取证复习资料

一 判断题 1 计算机取证一定要用取证软件来进行取证才能找到有效证据 2 电子证据是指 以电子形式存在的 用作证据使用的一切材料及其派生物 3 收集到的电子证据只要是真实的就可以作为法庭的证据 二 名词解释题 1 动态取证 内存数据 通讯状态 IE 自动提交数据获取 通讯程序帐号 密码的获取 仿真运 行的数据 例如财务数据 数据库 取证人员依照法律规定和取证程序 由具有法律资格人员对于开机或者联网状态下的 计算机及其相关计算机设备 包括交换机 路由器等 的内存数据 系统运行状态等进行 相关的数据实时监控 分析和保存 从中发现相关的犯罪证据 作出具有法律效应的检测 分析报告以证明违法犯罪事实的存在 通常采用动态仿真系统 将待分析的硬盘中的操作系统模拟运行起来 然后再进行 通常采用动态仿真系统 将待分析的硬盘中的操作系统模拟运行起来 然后再进行 取证分析 提取一些在静态取证过程中无法获得的数据 如系统中已保存的各种密码 取证分析 提取一些在静态取证过程中无法获得的数据 如系统中已保存的各种密码 以 以 及分析木马 恶意代码程序等 及分析木马 恶意代码程序等 2 静态取证 各种存储介质的获取与复制 取证人员依照法律规定和取证程序 由具有法律资格人员对计算机硬件的原始数据进 行保全 检查 分析 然后从中找出与案件有关的数字证据 并作出具有法律效应的检测 分析报告以证明违法犯罪事实的存在 就是直接分析硬盘中的文件内容 不需要将硬盘中的操作系统运行起来 就是直接分析硬盘中的文件内容 不需要将硬盘中的操作系统运行起来 3 磁盘镜像 指复制到相同功能的存储装置中以起到增强数据整合度 增强容错功能 增加吞吐量等作用 指复制到不同的装置或数据格式 主要用于数据备份 磁盘镜像 一词一般有两种不同含义 一种是指复制到相同功能的存储装置中以起到增强 数据整合度 增强容错功能 增加吞吐量等作用 如 RAID 这时对应英文一般为 Disk Mirror 以下称为磁盘镜 另一种含义是指复制到不同的装置或数据格式 主要用于数据 备份 这时对应英文一般为 Disk Image 以下称为磁盘像 通常在使用中这两者都称为 镜像 或 磁盘镜像 又称磁盘映像 是将两个或两个以上的磁盘或磁盘子系统上生成同一个数据的镜像视 又称磁盘映像 是将两个或两个以上的磁盘或磁盘子系统上生成同一个数据的镜像视 图 图 4 只读锁 通过屏蔽写信号 确保不会修改犯罪嫌疑人的硬盘 只读隔离保护器 只读锁 提供了计算机海量存储设备基于硬件的安全写保护方案 从硬件的层面阻止了写入通道 能有效的保护存储设备中的电子数据取证的安全性 数据 能够从源盘读出来 但不会被意外修改 从而保证电子数据司法鉴定的有效性和数据完整 性 是取证分析的必备工具 用于保护连接的硬盘中的数据 避免数据被篡改 确保电子介质的访问操作符合 用于保护连接的硬盘中的数据 避免数据被篡改 确保电子介质的访问操作符合 司法规范 司法规范 5 主动取证 主动取证是指主动获取犯罪证据 作为证明犯罪者非法行为的电子数据证据的技术 主 要包括蜜网 蜜罐技术 动态监听与日志保全技术以及网络侦查陷阱 6 司法鉴定 司法鉴定是指在诉讼活动中鉴定人运用科学技术或者专门知识对诉讼涉及的专门性问题进 行鉴别和判断并提供鉴定意见的活动 7 证据固定 应当提取什么样的电子证据 如何提取并有效的固定电子证据 是问题的 关键 1 固定硬盘 2 部分文件的固定 3 固定易丢失的证据 证据固定是为保护证据的完整性 真实性 原始性 对证据固定和封存 针对电子证据的 固定可分为 克隆硬盘 部分文件的固定 易丢失证据的固定 由于有些证据因各种原因可能随时灭失或者发生变化 从而影响证据的认定 因此需要 由于有些证据因各种原因可能随时灭失或者发生变化 从而影响证据的认定 因此需要 通过一些方式 把这些证据及时固定下来 通过一些方式 把这些证据及时固定下来 8 MD5 为计算机安全领域广泛使用的一种散列函数 用以提供消息的完整性保护 为计算机安全领域广泛使用的一种散列函数 用以提供消息的完整性保护 MD5 全称是报文摘要算法常被用来验证网络文件传输的完整性 防止文件被人篡改 此算 法对任意长度的信息逐位计算 产生一个二进制长度为 128 位 十六进制长度为 32 位 的 指纹 或称 报文摘要 而不同的文件产生相同的报文摘要的可能性非常小 9 蜜罐技术 没有业务上的用途 因此所有流入 流出蜜罐的流量都预示着扫描 攻击及攻陷 主要用以 监视 检测和分析攻击 它用真实的或虚拟的系统模拟一个或多个易受攻击的主机 给入 侵者提供一个容易攻击的目标 从而发现攻击者采用的手段 蜜罐好比是情报收集系统 蜜罐好像是故意让人攻击的目标 引诱黑客前来攻击 所以 蜜罐好比是情报收集系统 蜜罐好像是故意让人攻击的目标 引诱黑客前来攻击 所以 攻击者入侵后 你就可以知道他是如何得逞的 随时了解针对服务器发动的最新的攻击和攻击者入侵后 你就可以知道他是如何得逞的 随时了解针对服务器发动的最新的攻击和 漏洞 还可以通过漏洞 还可以通过窃听窃听黑客之间的联系 收集黑客所用的种种工具 并且掌握他们的社交黑客之间的联系 收集黑客所用的种种工具 并且掌握他们的社交 网络 网络 10 数字隐藏 数字隐藏 数据隐写术 是一种隐秘通信技术 它是将隐秘信息嵌入到其他正 常媒体中 如文本 图像 音频 视频 通过对藏有隐秘信息的载体的传输 实现隐秘信息的传递 或者 数据隐写是将需要保密传输的信息隐藏在载 体文件中 在载体文件的掩护下 秘密信息得以安全保密的传输 而且数据隐 写术还可以和密码术进行有效的结合 进一步提高安全性 或者 或者采用将采用将 重要信息隐藏在一个看似平常的文件中来实现对重要信息的保密 重要信息隐藏在一个看似平常的文件中来实现对重要信息的保密 11 存储介质 指存储数据的载体 软盘 光盘 指存储数据的载体 软盘 光盘 DVD 硬盘 闪存 硬盘 闪存 U 盘 盘 CF 卡 卡 SD 卡 卡 MMC 卡 卡 SM 卡 记忆棒 卡 记忆棒 Memory Stick xD 卡等 卡等 存储介质是指存储数据的载体 比如软盘 光盘 DVD 硬盘 闪存 U 盘 CF 卡 SD 卡 MMC 卡 SM 卡 记忆棒 Memory Stick xD 卡等 目前最流行的存储介质是基于 闪存 Nand flash 的 比如 U 盘 CF 卡 SD 卡 SDHC 卡 MMC 卡 SM 卡 记忆棒 xD 卡等 12 硬盘柱面 扇区 磁道 磁盘柱面 所有盘面上的同一磁道构成一个圆柱 所有盘面上的同一磁道构成一个圆柱 扇区 信息以脉冲串的形式记录在这些轨迹中 这些同心圆不是连续记录数据 而是被划 分成一段段的圆弧 每段圆弧叫做一个扇区 操作系统以扇区 操作系统以扇区 Sector 形式将信息存储 形式将信息存储 在硬盘上 每个扇区包括在硬盘上 每个扇区包括 512 个字节的数据和一些其他信息 个字节的数据和一些其他信息 磁道 磁盘在格式化时被划分成许多同心圆 这些同心圆轨迹叫做磁道 磁盘在格式化时被划分成许多同心圆 这些同心圆轨迹叫做磁道 硬盘中 不同盘片相同半径的磁道所组成的圆柱称为柱面 磁盘上的每个磁道被等分为若干个弧段 这些弧段便是磁盘的扇区 硬盘的读写以扇区为 基本单位 当磁盘旋转时 磁头若保持在一个位置上 则每个磁头都会在磁盘表面划出一个圆形轨迹 这些圆形轨迹就叫做磁道 13 低格 从硬盘生产厂家出品的硬盘通常还是 盲盘 对其划分磁道和扇区这个工 作必须完成以后才能在上面记录数据 低级格式化就是将空白的磁盘划分出柱面和磁道 再将磁道划分为若干个扇区 每个扇区 又划分出标识部分 ID 间隔区 GAP 和数据区 DATA 等 可见 低级格式化是高级格式化 之前的一件工作 它不仅能在 DOS 环境来完成 也能在 Windows NT 系统下完成 而且低 级格式化只能针对一块硬盘而不能支持单独的某一个分区 每块硬盘在出厂时 已由硬盘 生产商进行低级格式化 因此通常使用者无需再进行低级格式化操作 简称低格 也称硬盘物理格式化 它的作用是检测硬盘磁介质 划分磁道 为每个磁道 简称低格 也称硬盘物理格式化 它的作用是检测硬盘磁介质 划分磁道 为每个磁道 划分扇区 并根据用户选定的交叉因子安排扇区在磁道中的排列顺序 划分扇区 并根据用户选定的交叉因子安排扇区在磁道中的排列顺序 14 MBR 即主引导记录区 位于整个硬盘的 0 磁道 0 柱面 1 扇区 它由两部分组成 分别是主引导记录 MBR main boot record 和分区表 DPT disk partition table MBR 即主引导记录 是对 IBM 兼容机的硬盘或者可移动磁盘分区时 在驱动器最前端 的一段引导扇区 MBR 描述了逻辑分区的信息 包含文件系统以及组织方式 此外 MBR 还包含计算机在启动的第二阶段加载操作系统的可执行代码或连接每个分区的引导记 录 VBR 这个 MBR 代码通常被称为引导程序 主引导记录区 位于整个硬盘的 主引导记录区 位于整个硬盘的 0 磁道磁道 0 柱面柱面 1 扇区 扇区 它负责它负责磁盘磁盘操作系统操作系统 DOS 对对 磁盘进行读写时分区合法性的判别 分区引导信息的定位 它由磁盘操作系统磁盘进行读写时分区合法性的判别 分区引导信息的定位 它由磁盘操作系统 DOS 在对在对 硬盘进行初始化时产生的 硬盘进行初始化时产生的 15 分区 就是将硬盘划分为一个个的逻辑区域 就是将硬盘划分为一个个的逻辑区域 分区 是物理磁盘的一部分 其作用如同一个物理分隔单元 分区通常指主分区或扩展分 区 16 NTFS 文件系统 是 是 WindowsNT 环境的文件系统 环境的文件系统 是一个基于安全性的文件系统 它是建立在保护文件和目录数据基础上 同时照顾节省存 储资源 减少磁盘占用量的一种先进的文件系统 17 AES 高级加密标准 英语 Advanced Encryption Standard 缩写 AES 在密码学中又称 Rijndael 加密法 是美国联邦政府采用的一种区块加密标准 这个标准用来替代原先的 DES 已经被多方分析且广为全世界所使用 经过五年的甄选流程 高级加密标准由美国 国家标准与技术研究院 NIST 于 2001 年 11 月 26 日发布于 FIPS PUB 197 并在 2002 年 5 月 26 日成为有效的标准 2006 年 高级加密标准已然成为对称密钥加密中最流行的 算法之一 高级加密标准 在高级加密标准 在密码学密码学中又称中又称 Rijndael 加密法 是加密法 是美国联邦政府美国联邦政府采用的一种区块加采用的一种区块加 密标准密标准 18 DES DES 全称为 Data Encryption Standard 即数据加密标准 是一种使用密钥加密的块算法数据加密标准 是一种使用密钥加密的块算法 1976 年被美国联邦政府的国家标准局确定为联邦资料处理标准 FIPS 随后在国际上广 泛流传开来 19 MAC 地址 MAC Media Access Control 或者 Medium Access Control 地址 意译为媒体访问控制 或 称为物理地址 硬件地址 用来定义网络设备的位置 在 OSI 模型中 第三层网络层负责 IP 地址 第二层数据链路层则负责 MAC 地址 因此一个主机会有一个 MAC 地址 而每 个网络位置会有一个专属于它的 IP 地址 物理地址 硬件地址 用来定义 物理地址 硬件地址 用来定义网络设备网络设备的位置 的位置 20 IP 地址 互联网协议地址 是以 TCP IP 协议进行数据通信的双方必须的 符合标准 格式的节点 主机或路由器等 地址标识符 同一网络上联网的节点 IP 地址不能重复 冲 突 IP 地址是指互联网协议地址 英语 Internet Protocol Address 又译为网际协议地址 是 IP Address 的缩写 IP 地址是 IP 协议提供的一种统一的地址格式 它为互联网上的每一个 网络和每一台主机分配一个逻辑地址 以此来屏蔽物理地址的差异 目前还有些 ip 代理软 件 但大部分都收费 互联网协议地址 互联网协议地址 IP 地址是地址是 IP 协议提供的一种统一的地址格式 它为互联网上的每一协议提供的一种统一的地址格式 它为互联网上的每一 个网络和每一台主机分配一个逻辑地址 以此来屏蔽物理地址的差异 个网络和每一台主机分配一个逻辑地址 以此来屏蔽物理地址的差异 21 邮件客户端 指使用 IMAP APOP POP3 SMTP ESMTP 协议收发电子邮件的软件 用 户不需要登入邮箱就可以收发邮件 邮件客户端通常指使用 IMAP APOP POP3 SMTP ESMTP 协议收发电子邮件的软件 用户 不需要登入邮箱就可以收发邮件 指使用 指使用 IMAP APOP SMTP ESMTP 协议收发电子邮件的软件 用户不需要登入邮箱就协议收发电子邮件的软件 用户不需要登入邮箱就 可以收发邮件 可以收发邮件 22 硬盘接口 硬盘与主机系统间的连接部件 作用是在硬盘缓存和主机内存之间传输数 据 现在的硬盘接口综合起来说可以分成如下几种 IDE 即 ATA SCSI IEEE1394 即火线 Serial ATA 串行 ATA 与 USB 硬盘接口是硬盘与主机系统间的连接部件 作用是在硬盘缓存和主机内存之间传输数据 不同的硬盘接口决定着硬盘与计算机之间的连接速度 在整个系统中 硬盘接口的优劣直 接影响着程序运行快慢和系统性能好坏 硬盘与主机系统间的连接部件 作用是在硬盘缓存和主机内存之间传输数据 硬盘与主机系统间的连接部件 作用是在硬盘缓存和主机内存之间传输数据 23 硬盘拷贝机 指对硬盘进行复制 将硬盘的所有数据通过物理复制的方式进行克隆 常规的拷贝方式包括 硬盘到硬盘 分区到分区 硬盘到分区 分区到硬盘 硬盘到文件 分区到文件等方式 是指对硬盘进行复制 将硬盘的所有数据通过物理复制的方式进行克隆 又称硬盘拷贝机 硬盘克隆机 它是司法过程中对嫌疑人计算机取证的常用工具之一 又称硬盘拷贝机 硬盘克隆机 它是司法过程中对嫌疑人计算机取证的常用工具之一 用于硬盘对硬盘的复制 在实现完全复制的同时 可使用用于硬盘对硬盘的复制 在实现完全复制的同时 可使用 CRC MD5 等校验技术检验生等校验技术检验生 成的复制数据与源硬盘数据的一致性 成的复制数据与源硬盘数据的一致性 24 系统日志 系统日志是记录系统中硬件 软件和系统问题的信息 同时还可以监视系统中发生的事件 用户可以通过它来检查错误发生的原因 或者寻找受到攻击时攻击者留下的痕迹 系统日 志包括系统日志 应用程序日志和安全日志 25 IDS 入侵检测系统 IDS Intrusion Detection System 完成入侵检测功能的软件 硬件组合 该 系统对系统资源的非授权使用能够做出及时的判断 记录和报警 入侵检测系统入侵检测系统 依照一定的 依照一定的安全策略安全策略 通过软 硬件 对网络 系统的运行状况进行监 通过软 硬件 对网络 系统的运行状况进行监 视 尽可能发现各种攻击企图 攻击行为或者攻击结果 以保证网络系统资源的机密性 视 尽可能发现各种攻击企图 攻击行为或者攻击结果 以保证网络系统资源的机密性 完整性和可用性 完整性和可用性 26 端口 传输层提供应用程序与网络之间的各接口点称为端口 它是个预定义的内部地址 编号 以 16 位字标识 提供从应用程序到传输层或从传输层到应用程序之间的一条通 路 端口 是英文 port 的意译 可以认为是设备与外界通讯交流的出口 端口可分为虚拟端口 和物理端口 其中虚拟端口指计算机内部或交换机路由器内的端口 不可见 例如计算机 中的 80 端口 21 端口 23 端口等 物理端口又称为接口 是可见端口 计算机背板的 RJ45 网口 交换机路由器集线器等 RJ45 端口 电话使用 RJ11 插口也属于物理端口的范畴 或是设备与外界通讯交流的出口 端口可分为虚拟端口和物理端口 其中虚拟端口指计 或是设备与外界通讯交流的出口 端口可分为虚拟端口和物理端口 其中虚拟端口指计 算机内部或交换机路由器内的端口 不可见 算机内部或交换机路由器内的端口 不可见 27 SIM 卡密码 SIM 卡密码分为 PIN 码 PIN2 码 PUK 码和 PUK2 码共 四种 这四种密码的初始码是由提供 SIM 卡的移动网 络运营商提供的 四种密码的关系如下 PIN 码 PIN1 是 SIM 卡的个人识別密码 PUK 码 PUK1 由 8 位数字组成 这是用户无法更改的 PIN2 码是设定手机计费时使用的 如果 PIN2 码输入三次错误 手机就需要用 PUK2 码解锁 28 系统启动项 就是开机的时候系统会在前台或者后台运行的程序 29 数字指纹 数字指纹是利用数字作品中普遍存在的元余数据与随机性 向被分发的每一份软件 图像 或者其它数字拷贝中引人一定的误差 使得该拷贝是唯一的 从而可以在发现被非法再分发的 拷贝时 可以根据该拷贝中的误差跟踪到不诚实原始购买者的一种数字作品版权保护技术 或是将不同的标志性识别代码 或是将不同的标志性识别代码 指纹 利用指纹 利用数字水印数字水印技术嵌入到数字媒体中 然后将技术嵌入到数字媒体中 然后将 嵌入了指纹的数字媒体分发给用户 发行商发现盗版行为后 就能通过提取盗版产品中的嵌入了指纹的数字媒体分发给用户 发行商发现盗版行为后 就能通过提取盗版产品中的 指纹 确定非法复制的来源 对盗版者进行起诉 从而起到版权保护的作用 指纹 确定非法复制的来源 对盗版者进行起诉 从而起到版权保护的作用 三 画图 1 画出一般的加密解密过程 2 画出计算机取证与司法鉴定的层次功能表 3 画出数字水印的嵌入和提取过程 4 画出信息隐藏系统的一般模型 5 TcP IP 协议与 Is0 模型 的对应关系 6 手机取证的一般流程 获取证物 提取数据 检查分析 报告分析 四 分析 1 计算机犯罪现场勘査基本步骤 1 研究案情 观察 巡视现场 确定中心现场和勘查范围 2 根据现场环境和案情 确定勘查顺序 一般以计算机为中心向外围勘查 对于比较大 的现场可采用分片 分区的办法同时进行 3 用照相 录像 绘图 笔录等方法将原始现场 固定 下来 对显示器屏幕上图像 文字也要用照相 录像的方法及时取证 拍照屏幕显示内容时 相机速度应为 1 30 秒或 更低 光圈为 5 6 或 8 不要用闪光灯 4 在确保不破坏计算机内部信息的前提下 寻找可能与犯罪有关的可疑痕迹物证 如手 印 足迹 工具痕迹 墨水等痕迹 系统手册 运行记录 打印资料等文件 磁盘 磁带 光盘和优盘等存储器件 或 或现场安保现场安保 现场拍照或记录现场设备连接状态现场拍照或记录现场设备连接状态 收集相关外部证物收集相关外部证物 处理计处理计 算机算机 是否关机是否关机 若是则提取系统时间若是则提取系统时间 若不是则固定易丢失数据若不是则固定易丢失数据 介质复制介质复制 封存证物封存证物 填写清单填写清单 2 计算机取证 网络取证 手机取证的异同点分析 计算机取证 计算机取证 是指运用计算机辨析技术 对计算机犯罪行为进行分析以确认罪犯及计算 机证据 并据此提起诉讼 网络取证 网络取证 是抓取 记录和分析网络事件以发现安全攻击或其他的问题事件的来源 手机取证 手机取证 是从手机 SIM 卡 手机内 外置存储卡以及移动网络运营商数据库中收集 保全和分析相关的电子证据 并最终从中获得具有法律效力 能被法庭所接受的证据的过程 计算机取证的主要方法有对文件的复制 被删除文件的恢复 缓冲区内容获取 系统日 志分析等等 是一种被动式的事后措施 不特定于网络环境 网络取证更强调对网络安全的主动防御功能 主要通过对网络数据流 审计 主机系统 日志等的实时监控和分析 发现对网络系统的入侵行为 记录犯罪证据 并阻止对网络系 统的进一步入侵 取证的数据源不同 数字证据只是片断或摘要 容易被改变 模糊的证据形式 3 如何对一块带有操作系统的嫌疑硬盘进行取证 第一步 连接嫌疑硬盘 将嫌疑人的硬盘与只读锁连接 第二步 连接取证计算机 第三步 连接只读锁电源 第四步 开始工作 4 分析说明对硬盘做司法鉴定报告里主要要有哪些内容 一般包括标题 编号 基本情况 检案摘要 检验过程 检验结果 落款 附件及附注等 内容 一 标题 写明司法鉴定机构的名称和委托鉴定事项 二 编号 写明司法鉴定机构缩略名 年份 专业缩略语 文书性质缩略语及序号 三 基本情况 写明委托人 委托鉴定事项 受理日期 鉴定材料 鉴定日期 鉴 定地点 在场人员 被鉴定人等内容 鉴定材料应当客观写明委托人提供的与委托鉴定事项有关的检材和鉴定资料的简要情 况 并注明鉴定材料的出处 四 检案摘要 写明委托鉴定事项涉及案件的简要情况 五 检验过程 写明鉴定的实施过程和科学依据 包括检 材处理 鉴定程序 所用技术方法 技术标准和技术规范等内容 六 检验结果 写明对委托人提供的鉴定材料进行检验后得出的客观结果 七 分析说明 写明根据鉴定材料和检验结果形成鉴定意见的分析 鉴别和判断的 过程 引用的资料应当注明出处 八 鉴定意见 应当明确 具体 规范 具有针对性和可适用性 九 落款 由司法鉴定人签名或者盖章 并写明司法鉴定人的执业证号 同时加盖 司法鉴定机构的司法鉴定专用章 并注明文书制作日期等 十 附注 对司法鉴定文书中需要解释的内容 可以在附注中作出说明 司法鉴定文书附件应当包括与鉴定意见 检验报告有关的关键图表 照片等以及有 关音像资料 参考文献等的目录 附件是司法鉴定文书的组成部分 应当附在司法鉴定文 书的正文之后 或者或者报告包括有调查人员提供的分析结果 鉴定流程及使用的设备 软件 硬件 等详细描述 通常电子数据鉴定报告的容量较大 要求的报告形式也多种多样 可能包括 图片 声音 影像等 因此 除提供纸页式的鉴定报告外 还会将大量数据资料作为附件 存放在 CD ROM 5 系统用户分析包括哪些内容 1 1 用户列表 用户列表 2 用户属性 用户属性 3 用户相 用户相 关的文档 所有权等 关的文档 所有权等 五 简答 1 文档碎片在电子取证中有什么应用 能够获取文件闲散区域中的内容 并能够利用搜索算法获取该内容的关键字等 能够对存储介质上已删除的数据块进行恢复 但不能专门用来对文档碎片证据进行提取 分析等 通过分析 word 文档作者信息和时间戳信息的存储方法和格式 从破损的 word 文档中提 取作者信息和时间戳信息 2 列举 4 种注册表在电子取证中的应用 1 查看和分析自启动位置可以给调查者提供线索 被调查的活动是用户执行的结果 还 是恶意软件或攻击者执行的结果 2 查看最近打开或存储的文件 可以得到近来关于用户活动的线索 3 通过对犯罪嫌疑人计算机 Windows 注册表的查看和分析 调查员可以快速掌握其相 关信息 如最后一次的登录时间 最近打开的网页 最近打开的文件和 Outlook Outlook Express 帐户密码等关键信息 4 通过大量分析注册表可以跟踪和定位攻击者 利用有效的技术手段把注册表文件作为 有效证据起诉攻击者 或 或 1 1 可以查看最近使用文件列表 可以查看最近使用文件列表 2 2 保留了可移动存储设备信息 保留了可移动存储设备信息 3 3 查看 查看 和分析自启动位置可以给调查者提供线索 被调查的活动是用户执行的结果 和分析自启动位置可以给调查者提供线索 被调查的活动是用户执行的结果 还是恶意软件或攻击者执行的结果 还是恶意软件或攻击者执行的结果 4 4 可以查看用户信息项 可以查看用户信息项 3 列举 4 种以上的网络证据源 1 手机短信形式电子证据的收集 2 电子邮件形式电子证据的收集 3 网络聊天形式电子证据材料的收集 4 防火墙日志 IDS 日志 其它网络工具所产生的记录和日志等 或 或 1 1 防火墙和路由器 防火墙和路由器 2 2 数据包嗅探器和协议分析器 数据包嗅探器和协议分析器 3 3 入侵检测系统 远入侵检测系统 远 程访问服务器 程访问服务器 4 4 安全事件管理 安全事件管理 SEMSEM 软件 软件 5 5 网络取证分析工具网络取证分析工具 4 如何获取易丢失的证据 1 打印 对网络犯罪案件在文字内容上有证明意义的情况下 可以直接将有关内容打印 在纸张上的方式进行取证 2 拷贝 是将计算机文件拷贝到软盘 活动硬盘或光盘中的方式 3 拍照 摄像 如果该证据具有视听资料的证据意义 可以采用拍照 摄像的方法进行 证据的提取和固定 以便全面 充分地反映证据的证明作用 同时对取证全程进行拍照 摄像 还具有增加证明力 防止翻供的作用 4 制作司法文书 一般包括检查笔录和鉴定 5 查封 扣押 对于涉及案件的证据材料 物件 为了防止有关当事人进行损毁 破坏 可以采取查封 扣押的方式 将有关材料置于司法机关保管之下 6 公证 由于电子证据极易被破坏 一旦被破还又难以恢复原状 所以 通过公证机构 将有关证据进行公证固定是获取电子证据的有效途径之一 或 或 1 运行可信的 运行可信的 cmd exe 程序程序 2 记录系统时间和日期 记录系统时间和日期 3 确定哪些人登 确定哪些人登 录到该系统 包括远程用户 录到该系统 包括远程用户 4 记录所有文件的创建 修改和访问时间 记录所有文件的创建 修改和访问时间 5 5 确 确 定打开的端口定打开的端口 5 取证大师 能完成的工作有哪些 静态存储介质分析 傻瓜式操作自动取证 在线状态下动态获取相关信息 简单操作打打 勾就完成取证分析内容 方便快捷打印取证报告 提取各种硬盘中嫌疑人所安装的操作系统的各种信息包括操作系统开关机时间 安装日期 网络信息 服务信息 安装软件列表 共享文件夹信息 用户最后一次登录时间等 直接察看用户最近访问的文档 USB 设备的使用情况 打印信息记录分析调查 上网记录分析调查 即时通讯软件聊天记录自动分析 邮件调查 全球领先的 WEB 邮件分析功能 反取证软件检测技术 文档自动分类和快速提取 查找加密文件 或 或自动取证 并行取证 电子邮件 即时通讯软件信息自动分析 上网记录自动取证 并行取证 电子邮件 即时通讯软件信息自动分析 上网记录 自动分析 支持恢复已删除访问记录 文档自动分类和快速提取 直观的用户自动分析 支持恢复已删除访问记录 文档自动分类和快速提取 直观的用户 行为痕迹分析 独创的反取证软件检测 格式化分区行为痕迹分析 独创的反取证软件检测 格式化分区数据恢复 支持对加密光数据恢复 支持对加密光 盘进行调查 盘进行调查 6 实际取证一般要用哪些工具设备 常用的计算机取证设备有 ENCASE X WAYS FTK 效率源 DataCompass 等工具 目前国内的计算机取证设备不少 包括 Data Copy King 多功能复制擦除检测一体机 Data Compass 数据指南针司法取证专版 简称 DC 网警计算机犯罪取证勘察箱等 或电子 或电子 证据只读锁 硬盘复制机 现场取证勘