计算机取证与司法鉴定课件项目五

了解网络取证的定义和特点了解网络监控的程序了解网络取证的数据来源掌握利用网络取证分析工具获取和分析网络数据包的基本方法掌握云存储取证的基本方法掌握利用蜜罐技术进行网络取证的基本方法学习目标Tom通过从项目一到项目四的调查和取证分析后，发现计算机系统中安装有“百度云管家”软件，因此怀疑可能有相当的犯罪证据和线索通过云存储服务存储在云端，这时取证调查人员Tom应当怎样获取证据？项目说明Tom在进行取证调查过程中，发现为公司工作人员提供服务的服务器最近常受到黑客攻击，由于公司内部网络与Internet物理断开，因此Tom相信攻击源来自内部局域网。此时调查人员Tom向公司主管Alice汇报后，得到公司高层授权可以在网络中进行适当的设置和调查，那么Tom应当怎样去获取证据和重要线索？项目说明项目任务被调查计算机安装云服务客户端软件信息检查；被调查计算机上网记录分析；云存储系统信息提取。项目任务搭建蜜罐；根据案例情况对蜜罐进行合理设置；利用蜜罐进行调查。网络取证的特点电子主要研究对象不再仅仅局限于单个的或相互独立的计算机，而是与网络传输的数据包或网络数据流有关。在网络取证时，取证人员的取证时间和被调查人员（如网络攻击者）的作案时间常常是重叠的，或者说网络取证是动态的。基础知识网络取证的特点在网络取证时，随着调查时的网络不同，取证调查的目标往往是分布在相当广阔的范围中。在多数网络取证实践工作中，为满足网络取证的实时性要求，往往需要把网络取证的工作与网络监控相结合。基础知识网络监控的程序授权证据收集证据分析与提交报告基础知识网络调查的信息源终端部分（攻击方或者受害方）数据传输部分基础知识网络取证分析工具网络数据包嗅探网络协议分析网络数据流监控和解析基础知识为了获取有价值的证据信息，Tom决定对Adam的计算机是否安装云存储服务的客户端软件进行调查，并且分析本地网页浏览记录中相应云存储服务网址的痕迹，从而首先确定Adam使用了哪个提供商的云存储服务，在获取这些基本信息的基础上，对Adam的计算机中与云存储服务相关的文件夹进行重点分析，获取被调查者在进行云存储时使用的用户名等重要信息，在获取这些重要信息后，根据案件取证调查的需要以及公司利益的需求，与公司高层协商是否提起诉讼并向公安机关申请，要求相应云服务提供商配合调查。项目分析Tom首先了解到被攻击服务器仅用于公司内部网络，与广域网物理断开，因此可以确定攻击源来自于公司内部局域网，攻击者很可能是内部员工。由于攻击者在清除痕迹时对服务器日志等关键部分进行了较充分清理，而这台服务器没有实时在线异地备份日志等关键信息，因此如果仅对服务器和中间设备进行调查分析较为困难。考虑到自己是公司高层授权进行秘密调查很可能攻击者并不知道自己的行为已引起注意，且最近一段时间服务器常受攻击，因此Tom决定设立一个可引诱攻击者的蜜罐，从而获取相应的证据和重要线索的信息。项目分析任务一：云存储取证案例分析项目实施调查云存储痕迹安装软件信息的检查项目实施调查云存储痕迹网络浏览记录分析项目实施调查云存储痕迹安装路径检查项目实施调查云存储痕迹注册表检查项目实施调查云存储痕迹网络连接状态检查项目实施调查云存储痕迹百度云盘系统信息的提取项目实施任务二：网络取证案例分析项目实施搭建蜜罐搭建蜜罐的准备工作环境准备软件工具包准备项目实施搭建蜜罐安装Honeyd及其相关组件，构建蜜罐首先安装“libevent”安装“libevent”成功以后，进行“libdnet”的安装安装“libdnet”成功以后，进行“libpcap”的安装安装“libpcap”成功以后，进行“zlib”的安装安装“honeyd”项目实施搭建蜜罐出错信息处理进行“libpcap”安装时的错误信息处理进行“Honeyd”安装时的错误信息处理项目实施运用蜜罐技术进行网络取证调查启动Honeyd使用“sudoarpdxxx”启动arpd启动“arpd”成功后，查看arpd监听的IP地址利用“sudomkdir”命令创建Honeyd蜜罐的日志目录利用“sudotouch”的脚本程序创建Honeyd蜜罐的日志文件项目实施运用蜜罐技术进行网络取证调查启动Honeyd使用“sudo./start-arpd.sh”命令启动arpd监听运行“sudo./start-honeyd.sh”命令启动Honeyd并加载Honeyd的配置文件项目实施网络