第一章绪论1.1计算机取证总论1.1.1病毒的威胁随着计算机入侵和病毒的泛滥,信息安全需深入人心。

计算机取证技术的运用分析

21 0 2年 2月
中 国 管 理 信 息 化
Ch n a a e n no m ain z t n i aM n g me t fr t iai I o o
F b , 01 e .2 2
Vo _ 5. 4 l1 No.
第 l 卷第 4 5 期
计算机取证技术的运用分析
顾 艳 林
( 内蒙古 财经 学院职 业学 院 计算机 系 , 浩特 0 0 5 ) 呼和 10 1
[ 摘

要] 文基 于 工作 经验 , 析 了计 算 机 取 证技 术在 侦 查 网络 犯 罪 中运 用 的现 状 , 出 了计 算机 取证 技 术运 用 中存 在 的 本 分 指
些 问题 。 着 重介 绍 了增 强 运 用 意 识 , 及 理 论 知 - , 并 普 / 发展 取 证 技 术 , 养 专 业 人 才 , 范 取 证 过 程 , 全 相 关 法 律 等 多 g , 培 规 健
1 技 术 发 展 乏 力 . 业 人 才 缺 乏 . 2 专
但 是 与 国 外 的一 些 国家 相 比 仍 然 存 在 着 相 当 大 的差 距 , 此 . 为 有
术 能 够尽 快 地 、 效 地 运 用 到 社 会 生 活 中 。 有 1 计 算 机 取 证 技 术 运 用 的 现状
当前 计 算 机 取 证 技 术 在 我 国 司法 领 域 还 没 有 得 到 有 效 的运 子 取 证 技 术 的作 用 需 要 不 断 地 发 展 计 算 机 取 证 技 术 . 很 多 有 用 但 用 .综 合 相 关 信 息 主要 是 因 为 我 国相 关 部 门 还 没 有 引 起 足 够 的 重 视 .特 别 是 对 计 算 机 取 证 是 否 合 乎 法 律 能 否 成 为 法 庭 上 的有 计 算 机 取证 技术 按 是 否 与 网络 连 接 为分 类 标 准 . 大体 包 括 两种 取 力 证 据 还 存 在 着 相 当大 的 争 论 由 于 在 对 取 证 技 术 的 认 识 上 存 证 技 术 . 种 是 基 于 单 机 的 计 算 机 取 证 技 术 , 一 种 就 是 基 于 网 一 另 在着 一 定 的偏 差 且 该 项 技 术 还 没 有 得 到 充 分 的发 展 . 因此 要 积

计算机取证与分析步骤

计算机取证与分析步骤1、关闭计算机2、记录(拍照)嫌疑计算机硬件配置与状态3、将嫌疑计算机转移至安全地点4、对硬盘或软盘做位对位获取5、对存储介质中的数据做验证6、记录系统日期和时间7、确定关键字符清单8、分析Windows Swap交换文件9、分析文件残留区File Slack10、分析未分配空间11、在文件、文件残留区、未分配空间中搜索关键字符12、记录文件名、日期、时间13、Computer Evidence Processing StepsNTI conducts hands-on computer forensics training courses which expose computer professionals to the many hazzards and risks associated with computer evidence processing and computer security. NTI's computer forensics training courses designed to drive home several important points, i.e., computer evidence is fragile by its very nature and the problem is compounded by the potential for destructive programs and hidden data.Even the normal operation of the computer can destroy computer evidence that might be lurking in temporary operating system files, temporary application working files and ambient data storage areas. NTI provides its training clients with a solid foundation built upon technical knowledge so that they will understand the technical issues concerning the creation, modification and storage of computer data. Without this knowledge they will be unable to testify about their computer forensic findings. NTI also wants its clients to have a complete understanding of the technical issues so that they can make the right decisions about computer security risk management and computer evidence processing issues. It is not enough to run a computer forensics program and get results. Good decisions are made by knowledgable individuals who understand the underlying tec hnical issues tied to the potential security risks and evidence processing issues tied to personal computers.There are no strict rules that must be followed concerning the processing of computer evidence. Every case is different and flexibility and good technical knowledge make the difference between success and failure. However, many times decisions need to be made without full the knowledge of the issues involved. For that reason NTI has provided the following guidelines which are intended to assist its clients. Please remember that these guidelines do not represent 'the only true way'. They are intended to be general guidelines which are provided as food for thought. If you have an emergency and you are not yet formally trained, click here for emergency guidelines.General evidence processing guidelines follow:1. Shut Down the ComputerDepending upon the computer operating system involved, this usually involves pulling the plug or shutting down a net work computer using relevant operating system commands. At the option of the computer specialists, pictures of the screen image can be taken using a camera. However, consideration should be given to possible destructive processes that may be operating in the background. These can be resident in memory or available through a modem or network connection. Depending upon the operating system involved, a time delayed password protected screen saver may potentially kick in at any moment. This can complicate the shutdown of the computer. Generally, time is of the essence and the computer system should be shut down or powered down as quickly as possible.2. Document the Hardware Configuration of The SystemIt is assumed that the computer system will be moved to a secure location where a proper chain of custody can be maintained and the processing of evidence can begin. Before dismantling the computer, it is important that pictures are taken of the computer from all angles to document the system hardware components and how they are connected. Labeling each wire is also important so that the original computer configuration can be restored. Computer evidence should ideally be processed in a computer hardware environment that is identical to the original hardware configuration.3. Transport the Computer System to A Secure LocationThis may seem basic but all too often seized evidence computers are stored in less than secure locations. It is imperative that the subject computer is treated as evidence and it should be stored out of reach of curious computer users. All too often, individuals operate seized computers without knowing that they are destroying potential computer evidence and the chain of custody. Furthermore, a seized computer left unintended can easily be compromised. Evidence can be planted on it and crucial evidence can be intentionally destroyed. A lack of a proper chain of custody can 'make the day' for a savvy defense attorney. Lacking a proper chain of custody, how can you say that relevant evidence was not planted on the computer after the seizure? The answer is that you cannot. Do not leave the computer unattended unless it is locked in a secure location! NTI provides a program named Seized to law enforcement computer specialists free of charge. It is also made available to NTI's business and government in various suites of software that are available for purchase. The program is simple but very effective in locking the seized computer and warning the computer operator that the computer contains evidence and should not be operated. Click here for information about NTI's software suites or click here for the law enforcement order form.4. Make Bit Stream Backups of Hard Disks and Floppy DisksThe computer should not be operated and computer evidence should not be processed until bit stream backups have been made of all hard disk drives and floppy disks. All evidence processingshould be done on a restored copy of the bit stream backup rather than on the original computer. The original evidence should be left untouched unless compelling circumstances exist. Preservation of computer evidence is vitally important. It is fragile and can easily be altered or destroyed. Often such alteration or destruction of data is irreversible. Bit stream backups are much like an insurance policy and they are essential for any serious computer evidence processing. More information about bit stream backups has been provided on this site. Click here for the article about making bit stream backups. In March 2000, NTI purchased SafeBack software from Sydex, Inc. This is a very popular bit stream backup tool that has become an international standard since 1991. NTI covers the use of this software in its computer forensics training courses.5. Mathematically Authenticate Data on All Storage DevicesY ou want to be able to prove that you did not alter any of the evidence after the computer came into your possession. Such proof will help you rebut allegations that you changed or altered the original evidence. Since 1989, law enforcement and military agencies have used a 32 bit mathematical process to do the authentication process. Mathematically, a 32 bit data validation is accurate to approximately one in 4.3 billion. However, given the speed of today's computers and the vast amount of storage capacity on today's computer hard disk drives, this level of accuracy is no longer accurate enough. A 32 bit CRC can easily be compromised. Therefore, NTI includes two programs in its forensic suites of tools that mathematically authenticate data with a high level of accuracy. Large hashing number, provides a mathematical level of accuracy that is beyond question. These programs are used to authenticate data at both a physical level and a logical level. The programs are called CrcMD5 and DiskSig Pro. The latter program was specifically designed to validate a restored bit stream backup and it is made available free of charge to law enforcement computer specialists as part of NTI's Free Law Enforcement Suite. The programs are also included in our various suites of forensic software which are sold NTI's clients.6. Document the System Date and TimeThe dates and times associated with computer files can be extremely important from an evidence standpoint. However, the accuracy of the dates and times is just as important. If the system clock is one hour slow because of daylight-saving time, then file time stamps will also reflect the wrong time. To adjust for these inaccuracies, documenting the system date and time settings at the time the computer is taken into evidence is essential. NTI has created a program called GetTime which is used for this purpose. It is included in the NTI various suite of tools.7. Make a List of Key Search WordsBecause modern hard disk drives are so voluminous, it is all but impossible for a computer specialist to manually view and evaluate every file on a computer hard disk drive. Therefore, state-of-the-art automated forensic text search tools are needed to help find the relevant evidence. One such tool is NTI's TextSearch NT which is certified for use by the U. S. Department of Defense. Usually, some information is known about the allegations in the case, the computer user and the alleged associates that may be involved. Gathering information from individuals familiar with the case to help compile a list of relevant key words is important. Such key words can be used in the search all computer hard disk drives and floppy diskettes using automated software. Keeping the list as short as possible is important and you should avoid using common words orwords that make up part of other words. In such cases, the words should be surrounded with spaces. Intelligent filtering tools can also be helpful in crafting lists of key words for use in computer evidence processing, e.g., NTA Stealth, Filter_N, FNames, Filter_G, GExtract and GetHTML.8. Evaluate the Windows Swap FileThe Windows swap file is potentially a valuable source of evidence and leads. The evaluation of the swap file can be automated with several of NTI's forensic tools, e.g., NTA Stealth, Filter_N, FNames, Filter_G, GExtract and GetHTML. These intelligent filters automatically identifies patterns of English language text, phone numbers, social security numbers, credit card numbers, Internet E-Mail addresses, Internet web addresses and names of people.In the past this tedious task of analyzing Windows swap files was done with hex editors and the process took days to evaluate just one Windows swap file. By using automated tools, that process now takes just a few minutes. When Windows 95/98 is involved, the swap file may be set to be dynamically created as the computer is operated. This is the default setting and when the computer is turned off, the swap file is erased. However, not all is lost because the content of the swap file can easily be captured and evaluated by NTI's GetFree program. This program automatically captures erased file space and creates a file that can be evaluated by NTI's various intelligent filter programs mentioned above.The NTA Stealth program relies upon artificial intelligence fuzzy logic to identify patterns of text associated with past Internet activities. This program is used by probation and parole officers to montior the computer and Internet activity of convicted sex offenders. It is also used in corporations to identify inappropriate uses of computers in the workplace and it is used in law enforcement and military agencies.The output from NTA Stealth, Filter_N, FNames, Filter_G, GExtract and GetHTML. can be successfully used to identify 'unknown key words' that can supplement the key word list created in the step above. The automated review of the Windows swap file takes just a few minutes with these automated tools. A manual review of the Windows swap file can take days or even weeks if the process is done manually using programs like the Norton utilities.9. Evaluate File SlackFile slack is a data storage area of which most computer users are unaware. It is a source of significant 'security leakage' and consists of raw memory dumps that occur during the work session as files are closed. The data dumped from memory ends up being stored at the end of allocated files, beyond the reach or the view of the computer user. Specialized forensic tools are required to view and evaluate file slack and it can prove to provide a wealth of information and investigative leads. Like the Windows swap file, this source of ambient data can help provide relevant key words and leads that may have previously been unknown.On a well used hard disk drive, as much as 900 million bytes of storage space may be occupied by file slack. File slack should be evaluated for relevant key words to supplement the keywords identified in the steps above. Such keywords should be added to the computer investigator's list ofkey words for use later. Because of the nature of file slack, specialized and automated forensic tools are required for evaluation. NTI has created a forensic utility called GetSlack that captures file slack from hard disk drives and floppy disks. The output from the GetSlack program can be evaluated in the same fashion as a Windows swap file using the intelligent filter programs listed above. File slack is typically a good source of Internet leads.10. Evaluate Unallocated Space (Erased Files)The DOS and Windows 'delete' function does not completely erase file names or file content. Many computer users are unaware the storage space associated with such files merely becomes unallocated and available to be overwritten with new files. Unallocated space is a source of significant 'security leakage' and it potentially contains erased files and file slack associated with the erased files. Often the DOS Undelete program can be used to restore the previously erased files. Like the Windows swap file and file slack, this source of ambient data can help provide relevant key words and leads that may have previously been unknown to the computer investigator. On a well used hard disk drive, millions of bytes of storage space may contain data associated with previously erased files. Unallocated space should be evaluated for relevant key words to supplement the keywords identified in the steps above. Such keywords should be added to the computer investigator's list of key words for use in the next processing step. Because of the nature of data contained in unallocated space and its volume, specialized and automated forensic tools are required for evaluation. NTI has created a forensic utility called GetFree that quickly captures all unallocated space from hard disk drives and floppy disks. The output from the GetFree program can be evaluated in the same fashion as the other types of ambient data mentioned previously using intelligent filter programs. Unallocated space is typically a good source of data that was previously associated with word processing temporary files and other temporary files created by various computer applications. It is also a good source of leads concerning graphics files that have been viewed over the Internet and NTI's GExtract software can be used very effectively to identify these graphic file remnants left behind in unallocated storage space.11. Search Files, File Slack and Unallocated Space for Key WordsThe list of relevant key words identified in the previous steps should be used to search all relevant computer hard disk drives and floppy diskettes. There are several forensic text search utilities available in the marketplace. NTI's forensic search TextSearch NT can be used for that purpose and it has been tested and certified for accuracy by the U. S. Department of Defense. This powerful search tool is also included as part of NTI's suites of software tools. It was designed to be a state-of-the-art search tool for use as a security review tool by U. S. government intelligence agencies. This program and other NTI forensic tools also provide significant benefits in cases involving computer related evidence. For this reason and to help stretch limited law enforcement budgets, NTI makes all of its forensic software tools and training available to law enforcement computer crime specialists for discounted prices.It is important to review the output of a forensic text search utility. When relevant evidence or leads are identified, the fact should be noted and the identified data should be documented. When new key words are identified in the searching process, then they should be added to the list and anew search should be conducted using the text search utility again with the updated search list. Text search utilities are also used, on a regular basis, in classified government agencies for security reviews. When evidence or unexpected findings are uncovered in government security reviews, they should also be documented and archived as potential evidence. NTI's TextSearch NT is certified by the U. S. Department of Defense and its little brother, TextSearch Plus has been used for years in classified U. S. government agencies to process evidence and to conduct computer security reviews.12. Document File Names, Dates and TimesFrom an evidence standpoint, file names, creation dates, last modified dates and times can be relevant. Therefore, it is important to catalog all allocated and 'erased' files. NTI includes a program called FileList Pro in its various suites of forensic tools. The FileList Pro program generates its output in the form of a database file. The file can be sorted based on the file name, file size, file content, creation date, last modified date and time. Such sorted information can provide a timeline of computer usage. When FileList Pro created databases can be combined from several computers in the same case and the sorted output can provide conspiratorial leads for further investigation. This powerful inventory tool is used to evaluate all Microsoft-based computer systems in computer related investigations.NTI also created another forensic documentation tool called NTIDOC. This program is used to take electronic snapshots of relevant computer files. The program automatically records the file name, time and date along with relevant file attributes. The output is in the form of a word processing compatible file that can be used to help document computer evidence issues tied to specific files.13. Identify File, Program and Storage AnomaliesEncrypted, compressed and graphic files store data in binary format. As a result, text data stored in these file formats cannot be identified by a text search program. Manual evaluation of these files is required and in the case of encrypted files, much work may be involved. NTI's TextSearch Plus program has built in features that automatically identify the most common compressed and graphic file formats. The use of this feature will help identify files that require detailed manual evaluation. Depending on the type of file involved, the contents should be viewed and evaluated for its potential as evidence.Reviewing the partitioning on seized hard disk drives is also important. The potential exists for hidden partitions and/or partitions formatted with other than a DOS compatible operating system. When this situation exists it is comparable to finding a hidden hard disk drive and volumes of data and potential evidence can be involved. The partitioning can be checked with any number of utilities including the DOS FDISK program or Partition Magic. When hidden partitions are found, they should be evaluated for evidence and their existence should be documented.If Windows is involved, it makes sense to evaluate the files contained in the Recycle Bin. The Recycle Bin is the repository of files selected for deletion by the computer user. The fac t that they have been selected for deletion may have some relevance from an evidentiary standpoint. Ifrelevant files are found, the issues involved should be documented throughly.14. Evaluate Program FunctionalityDepending on the application software involved, running programs to learn their purpose may be necessary. NTI's training courses make this point by exposing the students to computer applications that do more than the anticipated task. When destructive processes are discovered that are tied to relevant evidence, this can be used to prove willfulness. Such destructive processes can be tied to 'hot keys' or the execution of common operating commands tied to the operating system or applications. Before and after comparisons can be made using the FileList Pro program and/or mathematical authentication programs. All these tools are included in most of NTI's suites of forensic tools15. Document Y our FindingsAs indicated in the preceding steps, it is important to document your findings as issues are identified and as evidence is found. Documenting all of the software used in your forensic evaluation of the evidence including the version numbers of the programs used is also important. Be sure that you are legally licensed to use the forensic software. Software pirates do not stand up well under the riggers of a trial. Smart defense lawyers will usually question software licensing and you don't want to testify that you used unlicensed software in the processing of computer evidence. Technically, software piracy is a criminal violation of federal copyright laws.When appropriate, mention in your documentation that you are licensed to use the forensic software involved. With NTI's software, a trail of documentation is automatically created for the computer investigator and the name of the licensed user is listed in most output files. This feature aids in establishing who did the processing and the exact time and date when the processing was done. Screen prints of the operating software also help document the version of the software and how it was used to find and/or process the evidence.16. Retain Copies of Software UsedAs part of your documentation process, we recommend that a copy of the software used be included with the output of the forensic tool involved. Normally this is done on an archive Zip disk, Jazz disk or other external storage device, e.g. external hard disk drive. When this documentation methodology is followed, it eliminates confusion at trial time about which version of the software was used to create the output. Often it is necessary to duplicate forensic processing results during or before trial. Duplication of results can be difficult or impossible to achieve, if the software has been upgraded and the original version used was not retained. Please note that there is a high probability that you will encounter this problem because most commercial software is upgraded routinely but it may take years for a case to go to trial.。

计算机取证简析

计算机取证技术简析计算机取证是指能够为法庭接受的、足够可靠和有说服力的、存在于计算机和相关外设中的电子证据的确定、收集、保护、分析、归档以及法庭出示的过程。

计算机取证基本围绕电子证据展开。

电子证据是指在计算机或计算机系统运行过程中产生的,以其记录的内容来证明案件事实的电磁记录物。

电子证据的表现形式是多样的,尤其是多媒体技术的出现,使电子证据综合了文本、图形、图像、动画、音频及视频等多种媒体信息,这种以多媒体形式存在的计算机证据几乎涵盖了所有传统证据类型。

与传统证据一样,电子证据必须是可信的、准确的、完整的、符合法律法规的。

与传统证据相比较,电子证据还具有以下特点:1)脆弱性:由于数据自身的特点导致电子证据易被修改,且不易留痕迹;2)无形性:计算机数据必须借助于输出设备才能呈现结果;3)高科技性:证据的产生、传输、保存都要借助高科技含量的技术与设备;4)人机交互性:电子证据的形成,在不同的环节上有不同的操作人员参与,它们在不同程度上都可能影响电子证据的最终结果;5)电子证据是由计算机和电信技术引起的,由于其它技术的不断发展,所以取证步骤和程序必须不断调整以适应技术的进步。

电子证据的来源很多,主要有系统日志、IDS、防火墙、FTP、反病毒软件日志、系统的审计记录、网络监控流量、电子邮箱、操作系统和数据库的临时文件或隐藏文件,数据库的操作记录,硬盘驱动的交换(Swap)分区、实时聊天记录等等。

电子证据的获取方法包括数字鉴定、数据检查、数据对比、数据保护、数据分析和证据抽取。

而这些方法的实施将贯穿整个计算机取证过程。

由于自身的局限性和计算机犯罪手段的变化,特别是反取证软件的出现,现有的取证技术已经不能满足打击犯罪的要求。

随着取证领域的扩大,取证工具将向着专业化和自动化方向发展,并在无线环境下得到进一步应用,如手机、PDA、传真等无线终端设备的取证。

所以,还需要加深对计算机取证方面的知识以及计算机应用才能更有效的实现计算机取证。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

通 过 使 用 Sniffer 类 型 工 具 , 如 : Windows平台上的sniffer工具:netxray和 sniffer pro软件等,可以完成网络数据获取。 在Linux平台下的TCPDump:根据使 用者的定义可以完成对网络上的数据包截 获工作。




1、准备阶段(Preparation)在调查前,准备好所需设备和工具。 2、收集阶段(Collection):搜索和定位电子证据。 .保护与评估现场(Secure and Evaluate the Scene):保护现场人员的 安全以及保证证据的完整性。并识别潜在的证据。对现场记录、归档 (Document the Scene):记录包括现场的计算机照片等物证。 .证据提取(Evidence Collection):提取计算机系统中的证据,或对计算 机系统全部拷贝。 3、检验(Examination):对可能存在于系统中的证据进行校验与分析。 4、分析(Analysis):对检验分析的结果进行复审和再分析,提取与对案 件侦破有价值的信息。 5、报告(Reporting):对案件的分析检验结果汇总提交。 此过程模型基于标准的物理犯罪(Physical Crime)现场调查过程模型。
计算机取证 Forensics
基本过程模型(Basic Process Model) 事件响应过程模型(Incident Response Process Model) 法律执行过程模型(Law Enforcement Process Model) 过程抽象模型(An Abstract Process Model) 。
主引导程序位于硬盘的主引导扇区, 主要用于检测硬盘分区的正确性,此段程 序损坏将无法从硬盘引导。 修复此故障的方法较为简单,使用高 版本DOS的FDISK是最为方便的,当带参 数/mbr运行时,将直接更换(重写)硬盘的 主引导程序。
如果是没有活动分区标志,则计算 机无法启动。但从软驱或光驱引导系统 后可对硬盘读写,可通过FDISK重置活 动分区进行修复。 如果是某一分区类型错误,可造成 某一分区的丢失。 分区表中还有其它数据用于记录分 区的起始或终止地址。这些数据的损坏 将造成该分区的混乱或丢失,可用的方 法是用备份的分区表数据重新写回。
为了确定镜像数据与原始数据相同,EnCase会 计算CRC校验码并和MD5哈希(Hash)值进行比 较。 EnCase对硬盘驱动镜像后重新组织文件结构 ,采用Windows GUI显示文件的内容,允许调查员 使用多个工具完成多个任务。
证据获取技术包括: 对计算机系统和文件的安全获取技术; 避免对原始介质进行任何破坏和干扰; 对数据和软件的安全搜集技术;
DOS 引 导 系 统 主 要 由 DOS 引 导 扇 区 和 DOS系统文件组成。DOS引导出错时, 可从 软盘或光盘引导系统后使用SYSC:命令传送 系统,即可修复 故障,包括引导扇区及系统 文件都可自动修复到正常状态。
Fat表记录着硬盘数据的存储地址,Fat表 的损坏意味着文件内容的丢失。 DOS系统本身提供了两个Fat表,如果目 前使用的Fat表损坏,可用第2个进行覆盖修复。 一些工具软件如NU等本身具有这样的修复功能, 使用也非常的方便。如果第2个Fat表也损坏了, 可采用CHKDSK或SCANDISK命令进行修复, 最终得到*.CHK文件,这便是丢失Fat链的扇区 数据。



6、调查((Investigation):调查系统以便识别攻击者身份、攻击 手段及攻击过程。 7、安全方案实施(Secure Measure Implementation):对被侦察 的系统进行安全 隔离。 8、网络监控(Network Monitoring):监视网络以便识别攻击。 9、恢复(Recovery):将系统恢复到初始状态,并合理设置安全 设施。 10、报告(Reporting):记录相应的步骤及补救的方法。 11、补充(Follow-up):对响应过程及方法进行回顾审查,并进 行适当的调整。
在目录项中记录文件名、索引节 点号等信息。另外,由于目录项的长 度不是固定的,所以目录项中还有专 门的变量表示自身的长度。每次建立 一个文件就会在目录文件中增加一个 新的目录项。
目录文件和目录项的结构如图 2所示。
在UNIX 环境下删除一个文件的过 程很简单,即首先把索引节点和文件 所占用的数据分组的状态信息标记为 空闲,然后增大目录文件中相应的目 录项的前一项中记录项长度的值,绕 过对被删除目录项的访问。
事实上,这时保存在磁盘上的实际数据 并未被真正清除;只有当其他文件写入,有 可能使用该文件占用的扇区时(因为它们已 被标识为空闲),该文件才会被真正覆盖掉。 下面,我们给出可以为取证服务的各种 基于硬盘数据的获取技术。
一般来说,文件删除仅仅是把文件的首 字节改为E5H,文件本身并没有破坏对于不 连续文件需要恢复文件链,由于手工交叉恢 复对一般计算机用户来说并不容易需要用工 具处理,如可NortonUtilities来查找。另外, RECOVERNT等工具,都是恢复的利器。
UNIX系统使用索引节点来记录文件信 息,每一个普通的文件和目录都有惟一的 索引节点与之对应。在索引节点中记录着 文件的UID、GID、大小、MAC(修改/存 取/属性变更)时间、链接计数等信息。
索引节点的结构如图 1所示。
为了能够通过文件名找到文件,UNIX 文件系统还用到了目录文件。目录文件的 逻辑结构为一棵以根目录开始的树。它实 际上是文件名和索引节点的对应关系—— 目录项 (directory entry)的列表。



1、攻击预防阶段(Pre-incident Preparation):事先进行相 关培训,并准备好所需 的数字取证设备。 2、事件侦测阶段(Detection of the Incident):识别可疑事 件。 3、初始响应阶段(Initial Response):证实攻击事件己经发 生,须尽快收集易丢 失的证据(volatile evidence). 4、响应策略匹配(Response Strategy Formulation):依据 现有的经验确定响应策略。 5、备份(Duplication):产生系统备份。
(1) 系统不认硬盘
系统从硬盘无法启动,这种故障大都 出现在连接电缆或IDE端口上,可通过重新 插接硬盘电缆或者改换IDE口及电缆等进行 替换试验,就会很快发现故障的所在,如果新 接上的硬盘也不被接受,一个常见的原因 就是硬盘上的主从跳线有问题。
CMOS中的硬盘类型正确与否直接影 响硬盘的正常使用。当硬盘类型错误时, 有时干脆无法启动系统,有时能够启动, 但会发生读写错误。比如由于CMOS中的 硬盘类型错误,导致逻辑硬盘容量小于实 际的硬盘容量,则硬盘后面的扇区将无法 读写,如果是多分区状态则个别分区将丢 失。
ቤተ መጻሕፍቲ ባይዱ
对磁盘或其它存储介质的安全无损伤备 份技术;
对已删除文件的恢复、重建技术; 对磁盘空间、未分配空间和自由空间中包含的信 息的发掘技术;
对交换文件、缓存文件、临时文件中包含的信息 的复原技术;
计算机在某一特定时刻活动内存中的数据的搜集 技术; 网络流动数据的获取技术等。
计算机及硬盘数据恢复原理: 以FAT文件系统为例,数据文件写到 基于该系统的磁盘上以后,会在目录入口 和FAT表(File Allocation Table文件分配 表)中记录相应信息。当我们从磁盘上删 除一个文件后,该文件在目录入口中的信 息就被清除了,在FAT表中记录的该文件 所占用的扇区也被标识为空闲。
图 3表示的是删除一个文件对应 的目录项之后的情形。
正是由于文件系统的上述特点,所 以在计算机的硬盘中会留下大量记录着 过去曾经发生过的文件操作的信息。当 前取证软件的作用就是收集和分析这些 残存信息。取证软件可以从目录文件中 找到被删除的目录项,从中恢复出过去 存在过的文件的名字,还可以从索引节 点中得到有关文件的信息
在处理有关类型、特征和处理方面, ZIP、TGZ等压缩包无法解压,ZIP文件损 坏的情况下可以用一个名为ZIPFIX的工具 处理。 自解压文件无法解压,可能是可执行 文件头损坏,可以用对应压缩工具按一般 压缩文件解压。 DBF文件死机后无法打开,典型的文 件头中的记录数与实际不匹配了,把文件 头中的记录数向下调整。
注意:千万不要在发现文件丢失之后在, 本机安装什么恢复工具,你可能恰恰把文件 覆盖掉了。 特别是你发现主要文件被你失手清掉了, 应该马上直接关闭电源,用软盘启动进行恢 复或把硬盘串接到其他有恢复工具的机器处 理。
恢复文件损坏需要清楚地了解文件的 结构,因此不是件很容易的事情,不过一 般的说,文件如果字节正常,不能正常打 开往往是文件头损坏。下面就文件恢复举 几个简单例子。
当前的计算机取证软件的主要功能是文件信 息获取和数据恢复。为了更好地理解它们的原理 和实现方法,下面以Unix为例介绍基本的文件系 统理论和元数据的知识(不针对任何实现)。
关于文件的信息 关于文件的结构和账号的信息称为元 数据(包括超级分组、索引节点和目录文 件);
文件的内容。 文件的内容则被简单地称为数据。

保证安全并进行隔离(secure and isolate) 对现场信息进行记录(record the scene) 全面查找证据(conduct a systematic search for evidence) 对证据进行提取和打包(collect and package evidence) 维护证据监督链(maintain chain of custody) 。
目录表记录着硬盘中文件的文件名等数 据,如果目录损坏将丢失大量的文件。 一种减少损失的方法也是采用CHKDSK 或SCANDISK程序恢复的方法,从硬盘中搜 索出*.CHK文件,由于目录表损坏时仅是首 簇号丢失,每一个*.CHK文件即是一个完整 的文件,把其改为原来的名字即可恢复大多 数文件把其改为丢失文件的名字即可恢复大 多数文件。