信息安全技术（HCIA-Security）（微课版）（第2版） 课件 第13、14章 安全运营与数据监控、电子取证

安全运营简介安全是发展的保障，发展是安全的目的。网络安全是全球性挑战，没有哪个国家能够置身事外、独善其身，维护网络安全是国际社会的共同责任。文字学习大国重器《中国超级计算机有多牛》拓展主题爱国主义、科技强国、技能强国在当今信息时代，安全运营逐渐成为一个热门话题。信息安全事故层出不穷，大大影响了企业的正常运行，迄今为止已对世界各地企业造成了不可估量的损失，而安全运营是全方面保证企业业务持续安全运行的必要条件。本章节将介绍安全运营的基本概念，并且对安全运营需要具备的条件进行简单介绍。学完本课程后，您将能够：描述安全运营的概念了解安全运营的内容描述数据监控与分析的技术手段描述数据采集的过程使用威胁定位的技术安全运营概念安全运营概念安全运营基本要求安全运营内容简述数据监控数据分析安全运营概念在企业信息安全建设初期，企业安全工作主要内容是通过购买一系列的安全设备部署在各个协议层以保证业务日常的稳定运行。而随着安全问题频发，如信息泄露事件、自然灾害等，从业人员逐渐意识到仅仅部署安全设备并不能实现有效的安全运营。安全运营必须是资源、流程和管理的有效结合，才能达到保护企业业务安全持续稳定运行的目的。安全运营概念安全运营概念安全运营基本要求安全运营内容简述数据监控数据分析安全运营基本条件安全运营涉及方方面面的要求，以下为安全运营的基本运营条件：安全运营业务连续性计划物理安全管理安全运营事件预防及响应灾难恢复计划调查取证保护资源的配置理解和应用基本的安全操作原则采用资源保护技术执行和支持补丁及脆弱性管理参与和理解变更管理流程参与解决人身安全管理日志和监控行为实施事件管理操作和维护预防措施实施恢复策略执行灾难恢复过程测试灾难恢复计划理解和支持调查理解调查取证类别的要求安全运营概念安全运营内容简述业务连续性计划事件响应管理灾难恢复计划调查取证数据监控数据分析业务连续性计划业务连续性计划（BusinessContinuityPlanning，BCP）的目标是在紧急情况下提供快速、沉着和有效的响应，从而增强企业立即从破坏性事件中恢复过来的能力。业务连续性计划基本步骤项目范围和计划编制连续性计划编制BCP文档化业务影响评估项目范围和计划任何流程或计划的制定都必须依据具体组织的实际业务的规模和性质，符合企业文化，并且遵守相关法律。如下是制定计划初期无额定项目范围的具体要求：业务组织分析BCP团队组建资源要求法律和法规要求业务影响评估业务影响评估（BusinessImapctAssessment）确定了能够决定组织持续发展的资源，以及对这些资源的威胁，并且还评估每种威胁实际出现的可能性以及出现的威胁对业务的影响。业务影响评估包含以下部分：确定优先级风险识别可能性评估影响评估资源优先级划分连续性计划编制上两个阶段主要用于确定BCP的工作过程以及保护业务资产的有限顺序，在连续性计划编制阶段则注重于连续性策略的开发和实现，在这一阶段涉及以下任务：2345计划实现预备和处理培训和教育计划批准1策略开发BCP文档化将BCP文档化有助于在发生紧急事件时，此文档能够对BCP人员提供处理威胁事件的指导。同时，该文档记录了修改历史，为后续处理类似事件或者文档修改提供经验借鉴。文档的内容应当包含以下内容：连续性计划的目标重要性声明组织职责的声明紧急程度和时限的声明风险评估可接受的风险/风险调解重大记录计划响应紧急事件的指导原则维护测试和演习安全运营概念安全运营内容简述业务连续性计划事件响应管理灾难恢复计划调查取证数据监控数据分析事件响应管理并非所有的威胁事件都能被预防，业务连续性计划提供了处理紧急事件的流程指导，尽快地对威胁事件进行响应，能够尽量减少事件对组织的影响。响应缓解报告恢复修复检测经验教训安全运营概念安全运营内容简述业务连续性计划事件响应管理灾难恢复计划调查取证数据监控数据分析灾难恢复计划在灾难事件导致业务中断时，灾难恢复计划开始生效，指导紧急事件响应人员的工作，将业务还原到正常运行的状态。灾难恢复计划包括以下内容：实施恢复策略执行灾难恢复过程测试灾难恢复计划安全运营概念安全运营内容简述业务连续性计划事件响应管理灾难恢复计划调查取证数据监控数据分析调查在采取措施之前，需要确定攻击已经发生，攻击发生之后需要对该安全事件进行调查和收集证据，调查是为了找出发生了什么，以及该事件的损害程度。操作型调查犯罪调查民事调查监管调查电子发现证据为了成功地检举犯罪，必须提供足够的证据来证实犯罪行为。证据的类型分为：实物证据文档证据言辞证据调查取证流程事故确认请求执法证据收集及保存约谈个人提起诉讼本章主要介绍如何通过技术手段获取有效信息，并针对获取的信息分析，定位安全风险与威胁。数据的收集可以从互联的网络设备中采集，也可以检查提供服务的终端系统。在安全事件发生前，通过数据的监控和分析，主动分析网络的安全风险，加固网络；在安全事件发生后，通过数据的监控和分析，迅速定位安全威胁，为攻击防御与取证提供支持。安全运营概念安全运营内容简述数据监控主动分析被动采集数据分析主动分析主动分析：在攻击发生前，对网络的状况进行安全评估，对暴露的问题进行及时的改正，加固网络，提升网络的安全性。安全评估方法如图所示：安全评估方法1.安全扫描2.人工审计3.渗透测试4.调查问卷5.访谈调研安全扫描工作目标：为了充分了解目标系统当前的网络安全漏洞状况，需要利用扫描分析评估工具对目标系统进行扫描，以便发现相关漏洞。工作内容：系统开放的端口号系统中存在的安全漏洞是否存在弱口令SQL注入漏洞跨站脚本漏洞工作输出扫描工具生成结果安全扫描人工审计渗透测试问卷调查访谈调研扫描工具工具类型工具名称用途扫描类型端口扫描软件superscan

功能强大的端口扫描软件：通过Ping来检验IP是否在线；检验目标计算机提供的服务类别；检验一定范围目标计算机的是否在线和端口情况。Nmap是Linux下的网络扫描和嗅探工具包。基本功能：一是探测一组主机是否在线；其次是扫描主机端口，嗅探所提供的网络服务；还可以推断主机所用的操作系统。漏洞扫描工具Sparta集成于Kali内的漏洞扫描工具，能够发现系统中开启的服务以及开放端口，还可以根据字典，暴力破解应用的用户名和密码。应用扫描BurpSuiteBurpSuite是用于渗透web应用程序的集成平台。它包含了许多工具，并为这些工具设计了许多接口，以促进加快攻击应用程序的过程。Superscan工具使用展示如图，使用Superscan对实验环境中的web服务器进行扫描，测试如图：查看Superscan扫描结果在“Scan”菜单栏，点解“ViewHTMLResult”查看扫描结果，如下图：Nmap工具使用展示选择“Application”中的“InformationGathering”，点击“Nmap”，如图：查看Nmap扫描结果根据Nmap工具的参数规则，对目标系统进行信息收集，如下图是对主机开放的TCP端口进行扫描：Sparta工具使用展示选择“Application”中的“VulnerabilityAnalysis”，点击“Sparta”，如图：查看Sparta扫描结果在操作界面添加要扫描的地址网段或主机地址，进行扫描，如图展示了目标主机开放的端口及应用，而且可以查看操作系统的信息：BurpSuite使用展示BurpSuite会向应用发送请求并通过payload验证漏洞。它对下列的两类漏洞有很好的扫描效果：客户端的漏洞，像XSS、Http头注入、操作重定向；服务端的漏洞，像SQL注入、命令行注入、文件遍历。BurpSuite扫描结果在Results界面，自动显示队列中已经扫描完成的漏洞明细。人工审计工作目标人工审计是对工具评估的一种补充，它不需要在被评估的目标系统上安装任何软件，对目标系统的运行和状态没有任何影响，在不允许安装软件进行检查的重要主机上显得非常有用。工作内容安全专家对包括主机系统、业务系统、数据库、网络设备、安全设备等在内的目标系统进行人工检查。检查的内容视检查目标不同将可能涵盖以下方面：是否安装最新补丁是否使用服务最小化原则，是否开启了不必要的服务和端口防火墙配置策略是否正确安全扫描人工审计渗透测试问卷调查访谈调研渗透测试渗透测试是作为外部审查的一部分而进行的。这种测试需要探查系统，以发现操作系统和任何网络服务，并检查这些网络服务有无漏洞。渗透测试的流程如下：1信息收集、分析2制定渗透方案、实施准备3前段信息汇报、分析4提升权限、渗透实施5渗透结果总结6输出渗透测试报告7提出安全解决建议安全扫描渗透测试问卷调查访谈调研渗透测试调查问卷调查对象网络系统管理员、安全管理员、技术负责人等调查内容业务、资产、威胁、脆弱性（管理方面）。设计原完整性、具体性、简洁性、一致性安全扫描渗透测试问卷调查访谈调研渗透测试访谈调研访谈对象安全管理员、技术负责人、网络系统管理员等访谈内容确认问卷调查结果详细获取管理执行现状听取用户想法和意见安全扫描渗透测试问卷调查访谈调研渗透测试安全运营概念安全运营内容简述数据监控主动分析被动采集数据分析被动获取被动获取：当攻击发生时，及时采集数据，分析攻击使用的方法，以及网络存在的问题，进行及时的补救，减少损失。数据采集方式如下所示：数据采集抓包命令行抓包软件端口镜像日志网络设备日志操作系统日志抓包-命令行(1)命令行：查看OSPF邻居建立过程。<Switch>debuggingospfeventApr12201812:03:16.370.1-05:00SW3RM/6/RMDEBUG:FileID:0x7017802dLine:1136Level:0x20OSPF1:Nbr4RcvHelloReceivedStateDown->Init.Apr12201812:03:16.380.1-05:00SW3RM/6/RMDEBUG:FileID:0x7017802dLine:1732Level:0x20OSPF1:Nbr4Rcv2WayReceivedStateInit->2Way.Apr12201812:03:16.390.1-05:00SW3RM/6/RMDEBUG:FileID:0x7017802dLine:1732Level:0x20OSPF1:Nbr4RcvAdjOk?State2Way->ExStart.Apr12201812:03:16.400.1-05:00SW3RM/6/RMDEBUG:FileID:0x7017802dLine:1845Level:0x20OSPF1:Nbr4RcvNegotiationDoneStateExStart->Exchange.Apr12201812:03:16.410.1-05:00SW3RM/6/RMDEBUG:FileID:0x7017802dLine:1957Level:0x20OSPF1:Nbr4RcvExchangeDoneStateExchange->Loading.Apr12201812:03:16.430.1-05:00SW3RM/6/RMDEBUG:FileID:0x7017802dLine:2359Level:0x20OSPF1:Nbr4RcvLoadingDoneStateLoading->Full.抓包-命令行(2)命令行：查看OSPF报文信息具体内容。<Switch>debuggingospfpacketApr12201812:05:42.930.2-05:00SW3RM/6/RMDEBUG:SourceAddress:4Apr12201812:05:42.930.3-05:00SW3RM/6/RMDEBUG:DestinationAddress:Apr12201812:05:42.940.1-05:00SW3RM/6/RMDEBUG:Ver#2,Type:1(Hello)Apr12201812:05:42.940.2-05:00SW3RM/6/RMDEBUG:Length:48,Router:4Apr12201812:05:42.940.3-05:00SW3RM/6/RMDEBUG:Area:,Chksum:4dcfApr12201812:05:42.940.4-05:00SW3RM/6/RMDEBUG:AuType:00Apr12201812:05:42.940.5-05:00SW3RM/6/RMDEBUG:Key(ascii):********dApr12201812:05:42.940.6-05:00SW3RM/6/RMDEBUG:NetMask:eApr12201812:05:42.940.7-05:00SW3RM/6/RMDEBUG:HelloInt:10,Option:_E_Apr12201812:05:42.940.8-05:00SW3RM/6/RMDEBUG:RtrPriority:1,DeadInt:40Apr12201812:05:42.940.9-05:00SW3RM/6/RMDEBUG:DR:4Apr12201812:05:42.940.1-05:00SW3RM/6/RMDEBUG:BDR:3Apr12201812:05:42.940.2-05:00SW3RM/6/RMDEBUG:#AttachedNeighbors:1Apr12201812:05:42.940.3-05:00SW3RM/6/RMDEBUG:Neighbor:3抓包-工具(1)使用wireshark抓包工具，查看OSPF邻居建立过程。抓包-工具(2)使用wireshark抓包工具，查看OSPF报文信息具体内容。端口镜像端口镜像是指设备复制从镜像端口流经的报文，并将此报文传送到指定的观察端口进行分析和监控。监控设备镜像端口观察端口Client1Client2Client3网络设备日志以USG6330为例，支持日志与报表，当硬盘不在位时，仅能查看并导出系统日志及业务日志。硬盘不在位：硬盘在位：防火墙日志格式防火墙支持的日志格式：格式使用场景二进制格式会话日志以二进制格式输出时，占用的网络资源较少，但不能在FW上直接查看，需要输出到日志服务器查看。Syslog格式话日志、丢包日志以及系统日志以Syslog格式输出时，日志的信息以文本格式呈现。Netflow格式对于会话日志，FW还支持以Netflow格式输出到日志服务器进行查看，便于管理员分析网络中的IP报文流信息。Dataflow格式业务日志以Dataflow格式输出，在日志服务器上查看。系统日志以防火墙USG6000为例，查看系统日志：选择“监控>日志>系统日志”，查看防火墙的系统日志信息。业务日志以防火墙USG6000为例，查看业务日志：选择“监控>日志>业务日志”，查看防火墙的业务日志信息。告警信息以防火墙USG6000为例，查看业务日志：选择“监控>日志>告警信息”，查看防火墙的告警信息。操作系统日志以windows为例，点击“开始”，右键“计算机”，选择“管理”，选择“系统工具>事件查看器>Windows日志”，如下图：以windows操作系统为例，操作系统日志分为：系统日志应用程序日志安全日志Windows日志分类Windows系统日志类型：日志类型作用Vista/Win7/Win8//Win10/Server2008/Server2012存储位置系统日志记录操作系统组件产生的事件，主要包括驱动程序、系统组件和应用软件的崩溃以及数据。%SystemRoot%\System32\Winevt\Logs\System.evtx应用程序日志包含由应用程序或系统程序记录的事件，主要记录程序运行方面的事件。%SystemRoot%\System32\Winevt\Logs\Application.evtx安全日志记录系统的安全审计事件，包含各种类型的登录日志、对象访问日志、进程追踪日志、特权使用、帐号管理、策略变更、系统事件。%SystemRoot%\System32\Winevt\Logs\Security.evtxWindows日志存储位置以安全日志为例，选择“属性”，查看日志的具体信息，如下图：Windows日志事件类型日志事件类型：事件类型作用信息（Information）应用程序、驱动程序或服务的成功操作的事件。警告（Warning）不是直接的、主要的，但是会导致将来问题的发生。例如，当磁盘空间不足或未找到打印机时，都会记录一个“警告”事件。错误（Error）错误事件通常指功能和数据的丢失。例如,如果一个服务不能作为系统引导被加载，那么它会产生一个错误事件。成功审核（Successaudit）成功的审核安全访问尝试，主要是指安全性日志，这里记录着用户登录/注销、对象访问、特权使用、账户管理、策略更改、详细跟踪、目录服务访问、账户登录等事件，例如所有的成功登录系统都会被记录为“成功审核”事件。失败审核（Failureaudit）失败的审核安全登录尝试，例如用户试图访问网络驱动器失败，则该尝试会被作为失败审核事件记录下来。Windows日志格式Windows日志由两部分组成：头部字段和描述字段。安全运营概念安全运营内容简述数据监控数据分析日志分析分析工具介绍数据分析打击计算机网络犯罪的关键，是如何在计算机系统中提取和分析计算机犯罪分子留在计算机中的“痕迹”，使之成为能够追踪并抓获犯罪嫌疑人的重要手段和方法。网络中发生的重要事件都会被记录在日志中，因此，对日志的分析尤为重要。网络设备日志操作系统日志事件WhoWhenWhereHowWhat日志分析事件日志分析要点Who用户访客When时间where位置设备接口服务How有线无线VPNWhat行为设备类型资源网络设备日志分析以防火墙为例，可以通过日志，分析攻击行为。如下图，通过“威胁日志”发现存在IPSpoofAttack，并可以获得攻击的时间，使用的协议，接收接口等信息。操作系统日志分析由于日志中记录了操作系统的所有事件，在大量的信息中快速筛选出关键信息尤为重要。Windows操作系统中可以根据需要筛选关键事件，如下图：用户登录与注销事件分析使用场景：判断哪些用户登录过操作系统。分析用户对操作系统的使用情况。事件ID：4624–登陆成功（安全日志）4625–登录失败（安全日志）4634–注销成功（安全日志）4672–使用超级用户（管理员）进行登录（安全日志）用户登录成功与失败事件如图，分别展示了安全日志中记录的用户登陆成功，登录失败的具体日志信息。用户注销与特权登录事件如图，分别展示了安全日志中记录的用户注销与使用特权登录的具体日志信息。修改系统时间事件分析使用场景：查找用户修改系统时间的证据。事件ID：1–Kernel-General（系统日志）4616–更改系统时间（安全日志）修改系统时间事件日志如图，分别展示了系统日志与安全日志中记录的修改系统时间的事件。外部设置使用事件分析使用场景：分析哪些硬件设备何时安装到系统中。事件ID：20001/20003–即插即用驱动安装（系统日志）外部设置使用事件日志如图，展示了系统日志中记录的外部设备驱动安装的事件。安全运营概念安全运营内容简述数据监控数据分析日志分析分析工具介绍日志分析工具LogParser是微软公司出品的日志分析工具，它功能强大，使用简单，可以分析基于文本的日志文件、XML文件、CSV（逗号分隔符）文件，以及操作系统的事件日志、注册表、文件系统、ActiveDirectory。但需要能够熟练的使用SQL语言。LogParserLizard使用图形界面，比较易于使用，甚至不需要记忆繁琐的命令，只需要做好设置，写好基本的SQL语句，就可以直观的得到结果。LogParserLizard使用展示(1)如图，展示了使用LogParserLizard筛选“TOP1000WindowsEvent”的结果。LogParserLizard使用展示(2)如图，展示了使用LogParserLizard筛选“CounteventtypesfromSystem”的结果。安全评估方法不包括以下哪个选项？（）安全扫描人工审计渗透测试调查取证Windows日志分类不包括以下哪个选项？（）系统日志安全日志应用程序日志业务日志业务连续性计划和灾难恢复计划有什么区别？安全运营概念安全运营内容简述数据监控：主动分析、被动采集数据分析：日志分析、分析工具介绍电子取证推进全球互联网治理体系变革是大势所趋、人心所向。国际网络空间治理应该坚持多边参与、多方参与,发挥政府、国际组织、互联网企业、技术社群、民间机构、公民个人等主体作用。文字学习民族品牌强大的中国芯拓展主题爱国主义、科技强国、技能强国随着信息技术的不断发展，计算机越来越多地参与到人们的工作与生活中。与计算机相关的法庭案例，如电子商务纠纷、计算机犯罪等也不断出现。判定或处置各类纠纷和刑事案件过程中，一种新的证据形式——电子证据，逐渐成为新的诉讼证据之一。电子证据本身和取证过程的许多有别于传统物证和取证方法的特点，对司法和计算机科学领域都提出了新的研究课题。本章我们将通过介绍电子取证的过程，展示电子取证使用的技术和工具。学完本课程后，您将能够：描述电子取证的过程描述电子取证的技术使用电子取证的相关工具电子取证概览计算机犯罪电子取证概述电子取证过程计算机犯罪定义：行为人违反国家规定，故意侵入计算机信息系统，或者利用各种技术手段对计算机信息系统的功能及有关数据、应用程序等进行破坏；制作、传播计算机病毒；影响计算机系统正常运行且造成严重后果的行为。计算机犯罪无外乎以下两种方式：利用计算机存储有关犯罪活动的信息；直接利用计算机作为犯罪工具进行犯罪活动。计算机犯罪特点近年来，计算机犯罪案例呈逐年上升趋势，且呈现以下特点：手段专业动机复杂、多样形式隐蔽具有跨国性潜在危害巨大成员多且低龄化计算机犯罪特点计算机犯罪动机计算机犯罪的犯罪动机复杂、多样，具体如下：恶作剧报复利益驱动扬名无知政治目的犯罪动机闲极无聊又具备一定的技能，总想访问所有感兴趣的站点证明自己的实力，得到同类的尊敬与认可被停职，解雇，降职或不公正的待遇，进行报复，后果很可怕正在学习计算机和网络，无意中发现一个弱点漏洞可能导致数据摧毁或执行误操作为获巨额报酬受雇于人，帮人攻入目标系统盗窃或篡改信息破坏，窃取情报，信息战计算机犯罪形式计算机犯罪形式多种多样，下图列举了常见的几种形式：木马黑客后门DDoS病毒蠕虫内、外部泄密网络犯罪形式电子取证概览计算机犯罪电子取证概述电子取证过程电子取证概述电子证据（ElectronicEvidence）电子证据是指在计算机或计算机系统运行过程中产生的，以其记录的内容来证明案件事实的电磁记录物。电子证据亦称为数字证据、计算机证据。电子证据文本图形图像动画音频视频电子证据来源司法实践中常见的电子证据可分为三类：与现代通信技术有关的电子证据；与广播技术、电视技术、电影技术等其他现代信息技术有关的电子证据；与计算机技术或网络技术有关的电子证据。通信类手机录音聊天记录电传资料传真资料电视剧录像电影广播、电视、电影类数据库操作记录浏览器缓存记录网络监控流量操作系统日志计算机、网络类电子证据特点电子证据必须借助计算机技术和存储技术等，离开了高科技的技术设备，电子证据无法保存和传输。电子证据不是单一的数据、图像或声音，而是数据、声音、图像、图形、动画、文本的结合。由于对计算机等电子数字设备的依赖性，电子证据的形成、传输环节容易被破坏，很可能会使电子证据遭到破坏，无法反映真实情况。运用黑客手段入侵电脑网络系统，盗用密码对电子数据任意篡改，就会改变电子证据的本来面目，给证据认定带来困难。电子证据是以电子形式存储在各种电子设备上的，它以光、电、磁形式存在，不像传统证据那样能为人直接看到听到接触到。电子证据能够反映的事实是一个动态连续的过程，较直观地再现了现场情景，所以也具有生动形象性。高科技性多样性脆弱性、易破坏性动态传输性、生动形象性无形性人为性电子证据特点计算机取证概念计算机取证（ComputerForensics）亦被称为数字取证或电子取证。定义：计算机取证是指对能够为法庭接受的、足够可靠和有说服性的，存在于计算机和相关外设中的电子证据的确认、保护、提取和归档以及法庭出示的过程。电子取证相关规定与标准美国自1976年的FederalRulesofEvidence起，美国出现了一些法律解决由电子证据带来的问题：TheEconomicEspionageActof1976：处理商业机密窃取问题；TheElectronicCommunicationsPrivacyActof1986：处理电子通信的窃听问题；TheComputerSecurityActof1987(PublicLaw100-235)：处理政府计算机系统的安全问题。IETF早在2002年2月就发布了RFC3227((电子证据收集、保管指南》，而ITU则在2009年4月发布了电子证据法案》的草案和《了解网络犯罪：针对发展中国家的犯罪》，并在2012年9月发布了《了解网络犯罪：现象、挑战和法律相应》。IETF国际标准化组织信息安全技术委员会在2012年10月发布了《电子证据识别、收集、获取和保存指南》(ISO/IEC27037：2012)中国2005年《公安机关电子数据鉴定规则》明确要求公安机关电子数据鉴定人应当履行并遵守行业标准和检验鉴定规程规定的义务；2006年《公安机关鉴定机构登记管理办法》(公安部令第83号)明确将鉴定机构遵守技术标准的情况纳入公安登记管理部门年度考核的内容中；2007年《司法鉴定程序通则》(司法部令第107号)对鉴定人采纳技术标准问题做出了详细的要求。国际标准化组织电子取证现状与趋势现状形势趋势现状1.我国的计算机普及与应用起步较晚，相关的法律法规仍不完善；2.学界对计算机犯罪的研究也主要集中于计算机犯罪的特点、预防对策及其给人类带来的影响，取证技术己不能满足打击计算机犯罪、保护网络与信息安全的要求；3.需要自主开发适合我国国情的、能够全面检查计算机与网络系统的计算机取证的工具与软件。趋势1.取证技术融合其他理论和技术（如人工智能、机器学习、神经网络和数据挖掘理论及信息安全技术）；2.取证工具的专业化和自动化；3.在网络协议设计过程中考虑到未来取证的需要，为潜在的取证活动保留充足信息。电子取证概览电子取证过程取证原则完整性合法性连续性全面性及时性原则尽早搜集证据，并保证其没有受到任何破坏。在证据被正式提交时，必须能够说明在证据从最初的获取状态到证据出示之间的变化。整个检查、取证过程必须是受到监督的；如果可能并且法律允许，访问被保护或加密文件的内容。搜索目标系统中的所有文件；全面分析结果，给出必要的专家证明。在取证检查中，保护目标计算机系统，避免发生任何的改变、数据破坏或病毒感染。电子取证过程根据电子证据的特点，在进行计算机取证时，首先要尽早搜集证据，并保证其没有受到任何破坏。取证工作一般按照下面步骤进行：保护现场获取证据保全证据鉴定证据分析证据进行追踪出示证据保护现场取证时首先必须冻结目标计算机系统，不给犯罪嫌疑人破坏证据的机会。避免出现任何更改系统设置、损坏硬件、破坏数据或病毒感染的情况。证据被正式提交时，必须能够说明在证据从最初的获取状态到证据出示之间的变化，当然最好是没有任何变化。特别重要的是，计算机取证的全部过程必须是受到监督。保护现场获取证据保全证据鉴定证据分析证据进行追踪出示证据获取证据搜索目标系统中的所有文件。包括现存的正常文件，已经被删除但仍存在于磁盘上（即还没有被新文件覆盖）的文件，隐藏文件，受到密码保护的文件和加密文件。取证工具：硬件工具软件工具保护现场获取证据保全证据鉴定证据分析证据进行追踪出示证据硬件取证工具(1)硬盘复制机：因为取证过程不允许对硬盘进行直接操作，硬盘复制机能够对硬盘内容做镜像，从而保证不会修改硬盘内的数据。硬盘只读锁：用于阻止硬盘的写入通道，有效的保证存储介质中的数据在获取和分析过程中不会被修改，从而保证数据的完整性。硬盘复制机硬盘只读锁硬件取证工具(2)取证一体机：基于拷贝克隆，读取，销毁于一体的取证设备。取证塔：具有手机取证分析，手机镜像，机芯片镜像和介质取证等功能。介质修复设备：支持对电子硬盘、机械硬盘、镜像文件、U盘、TF卡等各种电子数据存储介质的修复。取证一体机取证塔介质修复设备软件取证工具为了更好的用于研究和调查，开发人员创建了多样的计算机取证工具。具体分类如下：图片检查工具ThumbsPlus反删除工具HetmanUneraserCD-ROM工具CD-RDiagnostics文本搜索工具dtSearch驱动器映像程序SafeBackSnapBack、Ghost、DD磁盘擦除工具DiskScrub取证软件软件取证工具举例EnCase是一个完全集成的基于Windows界面的取证应用程序，其功能包括：数据浏览、搜索、磁盘浏览、数据预览、建立案例、建立证据文件、保存案例等。电子取证相关技术电子取证相关技术：网络数据包分析取证；日志取证技术；蜜罐取证技术；隐蔽代码取证技术；数据挖掘技术等。新型取证技术：芯片取证；云取证；物联网取证；边信道攻击取证。数据包分析取证抓包工具及特点：工具名称使用环境特点TcpdumpLinux采集过滤WiresharkLinux&Windows采集过滤SleuthKitLinux采集过滤，流重组，数据关联ArgusLinux采集过滤，日志分析SniffersLinux&Windows网络流量、数据包分析芯片取证JointTestActionGroup（联合测试行动组）分析：通过芯片内部的TAP（TestAccessPort，测试访问端口），访问分析处理器的内部寄存器，即使