信息犯罪与计算机取证第五章电子证据发现与收集.

信息犯罪与计算机取证第五章电子证据发现与收集

本章重点内容：日志系统中电子证据发现的方法，收集的途径等，网络环境中电子证据发现的方法，收集的方式等。

本章学习要求：通过本章的学习，掌握电子证据发现的总体思路和具体方法，掌握在不同种操作系统环境下的日志文件的收集，掌握网络通信中所涉及到的电子证据的发现与收集。

复旦投毒案 4月1日，复旦大学一名在读医科研究生突然患病，病情严重。
　4月1日，复旦大学一名在读医科研究生突然患病，病情严重。医院大夫怀疑饮水机的桶装水放置太久孳生细菌，诊断为急性肠胃炎。黄洋接受打针、输液等治疗。简单的治疗并没有制止病情的急剧恶化。第二天，黄洋的肝功能和凝血功能均不在正常指标内，第三天他的血小板开始减少，被送入了外科重症监护室。医生多方会诊，仍不能确定毒源，而黄洋已陷入昏迷。

转折点在医院救治中，医生一直不确认原因。直到9日，事件出现重要进展。
黄洋的师兄孙某收到了一个陌生人发来的短信，提请注意一种化学药物，周围有人常在用。

破案关键孙某收到短信后，马上将情况告诉了黄洋的导师，并查询了校内的医学论文资料，发现使用该药物后的实验室小白鼠症状与黄洋此前症状十分相似，而相关实验论文的作者正是黄洋的同寝室室友林某！　之后就听说有人看到犯罪嫌疑人被控制了。

神秘短信短信可以锁定发送者即使是匿名可以锁定基站结合摄像头和人证，可以锁定发出短信的是什么人？

案例

5.1 计算机系统日志概述 5.1.1 计算机系统日志的概念 “日志”这一概念来源于海员的航海日志。当他们出海远航的时候，总是将每天的航行状况以航海日志的形式记录下来，以便为今后的工作提供有效的依据。

计算机系统日志的概念是指系统所指定对象的某些操作和其操作结果按时间有序的集合，每个日志文件由日志记录组成，每条日志记录描述了一次单独的系统事件。

日志也是关于计算机系统一切活动的历史记录，由负责监视系统活动的审计系统产生。
一条日志记录可以由用户级、应用程序级、系统级活动组成。

Win7日志我们可以在Windows 7系统下直接查看系统的启动时刻。

winxp日志我的电脑右键属性，管理事件日志查看

5.1.2 计算机系统日志的作用 1．资源监控可以通过系统日志来了解计算机系统中的进程、内存、硬盘、文件、网络、外围设备等资源的使用情况。 2．用户审计系统日志记录了用户使用系统资源的情况，这就可以有效监控用户的行为，防止资源浪费或者超越权限的行为。

3．入侵检测通过设置不同的安全级别实现对违反安全政策和机制的行为进行记录和报警。 4．损失评估可以帮助调查人员确定不安全行为的影响范围，并对造成的损失进行评估。

5．帮助恢复系统如果系统一旦遭到入侵甚至破坏，那么由于计算机系统日志记录了系统之前的运行信息，甚至记录了入侵的过程和最终结果。 6．形成电子证据日志记录了系统日常活动，通过分析计算机系统的日志的分析，可以查找出一些不安全或者不正常的事件，作为电子证据。

5.1.3 计算机系统日志的特点 1．多样性不同的操作系统、网络设备和系统安全软件会生各自日志，所记录的内容和侧重点也各不相同。因此，至今无法将计算机系统日志的设置成统一标准和格式。 2．难以获取日志的多样性导致不同的日志文件所记录的信息和格式千变万化。要顺利获取日志，必须根据不同的日志接口采用不同的工具软件。故而要求取证人员要熟悉日志的存储模式和参考文档，技术要求较高。

3．海量数据日志记录了计算机从启动到关机整个运行过程的相关信息，其数据量的大小根据不同的计算机系统日志的会有所区别。每天生成的日志文件小则几十M，多则几十G。其中，服务器日志、防火墙日志、入侵检测系统日志和数据库日志等产生的数据量非常巨大。这些海量的数据，使得是的调查人员从日志中发现与搜集电子证据十分的困难。

4．不安全性设置计算机日志系统的初衷是为了方便于系统管理。因此，在信息安全方面的考虑有所欠缺。黑客可以通过修改配置文件或者系统注册表来改变计算机系统日志的产生和保存方式，甚至修改记录中的不安全事件。与此同时，日志通常存储在未经保护的系统目录中，并未经加密和校验处理，缺乏防止恶意篡改的有效保护机制。这些以上各点导致了日志文件有时不一定是准确的。

5．内联性日志按照时间的顺序记录了计算机系统中活动，有时会在多个系统日志中记录同一个事件。取证人员可以通过查看这些不同系统的日志，推理出它们之间存在某种必然的联系来，从而可以反映该用户的历史活动。

5.2 操作系统审计与日志文件中电子证据发现与收集
5.2.1 Windows操作系统日志文件是Windows操作系统中一种特殊的文件，它记录着在Windows操作系统中所发生的一切活动，如各种服务的启动、运行、关闭等重要信息。日志文件的大小一般为512KB，如果文件大小超出则系统会报错，并不再记录任何日志。

1. Windows 98的日志在Windows 98操作系统下，普通用户一般无需使用其系统日志功能。
但是，如果需要利用Windows 98建立一个Web服务器时，出于保障服务器的安全方面的考虑，建议启用系统日志功能，记录活动的内容，提高系统的安全性。

具体步骤如下： (1) 在【控制面板】中双击【个人Web 服务器】的图标。注意：首先必须在配置好相关的网络协议，并添加【个人 Web服务器】的。 (2) 在【管理】选项卡中单击【管理】按钮。 (3) 在【Internet服务管理员】页面中单击【WWW管理】。

(4) 在【WWW管理】页面中单击【日志】选项卡。
(5) 选中【启用日志】的复选框，根据需要进行修改。将日志文件命名为 Inetserver_event.log。如果【日志】选项卡中没有指定日志文件的目录，则将该文件保存在Windows文件夹中。

如果要寻找日志文件，可以在Windows 98的系统文件夹中找到名为schedlog.txt 的日志文件。
具体查找方式如下： (1) 可以在【开始/查找】中直接查找到它。 (2) 启动【任务计划程序】，然后在【高级】菜单中单击【查看日志】，就可以查看到。

2. Windows NT的日志 Windows NT的日志一般有三类：
(1) 系统日志：该文件记录由Windows 系统组件产生的事件，默认位置为 C:\systemroot\system32\config\SysEvent.E VT。 (2) 应用程序日志：该文件记录由应用程序或系统程序产生的事件。默认位置为 c:\systemroot\system32\config\AppEvent. EVT。

(3) 安全日志：该文件可以记录一些非正常的安全事件。
默认位置为 c:\systemroot\system32\config\SecEvent.E VT。

3. Windows 2000的日志在Windows NT的日志文件类型基础上又添加了DNS服务器日志、FTP日志、 WWW日志等多种类型。其中，FTP日志以文本形式的文件详细地记录了以FTP方式上传的文件来源、文件名等等。

FTP日志文件和WWW日志文件产生的日志一般在c:\sys temroot\system32\LogFiles\W3SVC1目录下，默认设置是每天一个形成日志文件， FTP和WWW日志可以删除。

Windows 2000的系统日志由事件记录组成，每个事件记录分为三个功能区：记录头区、事件描述区和附加数据区。
表5-1描述了事件记录的结构：

4. Windows XP 的日志在WindowsXP的【控制面板】中，单击【管理工具】，打开【事件查看器】，可以看到WindowsXP中同样也有着系统日志、安全日志和应用日志三种常见的日志文件。

要关注的是Internet连接防火墙(ICF)的日志。
该日志分为两类：一类是ICF审核通过的IP数据包；另一类是ICF抛弃的IP数据包。

5. Windows Vista的日志在Windows Vista的事件查看器中，日志数目较先前的windows操作系统的数目增大。
除了应用程序、安全、系统这3个传统事件日志以外，还有一些新日志。

(1) 事件查看器可以将来自多个日志中的多个事件收集到一个视图中。展开【错误】事件列表后，就会看到了来自 “应用程序”、“系统”以及其他更具体的日志（如“虚拟服务器”日志）的事件。
(2) 供了更有效的事件过滤机制。 (3) 日志查看器将事件分为信息、警告、错误、严重、详细等多个选项。使得用户在查找与定位问题时更具有针对性。

Windows Vista的日志文件默认存储目录是c:\systemroot\system32\winevt\logs。
每个日志文件包括一个较小的文件头和一系列的数据块，每个数据块又包含整数条的事件记录。

微软在Vista中使用了全新的事件日志系统，该系统是基于XML技术的，但XML 要占用大量的CPU和内存资源分析文件格式，并且有许多冗余，会占用较多的磁盘空间。

例如：安装日志（专为应用程序的安装程序而设计）；备份服务的日志；WinLogon 服务的日志。这些新日志存放于一个专为特定应用程序和服务创建的日志的文件夹中。

在Vista的日志系统中，对XML消息的频繁读取会消耗较多的资源，所以将一些语言元素转换成“记号”。
可有效地节省计算资源和空间资源，如表5-2所示：

5.2.2 Linux操作系统 1． Unix/Linux系列概述
Unix/Linux系列的操作系统种类繁多，除了不同版本的内核之外，还有不同厂商的不同产品，如：FreeBSD、Solaris、 RedHat、Suse、Mandrike、Fedoral和 Debian等。

它们的日志系统十分类似，本文将其统称为类Unix操作系统。表5-3就给出了常见的类Unix系统的日志信息，其共同点如下：

类Unix系统的日志主要有以下三个日志子系统构成：
(1) 连接时间日志 (2) 进程信息统计 (3) 错误日志

2． Linux操作系统 Linux系统提供了大量的有关审计和日志的工具和实用程序,它们在重建犯罪和跟踪罪犯方面是非常有用的。
这些日志文件都保存在/var/log目录下，并且都是ASCII码格式。因此，使用一般的文本浏览器即可打开。

(1) / var/log/messages 通常，计算机取证人员在Linux系统中首先要查看的文件就是messages。这个文件是Linux系统最基本的日志文件。通它常包括启动任务信息，登录信息等，还能显示出那个用户试图登录系统获得 root权限。

(2) /var/log/lastlog lastlog文件保存的是每个用户的最后一次登录信息，主要包括登录的时间和地点。这个文件一般是登录程序使用，通过查询用户的ID，并在在lastlog文件中查找相应记录进行匹配，然后更新这个用户的登录时间和地点。就可以根据这个文件的信息是否相符来发现某帐号是否被黑客盗用。。

(3) /var/log/secure 该记录系统自开通以来所有用户的登录时间和地点，以及登录的途径，可以给计算机取证人员提供更多的参考。

(4) /var/log/wtmp 这个文件保存了系统中所有用户的登录、退出信息，以及系统的启动、停机记录。计算机取证人员通过访问这个文件就可以获得用户的活动记录。它还可以按照用户或日期显示信息，使得计算机取证人员能够获得一些非常有用的反常信息。例如一个平时不太活跃的用户突然登录系统，并连接了很长的时间，就有可以关注这个帐户是否已经被黑客窃取了。

(5) /var/log/boot.log.x(x 代表系统运行级别)
该文件记录了系统在引导过程中发生的事件，即为Linux系统开机服务启动所显示的信息。计算机取证人员可以关注此文件是否存在一些非正常的服务。

（6）history实用程序日志在Bash中，History实用程序能够保存最近所执行的命令。从经验来看，最近的一次命令，其操作的号码就越大。这样就可以追踪入侵者的系统活动。

3．查看工具对于Linux系统有专门的日志分析和查看工具，如Logcheck和Friends等。

5.2.3 Unix操作系统 1. syslog syslog是一个历史悠久的日志系统，几乎所有的UNIX和Linux操作系统都是采用它进行系统日志的管理和配置。它有两个重要的文件组成：/etc/syslogd 和/etc/syslog.conf。

2．取证分析对UNIX系统进行取证事后分析的关键步骤是对日志进行收集和检查。
其中，重点检查系统目录是/var/adm和 /var/log下的日志文件：syslog , messages ,secure ,mail , wtp ,utpmp , lastlog等等，日志文件的存放目录一般可以在/etc/syslog.conf文件中找到。

如果确认Unix系统已经遭受入侵，则计算机取证人员可以从以下两个方面入手：
(1) messages /var/adm是Uinx的日志目录（linux下则是/var/log），这里保存有有相当多的 ASCII文本格式的日志。之所以首先考虑messages文件，是因为它也是入侵者所关心的文件，它记录了系统级别的信息。。

(2) wtmp，utmplogs和ftp日志
计算机取证人员可以在/var/adm，/var/log， /etc目录中找到名为wtmp，utmp的文件，它们记录了用户在何时，何地远程登录 (telnet)上主机。计算机取证人员可以使用lastlog这个命令来获得入侵者上次连接的源地址（该地址有可能是入侵者的一个跳板）。 ftp日志是指 /var/log/xferlog，该文件可以详细地记录以ftp方式上传文件的时间，来源，文件名等等。也是计算机取证人员需要注意的地方

3. sh_history 在系统遭到入侵后，即使黑客者删除 sh_history或者bash_history这样的文件，计算机取证人员只要执行kill- HUPcat/var/run/inetd.conf命令就可以将保留在内存页中的bash命令记录重新写回到磁盘，然后再执行 find/name.sh_historyprint命令。

5.2.4 其他获取受保护的计算机系统内的目录和文件操作的详细信息是对计算机网络犯罪行为进行取证的重要内容。
这两种操作系统都各自提供了API函数用于对文件和目录进行监控。

5.3 其他日志文件中电子证据发现与收集 5.3.1 Web服务器 Web服务器的日志多种多样，这里仅仅介绍常见的几种应用程序日志：
IIS日志 Apache日志代理服务器Squid日志

1. IIS日志分析 IIS（Internet信息服务）的日志：IIS日志使用W3C扩充日志文件格式，这也是IIS 5.0以上的默认格式。它可以指定每天记录客户IP地址、用户名、服务器端口、方法、URI资源、 URI查询、协议状态、用户代理，每天要审查日志。如图5-1所示

图5-1 IIS日志

如果要启用日志记录，其具体操作步骤如下：
(1) 单击【开始】，指向【程序】，指向【管理工具】，然后单击【 Internet 服务管理器】。 (2) 单击【服务器名称】旁边的加号。

(3) 右键单击【网站】或【FTP 站点】，然后单击【属性】。
(4) 在【Web站】或【FTP站点】选项卡上，选择【启用日志记录】。 (5) 在活动日志格式列表中，选择一种格式。 (6) 单击【应用】，然后单击确定。

IIS的日志文件都是文本文件，可以使用任何编辑器或相关软件打开，例如记事本程序。
例如AWStats工具，其开头四行都是日志的说明信息，如表5-7下所示：

2. Apache日志如果安装Apache服务器的时候选择默认安装方式，那么服务器一旦启动就会生成两个日志文件。
它们分别是access_log和error_log。这些文件可以在/usr/local/apache/logs下找到。

例如：一个访问日志中典型的记录： [9/Aug/2010:16:47: ] "GET / HTTP/1.0" 。

第一项信息是远程主机的地址，即它表明访问网站的究竟是谁。
第二项是空白，用一个“-”占位符替代。实际上绝大多数时候这一项都是如此。

第三项也是空白。第四项是请求的时间。第五项信息或许是整个日志记录中最有用的信息，它告诉我们服务器收到的是一个什么样的请求。第六项信息是状态代码。第七项表示发送给客户端的总字节数。

3. 代理服务器Squid日志代理服务是指由一台拥有标准IP地址的机器代替若干没有标准IP地址的机器和 Internet上的其它主机打交道，提供代理服务的这台机器称为代理服务器。目前，Squid可以代理HTTP、FTP、 GOPHER、SSL和WAIS协议。

squid 1.0 的格式：time elapsed remotehost code/status/peerstatus bytes method URL
squid 1.1的格式：time elapsed remotehost code/status bytes method URL rfc931 eerstatus/peerhost type

5.3.2 邮件服务器 1. SendMail Sendmail是一个不折不扣的电子邮件传输代理，一个在用户代理和投递代理之问充当桥梁的程序。它使用SMTP协义进行通信，通过 Internet把消息投递给远程机器的对等传输代理。

Sendmail的任务包括： (1) 当消息离丌用户的键盘时对它们进行控制。 (2) 理解收件人的地址。 (3) 选择一个适当的投递或传输代理。

(4) 把地址重写为投递代理可理解的形式。 (5) 根据需要重新确定信头的格式。 (6) 把变换后的消息传递给投递代理； (7) 如果消息无法投递，Sendmail还会生成出错消息并把消息返回给收件人。

一般来说，邮件服务的日志文件和邮件服务器放在同一台主机上，对其日志文件的收集有两种方法：
(1) 在服务器段运行一个日志分收集的程序，在每次收集日志的时候都调用它，整个过程在服务器段端完成。 (2) 在客户端将邮件服务器的日志文件通过FTP服务器收集到本地，在本地运行相关程序进行采集，甚至可以分析该日志。

Exchange Server Exchange Server 2007 中的日志功能利用了Exchange中新增的基于角色的拓扑功能。
如图5-3 中所示，当所有邮件发送至/自邮箱和统一消息服务器、其他Exchange 系统、第三方应用程序和 Internet，它们均由中心传输服务器进行处理。

图 5-2 中心传输服务器邮件流程统一消息服务器邮箱服务器1 服务器2 中心传输防火墙1 第三方感应服务器边缘服务器防火墙2
互联网图 5-2 中心传输服务器邮件流程

5.3.3 数据库 1. SQL Server 以SQL Server 2005为例，它可以将某些系统事件和用户自定义的事件记录到 SQL Server错误日志和Windows应用程序日志中。这两种日志都会自动标上时间。

(1) 在事件查看器中查看服务器的运行情况 SQL Server 2005服务器的启动、关闭和暂停动作，都会产生一个事件记录，这个记录将会记在Windows的事件查看中。

① 在计算机的【开始】菜单中单击【管理工具】，再单击【事件查看器】。
② 在如图5-3所示【事件查看器】对话框中，选择【事件查看器（本地）】，再单击【应用程序】选项，在右边的列表框里可以看到所有的事件记录列表。

图5-3【事件查看器】对话框

③ 其中一个事件，将弹出如图5-4所示的事件属性对话框，在这里可以看到事件的详细内容。
本例中是审核成功信息。通过这一项可以看出是否有黑客成功入侵。

图5-4 【事件属性】对话框

④ 事件查看器里有可能记录了各种不同应用程序的事件记录，如果只想查看和SQL Server有关的事件记录的话，可以右击应用程序，在弹出的快捷菜单里选择【查看】→【筛选】。
如图5-5所示的应用程序属性对话框。在这里可以筛选事件类型、事件来源、类别、事件时间等。

图5-5 【应用程序属性】对话框

(2)．SQL Server 2005的新增功能 SQL Server 2005相比较与以往的版本，它可以支持通过日志查看器查看SQL Server的日志。具体方法为使用SQL Server Management Studio进行查看.

① 启动【SQL Server Management Studio】并连接到SQL Server服务器上。
② 在【对象资源管理器】中，屏开【实例名】→【管理】→【SQL Server 日志】，如图5-6所示，可以看到SQL Server的日志存档。

图5-6 查看SQL Server日志

③ 双击某一个日志存档，如图5-7所示对话框【日志文件查看器】窗口，可以查看日志的具体内容。

图5-7 【日志文件查看器】窗口

2. Oracle 分析Oracle日志的唯一方法就是使用 Oracle公司提供的Log Miner来进行。

3. DB2 DB2数据库日志分循环日志和归档日志。
数据库安装成功后系统默认为循环日志。使用循环日志一旦日志目录中最后一个主日志文件被写满了，就会将新的事务写到第一个日志文件中．从而覆盖现有的日志数据，新的事物务依次会覆盖旧的日志文件，因此循环日志不能使用向前回滚的方法恢复数据库。

与循环日志记录相比，当最后一个日志文件写满时，归档日志记录过程会创建一个新的日志文件。这样将来的事务就不会覆盖现有的日志文件。

从DB2版本8.2开始。系统支持三种方式归档日志：
一、将归档日志存放到磁盘上；二、归档日志存放到TSM服务器；三、第三方厂商提供的产品。

5.3.4 防火墙 Windows防火墙是一个基于主机的状态防火墙，它会断开非请求的传入通信，这些通信指并非为响应计算机的请求而发送的通信（请求通信）或被指定为可允许的非请求通信（例外通信）。

查看Windows防火墙日志步骤如下： (1) 单击【控制面板】，打开【Windows 防火墙】, (2) 然后单击【高级】选项卡。 (3) 在【安全日志记录】中单击【设置】。 (4) 在【日志设置】对话框中，单击【另存为】。 (5) 右键单击日志文件名，然后单击【打开】。

在 Windows XP SP2 中有许多关于 Windows 防火墙的新功能，其中包括：
(1) 默认情况下对计算机的所有连接都启用。 (2) 应用于所有连接的新全局配置选项。 (3) 用于本地配置的一组新对话框。

(4) 新的操作模式。 (5) 启动安全性。 (6) 可按范围指定例外通信。 (7) 可按应用程序文件名指定例外通信 (8) 对IPv6 通信的内置支持 (9) 关于 Netsh 和组策略的新配置选项。

Vista的防火墙是建立在新的Windows过滤平台(WFP)上的，该防火墙添加了通过高级安全MMC管理单元过滤出站流量的功能。

Windows 7防火墙是对Vista防火墙进行广泛改善后的产物，并且将其隐藏的先进功能公开化了。

5.3.5 路由器路由器的一些重要信息可以通过syslog 机制在内部网络的Unix主机上作日志。
日志功能可通过在路由器上设定日志主机的IP地址，并在相应的Unix主机上作一些必要的设置来实现。

5.4 网络通信中电子证据发现与收集与网络通信活动有关的证据都可以称为网络环境下的电子证据。
实际上，证据最终总要被存储，现阶段的各种数字设备本质上都可以看成是计算机，可能存储相应的证据,如网络交换机、路由器等。网络环境下的电子证据主要来自以下四个方面:

1．来自于网络服务器、网络应用主机的证据 2．来自于网络通信数据的证据 3．来自于网络安全产品、网络设施的证据 4．专门的网络取证分析系统产生的包括日志信息在内的结果

5.4.1 调查IP地址 IP地址调查的目的是确定攻击发起的位置，最终确定犯罪嫌疑人的身份。
因为每一个连接在Internet上的设备，如主机、路由器、接入服务器等一般情况下都会有一个独立的IP地址，找到源 IP地址就找到了攻击发起的位置。

1 使用 Who is 2 nslookup (名称服务器查找)命令 3 Trert 或 Traceroute命令 4 使用 IP 扫描工具程序 5 加强区域合作 6 MAC地址的获取

5.4.2电子邮件一般计算机取证人员可以通过查看电子邮件的邮件头信息的办法，获得发件人的IP地址和路由信息，通过这些信息追踪到信件发出的计算机。但是，如果要调查的电子邮件是一个基于Web的电子邮件，因为邮件头中的IP 地址信息是Web邮件服务提供者的地址，那么确定邮件的发件人地址的行动就困难得多。

1. 如果难以查看来自 Google 网上论坛的邮件，查看邮件标头可能会有助于发现问题所在。
通过该标头可以了解相应电子邮件的原始出处，以及该邮件在到达收件箱之前都发送到了哪些地址。

2. 要在电子邮件程序中查看邮件标头，按下列说明操作。如果需要将这些标头发送给他人，只需在找到完整标头后将其复制并粘贴到电子邮件中。
(1) Gmail：首先在Gmail收件箱中打开邮件。然后点击邮件右上角的向下箭头。再点击选项框底部附近的"显示原始邮件"链接。邮件则会在另一个窗口中打开，顶部标有完整的邮件标头。

(2) Microsoft Outlook：首先在Microsoft Outlook中打开邮件。然后选择【视图】，再单击【选项】。可以在【Internet 邮件头】框中看到这些标头。

(3)Yahoo Mail：首先在Yahoo Mail收件箱中打开电子邮件。然后点击位于该电子邮件右下角的"完整标头"链接。如果上面没有列出针对电子邮件程序的说明，可以通过查阅所使用程序的帮助信息，获取有关查看邮件标头的说明。

5.4.3 基于Web的攻击基于Web的攻击一般有三类: 攻击服务器篡改网页内容窃取服务器中信息

例如: 对Web页面篡改的行为，攻击者必须拥有对该Web站点Web根目录的写访问权，这可能是由于密码被猜中、操作系统配置不当或应用程序的漏洞造成的，也可能是攻击者对授权域名服务器的侵入造成的.

5.4.4 监听网络网络监听常常是被攻击者用来窃取用户信息的一种手段，但它同时也可以用来捕捉受怀疑的攻击者的流量，确定或排除疑点，收集补充证据，核查危及的范围。

进行网络监视需要必要的硬件系统支持，比如较高的主频，很大的硬盘空间，足够的内存空间，合适的操作系统，恰当的监听软件等。
同时应考虑进行监听的位置和安全性，为了不被发现，可选择交换机的分析端口(SPAN)和单向的Ethernet电缆等措施。

1. 网络监听工作原理网络监听技术本来是提供给网络安全管理人员进行管理的工具，可以用来监视网络的状态、数据流动情况以及网络上传输的信息等。

2．在局域网实现监听的基本原理对于目前很流行的以太网协议，其工作方式是：将要发送的数据包发往连接在一起的所有主机，包中包含着应该接收数据包主机的正确地址，只有与数据包中目标地址一致的那台主机才能接收。

3. 具体实现对网卡设置混杂模式是通过原始套接字（raw socket）实现的，这有别于通常是使用的数据流和数据报套接字。
3. 具体实现对网卡设置混杂模式是通过原始套接字（raw socket）实现的，这有别于通常是使用的数据流和数据报套接字。在创建了原始套接字后，需要通过 setsockopt()函数来设置IP头操作选项，然后再通过bind( )函数将原始套接字绑定到本地网卡。

这些数据经过了网络层和传输层的打包，因此需要根据其附加的帧头对数据包进行分析。
如图5-8所示：

图5-8 网络监听器窗口

5.4.5 P2P技术 P2P是Peer-To-Peer的缩写，是点对点、对等的意思。P2P技术的发展一共经历了三代：

第二代是客户服务器式：第二代P2P 网络是目前最常用的类型，仍旧是基于服务器，只不过废除了集中的服务器，取而代之的是客户端软件既有服务器的功能也有客户端的功能，或者专门的服务器软件可以和客户端软件一起运行，即将服务器分布化。

第三代是散列服务器式：第三代网络把服务器和客户端的概念变的模糊，不需要专门的服务器，网络中所有的对等点都是服务器，并且承担很小的服务器的功能( 例如维护和分发可用文件列表)，通过计算快速获得资源所在位置，即将任务分布化。

对常见的BT和eMule软件的取证 1. BT BT应用中需要Web服务器和Tracker服务器。
取证时，先下载*.torrent 文件，查看文件内容，可看到服务器列表、及部分文件列表。然后查找发布服务器，主要是提供种子文件下载的网站或论坛，可从服务器获得2个信息：种子文件的发布IP和索引服务。

再从服务器查看相关的日志记录，主要是上传.torrent 文件的IP，从索引服务器日志中查找定位出传输者相关的信息。
最后，根据服务器所得到的日志信息定位出发布源（或参与传输的人），并对其进行检查，并判断是否是发布源

2. eMule eMule采用了多源文件传输协议，也就是说电驴的索引服务器并不集中在一起，而是各人私有。因此，在取证时，关注个重要的文件夹： (1) Config文件夹：用于存储Emule 的配置文件；\Incoming 文件夹：用于存储已下载完成的文件。 (2) Temp 文件夹：用于存储正在下载中的文件片段。

5.5 蜜罐技术 “蜜罐”最早由Clifford Stoll于1988年5月提出，但明确提出“蜜罐是一个了解黑客的有效手段”。
这一概念最早见于Lance Spitzner 的 “Know Your Enemy”系列文献。简单说：蜜罐就是诱捕攻击者的一个陷阱。

蜜罐系统是一个包含漏洞的诱骗系统，它通过模拟一个或多个易受攻击的主机，给攻击者提供一个容易攻击的目标，从而得到相关信息以便检测到攻击由于蜜罐并没有向外界提供真正有价值的服务，因此所有对蜜罐的尝试都被视为可疑的，蜜罐的另一个用途是拖延攻击者对真正目标的攻击，让攻击者在蜜罐上浪费时间。

5.5.1 蜜罐技术的优势 1 在抵抗攻击上变被动为主动；
1 在抵抗攻击上变被动为主动； 2 让人们认识到自身网络的安全风险和脆弱性，并能有针对性地研究解决方案，增加系统的抗攻击能力； 3 提高事件检测、响应能力，使系统能够应对未知的入侵活动；

4 蜜罐不提供真实服务，收集的证据都是与攻击者有关的信息，信息量不大，可以高效地从中找到网络犯罪证据；
5 蜜罐提供了一个很好的追踪环境。

5.5.2 蜜罐技术在计算机取证中的应用 1 利用蜜罐获取网络电子证据的原则
(1) 尽可能早搜集证据，确定攻击的日期和时间，以及方法，并保证其没有受到任何破坏。 (2) 最大可能的确定入侵者的相关信息，通过查看入侵检测系统的日志，获得相关入侵信息。

(3) 必须保证“证据完整性”，即在证据被正式提交给法庭时，必须能够说明在证据从最初的获取状态到在法庭上出现状态之间的任何变化；整个检查、取证过程必须是受到监督的，也就是说，由委派的专家所作的所有调查取证工作都应该受到由其他方委派的专家的监督。

5.6 入侵检测技术 5.6.1 技术概述入侵检测系统又称为IDS，其英文全称是Intrusion Detection Systems。
它采取各种安全技术和安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。

1. 异常检测异常检测又称基于行为的入侵检测，它通过检测用户的异常行为来发现入侵事件。异常检测的过程是：
(1) 系统对用户的各种行为进行监控；

(2) 对收集到的信息进行量化； (3) 和正常行为的标准，也就是用户轮廓进行比较，必要时可以进行用户轮廓的修正； (4) 判定用户行为是否属于入侵。

2.误用检测又称为基于知识的入侵检测，是将收集到的数据与预先确定的特征知识库里的各种攻击模式进行比较，如果发现有攻击特征，就判断有攻击。

误用检测的过程是： (1) 系统对用户的各种行为进行监控； (2) 对收集到的信息进行特征提取； (3) 和特征知识库中的记录进行匹配； (4) 判定用户行为是否属于入侵。

5.6.2 入侵检测技术与动态取证入侵检测技术是和动态取证往往是紧密相连的。
动态取证是将入侵检测、防火墙、蜜罐等网络安全技术紧密结合起来，实时获取数据并采用智能分析技术，实时检测入侵，分析入侵企图，采取相应的响应措施，在确保安全的情况下，获取入侵者的大量证据，同时将这些证据进行保全、提交的过程

5.7 其他技术 1. 浏览历史计算机取证人员可以通过IE浏览器地址栏输入的具体URL地址，或者可以打开注册表HKCU\Software\Microsoft\Internet Explorer\TypedURLs找到它们。在History目录下存储了用户浏览过的站点的历史文档，按照浏览时间先后列出了最近浏览过的站点。这些站点的URL链接和使用细节都被存储在名为Index.dat的索引文件中。

2. Index.dat 文件系统的Cookies目录、Cache目录下的索引Index.dat文件，记录了历史文档所包含的时间段内所有访问过的URL链接。该文件用于记忆式键入地址栏显示和对访问过的链接的高亮标注。

Index.dat文件由于系统的不同可能位于不同目录下（如：C:\Documents and Settings\UserName\Local Settings\History\History.IE5）。计算机取证人员可以使用专门工具（如 Index.Dat Suite等）在这些文件中找到被删除的信息。如图5-9所示：

图5-9 index.dat查看历史记录

4. 缓存（Cache） IE一般都会将最近浏览过的网站内容保存在本地缓存中，在下一次进入该网站时直接从本地读取，提高用户浏览速度。

这些信息保存在因特网的临时文件夹中。具体路径为C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files。如图5-10所示：

图5-10 cache

已删除数据如果用户将IE浏览器中的临时文件的目录删除，那么则需要使用专门的文件恢复工具（例如Winhex）才可以恢复。如图5-11所示：

图5-11 恢复已删除数据

6 注册表 Windows操作系统中的一个重要的数据库，用于存储系统和应用程序的设置信息。例如：HKCU\Software\Microsoft\Internet Explorer\Intelliforms。这表示用户往表单域输入信息时，默认情况下IE将记录下这些输入信息以加快今后的输入速度。该信息是加密的，使用专门工具可得到姓名、地址、电子邮件地址、密码等信息。

7. 即时通信工具即时通讯是一种使人们能在网上识别在线用户并与他们实时交换消息的技术，被很多人称为电子邮件发明以来最受欢迎的在线通讯方式。

现今的即时通讯软件主要有腾迅QQ、微软MSN等。
对即时通讯的取证分析主要有2个方面：本地取证和服务器取证，分别都包括对个人用户的配置文档，聊天参与者信息，浏览聊天日志和各种配置信息和日志的分析识别等。

在默认的安装条件下，腾讯QQ位置在 C:\Program Files\Tencent ，当然用户可以自行选择安装到其他目录下。用户也可以在注册表项 \HKEY_LOCAL_MACHINE\SOFTWARE \Tencent\QQ中查找其安装位置和版本信息。

在QQ主程序目录下，我们可以看见以 QQ号为名称的目录。

同时，QQ允许通过客户端发送和接收文件。默认情况下，这些文件存储在 C:\Documents and Settings\Administrator\My Documents\My QQ Files的目录中。这些目录为计算机取证人员调查聊天记录，好友信息等提供了最有力的数据支撑。

思考题与练习计算机系统的日志有哪些功能和特点？ windows 日志系统的取证方式有哪些？简述vista系统的特点。
Linux 系统的日志取证应关注哪些模块？ Unix系统的取证方式 Web服务器的日志分析邮件服务器SendMail和Exchange 服务器的功能 Apache取证步骤如何用LogMiner在Oracle数据库中取证 SQL数据库取证程序网络通信过程中的数据分析有哪几种？简述网络监听常用工具什么是入侵检测系统，取证时的注意事项有哪些？什么是蜜罐技术？在网页浏览器中如何查找历史记录，cache等信息？

信息犯罪与计算机取证第五章电子证据发现与收集.

Similar presentations

Presentation on theme: "信息犯罪与计算机取证第五章电子证据发现与收集."— Presentation transcript:

Similar presentations

About project

反馈

请登录

Auth with social network:

信息犯罪与计算机取证 第五章 电子证据发现与收集.

Similar presentations

Presentation on theme: "信息犯罪与计算机取证 第五章 电子证据发现与收集."— Presentation transcript:

Similar presentations

About project

反馈

信息犯罪与计算机取证第五章电子证据发现与收集.

Presentation on theme: "信息犯罪与计算机取证第五章电子证据发现与收集."— Presentation transcript: