计算机取证技术课件

课程内容

•课题背景

•计算机犯罪简述

•计算机取证概念、原则与步骤

•国夕卜计算机串证应用现状

•国内计算机隼证应用现状

•取证过程与方法

•展望卷北2手

课寇背景

随着社会信息化、网络化大潮的推

进，社会生活中的计算机犯罪由最初的

，，小荷才露尖尖角”到目前的层出不穷，举

不胜举，因此，电子数据证据的法律效力

正在成为学界关注的焦点。

社会信息化发展步伐

硬件方面：

Moore定律：每18个月相同价格的集成电路

的处理能力就会加倍。

Intel研制出M纳米"晶体管摩尔定律将被推翻

硅芯片晶体密度提百倍摩尔定律再用20年

CSDN-英特尔即将启用远紫外技术摩尔定律再

获新发展

社会信息化发展步伐

软件方面：

由最初的手动编制二进制代码到汇编语言、

高级语言、面向对象的概念、软件工程到

UML建模技术，软件开发日益呈现工程化、

自动化趋势，软件的应用范围日益拓展，

已成为社会生活重要组成部分。

社会信息化发展步伐

网络与通信：互联网在中国的发展

CNNIC的统计:我们的网民总量截至2002

年7月为4580万，上网计算机数量为1613

万台，CN下注册的域名数量是126146个。

WWW站点数（包括.CN、.COM..NET、.ORG

下的网站）大约293213个。

计算机犯罪概念

•Computerrelatedcrimeorcomputeraimed

crime?

•广义说：计算机犯罪-----通常是指所有涉及

计算机的犯第。如：

＞欧洲经济合作与发展组织的专家认为：“在自动

数据处理过程中任何非法的、违反取业道德的、

未经过批准的行为却是计算机犯罪。”

＞我国刑法学者有人认为:“凡是故意或过失不当

使用计算机致使他人受损失或有受损失危险的

行为,都是计算机犯罪。”

尊桃Q、学

计算机犯罪概念

■狭义说：计算机犯罪-----通常是对计算机资产本身

进行侵犯的犯罪。例如：

■瑞典的私人保密权法规定:“未经过批准建立和保存计

算机私人文件,非法窃取电子数据处理记录或非法篡改、

删除记录侵犯个人隐私的行为都是计算机犯罪。”

•我国有学者认为，“计算机犯罪是指利用计算机操作所

实施的危害计算机信息系统（包括内存数据及程序）安全

的犯罪行为”

计算机犯罪概念

A折衷说：计算机本身在计算机犯罪中以“犯罪工具”或

“犯罪对象”的方式出现,这一概念注重的是计算机本身

在犯罪中的作用。如：

»德国学者施奈德认为:“计算机犯罪指的是利用电子数

据处理设备作为作案工具的犯罪行为或者把数据处理设

备当作作案对象的犯罪行为。”

»我国学者认为:“计算机犯罪是以计算机为工具或以计

算机资产为对象的犯罪行为。”

计算机犯罪的特点

•犯罪形式的隐蔽性

＞计算机犯罪一般不受时间和地点限制，可以通

过网络大幅度跨地域远程实现,其罪源可来自全

球的任何一个终端，随机性很强。

＞计算机犯罪黑数高。

计算机犯罪的特点

A犯罪主体和手段的智能性

>计算机犯罪的各种手段中，无论是“特洛依木

马术”,还是“逻辑炸弹”,无一不是凭借高科技手

段实施的，而熟练运用这些手段并实现犯罪目的

的则是具有相当丰富的计算机技术知识和娴熟

的计算机操作技能的专业人员。

计算机犯罪的特点

•复杂性

A犯罪主体的复杂性。

A犯罪对象的复杂性。

参肘Q、”

计算机犯罪的特点

•跨国性

网络冲破了地域限制，计算机犯罪呈国际化趋势。因特网

络具有“时空压缩化”的特点，当各式各样的信息通过因特

网络传送时，国界和地理距离的暂时消失就是空间压缩的

具体表现。这为犯罪分了跨地域、跨国界作案提供了可能。

犯罪分子只要拥有一台联网的终端机，就可以通过因特网

到网络上任何一个站点实施犯罪活动。而且，可以甲地作

案，通过中间结点，使其他联网地受害。由于这种跨国界、

跨地区的作案隐蔽性强、不易侦破，危害也就更大。

计算机犯罪的特点

•匿名性

罪犯在接受网络中的文字或图像信息

的过程是不需要任何登记，完全匿名，因

而对其实施的犯罪行为也就很难控制。罪

犯可以通过反复匿名登录，几经周折，最

后直奔犯罪目标，而作为对计算机犯罪的

侦查，就得按部就班地调查取证，等到接

近犯罪的目标时，犯罪分子早已逃之夭夭

To

计算机犯罪的检点

•损失大，对象广泛，发展迅速，涉及面广

计算机犯罪始于六十年代，七十年代迅速增

长，八十年代形成威胁。美国因计算机犯罪造

成的损失已在千亿美元以上，年损失达几十

亿，甚至上百亿美元，英、德的年损失也达几

十亿美元。

>我国从1986年开始每年出现至少几起或几十

起计算机犯罪，到1993年一年就发生了上百

起，近几年利用计算机计算机犯罪的案件以每

年30%的速度递增，其中金融行业发案比例占

61%,平均每起金额都在几十万元以上，单起犯

罪案件的最大金额高达1400余万元，;每年造成

的直接经济损失近亿元。出兔系）”

计算机犯罪的特点

持获利和探秘动机居多

全世界每年被计算机犯罪直接盗走的资金达20

亿美元。我国2001年发现的计算机作案的经济

犯罪已达100余件，涉及金额达1700万元，在整

个计算机犯罪中占有相当的比例。

各种各样的个人隐私、商业秘密、军事秘密等

等都成为计算机犯罪的攻击对象。侵害计算机

信息系统的更是层出不穷。

计算机犯罪的特点

•低龄化和内部人员多

我国对某地的金融犯罪情况的调查，犯罪的年龄在35岁

以下的人占整个犯罪人数的比例：1989年是69.9%,

1990年是73.2%,1991年是75.8%°其中年龄最小的只有

18岁。

此外，在计算机犯罪中犯罪主体中内部人员也占有相当

的比例。据有关统计，计算机犯罪的犯罪主体集中为金

融、证券业的“白领阶层”，身为银行或证券公司职员而

犯罪的占78%,并且绝大多数为单位内部的计算机操作

管理人员；从年龄和文化程度看，集中表现为具有一定

专业技术知识、能独立工作的大、中专文化程度的年轻

人，这类人员占83%,案发时最大年龄为34岁。

计算机犯罪的特点

•巨大的社会危害性

网络的普及程度越高，计算机犯罪的危害也就

越大，而且计算机犯罪的危害性远非一般传统

犯罪所能比拟，不仅会造成财产损失，而且可

能危及公共安全和国家安全。据美国联邦调查

局统计测算，一起刑事案件的平均损失仅为

2000美元，而一起计窠机犯罪案件的平均损失

高达50万美元。据计算机安全专家估算，近年

因计算机犯罪给总部在美国的公司带来的损失

为2500亿美元。

参肘Q孝

计算机犯罪的类鲤举例

•非法侵入计算机信息系统罪。

《刑法》第285条规定，违反国家规定，侵入国有

事务、国防建设、尖端科学技术领域的计算机

信息系统的,处三年以下有期徒刑或者拘役。

计算机犯罪的类型举例

•破坏计算机信息系统罪。

这一行为《刑法》第286条概括为破坏计算机信息系统

罪。主要表现为：

>故意对计算机信息系统功能进行删除、修改、增加、

干扰,造成计算机信息系统不能正常运行,后果严重的

行为；

>故意对计算机信息系统中存储处理或者传输的数据

和应用程序进行删除、修改、增加的操作，后果严重的

行为；

故意制作、传播计算机病毒等破坏性程序，影响计算

机系统正常运行,后果严重的行为O

计算机犯罪的类型举例

•《刑法》第287条规定了利用计算机实施金融诈

骗、盗窃、贪污、挪用公款、窃取国家秘密罪。

利用计算机实施盗窃的行为纳入盗窃罪定罪处

罚的范围，从而使盗窃罪更具信息时代的特征。

如盗窃电子资金,不法分子往往利用电子资金过

户系统，例如定点销售系统（POSS）、自动存

取款机（ATMS）自动化票据交换所（ACH

S）、电子身份证系统等提供的便利，使用计算

机技术通过网络修改电子资金帐目，窃取电子资

金。

.A

I

计算机犯罪的形式

•数据欺骗

非法篡改输入/输出数据获取个人利益,是最普

通最常见的计算机犯罪活动。发生在金融系统

的此种计算机犯罪多为内外勾结，串通作案，由

内部人员修改数据，外部人员提取钱款。

计算机犯罪的形式

•意大利香肠术

侵吞存款利息余额,积少成多的一种作案手段，

是金融系统计算机犯罪的典型类型。这种方法

很像偷吃香肠一样,每次偷吃一小片并不引起人

们的注意,但是日积月累的数目也是相当可观。

此类案件在国内外均有发现,因为只有修改计算

机程序才能达到其犯罪目的,故多为直接接触程

序的工作人员所为。目前国内多数为局域网管

理银行帐目而产生此类犯罪，因此,要警惕采用

此手段作案的罪犯。

计算机犯罪的形式

•特洛依木马

“特洛依木马”来源于古希腊传说，相传希腊人

为了攻陷特洛依城,在城外故意抛下一个木马并

假装撤退,特洛依人将木马拖回城内后,埋伏在

木马内的希腊士兵就打开城门，里应外合而将特

洛依城攻陷。它是表面上来看是正常合适的，但

在内部却隐藏秘密指令和非法程序段的程序的

代名词。，，特洛依木马”就是用来表示以软件程

序为基础进行欺骗和破坏的方法。

计算机犯罪的形式

冒名顶替

利用别人口令,窃用计算机谋取个人私利的做法。

在机密信息系统和金融系统中，罪犯常以此手法

作案。单用户环境多为内部人员所为，网络系统

则可能为非法渗透。由于人们普遍存在猎奇心

理,对别人加密程序，总想解密一睹,因此用户口

令应注意保密和更新，且最好不用容易破译的口

令密码，如电话号码、出生日期、人名缩写等。

计算机犯罪的形式

•清理垃圾

从计算机系统周围废弃物中获取信息的一种

方法。由此带来损失的例子并不罕见，提醒计算

机用户不要随便处理所谓废弃物，因为其中可能

含有不愿泄漏的信息资料。

计算机犯罪的形式

•逻辑炸弹

指插入用户程序中的一些异常指令编码,该代码

在特定时刻或特定条件下执行破坏作用，所以称

为逻辑炸弹或定时炸弹。

有关电子数据证据

任何材料要成为证据,均需具备三性:

•客观性

•关联性

•合法性

计算机率证（电子取证）定义

计算机取证专业资深人士Judd

Robins:

计算机取证不过是简单地将计算机调查和分析

技术应用于对潜在的、有法律效力的证据的确

定与获取上。

计算机取证（电子取证）定义

一家专业的计算机紧急事件响应和计

算机取证咨询公司：

计算机取证包括了对以磁介质编码信息方式

存储的计算机证据的保护、确认、提取和归档

O

*

计算机取证（电子取证）定义

一篇综述文章给出了如下的定义:

计算机取证是使用软件和工具，按照一些预

先定义的程序全面地检查计算机系统，以提取

和保护有关计算机犯罪的证据。

计算机取证（电子取证）定义

综合：

计算机取证是指对能够为法庭接受的、足

够可靠和有说服性的，存在于计算机和相关外

设中的电子证据的确认、保护、提取和归档的

过程。

电子证据与传蜕证据的区别

•计算机数据无时无刻不在改变；

•计算机数据不是肉眼直接可见的，必须借助适

当的工具；

•搜集计算机数据的过程，可能会对原始数据造

成很严重的修改，因为打开文件、打印文件等

一般都不是原子操作;

•电子证据问题是由于技术发展引起的，因为计

算机和电信技术的发展非常迅猛，所以取证步

骤和程序也必须不断调整以适应技术的进步O

卷姓Q、手

外计算机取证历史及现状

•法律的制定：

•自1976年的FederalRulesofEvidence起，美

国出现了如下一些法律解决由电子证据带来的问题：

•TheEconomicEspionageActof1996:处理商业机密

窃取问题

•TheElectronicCommunicationsPrivacyActof

1986:处理电子通信的窃听问题

•TheComputerSecurityActof1987(PublicLaw

100-235):处理政府计算机系统的安全问题

外计算机取证历史及现状

•取证技术:

逐渐走向自动化、智能化，政府与各专业

机构均投入巨大人力、物力开发计算机取证专

用工具。

卷共Q、乎

外计算机取证历史及现状

•用于电子数据证据获取的工具:

如HigherGroundSoftwareInc.的软件Hard

DriveMechanic可用于从被删除的、被格式

化的和已被重新分区的硬盘中获取数据。NTI

公司的GetFree可从活动的WindowsSwap分区

中恢复数据，该公司的软件GetSlack可自动搜

集系统中的文件碎片并将其写入一个统一的文

择。

■V参共Q亭

外计算机取证历史及现状

•用于电子数据证据保全的工具:

GuidanceSoftware公司生产的硬件设备Fastbloc可用

于Windows操作系统下计算机媒质内容的快速镜像，

NTI的软件系统CRCMd5可用于在计算机犯罪调查过程中

保护已搜集来的电子证据，保证其不被改变，也可以

用于将系统从一台计算机迁移到另一台计算机时保障

系统的完整性。该公司的软件SEIZED可用于保证用户

无法对正在被调查的计算机或系统进行操作°

r爹北Q手

外计算机取证历史及现状

•用于电子数据证据分析的工具:

这类工具中最著名的是NTI公司的软件系统Net

ThreatAnalyzero该软件使用人工智能中的

模式识别技术，分析Slack磁盘空间、未分配

磁盘空间、自由空间中所包含的信息，研究交

换文件、缓存文件、临时文件及网络流动数据

，从而发现系统中曾发生过的Email交流、

Internet浏览及文件上传下载等活动，提取出

与生物、化学、核武器等恐怖袭击、炸弹制造

及性犯罪等相关的内容。该软件在美国9.11要,

件的调查中起到了很大的作用。W姓不以营

外计算机取证历史及现状

•用于电子数据证据归档的工具:

如NTI公司的软件NTI-DOC可用于自动记录电子数

据产生的时间、日期及文件属性。

外计算机取证历史及现状

嘉结对论并：算机取证的全部活动而言，美国的各研究

机构与公司所开发的工具主要覆盖了电子数据

证据的获取、保全、分析和归档的过程，各研

究机构与公司也都在进一步优化现有的各种工

具，提高利用工具进行电子证据搜集、保全、

鉴定、分析的可靠性和准确度，进一步提高计

算机取证的自动化和智能化。但目前还没有能

够全面鉴定电子数据证据设备来源、地址来源

、软件乘源的工具。

巨内计算机取证历史及现状

我国的计算机普及与应用起步较晚，有关计算机取证的

研究与实践工作也仅有10年的历史，相关的法律法规

仍很不完善，学界对计算机犯罪的研究也主要集中于

计算机犯罪的特点、预防对策及其给人类带来的影响

o目前法庭案例中出现的计算机证据都比较简单，多

是文档、电子邮件、程序源代码等不需特殊工具就可

以取得的信息。但随着技术的进步，计算机犯罪的水

平也在不断提高，目前的计算机取证技术己不能满足

打击计算机犯罪、保护网络与信息安全的要求，自主

开发适合我国国情的、能够全面检查计算机与网络系

统的计算机取证的工具与软件已经迫在眉睫。

计算机取证的主要原则

尽早搜集证据，并保证其没有受到任何破坏

必须保证“证据连续性”（有时也被称为“chainofcustody”），

即在证据被正式提交给法庭时，必须能够说明在证据从最初的

获取状态到在法庭上出现状态之间的任何变化，当然最好是没

有任何变化。

整个检查、取证过程必须是受到监督的，也就是说，由原告委派

的专家所作的所有调查取证工作，都应该受到由其它方委派的

专家的监督。

计算机取证的基本步骤

•在取证检查中，保护目标计算机系统，避免发生任何

的改变、伤害、数据破坏或病毒感染。

•搜索目标系统中的所有文件。包括现存的正常文件，

已经被删除但仍存在于磁盘上（即还没有被新文件覆

盖）的文件，隐藏文件，受到密码保护的文件和加密

文件。

•全部（或尽可能）恢复发现的已删除文件。

计算机电证的基本步骤

・最大程度地显示操作系统或应用程序使用的隐藏文

件、临时文件和交换文件的内容。

•如果可能并且如果法律允许，访问被保护或加密文件

的内容。

计算机取证的基本步骤

•分析在磁盘的特殊区域中发现的所有相关

数据。特殊区域至少包括下面两类：

①所谓的未分配磁盘空间——虽然目前没有被使用，但

可能包含有先前的数据残留。

②文件中的“slack”空间——如果文件的长度不是簇长

度的整数倍，那么分配给文件的最后一簇中，会有未

被当前文件使用的剩余空间，其中可能包含了先前文

件遗留下来的信息，可能是有用的证据。

<参肘林亭

计算机取证的基本步骤

•打印对目标计算机系统的全面分析结果，然后给出分

析结论：系统的整体情况，发现的文件结构、数据、

和作者的信息，对信息的任何隐藏、删除、保护、加

密企图，以及在调查中发现的其它的相关信息。

•给出必需的专家证明。

计算机取证的基本步骤

注：

如上计算机取证原则及步骤都是基于一种静态的视点，

即事件发生后对目标系统的静态分析。随着计算机犯

罪技术手段的提高，这种静态的视点已经无法满足要

求，发展趋势是将计算机取证结合到入侵检测等网络

安全工具和网络体系结构中，进行动态取证。整个取

证过程将更加系统并具有智能性，也将更加灵活多样

计算机取证相关技术

数据获取技术包括:

•对计算机系统和文件的安全获取技术，避免对原始介

质进行任何破坏和干扰；

•对数据和软件的安全搜集技术；对磁盘或其它存储介

质的安全无损伤备份技术;

•对已删除文件的恢复、重建技术;

计算机取证相关技术

数据获取技术包括:

•对磁盘空间、未分配空间和自由空间中包含的信息的

发掘技术；

•对交换文件、缓存文件、临时文件中包含的信息的复

原技术；

•计算机在某一特定时刻活动内存中的数据的搜集技术

•网络流动数据的获取技术等。

计算机取证相关技术

数据分析技术：在已经获取的数据流或信息流中

寻找、匹配关键词或关键短语是目前的主要数

据分析技术,g体包括:

•文件属性分析技术；

•文件数字摘要分析技术;

•日志分析技术;

计算机取证相关技术

数据分析技术：

•根据已经获得的文件或数据的用词、语法和写作（编

程）风格，推断出其可能的作者的分析技术；

•发掘同一事件的不同证据间的联系的分析技术；

•数据解密技术；

•密码破译技术；

•对电子介质中的被保护信息的强行访问鲜匏早

计算机取证技术发质趋势

•计算机取证技术进一步与信息安全技术相结合。

•在网络协议设计过程中考虑到未来取证的需要，为潜

在的取证活动保留充足信息。(如Recursive

sessiontokenprotocolusedincomputer

forensicsandTCPtraceback)

•取证工具的开发往往结合人工智能、机器学习、神经

网络和数据挖掘技术。

电子数据证据的获取-技术性采集

关于数据恢复原理：

微机系统，大多采用FAT、FAT32或者NTFS三种文件系统。以FAT

文件系统为例，数据文件写到基于该系统的磁盘上以后，会在

目录入口和FAT表中记录相应信息。目录入口保留我们通常通

过资源管理器等工具能看到的文件信息，如文件名称、大小、

类型等，它还保留了该文件在FAT表（FileAllocationTable

文件分配表）市相应记录项拓地址；而FAT表记录了该文件在

磁盘上所占用的各个实际扇区的位置。当我们从磁盘上删除一

个文件（并从Windows提供的回收站中清除，下同）后，该文

件在目录入口中的信息就被清除了，在FAT表中记录的该文件

所占用的扇区也被标识为空闲，但其实这时保存在磁盘上的实

际数据并未被真正清除；只有当其他文件写入，有可能使用该

文件占用的扇区时（因为它们已被标识为空闲攀3装犊翕

被真正覆盖掉。

电子数据证据的获取-技术性采集

文件被删除或系统被格式化时的恢复：

一般的来说，文件删除仅仅是把文件的首字节，改为E5H,而

并不破坏不身，因此可以恢复。但由于对不连续文件要恢复

文件链，由于手工交叉恢复对一般计算机用户来说并不容易

,用工具处理，如可用NortonUtilities,可以用他来查找。

另外，RECOVERNT等工具，都是恢复的利器。特别注意的是

，千万不要在发现文件丢失后，在本机安装什么恢复工具，

你可能恰恰把文件覆盖掉了。特别是你的文件在C盘的情况下

,如果你发现主要文件被你失手清掉了，（比如你按SHIFT删

除），你应该马上直接关闭电源，用软盘启动进行恢复或把

硬盘串接到其他有恢复工具的机器处理。误格式化的情况可

以用等工具处理。

电子数据证据的获取一技术性采集

文件损坏时的恢复：

•一般的说，恢复文件损坏需要清楚的了解文件的结构，不是很

容易的事情，而这方面的工具也不多。不过一般的说，文件如

果字节正常，不能正常打开往往是文件头损坏。就文件恢复

举几个简单例子。

＞类型特征处理

ZIP、TGZ等压缩包无法解压

ZIP文件损坏的情况下可以用一个名为ZIPFIX的工具处理。

4^.

*

电子数据证据的获职-技术性采集

文件损坏时的恢复：

>自解压文件无法解压

可能是可执行文件头损坏，可以用对应压缩工具按一

般压缩文件解压。

>DBF文件死机后无法打开

典型的文件头中的记录数与实际不匹配了，把文件头

中的记录数向下调整。

1参共Q芽

电子数据证据的获取一技术性采集

硬盘被加密或变换时的恢复:

一定要反解加密算法，或找到被移走的重要扇区。

对于那些加密硬盘数据的病毒，清除时一定要选择能

恢复加密数据的可靠杀毒软件。

电子数据证据的获取一技术性采集

加密文件后密码破解:

•采用口令破解软件，如zipcrack等，其原理是字典攻

盅。

•有些软件是有后门的，比如DOS下的WPS,

Ctrl+qiubojun就是通用密码。

电子数据证据的获取-技术性采集

缺乏用户口令进入文件系统方法：

用软盘启动（也可以把盘挂接在其他NT上），找到支持

该文件系统结构的软件（比如针对NT的NTFSDOS）,

利用他把密码文件清掉、或者是COPY出密码档案，用

破解软件套字典来处理。

电子数据证据的获取一技术性采集

其余数据恢复策略:

•系统不认硬盘

系统从硬盘无法启动，从A盘启动也无法进入C盘,

使用CMOS中的自动监测功能也无法发现硬盘的存在。

这种故障大都出现在连接电缆或IDE端口上，硬盘本

身故障的可能性不大，可通过重新插接硬盘电缆或者

改换IDE口及电缆等进行替换试验，就会很快发现故

障的所在。如果新接上的硬盘也不被接受，一个常见

的原因就是硬盘上的主从跳线，如果一条IDE硬盘线

上接两个硬盘设备，就要分清楚主从关璃丑，/玲

电子数据证据的获取一技术性采集

其余数据恢复策略:

•CMOS引起的故障

CMOS中的硬盘类型正确与否直接影响硬盘的正常使用。现在的

机器却支持“IDEAutoDetect”的功能，可自动检测硬盘的类

型。当硬盘类型错误时，有时干脆无法启动系统，有时能够启

动，但会发生读写错误。比如CMOS中的硬盘类型小于实际的硬

盘容量，则硬盘后面的扇区将无法读写，如果是多分区状态则

个别分区将丢失。还有一个重要的故障原因，由于目前的IDE

都支持逻辑参数类型，硬盘可采用“Normal,LBA,Large”等，如

果在一般的模式下安装了数据,而又在CMOS中改为其它的模式

，则会发生硬盘的读写错误故障，因为其映射关系已经改变，

将无法读取原来的正确硬盘位置O

图北2手

电子数据证据的获取一技术性采集

其余数据恢复策略:

•主引导程序引起的启动故障

主引导程序位于硬盘的主引导扇区，主要用于检测硬盘分区的正

确性，并确定活动分区，负责把引导权移交给活动分区的DOS

或其他操作系统。此段程序损坏将无法从硬盘引导，但从软驱

或光驱启动之后可对硬盘进行读写。修复此故障的方法较为简

单，使用高版本DOS的FDISK最为方便，当带参数/mbr运行时，

将直接更换（重写）硬盘的主引导程序。实际上硬盘的主引导扇

区正是此程序建立的，FDISK.EXE之中包含有完整的硬盘主引

导程序。虽然DOS版本不断更新，但硬盘的主引导程序一直没

有变化，从DOS3.x到Windos95的DOS,只要排到二种DOS平星

盘启动系统并运行此程序即可修复。喏共系J浮

电子数据证据的获取一技术性采集

其余数据恢复策略:

•分区表错误引发的启动故障

分区表错误是硬盘的严重错误，不同的错误程度会造成不同

的损失。如果是没有活动分区标志，则计算机无法启动。但从

软驱或光驱引导系统后可对硬盘读写，可通过FDISK重置活动

分区进行修复。

如果是某一分区类型错误，可造成某一分区的丢失。分区表

的第四个字节为分区类型值，正常的可引导的大于32MB的基本

DOS分区值为06,而扩展的DOS分区值是05。很多人利用此类型

值实现单个分区的加密技术，恢复原来的正确

分区恢复正常。

电子数据证据的获取一技术性采集

其余数据恢复策略:

•分区表错误引发的启动故障

分区表中还有其它数据用于记录分区的起始或终止地址。这

些数据的损坏将造成该分区的混乱或丢失，可用的方法是用备

份的分区表数据重新写回，或者从其它的相同类型的并且分区

状况相同的硬盘上获取分区表数据。

恢复的工具可采用NU等工具软件，操作非常方便。当然也可

采用DEBUG进行操作，但操作繁琐并且具有一定的风险。

电子数据证据的获取一技术性采集

其余数据恢复策略:

•分区有效标志错误的故障

在硬盘主引导扇区中还存在一个重要的部分，那就是其最后

的两个字节：“55aa”，此字节为扇区的有效标志。当从硬盘、

软盘或光盘启动时，将检测这两个字节，如果存在则认为有硬

盘存在，否则将不承认硬盘。此处可用于整个硬盘的加密技术

，可采用DEBUG方法进行恢复处理。另外，当DOS引导扇区无引

导标志时，系统启动将显示为：“MmissingOperating

System”。可使用DOS系统通用的修复方法。

电子数据证据的获取一技术性采集

其余数据恢复策略:

•DOS引导系统引起的启动故障

DOS引导系统主要由DOS引导扇区和DOS系统文件组成。系统

文件主要包括I0.SYS、MSDOS.SYS、COMMAND.COM,其中

COMMAND.COM是DOS的外壳文件，可用其它的同类文件眷换，但

缺省状态下是DOS启动的必备文件。在Windows95携带的DOS系

统礼MSDOS.SYS是一个文本文件，是启动Windows必须的文件

，但只启动DOS时可不用此文件。DOS引导出错时，可从软盘或

光盘引导系统后使用SYSC:命令传送系统，即可修复故障，包

括引导扇区及系统文件都可自动修复到正常状态。

图北2手

电子数据证据的获取一技术性采集

其余数据恢复策略:

•FAT表引起的读写故障

FAT表记录着硬盘数据的存储地址，每一个文件都有一组FAT链指定其存放

的簇地址。FAT表的损坏意味着文件内容的丢失。庆幸的是DOS系统本身提

供了两个FAT表，如果目前使用的FAT表损坏，可用第二个进行覆盖修复。

但由于不同规格的磁盘其FAT表的长度及第二个FAT表的地址也是不固定的

,所以修复时必须正确查找其正确位置，一些工具软件如NU等本身具有这

样的修复功能，使用也非常的方便。采用DEBUG也可实现这种操作，即采

用其m命令把第二个FAT表移到第一个表处即可。如果第二个FAT表也损坏

了，则也无法把硬盘恢复到原来的状态，但文件的数据仍然存放在硬盘的

数据区中，可采用CHKDSK或SCANDISK命令进行修复，最终得到*,CHK文件

,这便是丢失FAT链的扇区数据。如果是文本文件则可从中提取出完整的

或部分的文件内容。

电子数据证据的获取一技术性采集

其余数据恢复策略：

■目录表损坏引起的引导故障

目录表记录着硬盘中文件的文件名等数据，其中最重要的一

项是该文件的起始簇号。目录表由于没有自动备份功能，所以

如果目录损坏将丢失大量的文件。一种减少损失的方法也是采

用CHKDSK或SCANDISK程序恢复的方法，从硬盘中搜索出*・CHK

文件，由于目录表损坏时仅是首簇号丢失，每一个*.CHK文件

即是一个完整的文件，把其改为原来的名字即可恢复大多数文

件。

电子数据证据的获取一技术性采集

其余数据恢复策略:

•格式化后硬盘数据的恢复

在DOS高版本状态下，FORMAT格式化操作在缺省状态下都建

立了用于恢复格式化的磁盘信息，实际上是把磁盘的DOS引导

扇区、FAT分区表及目录表的所有内容复制到了磁盘的最后几

个扇区中（因为后面的扇区很少使用），而数据区中的内容根本

没有改变。这样通过运行UNFORMAT命令即可恢复。另外DOS还

提供了一个MIROR命令用于记录当前磁盘的信息，供格式化或

删除之后的恢复使用，此方法也比较有效。

电子数据证据的获取一技术性采集

网络数据获取方法：

•Sniffer:

如：windows平台上的sniffer工具：netxray和snifferpro软件

等

Linux平台下的TCPDump:dumpthetrafficeonanetwork.,

根据使用者的定义对网络上的数据包进行截获的包分析工具。

电子数据证据保全技术

•数据加密技术：

＞加密就是把数据和信息转换为不可辩识的密文的过程

,使不应了解该数据和信息的人不能够识别，欲知密

文的内容，需将其转换为明文，这就是解密过程。加

密系统的组成。

＞加密是在不安全的环境中实现信息安全传输的重要方

法。

电子数据证据保全技术

•数据加密技术：

加密和解密过程组成为加密系统，明文与密文总

称为报文，任何加密系统，不管形式多么复杂，至少

包括以下4个组成部分：

1、待加密的掖文，也称明文；

2、加密报文，也称密文；

3、加密、解密装置或算法；

4、用于加密和解密的钥匙，它可以是数字、词

汇或语句

电子数据证据保全技术

传统加密方法：

•代码加密

发送秘密消息的最简单方法，就是使用通信双方

整先设定的一组代码，它简单而有效，得到了广泛的

应用。例如：

密文：老鼠已经出洞了

明文：匪徒已出现在目标区

卷北2手

电子数据证据保全技术

传统加密方法:

•替换加密

明文中的每个字母或每组字母被替换成另一个或

一组字母，例如下面的一组字母之间的对应关系就构

成了一个替换加密器。

明文字母：ABCD

密文字母：LKJL

电子数据证据保全技术

传统加密方法：

•变位加密

变位加密不隐藏原明文的字符，但却将字符重新

排列。例如：

密钥：3145260

明文：火车已安全发出

密文：出车全火已安发O姓家/早

电子数据证据保全技术

传统加密方法：

•一次性密码簿加密

如果要既保持代码加密的可靠性，又保持替换加

密器的灵活性，可采用一次性密码簿进行加密。密码

簿的每一页都是不同的代码表，可以用一页上的代码

来加密一些词，用后毁掉；再用另一页的代码加密另

一些词，直到全部的明文都被加密，破译密文的惟一

方法就是获得一份相同的密码簿。

.游共Q手

电子数据证据保全技术

基于公钥的加密算法:

RSA

PHP

爹共2手

电子数据证据保全技术

数字摘要技术：

数字摘要技术(DigitalDigest)也称作为安全HASH编

码法(SHA：SecureHashAlgorithm)o数字摘要技

术用于对所要传输的数据进行运算生成信息摘要，它

并不是一种加密机制，但却能产生信息的数字"指纹"

,它的目的是为了确保数据没有被修改或变化，保证

信息的完整性不被破坏。

电子数据证据保全技术

数字摘要技术的特点：

•它能处理任意大小的信息，并对其生成固定大小

的数据摘要，数据摘要的内容不可预见

•对于相同的数据信息进行HASH后，总是能得到同样

的摘要；如果数据信息被修改，进行Hash后，其摘要

必定与先前不同

•HASH函数是不可逆的，无法通过生成的数据摘要恢

复出源数据

♦莪共M乎

电子数据证据保全技术

数字签名技术

数字签名(DigitalSignature)用来保证信息传输

过程中完整性、提供信息发送者的身份认证和不可抵

赖性。使用公开密钥算法是实现数字签名的主要技术

由于公开密钥算法的运算速度比较慢，因此可使

用HASH函数对要签名的信息进行摘要处理，减小使用

公开密钥算法的运算量。因此，数字签名一般是结合

了数字摘要技术和公开密钥算法共同使用

电子数据证据保全技术

实现数学签名的过程：

签名信息

1?对若1M进行HASH函数处理，生成摘要H

2.用你的（发送者的）私钥加密H来获取数字签名S

3.发送｛M,S｝

验证签名信息

1.接受｛M,S｝并区分开它们

2.对接收到的信息M进行HASH函数处理，生成摘要H*

3.取得发送者的公钥

4.用公钥解密S,来获取H

5：比较H和H：3□果H和H*是一样的，即说明信息在发送过程中没有被

篡改。

由于俞信息进行数字签名后，明文信息也通过网络进行传递，因此，在做

完数字签名后，还要对整个信息（包括明文信息M和数字签名的密文信息S

）进行加密，以保证信息的保密性。

电子数据证据保全技术

数字证书

公开密钥加密技术允许人们用私有密钥给电子信息进行数字签名。信息

接收者可使用发送者的公开密钥来查证该信息确为相应私钥所签发。这一

验证过程说明信息发送者确实拥有相应的私人密钥，但这并不能说明发送

者是合法的。也就是说，信息发送者无法证明他们确为其所称之人。

为了得到身份验证的身份证明，公共密钥必须以某种值得信赖的方式与

个人相联系。这一任务由数字证书来完成。数字证书是一些电子信息，它

将公钥与其所有者的个人详细资料（诸如姓名、地址）联系起来。

然而，证书本身并无法保证其所有者的身份。要使别人认可，证书必须

由更高的权威机构一认证中心（CA）签署。CA向身份得到证实的用户签署

并颁发证书。其他人因此便可以信任这些证书了，因为这是由他们所信任

的CA签署的。

现在，当人们用他的私钥签发电子信息时，接收者可用与之相应的公钥

核实电子信息，并且可用包含有公钥的证书验证发送者的身份。现今使

用的证书格式大多遵循X.509标准。

电子数据证据分析技术

日志分析：

•操作系统日志分析

•防火墙日志分析

•IDS软件日志分析

•应用软件日志分析

电子数据证据鉴定技术

电子数据

证据

图共Q、步

设备来源鉴定：

•CPU:提取CPU类型、序列号信息；

•存储设备：类型、ID;

•网络设备：

•网络接口卡：类型、MAC地址

•集线器、交换机、路由器：IP地址、物理地址、机器

类型

•ATM交换机：IP地址、ATM地址

电子数据证据鉴定技术

软件来源鉴定：

•根据文件扩展名、摘要、作者名、软件注册码判断数

据来自某一个软件及其作者、产生时间。

•鉴定时要考虑各种软件运行的动态特性。如下例：

参共2手

电子数据证据鉴定技术

被鉴定软件静态特征运行中特征运行后残留特征

摘要特征：原始作编辑文档时一，将证书信正常退出特征：用户所在目

者、最后保存者、息如录的template卜一，存储本次文

编辑时间、生成时A3BDA6FB5D97F5245AE档编辑的一部份信息；在

间、修订号、公司8600E717538FB6FE19AE%user%目录下的Application

名称4、以及key信息如Data—micsoft—office存储了

10371F0D906B55A54BE3自装机以来历次的删除记录、

注册特征：每个AC5A833B8D3E132B466文档原来所在的目录，文档

office文档，都会包B包含到文档中。名；在系统本身

MSWord含类似标识信息如%systemroot%中，存在每个

S-1-5-21-当office产生错误时，除程序的使用记录。

1177238915-了在temp目录下产生tmp

1202660629-或tm。文件，还发送报错异常退出特征：

842925246-1000信息到系统日志缓存文件中存储一部份恢复

信息。

电子数据证据鉴定技术

软件来源鉴定：

在主机或网络中的有害代码与操作具有某些特点，如，

为非授权用户在系统中制造一些后门：放凭文件许可

权、重新开放不安全的服务（如REXD、TFTP等）、修

改系统的配置（如系统启动文件、网络服务配置文件

）、替换系统本身的共享库文件、修改系统的源代码

、安装特落伊未乌、安装sniffers、建立隐藏通道；

或是采取各种方法来清除操作痕迹：篡改日志文件中

的审计信息、改变系统时间造成日志文件数据紊乱以

迷惑系统管理员、删除或停止审计服务潘进程。2孝

名称使用效果饕别依据特征

cheops可以将攻击目标使用ping、跟踪受害机上无特殊日志，可终用

所■的网络拓朴路由等完成工具abacusportsentry监视端口

构画出来，包括所提供的功能，并与防火墙连动。攻击者机器

各种服务器、网所在网络有大量上在.history留下操作记录，

络设备、客户机ping包产生，攻读取此文件可看到cheops关键

操作系统以及各击机发出大量数字。

节点间的通讯信据包。

息°

端口、服务、系存在大量受害机上无特殊日志，可使用

扫描与Nmap

统判断类的扫描syn\fin\tree\nportsentry监视端口连接。

信息收

工具，同时也可攻击者机器上在.histfwy文件

集ull这样的会

以作为D.0.S工话，受害机受到中留下操作记录，看到nmap关

具进行攻击。ftp跳转扫描、键字，对于windows机器，可在”

udp扫描。程序”一〉”文档”中留下记录。

Snifferpro绘制网络拓扑与本地网卡设为混受害机上无特殊日志。攻击者

各节点会话，窃杂模式机器上，网卡设为混杂模式，

取共享环境下的可以ipconfig/all中看到,或

应用会话在网络属性中看到“M0NITR0”一

项。

Firetalk测试攻击途径中只能针对过滤防防火墙日志中留下大量被拒绝的

所遇防火墙的过火墙进行攻击，连接，防火墙日志功能没打开，

滤规则。对代理无效，攻则没有记录，具体记录格式与各

击时存在一些防火墙的日志系统有关。攻击者

ICMP包的超时机器上在.history留下操作记录，

错误看到fibrewall关键字。

Hping对防火墙进行穿同时同上

透性测试。

Nessus综合性的漏洞扫占用网络资源、受害机对外提供的服务日志中存

描工具。系统资源，暴力在大量来自同一IP的连接记录；。

式扫描容易被如针对smtp扫描，可用snoop工

IDS系统察觉。具看至（J：xx..xx.xxx.xx->next

smtpcport=1974

xx..xx.xxx.xx->nextsmtpc

port=1974mailfrom:<

dfddf@vin.......攻击者机器

上在.history留下操作记录，可

看到nessus关键字。

/usr/local/share下有大量

*.nasi文件。

Strobe服务与版本扫描与目标机建立完整受害机所存在对外服务如

置,对话’只与服务建http/Rp/mail/telnet等服务存在几秒内

、一Fd立短时对话，取到来自同一1P地址的连接。如在

issue后断开对话。secure文件中存在记录:may14

10:20:30washackedin.telnetd[473]

connetctfrom

2(00.62)

攻击者机器上用find/-name可查到

此工具，在.history查看操作记录，

看到storbe关键字。

Supperscan最快的扫描工具占用大量网络、系受害机所存在对外服务如

统资源。http/ftp/mail/telnet等服务存在几秒

内来自同-IP地址的连接。本机上

操作记录，搜索硬盘可查到snanner

及scanJst等几个文件。

流光国内使用较多的漏占用资源，对目标受害机所存在对外服务如

洞扫描工具系统产生影响，速http/ftp/mail/telnet等服务存在几秒

度较慢，但可以查内来自同一IP地址的连接。本地硬

出几个易于利用的盘上存在fluxay及netxeyes等几个关

漏洞。键文件，也可查看注册表。

Sss俄罗斯出品的漏洞同上受害机所存在对外服务如

扫描工具http/ftp/mail/telnet等服务存在几秒