《數(shù)字取證技術(shù)》PPT課件

《《數(shù)字取證技術(shù)》PPT課件》由會(huì)員上傳分享，免費(fèi)在線(xiàn)閱讀，更多相關(guān)內(nèi)容在教育資源-天天文庫(kù)。

1、第8章數(shù)字取證技術(shù)8.1數(shù)字取證概述8.2電子證據(jù)8.3數(shù)字取證原則和過(guò)程8.4網(wǎng)絡(luò)取證技術(shù)8.5數(shù)字取證常用工具8.1數(shù)字取證概述數(shù)字取證技術(shù)將計(jì)算機(jī)調(diào)查和分析技術(shù)應(yīng)用于對(duì)潛在的、有法律效力的電子證據(jù)的確定與獲取，同樣它們都是針對(duì)黑客和入侵的，目的都是保障網(wǎng)絡(luò)的安全。從計(jì)算機(jī)取證技術(shù)的發(fā)展來(lái)看，先后有數(shù)字取證（DigitalForensics）、電子取證（ElectricForensics）、計(jì)算機(jī)取證（ComputerForensic）、網(wǎng)絡(luò)取證（NetworksForensics）等術(shù)語(yǔ)。1．電子取證

2、電子取證則主要研究除計(jì)算機(jī)和網(wǎng)絡(luò)以外的電子產(chǎn)品中的數(shù)字證據(jù)獲取、分析和展示，如數(shù)碼相機(jī)、復(fù)印機(jī)、傳真機(jī)甚至有記憶存儲(chǔ)功能的家電產(chǎn)品等。2.計(jì)算機(jī)取證計(jì)算機(jī)取證的主要方法有對(duì)文件的復(fù)制、被刪除文件的恢復(fù)、緩沖區(qū)內(nèi)容獲取、系統(tǒng)日志分析等等，是一種被動(dòng)式的事后措施，不特定于網(wǎng)絡(luò)環(huán)境。3．網(wǎng)絡(luò)取證網(wǎng)絡(luò)取證更強(qiáng)調(diào)對(duì)網(wǎng)絡(luò)安全的主動(dòng)防御功能，主要通過(guò)對(duì)網(wǎng)絡(luò)數(shù)據(jù)流、審計(jì)、主機(jī)系統(tǒng)日志等的實(shí)時(shí)監(jiān)控和分析，發(fā)現(xiàn)對(duì)網(wǎng)絡(luò)系統(tǒng)的入侵行為，記錄犯罪證據(jù)，并阻止對(duì)網(wǎng)絡(luò)系統(tǒng)的進(jìn)一步入侵。8.2電子證據(jù)8.2.1電子證據(jù)的概念電子證據(jù)是在計(jì)

3、算機(jī)或計(jì)算機(jī)系統(tǒng)運(yùn)行過(guò)程中產(chǎn)生的以其記錄的內(nèi)容來(lái)證明案件事實(shí)的電磁記錄物。8.2.2電子證據(jù)的特點(diǎn)1．表現(xiàn)形式的多樣性2．存儲(chǔ)介質(zhì)的電子性3．準(zhǔn)確性4．脆弱性5．?dāng)?shù)據(jù)的揮發(fā)性8.2.3常見(jiàn)電子設(shè)備中的電子證據(jù)電子證據(jù)幾乎無(wú)所不在。如計(jì)算機(jī)中的內(nèi)存、硬盤(pán)、光盤(pán)、移動(dòng)存儲(chǔ)介質(zhì)、打印機(jī)、掃描儀、帶有記憶存儲(chǔ)功能的家用電器等。在這些存儲(chǔ)介質(zhì)中應(yīng)檢查的應(yīng)用數(shù)據(jù)包括:1．用戶(hù)自建的文檔；2．用戶(hù)保護(hù)文檔；3．計(jì)算機(jī)創(chuàng)建的文檔；4．其他數(shù)據(jù)區(qū)中的數(shù)據(jù)證據(jù)；5．ISP計(jì)算機(jī)系統(tǒng)創(chuàng)建的文檔、ftp文件等。8.3數(shù)字取證原則和

4、過(guò)程8.3.1數(shù)字取證原則1．盡早搜集證據(jù)，并保證其沒(méi)有受到任何破壞；2．必須保證取證過(guò)程中計(jì)算機(jī)病毒不會(huì)被引入到目標(biāo)計(jì)算機(jī)；3．必須保證“證據(jù)連續(xù)性”，即在證據(jù)被正式提交給法庭時(shí)必須保證一直能跟蹤證據(jù)，要能夠說(shuō)明用于拷貝這些證據(jù)的進(jìn)程是可靠、可復(fù)驗(yàn)的等；4．整個(gè)檢查、取證過(guò)程必須是受到監(jiān)督的；5．必須保證提取出來(lái)的可能有用的證據(jù)不會(huì)受到機(jī)械或電磁損害；6．被取證的對(duì)象如果必須運(yùn)行某些商務(wù)程序，只能影響一段有限的時(shí)間；7．應(yīng)當(dāng)尊重不小心獲取的任何關(guān)于客戶(hù)代理人的私人信息。8.3.2數(shù)字取證過(guò)程數(shù)字取證的過(guò)程

5、一般可劃分為四個(gè)階段：1．電子證據(jù)的確定和收集要保存計(jì)算機(jī)系統(tǒng)的狀態(tài)，避免無(wú)意識(shí)破壞現(xiàn)場(chǎng)，同時(shí)不給犯罪者破壞證據(jù)提供機(jī)會(huì)，以供日后分析。要注意以下幾個(gè)方面：（1）收集數(shù)據(jù)前首先要咨詢(xún)證人使用計(jì)算機(jī)的習(xí)慣。（2）可以通過(guò)質(zhì)疑來(lái)獲取目標(biāo)計(jì)算機(jī)網(wǎng)絡(luò)上的相關(guān)信息。（3）咨詢(xún)系統(tǒng)管理員和其他可能與計(jì)算機(jī)系統(tǒng)有關(guān)系的人員，再次確保掌握了關(guān)于備份系統(tǒng)的所有信息和數(shù)據(jù)可能的儲(chǔ)存位置。（4）不要對(duì)硬盤(pán)和其他媒介進(jìn)行任何操作，甚至不要啟動(dòng)它們。（5）必須保護(hù)所有的媒介，對(duì)所有媒介進(jìn)行病毒掃描。（6）牢記“已刪除”并不意味著真的

6、刪除了。（7）對(duì)不同類(lèi)型的計(jì)算機(jī)采取不同的策略。2．電子證據(jù)的保護(hù)這一階段將使用原始數(shù)據(jù)的精確副本，應(yīng)保證能顯示存在于鏡像中的所有數(shù)據(jù)，而且證據(jù)必須是安全的，有非常嚴(yán)格的訪(fǎng)問(wèn)控制。為此必須注意以下幾點(diǎn)：（l）通過(guò)計(jì)算副本和原始證據(jù)的hash值來(lái)保證取證的完整性；（2）通過(guò)寫(xiě)保護(hù)和病毒審查文檔來(lái)保證數(shù)據(jù)沒(méi)有被添加、刪除或修改；（3）使用的硬件和軟件工具都必須滿(mǎn)足工業(yè)上的質(zhì)量和可靠性標(biāo)準(zhǔn)；（4）取證過(guò)程必須可以復(fù)驗(yàn)；（5）數(shù)據(jù)寫(xiě)入的介質(zhì)在分析過(guò)程中應(yīng)當(dāng)寫(xiě)保護(hù)，以防止被破壞。3.電子證據(jù)的分析具體包括：文件屬性分

7、析技術(shù)；文件數(shù)字摘要分析技術(shù)；日志分析技術(shù)；密碼破譯技術(shù)等。分析階段首先要確定證據(jù)的類(lèi)型，主要可分為三種：（1）使人負(fù)罪的證據(jù)，支持已知的推測(cè)；（2）辨明無(wú)罪的證據(jù)，同已知的推測(cè)相矛盾；（3）篡改證據(jù)，以證明計(jì)算機(jī)系統(tǒng)已被篡改而無(wú)法用來(lái)作證。4．展示階段給出調(diào)查所得結(jié)論及相應(yīng)的證據(jù)，供法庭作為公訴證據(jù)。還要解釋是如何處理和分析證據(jù)的，以便說(shuō)明監(jiān)管鏈和方法的徹底性。8.4網(wǎng)絡(luò)取證技術(shù)8.4.1網(wǎng)絡(luò)取證概述網(wǎng)絡(luò)流的相關(guān)性、數(shù)據(jù)的完整性和包捕獲的速率是網(wǎng)絡(luò)取證、分析首要考慮的事情。相關(guān)性是指在某些環(huán)境下，應(yīng)當(dāng)在捕

8、獲網(wǎng)絡(luò)流時(shí)應(yīng)用過(guò)濾器去掉不相關(guān)的數(shù)據(jù)。數(shù)據(jù)的完整性要求網(wǎng)絡(luò)取證工具應(yīng)當(dāng)一直監(jiān)控網(wǎng)絡(luò)流。網(wǎng)絡(luò)取證對(duì)數(shù)據(jù)的保護(hù)和一般的數(shù)字取證過(guò)程要求相同，網(wǎng)絡(luò)取證分析的相關(guān)技術(shù)包括人工智能、機(jī)器學(xué)習(xí)、數(shù)據(jù)挖掘、IDS技術(shù)、蜜阱技術(shù)、SVM和專(zhuān)家系統(tǒng)等。8.4.2網(wǎng)絡(luò)取證模型根據(jù)網(wǎng)絡(luò)攻擊一般過(guò)程，網(wǎng)絡(luò)取證模型如圖所示。8.4.3IDS取證技術(shù)將計(jì)算機(jī)取證結(jié)合到入侵檢測(cè)等網(wǎng)絡(luò)安全工具和網(wǎng)絡(luò)體系結(jié)構(gòu)中進(jìn)行動(dòng)態(tài)取證，可使整個(gè)取證過(guò)程更加系