下载文档原格式
Windows系统电子物证的检验鉴定摘要:在科技越来越发达的今天,计算机已经进入到人们的生活,而通过计算机进行的犯罪活动也越来越多。
所以,为了保护人民的财产安全,公安机关必须大力发展关于Windows系统的电子取证和对物证的检验鉴定。
本文通过介绍Windows电子系统对物证的提取重点,并就其难点、有利因素和发展前景等问题进行分析,进而提出需要加强的方向,拟为公安机关对网络犯罪案件侦破提供帮助。
关键词:Windows系统;电子物证;检验鉴定引言随着科技时代的来临,互联网发展日新月异。
刑事犯罪的方式也不再像从前那样的实物犯罪,愈来愈多的电子犯罪层出不穷。
此时,电子证据将变得愈来愈重要,它会越来越有可能改变人类一直以来的侦破方式和手段,并逐渐从主观成为一种客观物证。
随着改革开放的深入发展,网络犯罪也越来越多,对于Windows电子数据取证的需求也越来越大。
但我国的Windows电子数据取证的发展还没有达到能够有利打击网络犯罪的高度。
本文从几个Windows电子取证的重点方面进行阐述,旨在为网络犯罪案件侦查提供思路。
一、电子物证简介(一)电子物证的概念所谓物证是指能够以其外部特征、物质属性、所处位置以及状态证明有关案件真实情况的客观存在。
而电子物证则是通过电子设备、存储介质中的电子数据证明案件事实,此时电子设备或存储介质就应该理解为电子物证。
电子物证具有高科技性、提交形式多样性、数据易变性、存在的广域性四大特点。
(二)电子物证检验的基本原则为了保证电子物证的法律效率和不被破坏,进行电子物证检验时,有几点需要相关执法自觉遵守:1.切不可对原始的数据进行直接调查。
电子物证的分析必须通过生成的镜像进行分析,以免破坏原始数据。
2.检验和分析使用的电子设备及辅助系统必须保证安全、可信。
以防泄露个人隐私信息。
3.分析人员在分析数据前必须签名。
以便于以后的可追溯性。
4.必须对检材做必要的保护,连接必须有记录。
以确保电子数据的真实性和可靠性。
三、简答题1. 在计算机取证的过程中,不管发生了什么紧急情况,调查者都必须遵循的原则是什么?答:①不要改变原始记录②不要在作为证据的计算机上执行无关的程序③不要给犯罪者销毁证据的机会④详细记录所有的取证活动⑤妥善保存取得的物证2•当Windows系统受到入侵攻击,而需要对系统进行取证分析的操作会引起易失性数据。
主要的易失性数据包括哪些?答:①系统日期和时间②当前运行的活动进程③当前的网络连接④当前打开的端口⑤当前打开的套接字上的应用程序⑥当前登录用户3. Windows系统中初始响应指的是什么?现场数据收集的主要步骤包括哪些?答:1.初始响应指的是收集受害者机器上的易失性数据,并据此进行取证分析的过程2. 现场数据收集包括一下3步:①打开一个可信的命令解释程序②数据收集的准备工作③开始收集易失性数据4. 描述你知道的证据获取技术包括哪些?答:① 对计算机系统和文件的安全获取技术;②避免对原始介质进行任何破坏和干扰;③对数据和软件的安全搜集技术;④对磁盘或其它存储介质的安全无损伤备份技术;⑤对已删除文件的恢复、重建技术;⑥对磁盘空间、未分配空间和自由空间中包含的信息的发掘技术;⑦对交换文件、缓存文件、临时文件中包含的信息的复原技术;⑧计算机在某一特定时刻活动内存中的数据的搜集技术;⑨网络流动数据的获取技术等5. 基本过程模型有哪些步骤?答:①保证安全并进行隔离;②对现场信息进行记录;③全面查找证据;④对证据进行提取和打包;⑤维护证据监督链6. 电子证据与传统证据的区别有哪些?答:①计算机数据无时无刻不在改变;②计算机数据不是肉眼直接可见的,必须借助适当的工具;③搜集计算机数据的过程,可能会对原始数据造成很严重的修改,因为打开文件、打印文件等一般都不是原子操作;④电子证据问题是由于技术发展引起的,因为计算机和电信技术的发展非常迅猛,所以取证步骤和程序也必须不断调整以适应技术的进步。
,谈谈你的看法? 答:6大流程: ① 取容易丢失的信息 ② 冻结硬件 ③ 申请取证 ④ 取证分析 ⑤ 分析报告⑥ 文件归档文件数据一般的隐藏术① 操作系统本身自带功能② 利用FAT 镞大小③ 利用slack 镞④ 利用更高级的工具答:①攻击预防阶段 ② 事件侦测阶段③ 初始响应阶段④ 响应策略匹配7. Windows 系统取证方法的主要流程是什么?答:6大流程:① 取容易丢失的信息② 冻结硬件③ 申请取证④ 取证分析⑤ 分析报告⑥ 文件归档8. 日志分析有哪些?包括什么内容? 答:①操作系统日志分析;② 防火墙日志分析;③ IDS 软件日志分析;④ 应用软件日志分析9. Win dows 2000/XP 安全管理的常用方法有哪些?(至少写出 6个) 答:①创建2个管理员账户② 使用NTFS 分区③ 使用安全密码④ 设置屏保密码⑤ 创建一个陷门帐号⑥ 把administrator 账号改名 四、综合题1. Win dows 系统下取证方法的主要流程是什么?我们文件数据一般的隐藏术有哪些 2•阐述事件响应过程模型执行步骤及其工作内容?事先进行相关培训,并准备好所需的数字取证设备。
摘要信息技术的不断发展给人们的生活带来了巨大的改变,网络已经越来越渗透到人们的现实生活与工作当中。
然而,网络在为人民生活和工作带来便利的同时,也引发了无数网络犯罪。
计算机静态取证便是针对网络犯罪而岀现的一种电子取证技术,而随着网络犯罪形式和手段的千变万化,计算机静态取证已不能满足打击网络犯罪的需求,为适应信息化发展的要求,建立安全网络环境和严厉打击网络犯罪行为势在必行,本论文针对计算机动态取证技术进行分析,主要浅谈电子动态取证采集系统的实现、网络证据收集和网络数据分析等几个方面。
通过对计算机取证基本概念、特点和技术的基础研究,对计算机动态取证进行分析。
关键词:电子取证动态取证动态电子证据采集网络数据协议目录、概述(一)、研究背景目前,人类社会已经迈入了网络时代,计算机与互联网已经与老百姓的日常工作、学习与工作息息相关,社会信息化对政治、经济、文化和科技等各项社会生活产生了深远的影响。
然而,网络技术给人类社会带来有利影响的同时,也带来了负面的影响。
在国外,1988年11月美国国防部的军用九三级网络遭受莫里斯病毒袭击,致使美国Internet 网络上6000多台计算机感染,直接经济损失9600万美元。
2000年5月,“爱虫”病毒通过电子邮件传播,在世界各地迅速蔓延,造成全世界空前的计算机系统破坏。
而在国内,人们利用计算机网络犯罪的案例也层出不穷。
2002 年,作案人吕薜文通过盗用他人账号,对中国公众多媒体通信网广州主机进行了攻击,并对其部分文件进行删除、修改、增加等一系列非法操作,造成严重后果。
2008年4月,作案人赵哲窜至上海某证券攻击营业部,利用该营业部电脑安全防范上的漏洞,修改该营业部部分股票交易数据,致使股价短时间内剧烈震荡。
计算机以及其他信息设备越来越多的被运用到犯罪活动中,尽管随着入侵检测系统的广泛使用降低了非法使用计算机资源所带来的损失,但网络犯罪依然不可忽视。
针对网络环境安全,本文旨在研究探讨网络开放环境下的电子证据的动态收集与分析。
计算机取证方法关键问题的思考作者:丛庆来源:《科技视界》2017年第05期【摘要】对计算机犯罪证据的识别、获取、传输、保存以及分析和提交认证的过程被称作是计算机取证,这实质上是对计算机系统进行详细扫描,并且重新模拟入侵事件的过程。
本文对计算机取证的概念与特点以及计算机取证人员在取证的过程中所应当遵循的原则和操作规范进行介绍,对其中的关键的地方进行分析,分析其中存在的问题,并且尝试解决这些问题。
【关键词】计算机取证;电子证据;取证技术;关键问题因为信息化时代的到来,所以计算机技术在快速的发展,人们的工作和生活中对于计算机的应用越来越广泛和频繁。
计算机以及相关的信息技术的的确确为我们带来了诸多的便利,但是与此同时也为犯罪分子提供了更多的犯罪方式,因此,计算机相关的犯罪违法的行为正在逐年的上涨。
在实际案件中,需要进行计算机取证的案件数量在不断地上升,因此在第十一届全国人民代表大会第五次会议审议中,《关于修改(中华人民共和国刑事诉讼法)的决定》中把电子数据规定为一种独立的证据种类。
对于电子证据在刑事诉讼中的法律地位,这是第一次通过基本法律的形式对其进行确认。
因为电子证据存在容易被丢失、被篡改、被伪造、破坏以及毁坏的情况,所以取证人员在对计算机开展取证工作的过程中,未必确保证据和原始数据不会被破坏,其操作程序需要严格按照要求进行,一定要遵循相关选择。
1 计算机取证相关定义就目前而言,尚没有标准化和全面统一的内容对计算机取证进行定义,因为专家学者和机构对于计算机取证的定义所选择的角度不尽相同。
当前相对而言较为全面并且能够被绝大部分人认可的定义是:计算机取证是对指定的相关电子证据的相关证据的收集、确定、保护、分析、归档以及法庭出示的过程,此处储存在计算机以及相关外部设备中可以被法庭接受,并且有足够说服力而且可靠地证据被叫做电子证据。
2 计算机取证的相关规定标准因为电子证据自身的易被破坏的特点,所以计算机取证方面对取证人员有很多流程规范进行约束,取证人员在取证的过程中务必遵守基本原则,确保证据的取得过程合法,其次要在监督环境下开展取证工作,并且相关的操作都需要进行记录,有时需第三方介入参与。
计算机取证技术的现状分析及发展趋势探讨作者:张艳华郑洁来源:《硅谷》2014年第07期摘要现如今随着计算机技术的迅速发展与普及,在不知不觉改变人们的生活的同时,也在慢慢滋生一些网络罪犯,特别是现在的电子商务的发展越来越迅速,犯罪分子通过网上进行的犯罪活动也开始频繁起来。
公安机关为了侦破这些案件往往需要进行相应的计算机取证技术。
但这些都因为计算机犯罪形式的复杂化给司法工作提出了新的挑战。
关键词计算机取证技术;现状分析;发展趋势中图分类号:TP309 文献标识码:A 文章编号:1671-7597(2014)07-0139-01随着时代的进步以及科技发展,计算机网络技术也随之飞速发展,并且得到了越来广泛的应用。
如今信息快速传播的时代,越来越多的人开始重视计算机网络安全隐患问题。
对此,需要定制出健全的网络法制法规,合理的利用技术控制手段以解决日益恶化的计算机网络信息安全问题。
本文由计算机取证入手,分析了其在我国的发展现状,并且研究了网络计算机取证的发展趋势以及局限性。
1 计算机取证的定义及我国的发展现状所谓的计算机取证这一说法,在国外公认的比较准确的定义就是计算机取证是指“从计算机中收集和发现证据的技术和工具”。
这些其实在国外很早就有研究,虽然国内因为计算机技术的发展速度较为缓慢,但也在随着近几年来计算机的普及变得明确起来。
现在国内较认可的计算机取证的定义是指,将计算机调查与分析技术应用于对潜在的、有法律效力的证据的确定与获取。
简单来说,是使用计算机获得的证据一定要能为法庭接受、而且具有较可靠和有说服力的、且必须是存在于计算机与其相关外设中的证据。
通常情况下,计算机取证具有六个步骤:①调查现场,对现场进行搜索,保护寻找物力证据等,其具体实施需要达到现场,观察证据是否能够取走,不能取走的证据则需要作好记录,分析原因,检查计算机是否安全;②识别计算机所获得的证据,将证据进行分类分析;③数据传输。
将获取的信息完整的保存至取证分析仪中;④数据存储。
第1篇一、基础知识1. 请简要介绍电子取证的概念及其在网络安全领域的应用。
2. 电子取证的基本流程包括哪些步骤?3. 请列举几种常见的电子取证工具。
4. 请解释什么是数字证据,并说明其特点。
5. 在电子取证过程中,如何确保证据的完整性和可靠性?6. 请简述电子取证在调查网络犯罪案件中的作用。
7. 电子取证过程中,如何处理证据的保密性和隐私性问题?8. 请说明电子取证在处理企业内部纠纷、知识产权保护等方面的应用。
9. 电子取证过程中,如何确保证据的时效性?10. 请简述电子取证在处理网络攻击、网络诈骗等犯罪案件中的作用。
二、技术技能1. 请介绍Windows操作系统中常见的取证工具,如:Windows资源管理器、事件查看器等。
2. 请介绍Linux操作系统中常见的取证工具,如:find、grep、ps等。
3. 请说明如何使用Regedit工具进行Windows注册表取证。
4. 请说明如何使用WinDbg工具进行内存取证。
5. 请介绍如何利用Wireshark工具进行网络流量取证。
6. 请说明如何使用X-Ways Forensics进行文件系统取证。
7. 请介绍如何使用Autopsy进行网页取证。
8. 请说明如何使用Volatility进行内存取证。
9. 请介绍如何利用RegRipper进行注册表取证。
10. 请说明如何使用Foremost进行文件恢复。
三、实战案例1. 请简述一起网络攻击案件的取证过程。
2. 请简述一起网络诈骗案件的取证过程。
3. 请简述一起企业内部纠纷案件的取证过程。
4. 请简述一起知识产权保护案件的取证过程。
5. 请简述一起计算机犯罪案件的取证过程。
6. 请简述一起计算机病毒感染案件的取证过程。
7. 请简述一起计算机数据丢失案件的取证过程。
8. 请简述一起手机取证案件的取证过程。
9. 请简述一起网络钓鱼案件的取证过程。
10. 请简述一起电子邮件取证案件的取证过程。
四、法律知识1. 请列举我国与电子取证相关的法律法规。
• 21•计算机犯罪现象越来越多,预防与遏制它们成为当前社会的技术难题,任何人在计算机中的操作都会在日志文件中留下痕迹。
日志文件种类很多,需要关注各种类型的日志文件进行合并取证分析。
首先介绍了Windows 日志,包括系统日志、安全日志、应用程序日志,然后说明了Windows 日志中事件类型,然后从web 日志的分析入手,剖析不同的日志文件我们分析时所要注意的重点内容。
日志分析对计算机取证有重要作用。
某一个日志会记录它所在系统或应用程序的各种信息。
在进行计算机取证分析时,我们要全面的分析多个日志文件,如果仅对单一日志文件分析那么我们可能会漏掉许多信息。
我们需要做的就是把所有获取的日志文件进行比对、整合、关联使得他们能够为我们形成一个较为完整的犯罪场景,为我们的进一步工作提供支持。
1 日志1.1 日志的概念日志(Log)起源于航海日志。
航海日志就是我们航海归来之后我们可以对在海上的工作进行分析,总的来说就是一个海上的日记。
日志(Log)表示在时间上连续地设置有由系统指定的对象的动作及其动作结果。
为了保持计算机系统资源的运行状态,系统会将任何活动和在操作中出现的一系列情况进行详细记录,并保存它们。
这些信息对于电脑犯罪取证人员来说是非常有用的。
1.2 Windows日志日志文件不同于我们系统中的其他文件,它有着不一样的用处与作用。
目前计算机中使用最多的Windows 操作系统,如今越来越多的Windows 操作系统日志以二进制形式保存,他们有着自己的存储方式,就是循环覆盖缓存。
它们记录了用户在系统里面完成了什么操作,还有做出了什么样的错误指令以及其他的一些记录。
我们通过查看系统的这些文件,不仅可以回看用户正确操作,同时也可以去搜索那些的错误操作以及不是系统用户本人做出的操作。
因此,无论是系统管理者还是黑客,都非常重视这些文件。
管理员可以通过这些文件查看系统的安全状态,并且找到入侵者的IP 地址或各种入侵证据。
如何巧妙收集入侵Windows系统的证据随着网络的不断扩大,网络安全更加会成为人们的一个焦点,同时也成为是否能进一步投入到更深更广领域的一个基石。
当然网络的安全也是一个动态的概念,世界上没有绝对安全的网络,只有相对安全的网络。
相对安全环境的取得可以通过不断地完善系统程序(及时给系统漏洞打上不同的补丁和给系统升级)、装上防火墙,同时对那些胆敢在网络上破坏秩序做出不义行为的人给予恰如其分的处理。
这必然要牵涉到证据的收集,本文正是对这一方面的内容针对Windows系统进行研究。
一、Windows系统特性Windows操作系统维护三个相互独立的日志文件:系统日志、应用程序日志、安全日志。
1.系统日志系统日志记录系统进程和设备驱动程序的活动。
它审核的系统事件包括启动失败的设备驱动程序、硬件错误、重复的IP地址,以及服务的启动、暂停和停止。
系统日志包含由系统组件记录的事情。
例如在系统日志中记录启动期间要加载的驱动程序或其他系统组件的故障。
由系统组件记录的事件类型是预先确定的。
系统日志还包括了系统组件出现的问题,比如启动时某个驱动程序加载失败等。
2.应用程序日志应用程序日志包括关于用户程序和商业通用应用程序的运行方面的错误活动,它审核的应用程序事件包括所有错误或应用程序需要报告的信息。
应用程序日志可以包括性能监视审核的事件以及由应用程序或一般程序记录的事件,比如失败登录的次数、硬盘使用的情况和其它重要的指针;比如数据库程序用应用程序日志来记录文件错误;比如开发人员决定所要记录的事件。
3.安全日志安全日志通常是在应急响应调查阶段最有用的日志。
调查员必须仔细浏览和过滤这些日志的输出,以识别它们包含的证据。
安全日志主要用于管理员记载用户登录上网的情况。
在安全日志中可以找到它使用的系统审核和安全处理。
它审核的安全事件包括用户特权的变化、文件和目录访问、打印以及系统登录和注销。
安全日志可以记录诸如有效的登录尝试等安全事件以及与资源使用有关的事件,例如创建、打开或删除应用文件。
Computer Knowledge and Technology 电脑知识与技术第7卷第13期(2011年5月)针对Windows 7系统的计算机取证问题分析吴剑(山东政法学院信息科学技术系,山东济南250014)摘要:最新的个人操作系统Windows 7给用户提供了更稳定的系统性能和更安全的操作环境,但同时也对计算机取证工作带来新的问题。
针对Windows 7系统,从注册表分析、数据保护与破解、网络浏览和文档编辑等角度入手,分析了计算机取证涉及的多类问题及其解决方法,能够更好地指导计算机取证工作。
关键词:Windows 7;计算机取证;操作系统中图分类号:TP309文献标识码:A 文章编号:1009-3044(2011)13-3154-03Analysis of Computer Forensics for Windows 7WU Jian(Department of Information Science and Technology,Shandong University of Political Science and Law,Ji'nan 250014,China)Abstract:As the latest individual operating system,Windows 7provides the user with more stable system performance and more secure operating environment,but also brings new problems to the computer forensics.According to the Windows 7,this paper analyses the com -puter forensics problems and their solutions involving the registry analysis,data protection and cracked,network browsing and document edition etc,which can instruct computer forensics work better.Key words:Windows 7;computer forensics;operating system随着计算机和网络越来越多地应用到人们的工作和生活中,以计算机系统为犯罪目标和以计算机为作案工具的各类新型犯罪活动持续上升。
而打击此类犯罪的关键是在计算机及其相关设备中找到充分、可靠和有说服力的电子证据,集计算机科学、刑事侦查学和法学于一体的交叉学科———计算机取证正成为信息安全领域一个不可或缺的研究热点[1]。
Windows 在个人操作系统已经占有了绝对的优势地位,因此,针对这类操作系统的取证问题也引起了学者们的广泛关注。
王中杉等人为解决计算机取证中删除文件的数据恢复问题,提出了一种基于Windows FAT32文件系统的数据恢复算法[2];文献[3]对Windows Vista 系统的日志文件数据恢复技术进行了探讨;文献[4]针对Window2000/XP 系统,对注册表信息挖掘、因特网使用分析、临时文件与缓存文件分析进行研究。
随着微软最新个人操作系统Windows 7的推出,越来越多的用户选择了Windows 7。
相对于用户早期使用的Windows XP 系统,Windows 7无论是在使用习惯还是安全设置上均有一定的改进,这也给取证工作带来了一定影响,作为计算机取证人员应该熟悉这些变化及应对措施。
本文针对Windows 7系统的计算机取证问题进行分析,着重介绍了注册表分析、数据保护及破解、网络浏览取证和文档编辑等问题。
1Windows 7系统简介2009年10月22日,微软公司发布了其最新的个人操作系统Windows 7,共分为家庭基础版、家庭高级版、专业版、企业版和旗舰版5个版本。
相对于早期版本的Windows 系统,Windows 7具有系统运行快速、工具栏简洁、桌面更加个性化、窗口缩放智能化、多媒体使用方便、支持触摸控制技术和安全机制更加完善等诸多优点。
上市仅1年,Windows 7已经拿下了25%的个人操作系统市场,而Windows XP 的市场占有率正逐步下降。
作为有史以来销售最快的操作系统,Windows 7有望在未来1-2年成为个人操作系统主流产品。
2注册表分析注册表是微软Windows 系统中统一集中管理系统硬件设施、软件配置等信息的庞大数据库。
由于注册表蕴藏着大量的信息,使其成为获取潜在证据的重要来源,Windows 注册表分析已经成为计算机取证的一个重要组成部分。
2.1Windows 7注册表的结构和存储方式Windows 7注册表的逻辑结构和物理存储方式和先前版本的Win -dows 系统(如Windows XP )类似。
通过“regedit ”命令可以打开注册表编辑器看到Windows 7注册表的逻辑结构,依然保留5个根键。
其名称、缩写收稿日期:2011-03-28基金项目:山东省自然科学基金项目(ZR2010FM042);山东省高等学校科技计划项目(J09LG62);山东省济南市科技发展计划项目(201010002)作者简介:吴剑(1978-),男,讲师,博士,主要研究方向为网络信息安全、计算机取证。
表1注册表根键的名称、缩写和描述E-mail:kfyj@ Tel:+86-551-56909635690964ISSN 1009-3044Computer Knowledge and Technology 电脑知识与技术Vol.7,No.13,May 2011,pp.3154-3156,3179Computer Knowledge and Technology 电脑知识与技术第7卷第13期(2011年5月)及功能描述如表1所示。
在物理上,Windows 7的注册表仍然存储于一些被称为储巢(hive )的分散的二进制文件中。
注册表编辑器通过创建根键,将这些储巢文件在逻辑上链接在一起,构造出其显示的注册表结构。
HKLM和HKU 两个根键是物理存储在储巢文件中的,其他三个根键都只是这两个根键中的某些子键的符号链接。
在注册表的HKLM\SYS -TEM\CurrentControlSet\Control\hivelist 子键下的注册表值中记录了每个储巢的路径。
注册表键及物理磁盘上对应的储巢文件、支持文件和文件路径详见表2,其中“%SYSTEMROOT%”指系统安装目录。
对于每一个储巢文件,Windows 还创建了额外的支持文件作为备份,以在系统引导失败时恢复文件。
值得注意的是,由于Windows 7中使用“用户”文件夹取代了XP 系统中的Documents and Settings 文件夹,NTUSER.DAT 和UsrClass.dat 等几个文件采用了新的存储路径;而且储巢文件的备份文件存放在%SYSTEMROOT%\system32\config\RegBack 文件夹中。
2.2注册表中的取证注册表内包含着大量有取证价值的信息,由于Windows 7系统中这些信息的注册表键值和分析方法和XP 系统中几乎一致,下面仅列举取证工作中较常关注的一些注册表信息,如何具体利用这些注册表信息来分析计算机上可疑活动的方法可参考文献[5]。
1)当前用户用“开始运行”方式执行的最近26项指令HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU2)显示用户键入到IE 中,并使其登录到给定的网站的URLHKCU\Software\Microsoft\Internet Explorer\Typedurls3)查询Windows 系统中曾经插入的USB 设备HKLM\System\CurrentControlSet\Enum\USBSTOR4)调查机器的时区信息HKLM\System\CurrentControlSet\Control\TimeZoneInformation5)查看最近打开文档HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs6)查看自动启动的注册表键HKLM\Software\Microsoft\Windows\CurrentVersion\RunHKLM\Software\Microsoft\Windows\CurrentVersion\RunonceHKLM\Software\Microsoft\Windows\CurrentVersion\RunonceEx7)每个网卡最后设置的IP 地址和默认网关HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\GUID3数据保护及破解Windows 7系统采用了多种措施来保证系统和数据的安全,如NTFS 权限、加密文件系统、BitLocker 和BitLocker To Go 。
然而,这些措施在给用户提供安全保障的同时也妨碍了计算机取证工作的顺利进行,因此,取证人员应该熟悉操作系统的这类安全措施并掌握正确的应对方法。
3.1NTFS 权限NTFS (New Technology File System )是微软Windows NT 内核的系列操作系统支持的、一个特别为网络和磁盘配额、文件加密等管理安全特性设计的文件系统,已经成为硬盘分区的主流。
Windows 7要求必须安装在NTFS 文件系统的分区上,这样也更能充分发挥新版本Windows 的所有特性。
Windows 7专业版/企业版/旗舰版可以针对不同的用户账户设置文件或文件夹的访问权限,从而在一定程度上防止其他用户对数据的访问。
作为计算机取证人员可以通过一些技术手段破解这种保护措施,如在分析嫌疑人磁盘的镜像文件时,使用管理员身份登录,然后修改这些文件或文件夹的访问权限,使得当前用户能够完全控制它们。
3.2加密文件系统早在Windows 2000操作系统中,微软就推出了EFS (Encrypting File System ,加密文件系统),它可以把NTFS 分区上的数据加密保存。
EFS 是一种公钥加密系统,系统在加密时会使用当前用户的公钥将数据加密并保存到硬盘上,而在解密的时候,会使用该用户对应的私钥将数据解密。
同其它加密软件相比,EFS 由于与系统紧密集成,整个加解密过程对用户而言是透明的[6]。
