网络与信息安全-计算机取证技术.ppt

计算机取证技术 北京大学计算机系刘欣 课程内容 课题背景计算机犯罪简述计算机取证概念 原则与步骤国外计算机取证应用现状国内计算机取证应用现状取证过程与方法展望 课题背景 随着社会信息化 网络化大潮的推进 社会生活中的计算机犯罪由最初的 小荷才露尖尖角 到目前的层出不穷 举不胜举 因此 电子数据证据的法律效力正在成为学界关注的焦点 社会信息化发展步伐 硬件方面 Moore定律 每18个月相同价格的集成电路的处理能力就会加倍 Intel研制出 纳米 晶体管摩尔定律将被推翻硅芯片晶体密度提百倍摩尔定律再用20年CSDN 英特尔即将启用远紫外技术摩尔定律再获新发展 社会信息化发展步伐 软件方面 由最初的手动编制二进制代码到汇编语言 高级语言 面向对象的概念 软件工程到UML建模技术 软件开发日益呈现工程化 自动化趋势 软件的应用范围日益拓展 已成为社会生活重要组成部分 社会信息化发展步伐 网络与通信 互联网在中国的发展CNNIC的统计 我们的网民总量截至2002年7月为4580万 上网计算机数量为1613万台 CN下注册的域名数量是126146个 WWW站点数 包括 CN COM NET ORG下的网站 大约293213个 计算机犯罪概念 Computerrelatedcrimeorcomputeraimedcrime 广义说 计算机犯罪 通常是指所有涉及计算机的犯罪 如 欧洲经济合作与发展组织的专家认为 在自动数据处理过程中任何非法的 违反职业道德的 未经过批准的行为都是计算机犯罪 我国刑法学者有人认为 凡是故意或过失不当使用计算机致使他人受损失或有受损失危险的行为 都是计算机犯罪 计算机犯罪概念 狭义说 计算机犯罪 通常是对计算机资产本身进行侵犯的犯罪 例如 瑞典的私人保密权法规定 未经过批准建立和保存计算机私人文件 非法窃取电子数据处理记录或非法篡改 删除记录侵犯个人隐私的行为都是计算机犯罪 我国有学者认为 计算机犯罪是指利用计算机操作所实施的危害计算机信息系统 包括内存数据及程序 安全的犯罪行为 计算机犯罪概念 折衷说 计算机本身在计算机犯罪中以 犯罪工具 或 犯罪对象 的方式出现 这一概念注重的是计算机本身在犯罪中的作用 如 德国学者施奈德认为 计算机犯罪指的是利用电子数据处理设备作为作案工具的犯罪行为或者把数据处理设备当作作案对象的犯罪行为 我国学者认为 计算机犯罪是以计算机为工具或以计算机资产为对象的犯罪行为 计算机犯罪的特点 犯罪形式的隐蔽性计算机犯罪一般不受时间和地点限制 可以通过网络大幅度跨地域远程实现 其罪源可来自全球的任何一个终端 随机性很强 计算机犯罪黑数高 计算机犯罪的特点 犯罪主体和手段的智能性计算机犯罪的各种手段中 无论是 特洛依木马术 还是 逻辑炸弹 无一不是凭借高科技手段实施的 而熟练运用这些手段并实现犯罪目的的则是具有相当丰富的计算机技术知识和娴熟的计算机操作技能的专业人员 计算机犯罪的特点 复杂性犯罪主体的复杂性 犯罪对象的复杂性 计算机犯罪的特点 跨国性网络冲破了地域限制 计算机犯罪呈国际化趋势 因特网络具有 时空压缩化 的特点 当各式各样的信息通过因特网络传送时 国界和地理距离的暂时消失就是空间压缩的具体表现 这为犯罪分了跨地域 跨国界作案提供了可能 犯罪分子只要拥有一台联网的终端机 就可以通过因特网到网络上任何一个站点实施犯罪活动 而且 可以甲地作案 通过中间结点 使其他联网地受害 由于这种跨国界 跨地区的作案隐蔽性强 不易侦破 危害也就更大 计算机犯罪的特点 匿名性罪犯在接受网络中的文字或图像信息的过程是不需要任何登记 完全匿名 因而对其实施的犯罪行为也就很难控制 罪犯可以通过反复匿名登录 几经周折 最后直奔犯罪目标 而作为对计算机犯罪的侦查 就得按部就班地调查取证 等到接近犯罪的目标时 犯罪分子早已逃之夭夭了 计算机犯罪的特点 损失大 对象广泛 发展迅速 涉及面广计算机犯罪始于六十年代 七十年代迅速增长 八十年代形成威胁 美国因计算机犯罪造成的损失已在千亿美元以上 年损失达几十亿 甚至上百亿美元 英 德的年损失也达几十亿美元 我国从1986年开始每年出现至少几起或几十起计算机犯罪 到1993年一年就发生了上百起 近几年利用计算机计算机犯罪的案件以每年30 的速度递增 其中金融行业发案比例占61 平均每起金额都在几十万元以上 单起犯罪案件的最大金额高达1400余万元 每年造成的直接经济损失近亿元 计算机犯罪的特点 持获利和探秘动机居多全世界每年被计算机犯罪直接盗走的资金达20亿美元 我国2001年发现的计算机作案的经济犯罪已达100余件 涉及金额达1700万元 在整个计算机犯罪中占有相当的比例 各种各样的个人隐私 商业秘密 军事秘密等等都成为计算机犯罪的攻击对象 侵害计算机信息系统的更是层出不穷 计算机犯罪的特点 低龄化和内部人员多我国对某地的金融犯罪情况的调查 犯罪的年龄在35岁以下的人占整个犯罪人数的比例 1989年是69 9 1990年是73 2 1991年是75 8 其中年龄最小的只有18岁 此外 在计算机犯罪中犯罪主体中内部人员也占有相当的比例 据有关统计 计算机犯罪的犯罪主体集中为金融 证券业的 白领阶层 身为银行或证券公司职员而犯罪的占78 并且绝大多数为单位内部的计算机操作管理人员 从年龄和文化程度看 集中表现为具有一定专业技术知识 能独立工作的大 中专文化程度的年轻人 这类人员占83 案发时最大年龄为34岁 计算机犯罪的特点 巨大的社会危害性网络的普及程度越高 计算机犯罪的危害也就越大 而且计算机犯罪的危害性远非一般传统犯罪所能比拟 不仅会造成财产损失 而且可能危及公共安全和国家安全 据美国联邦调查局统计测算 一起刑事案件的平均损失仅为2000美元 而一起计算机犯罪案件的平均损失高达50万美元 据计算机安全专家估算 近年因计算机犯罪给总部在美国的公司带来的损失为2500亿美元 计算机犯罪的类型举例 非法侵入计算机信息系统罪 刑法 第285条规定 违反国家规定 侵入国有事务 国防建设 尖端科学技术领域的计算机信息系统的 处三年以下有期徒刑或者拘役 计算机犯罪的类型举例 破坏计算机信息系统罪 这一行为 刑法 第286条概括为破坏计算机信息系统罪 主要表现为 故意对计算机信息系统功能进行删除 修改 增加 干扰 造成计算机信息系统不能正常运行 后果严重的行为 故意对计算机信息系统中存储处理或者传输的数据和应用程序进行删除 修改 增加的操作 后果严重的行为 故意制作 传播计算机病毒等破坏性程序 影响计算机系统正常运行 后果严重的行为 计算机犯罪的类型举例 刑法 第287条规定了利用计算机实施金融诈骗 盗窃 贪污 挪用公款 窃取国家秘密罪 利用计算机实施盗窃的行为纳入盗窃罪定罪处罚的范围 从而使盗窃罪更具信息时代的特征 如盗窃电子资金 不法分子往往利用电子资金过户系统 例如定点销售系统 自动存取款机 自动化票据交换所 电子身份证系统等提供的便利 使用计算机技术通过网络修改电子资金帐目 窃取电子资金 计算机犯罪的形式 数据欺骗非法篡改输入 输出数据获取个人利益 是最普通最常见的计算机犯罪活动 发生在金融系统的此种计算机犯罪多为内外勾结 串通作案 由内部人员修改数据 外部人员提取钱款 计算机犯罪的形式 意大利香肠术侵吞存款利息余额 积少成多的一种作案手段 是金融系统计算机犯罪的典型类型 这种方法很像偷吃香肠一样 每次偷吃一小片并不引起人们的注意 但是日积月累的数目也是相当可观 此类案件在国内外均有发现 因为只有修改计算机程序才能达到其犯罪目的 故多为直接接触程序的工作人员所为 目前国内多数为局域网管理银行帐目而产生此类犯罪 因此 要警惕采用此手段作案的罪犯 计算机犯罪的形式 特洛依木马 特洛依木马 来源于古希腊传说 相传希腊人为了攻陷特洛依城 在城外故意抛下一个木马并假装撤退 特洛依人将木马拖回城内后 埋伏在木马内的希腊士兵就打开城门 里应外合而将特洛依城攻陷 它是表面上来看是正常合适的 但在内部却隐藏秘密指令和非法程序段的程序的代名词 特洛依木马 就是用来表示以软件程序为基础进行欺骗和破坏的方法 计算机犯罪的形式 冒名顶替利用别人口令 窃用计算机谋取个人私利的做法 在机密信息系统和金融系统中 罪犯常以此手法作案 单用户环境多为内部人员所为 网络系统则可能为非法渗透 由于人们普遍存在猎奇心理 对别人加密程序 总想解密一睹 因此用户口令应注意保密和更新 且最好不用容易破译的口令密码 如电话号码 出生日期 人名缩写等 计算机犯罪的形式 清理垃圾从计算机系统周围废弃物中获取信息的一种方法 由此带来损失的例子并不罕见 提醒计算机用户不要随便处理所谓废弃物 因为其中可能含有不愿泄漏的信息资料 计算机犯罪的形式 逻辑炸弹指插入用户程序中的一些异常指令编码 该代码在特定时刻或特定条件下执行破坏作用 所以称为逻辑炸弹或定时炸弹 有关电子数据证据 任何材料要成为证据 均需具备三性 客观性关联性合法性 计算机取证 电子取证 定义 计算机取证专业资深人士JuddRobins 计算机取证不过是简单地将计算机调查和分析技术应用于对潜在的 有法律效力的证据的确定与获取上 计算机取证 电子取证 定义 一家专业的计算机紧急事件响应和计算机取证咨询公司 计算机取证包括了对以磁介质编码信息方式存储的计算机证据的保护 确认 提取和归档 计算机取证 电子取证 定义 一篇综述文章给出了如下的定义 计算机取证是使用软件和工具 按照一些预先定义的程序全面地检查计算机系统 以提取和保护有关计算机犯罪的证据 计算机取证 电子取证 定义 综合 计算机取证是指对能够为法庭接受的 足够可靠和有说服性的 存在于计算机和相关外设中的电子证据的确认 保护 提取和归档的过程 电子证据与传统证据的区别 计算机数据无时无刻不在改变 计算机数据不是肉眼直接可见的 必须借助适当的工具 搜集计算机数据的过程 可能会对原始数据造成很严重的修改 因为打开文件 打印文件等一般都不是原子操作 电子证据问题是由于技术发展引起的 因为计算机和电信技术的发展非常迅猛 所以取证步骤和程序也必须不断调整以适应技术的进步 国外计算机取证历史及现状 法律的制定 自1976年的FederalRulesofEvidence起 美国出现了如下一些法律解决由电子证据带来的问题 TheEconomicEspionageActof1996 处理商业机密窃取问题TheElectronicCommunicationsPrivacyActof1986 处理电子通信的窃听问题TheComputerSecurityActof1987 PublicLaw100 235 处理政府计算机系统的安全问题 国外计算机取证历史及现状 取证技术 逐渐走向自动化 智能化 政府与各专业机构均投入巨大人力 物力开发计算机取证专用工具 国外计算机取证历史及现状 用于电子数据证据获取的工具 如HigherGroundSoftwareInc 的软件HardDriveMechanic可用于从被删除的 被格式化的和已被重新分区的硬盘中获取数据 NTI公司的GetFree可从活动的WindowsSwap分区中恢复数据 该公司的软件GetSlack可自动搜集系统中的文件碎片并将其写入一个统一的文件 国外计算机取证历史及现状 用于电子数据证据保全的工具 GuidanceSoftware公司生产的硬件设备Fastbloc可用于Windows操作系统下计算机媒质内容的快速镜像 NTI的软件系统CRCMd5可用于在计算机犯罪调查过程中保护已搜集来的电子证据 保证其不被改变 也可以用于将系统从一台计算机迁移到另一台计算机时保障系统的完整性 该公司的软件SEIZED可用于保证用户无法对正在被调查的计算机或系统进行操作 国外计算机取证历史及现状 用于电子数据证据分析的工具 这类工具中最著名的是NTI公司的软件系统NetThreatAnalyzer 该软件使用人工智能中的模式识别技术 分析Slack磁盘空间 未分配磁盘空间 自由空间中所包含的信息 研究交换文件 缓存文件 临时文件及网络流动数据 从而发现系统中曾发生过的Email交流 Internet浏览及文件上传下载等活动 提取出与生物 化学 核武器等恐怖袭击 炸弹制造及性犯罪等相关的内容 该软件在美国9 11事件的调查中起到了很大的作用 国外计算机取证历史及现状 用于电子数据证据归档的工具 如NTI公司的软件NTI DOC可用于自动记录电子数据产生的时间 日期及文件属性 国外计算机取证历史及现状 结论 针对计算机取证的全部活动而言 美国的各研究机构与公司所开发的工具主要覆盖了电子数据证据的获取 保全 分析和归档的过程 各研究机构与公司也都在进一步优化现有的各种工具 提高利用工具进行电子证据搜集 保全 鉴定 分析的可靠性和准确度 进一步提高计算机取证的自动化和智能化 但目前还没有能够全面鉴定电子数据证据设备来源 地址来源 软件来源的工具 国内计算机取证历史及现状 我国的计算机普及与应用起步较晚 有关计算机取证的研究与实践工作也仅有10年的历史 相关的法律法规仍很不完善 学界对计算机犯罪的研究也主要集中于计算机犯罪的特点 预防对策及其给人类带来的影响 目前法庭案例中出现的计算机证据都比较简单 多是文档 电子邮件 程序源代码等不需特殊工具就可以取得的信息 但随着技术的进步 计算机犯罪的水平也在不断提高 目前的计算机取证技术己不能满足打击计算机犯罪 保护网络与信息安全的要求 自主开发适合我国国情的 能够全面检查计算机与网络系统的计算机取证的工具与软件已经迫在眉睫 计算机取证的主要原则 尽早搜集证据 并保证其没有受到任何破坏必须保证 证据连续性 有时也被称为 chainofcustody 即在证据被正式提交给法庭时 必须能够说明在证据从最初的获取状态到在法庭上出现状态之间的任何变化 当然最好是没有任何变化 整个检查 取证过程必须是受到监督的 也就是说 由原告委派的专家所作的所有调查取证工作 都应该受到由其它方委派的专家的监督 计算机取证的基本步骤 在取证检查中 保护目标计算机系统 避免发生任何的改变 伤害 数据破坏或病毒感染 搜索目标系统中的所有文件 包括现存的正常文件 已经被删除但仍存在于磁盘上 即还没有被新文件覆盖 的文件 隐藏文件 受到密码保护的文件和加密文件 全部 或尽可能 恢复发现的已删除文件 计算机取证的基本步骤 最大程度地显示操作系统或应用程序使用的隐藏文件 临时文件和交换文件的内容 如果可能并且如果法律允许 访问被保护或加密文件的内容 计算机取证的基本步骤 分析在磁盘的特殊区域中发现的所有相关数据 特殊区域至少包括下面两类 所谓的未分配磁盘空间 虽然目前没有被使用 但可能包含有先前的数据残留 文件中的 slack 空间 如果文件的长度不是簇长度的整数倍 那么分配给文件的最后一簇中 会有未被当前文件使用的剩余空间 其中可能包含了先前文件遗留下来的信息 可能是有用的证据 计算机取证的基本步骤 打印对目标计算机系统的全面分析结果 然后给出分析结论 系统的整体情况 发现的文件结构 数据 和作者的信息 对信息的任何隐藏 删除 保护 加密企图 以及在调查中发现的其它的相关信息 给出必需的专家证明 计算机取证的基本步骤 注 如上计算机取证原则及步骤都是基于一种静态的视点 即事件发生后对目标系统的静态分析 随着计算机犯罪技术手段的提高 这种静态的视点已经无法满足要求 发展趋势是将计算机取证结合到入侵检测等网络安全工具和网络体系结构中 进行动态取证 整个取证过程将更加系统并具有智能性 也将更加灵活多样 计算机取证相关技术 数据获取技术包括 对计算机系统和文件的安全获取技术 避免对原始介质进行任何破坏和干扰 对数据和软件的安全搜集技术 对磁盘或其它存储介质的安全无损伤备份技术 对已删除文件的恢复 重建技术 计算机取证相关技术 数据获取技术包括 对磁盘空间 未分配空间和自由空间中包含的信息的发掘技术 对交换文件 缓存文件 临时文件中包含的信息的复原技术 计算机在某一特定时刻活动内存中的数据的搜集技术 网络流动数据的获取技术等 计算机取证相关技术 数据分析技术 在已经获取的数据流或信息流中寻找 匹配关键词或关键短语是目前的主要数据分析技术 具体包括 文件属性分析技术 文件数字摘要分析技术 日志分析技术 计算机取证相关技术 数据分析技术 根据已经获得的文件或数据的用词 语法和写作 编程 风格 推断出其可能的作者的分析技术 发掘同一事件的不同证据间的联系的分析技术 数据解密技术 密码破译技术 对电子介质中的被保护信息的强行访问技术等 计算机取证技术发展趋势 计算机取证技术进一步与信息安全技术相结合 在网络协议设计过程中考虑到未来取证的需要 为潜在的取证活动保留充足信息 如RecursivesessiontokenprotocolusedincomputerforensicsandTCPtraceback 取证工具的开发往往结合人工智能 机器学习 神经网络和数据挖掘技术 电子数据证据的获取 技术性采集 关于数据恢复原理 微机系统 大多采用FAT FAT32或者NTFS三种文件系统 以FAT文件系统为例 数据文件写到基于该系统的磁盘上以后 会在目录入口和FAT表中记录相应信息 目录入口保留我们通常通过资源管理器等工具能看到的文件信息 如文件名称 大小 类型等 它还保留了该文件在FAT表 FileAllocationTable文件分配表 中相应记录项的地址 而FAT表记录了该文件在磁盘上所占用的各个实际扇区的位置 当我们从磁盘上删除一个文件 并从Windows提供的回收站中清除 下同 后 该文件在目录入口中的信息就被清除了 在FAT表中记录的该文件所占用的扇区也被标识为空闲 但其实这时保存在磁盘上的实际数据并未被真正清除 只有当其他文件写入 有可能使用该文件占用的扇区时 因为它们已被标识为空闲 该文件才会被真正覆盖掉 电子数据证据的获取 技术性采集 文件被删除或系统被格式化时的恢复 一般的来说 文件删除仅仅是把文件的首字节 改为E5H 而并不破坏本身 因此可以恢复 但由于对不连续文件要恢复文件链 由于手工交叉恢复对一般计算机用户来说并不容易 用工具处理 如可用NortonUtilities 可以用他来查找 另外 RECOVERNT等工具 都是恢复的利器 特别注意的是 千万不要在发现文件丢失后 在本机安装什么恢复工具 你可能恰恰把文件覆盖掉了 特别是你的文件在C盘的情况下 如果你发现主要文件被你失手清掉了 比如你按SHIFT删除 你应该马上直接关闭电源 用软盘启动进行恢复或把硬盘串接到其他有恢复工具的机器处理 误格式化的情况可以用等工具处理 电子数据证据的获取 技术性采集 文件损坏时的恢复 一般的说 恢复文件损坏需要清楚的了解文件的结构 不是很容易的事情 而这方面的工具也不多 不过一般的说 文件如果字节正常 不能正常打开往往是文件头损坏 就文件恢复举几个简单例子 类型特征处理ZIP TGZ等压缩包无法解压ZIP文件损坏的情况下可以用一个名为ZIPFIX的工具处理 电子数据证据的获取 技术性采集 文件损坏时的恢复 自解压文件无法解压可能是可执行文件头损坏 可以用对应压缩工具按一般压缩文件解压 DBF文件死机后无法打开典型的文件头中的记录数与实际不匹配了 把文件头中的记录数向下调整 电子数据证据的获取 技术性采集 硬盘被加密或变换时的恢复 一定要反解加密算法 或找到被移走的重要扇区 对于那些加密硬盘数据的病毒 清除时一定要选择能恢复加密数据的可靠杀毒软件 电子数据证据的获取 技术性采集 加密文件后密码破解 采用口令破解软件 如zipcrack等 其原理是字典攻击 有些软件是有后门的 比如DOS下的WPS Ctrl qiubojun就是通用密码 电子数据证据的获取 技术性采集 缺乏用户口令进入文件系统方法 用软盘启动 也可以把盘挂接在其他NT上 找到支持该文件系统结构的软件 比如针对NT的NTFSDOS 利用他把密码文件清掉 或者是COPY出密码档案 用破解软件套字典来处理 电子数据证据的获取 技术性采集 其余数据恢复策略 系统不认硬盘系统从硬盘无法启动 从A盘启动也无法进入C盘 使用CMOS中的自动监测功能也无法发现硬盘的存在 这种故障大都出现在连接电缆或IDE端口上 硬盘本身故障的可能性不大 可通过重新插接硬盘电缆或者改换IDE口及电缆等进行替换试验 就会很快发现故障的所在 如果新接上的硬盘也不被接受 一个常见的原因就是硬盘上的主从跳线 如果一条IDE硬盘线上接两个硬盘设备 就要分清楚主从关系 电子数据证据的获取 技术性采集 其余数据恢复策略 CMOS引起的故障CMOS中的硬盘类型正确与否直接影响硬盘的正常使用 现在的机器都支持 IDEAutoDetect 的功能 可自动检测硬盘的类型 当硬盘类型错误时 有时干脆无法启动系统 有时能够启动 但会发生读写错误 比如CMOS中的硬盘类型小于实际的硬盘容量 则硬盘后面的扇区将无法读写 如果是多分区状态则个别分区将丢失 还有一个重要的故障原因 由于目前的IDE都支持逻辑参数类型 硬盘可采用 Normal LBA Large 等 如果在一般的模式下安装了数据 而又在CMOS中改为其它的模式 则会发生硬盘的读写错误故障 因为其映射关系已经改变 将无法读取原来的正确硬盘位置 电子数据证据的获取 技术性采集 其余数据恢复策略 主引导程序引起的启动故障主引导程序位于硬盘的主引导扇区 主要用于检测硬盘分区的正确性 并确定活动分区 负责把引导权移交给活动分区的DOS或其他操作系统 此段程序损坏将无法从硬盘引导 但从软驱或光驱启动之后可对硬盘进行读写 修复此故障的方法较为简单 使用高版本DOS的FDISK最为方便 当带参数 mbr运行时 将直接更换 重写 硬盘的主引导程序 实际上硬盘的主引导扇区正是此程序建立的 FDISK EXE之中包含有完整的硬盘主引导程序 虽然DOS版本不断更新 但硬盘的主引导程序一直没有变化 从DOS3 x到Windos95的DOS 只要找到一种DOS引导盘启动系统并运行此程序即可修复 电子数据证据的获取 技术性采集 其余数据恢复策略 分区表错误引发的启动故障分区表错误是硬盘的严重错误 不同的错误程度会造成不同的损失 如果是没有活动分区标志 则计算机无法启动 但从软驱或光驱引导系统后可对硬盘读写 可通过FDISK重置活动分区进行修复 如果是某一分区类型错误 可造成某一分区的丢失 分区表的第四个字节为分区类型值 正常的可引导的大于32MB的基本DOS分区值为06 而扩展的DOS分区值是05 很多人利用此类型值实现单个分区的加密技术 恢复原来的正确类型值即可使该分区恢复正常 电子数据证据的获取 技术性采集 其余数据恢复策略 分区表错误引发的启动故障分区表中还有其它数据用于记录分区的起始或终止地址 这些数据的损坏将造成该分区的混乱或丢失 可用的方法是用备份的分区表数据重新写回 或者从其它的相同类型的并且分区状况相同的硬盘上获取分区表数据 恢复的工具可采用NU等工具软件 操作非常方便 当然也可采用DEBUG进行操作 但操作繁琐并且具有一定的风险 电子数据证据的获取 技术性采集 其余数据恢复策略 分区有效标志错误的故障在硬盘主引导扇区中还存在一个重要的部分 那就是其最后的两个字节 55aa 此字节为扇区的有效标志 当从硬盘 软盘或光盘启动时 将检测这两个字节 如果存在则认为有硬盘存在 否则将不承认硬盘 此处可用于整个硬盘的加密技术 可采用DEBUG方法进行恢复处理 另外 当DOS引导扇区无引导标志时 系统启动将显示为 MmissingOperatingSystem 可使用DOS系统通用的修复方法 电子数据证据的获取 技术性采集 其余数据恢复策略 DOS引导系统引起的启动故障DOS引导系统主要由DOS引导扇区和DOS系统文件组成 系统文件主要包括IO SYS MSDOS SYS COMMAND COM 其中COMMAND COM是DOS的外壳文件 可用其它的同类文件替换 但缺省状态下是DOS启动的必备文件 在Windows95携带的DOS系统中 MSDOS SYS是一个文本文件 是启动Windows必须的文件 但只启动DOS时可不用此文件 DOS引导出错时 可从软盘或光盘引导系统后使用SYSC 命令传送系统 即可修复故障 包括引导扇区及系统文件都可自动修复到正常状态 电子数据证据的获取 技术性采集 其余数据恢复策略 FAT表引起的读写故障FAT表记录着硬盘数据的存储地址 每一个文件都有一组FAT链指定其存放的簇地址 FAT表的损坏意味着文件内容的丢失 庆幸的是DOS系统本身提供了两个FAT表 如果目前使用的FAT表损坏 可用第二个进行覆盖修复 但由于不同规格的磁盘其FAT表的长度及第二个FAT表的地址也是不固定的 所以修复时必须正确查找其正确位置 一些工具软件如NU等本身具有这样的修复功能 使用也非常的方便 采用DEBUG也可实现这种操作 即采用其m命令把第二个FAT表移到第一个表处即可 如果第二个FAT表也损坏了 则也无法把硬盘恢复到原来的状态 但文件的数据仍然存放在硬盘的数据区中 可采用CHKDSK或SCANDISK命令进行修复 最终得到 CHK文件 这便是丢失FAT链的扇区数据 如果是文本文件则可从中提取出完整的或部分的文件内容 电子数据证据的获取 技术性采集 其余数据恢复策略 目录表损坏引起的引导故障目录表记录着硬盘中文件的文件名等数据 其中最重要的一项是该文件的起始簇号 目录表由于没有自动备份功能 所以如果目录损坏将丢失大量的文件 一种减少损失的方法也是采用CHKDSK或SCANDISK程序恢复的方法 从硬盘中搜索出 CHK文件 由于目录表损坏时仅是首簇号丢失 每一个 CHK文件即是一个完整的文件 把其改为原来的名字即可恢复大多数文件 电子数据证据的获取 技术性采集 其余数据恢复策略 格式化后硬盘数据的恢复在DOS高版本状态下 FORMAT格式化操作在缺省状态下都建立了用于恢复格式化的磁盘信息 实际上是把磁盘的DOS引导扇区 FAT分区表及目录表的所有内容复制到了磁盘的最后几个扇区中 因为后面的扇区很少使用 而数据区中的内容根本没有改变 这样通过运行UNFORMAT命令即可恢复 另外DOS还提供了一个MIROR命令用于记录当前磁盘的信息 供格式化或删除之后的恢复使用 此方法也比较有效 电子数据证据的获取 技术性采集 网络数据获取方法 Sniffer 如 windows平台上的sniffer工具 netxray和snifferpro软件等Linux平台下的TCPDump dumpthetrafficeonanetwork 根据使用者的定义对网络上的数据包进行截获的包分析工具 电子数据证据保全技术 数据加密技术 加密就是把数据和信息转换为不可辩识的密文的过程 使不应了解该数据和信息的人不能够识别 欲知密文的内容 需将其转换为明文 这就是解密过程 加密系统的组成 加密是在不安全的环境中实现信息安全传输的重要方法 电子数据证据保全技术 数据加密技术 加密和解密过程组成为加密系统 明文与密文总称为报文 任何加密系统 不管形式多么复杂 至少包括以下4个组成部分 1 待加密的报文 也称明文 2 加密后的报文 也称密文 3 加密 解密装置或算法 4 用于加密和解密的钥匙 它可以是数字 词汇或语句 电子数据证据保全技术 传统加密方法 代码加密 发送秘密消息的最简单方法 就是使用通信双方预先设定的一组代码 它简单而有效 得到了广泛的应用 例如 密文 老鼠已经出洞了 明文 匪徒已出现在目标区 电子数据证据保全技术 传统加密方法 替换加密 明文中的每个字母或每组字母被替换成另一个或一组字母 例如下面的一组字母之间的对应关系就构成了一个替换加密器 明文字母 ABCD 密文字母 LKJL 电子数据证据保全技术 传统加密方法 变位加密 变位加密不隐藏原明文的字符 但却将字符重新排列 例如 密钥 3145260 明文 火车已安全发出 密文 出车全火已安发 电子数据证据保全技术 传统加密方法 一次性密码簿加密 如果要既保持代码加密的可靠性 又保持替换加密器的灵活性 可采用一次性密码簿进行加密 密码簿的每一页都是不同的代码表 可以用一页上的代码来加密一些词 用后毁掉 再用另一页的代码加密另一些词 直到全部的明文都被加密 破译密文的惟一方法就是获得一份相同的密码簿 电子数据证据保全技术 基于公钥的加密算法 RSAPHP 电子数据证据保全技术 数字摘要技术 数字摘要技术 DigitalDigest 也称作为安全HASH编码法 SHA SecureHashAlgorithm 数字摘要技术用于对所要传输的数据进行运算生成信息摘要 它并不是一种加密机制 但却能产生信息的数字 指纹 它的目的是为了确保数据没有被修改或变化 保证信息的完整性不被破坏 电子数据证据保全技术 数字摘要技术的特点 它能处理任意大小的信息 并对其生成固定大小的数据摘要 数据摘要的内容不可预见 对于相同的数据信息进行HASH后 总是能得到同样的摘要 如果数据信息被修改 进行Hash后 其摘要必定与先前不同 HASH函数是不可逆的 无法通过生成的数据摘要恢复出源数据 电子数据证据保全技术 数字签名技术数字签名 DigitalSignature 用来保证信息传输过程中完整性 提供信息发送者的身份认证和不可抵赖性 使用公开密钥算法是实现数字签名的主要技术 由于公开密钥算法的运算速度比较慢 因此可使用HASH函数对要签名的信息进行摘要处理 减小使用公开密钥算法的运算量 因此 数字签名一般是结合了数字摘要技术和公开密钥算法共同使用 电子数据证据保全技术 实现数学签名的过程 签名信息1 对信息M进行HASH函数处理 生成摘要H2 用你的 发送者的 私钥加密H来获取数字签名S3 发送 M S 验证签名信息1 接受 M S 并区分开它们2 对接收到的信息M进行HASH函数处理 生成摘要H 3 取得发送者的公钥4 用公钥解密S 来获取H5 比较H和H 如果H和H 是一样的 即说明信息在发送过程中没有被篡改 由于对信息进行数字签名后 明文信息也通过网络进行传递 因此 在做完数字签名后 还要对整个信息 包括明文信息M和数字签名的密文信息S 进行加密 以保证信息的保密性 电子数据证据保全技术 数字证书公开密钥加密技术允许人们用私有密钥给电子信息进行数字签名 信息接收者可使用发送者的公开密钥来查证该信息确为相应私钥所签发 这一验证过程说明信息发送者确实拥有相应的私人密钥 但这并不能说明发送者是合法的 也就是说 信息发送者无法证明他们确为其所称之人 为了得到身份验证的身份证明 公共密钥必须以某种值得信赖的方式与个人相联系 这一任务由数字证书来完成 数字证书是一些电子信息 它将公钥与其所有者的个人详细资料 诸如姓名 地址 联系起来 然而 证书本身并无法保证其所有者的身份 要使别人认可 证书必须由更高的权威机构 认证中心 CA 签署 CA向身份得到证实的用户签署并颁发证书 其他人因此便可以信任这些证书了 因为这是由他们所信任的CA签署的 现在 当人们用他的私钥签发电子信息时 接收者可用与之相应的公钥核实电子信息 并且可用包含有公钥的证书验证发送者的身份 现今使用的证书格式大多遵循X 509标准 电子数据证据分析技术 日志分析 操作系统日志分析防火墙日志分析IDS软件日志分析应用软件日志分析 电子数据证据鉴定技术 电子数据证据 硬件来源 软件来源 地址来源 内容分析 电子数据证据鉴定技术 设备来源鉴定 CPU 提取CPU类型 序列号信息 存储设备 类型 ID 网络设备 网络接口卡 类型 MAC地址集线器 交换机 路由器 IP地址 物理地址 机器类型ATM交换机 IP地址 ATM地址 电子数据证据鉴定技术 软件来源鉴定 根据文件扩展名 摘要 作者名 软件注册码判断数据来自某一个软件及其作者 产生时间 鉴定时要考虑各种软件运行的动态特性 如下例 电子数据证据鉴定技术 电子数据证据鉴定技术 软件来源鉴定 在主机或网络中的有害代码与操作具有某些特点 如 为非授权用户在系统中制造一些后门 放宽文件许可权 重新开放不安全的服务 如REXD TFTP等 修改系统的配置 如系统启动文件 网络服务配置文件 替换系统本身的共享库文件 修改系统的源代码 安装特洛伊木马 安装sniffers 建立隐藏通道 或是采取各种方法来清除操作痕迹 篡改日志文件中的审计信息 改变系统时间造成日志文件数据紊乱以迷惑系统管理员 删除或停止审计服务进程 电子数据证据鉴定技术 IP地址来源鉴定 对于所搜集来的电子数据证据 需要对其源IP地址进行认定 从而更加有效地定位犯罪 随着网络技术的发展 计算机犯罪的智能化 复杂化也在不断提高 犯罪者往往利用TCP IP协议族 网络操作系统 网络设备的某些漏洞来实施攻击和犯罪行为 利用信任关系 远程登录 IP堆栈修改等方式来进行IP地址欺骗是进行网络犯罪的一种常用手段 电子数据证据鉴定技术 IP地址来源鉴定方法 利用源路由选项路由回溯法 沿路由逆向逐站追溯源站 传统DDoS调查方法开发新取证协议 如RecursivesessiontokenprotocolusedincomputerforensicsandTCPtraceback 电子数据证据鉴定技术 内容分析技术 本电子数据主要其中包括两种类型 一种是文件系统中所存在的本地数据或搜集来的网络数据 另一种是周边数据 如未分配的磁盘空间 Slack空间 临时文件或交换文件 其中可能含有与系统中曾发生过的软件的运行 特定操作的执行 曾经进行过的Internet浏览 Email交流等相关的信息 而电子数据证据内容分析技术就是在通过这两种数据流或信息流中寻找 匹配关键词或关键短语 以及对数据中包含的系统曾进行的Internet访问的URL Email交流的邮件地址进行基于模糊逻辑的分析来试图发现电子证据与犯罪事实之间的客观联系 电子数据证据鉴定系统示例 国家十五攻关项目 电子数据证据鉴定技术 承担单位 北大青鸟环宇科技股份有限公司 证据鉴定过程 系统结构设计 用户接口模块 地址认定模块 标准设备特征数据库 常用软件与操作特征数据库 数据设备来源智能分析模块 数据软件来源智能分析模块 特定软件与操作虚拟运行模块 鉴定结果生成