第8章 数字取证技术
法医工作中的痕迹检验与鉴定技术
法医工作中的痕迹检验与鉴定技术一、引言在犯罪现场,痕迹的检验和鉴定是法医工作中至关重要的一部分。
通过对痕迹的分析,可以为犯罪事实的还原提供有力的证据,从而帮助司法机关作出正确的判决。
本文将介绍法医工作中常用的痕迹检验与鉴定技术。
二、血迹鉴定技术血迹是犯罪现场常见的痕迹之一,通过对血迹的检验和鉴定,可以确定是否有人受伤以及具体的作案手段。
主要的血迹鉴定技术包括血迹判断、血迹酶学、血型鉴定以及DNA分析等。
血迹判断主要通过观察血迹形态、颜色和分布情况,确定血迹的性质和可能的起源。
血迹酶学使用特定的试剂,通过酶的反应来检验血迹,确定其是否为人血。
而血型鉴定和DNA分析则可以进一步确定血迹的来源。
三、指纹鉴定技术指纹是个体之间独一无二的特征,也是犯罪现场常见的痕迹之一。
指纹鉴定技术通过对指纹的形态、纹线、细节特征的分析,可以准确地确认身份信息。
指纹鉴定技术主要包括现场指纹提取、指纹图像比对和自动指纹识别等。
现场指纹提取使用化学试剂和光学仪器,将指纹从物体表面提取出来,并进行记录。
指纹图像比对是将现场提取的指纹与嫌疑人指纹进行对比,以确认是否存在匹配。
自动指纹识别则是通过计算机和算法识别指纹图像中的特征,并与数据库中的指纹进行比对。
四、痕迹检验技术除了血迹和指纹外,痕迹检验技术还包括其他一些常见的痕迹类型,如毛发、纤维、土壤、玻璃碎片等。
这些痕迹在法医工作中同样具有重要的价值。
毛发的检验与鉴定可以确定来源动物的种类和个体特征,如颜色、长度等。
纤维的检验可以通过比较纤维的组织结构和化学成分,确定纤维的来源。
土壤的检验可以通过对土壤中特定元素和矿物质的分析,确定土壤的来源。
玻璃碎片的检验可以通过对玻璃碎片的断口和物理特征的分析,确定碎片是否属于同一来源。
五、数字取证技术随着现代科技的发展,数字犯罪也越来越多。
数字取证技术在法医工作中发挥着重要作用。
数字取证技术主要包括计算机取证、网络取证和手机取证等。
计算机取证通过分析电脑硬盘中的数据和记录,确定使用者的活动轨迹和操作行为。
数字取证技术
计算机工程学院
4
为中华之崛起而读书
第8章 数字取证技术
1.电子取证 电子取证则主要研究除计算机和网络以外的电子产品中的
数字证据是指任何使用计算机存储和传输的数据, 用于支持和反驳犯罪发生的推测,或者用于表述诸如动 机、犯罪现场等的犯罪关键要素。一般情况数字证据与 电子证据经常交替使用。
计算机工程学院
3
为中华之崛起而读书
第8章 数字取证技术
数字取证主要是对电子证据识别、保存、收集、分 析和呈堂,从而揭示与数字产品相关的犯罪行为或过失。 数字取证技术将计算机调查和分析技术应用于对潜在的、 有法律效力的电子证据的确定与获取,同样它们都是针 对黑客和入侵的,目的都是保障网络的安全。
计算机犯罪取证(数字取证)也被称为计算机法医学, 是指把计算机看做犯罪现场,运用先进的辨析技术,对电 脑犯罪行为进行法医式的解剖,搜寻确认罪犯及其犯罪证 据,并据此提起诉讼。它作为计算机领域和法学领域的一 门交叉科学,正逐渐成为人们关注的焦点。
计算机工程学院
2
为中华之崛起而读书
第8章 数字取证技术
计算机工程学院
9
为中华之崛起而读书
第8章 数字取证技术
8.3 数字取证原则和过程
8.3.1 数字取证原则 1.尽早搜集证据,并保证其没有受到任何破坏; 2.必须保证取证过程中计算机病毒不会被引入到目标计
算机; 3.必须保证“证据连续性”,即在证据被正式提交给法
有关数字取证的讲解
2009-12-18
9
University of Science and Technology of China
数字取证方法
¾ 国外取证方法分析
① 事件响应方法:由Mandia等人提出,包括事前准备、事中检测、初始响应 、制定响应策略、备份、调查、保护被测系统、网络监听、复原、跟踪等过 程。
信息安全法律基础
主讲人: 庄连生
Email: {lszhuang@} Fall, 2009
University of Science and Technology of China
内容提要: ① 数字取证概述 ② 数字取证技术 ③ 数字取证方法 ④ 数字取证工具 ⑤ 数字取证规范
③ 证据收集:指取证人员在计算机犯罪现场提取或捕获与要调查案件相关的数 据信息。
④ 证据检查:指对收集来的数据进行仔细检查,该类技术与证据发现和提取相 关,但不涉及从证据中得出结论。
⑤ 证据分析:对收集的数据进行检查和分析,找出之间关系,或证明它们就是 某攻击或犯罪的证据,以对法庭进行出示,对案件起到佐证的作用
¾ 数字取证分类:
① 根据难易程度分类:一般取证、复杂取证;
② 从取证时间角度出发:事后取证、事中取证;
③ 从取证范围的角度出发:外部取证、内部取证;
④ 从取证状态的角度出发:静态取证、动态取证;
2009-12-18
3
University of Science and Technology of China
2009-12-18
6
University of Science and Technology of China
数字取证的物联网取证技术
多样性
物联网设备种类繁多,可 以收集各种类型的数据, 为案件调查提供全面的信 息支持。
应用领域及前景
应用领域
物联网取证技术广泛应用于公共安全、刑事侦查、网络安全等领域,为打击犯罪、维护社会稳定提供了有力支持 。
前景展望
随着物联网技术的不断发展和普及,物联网取证技术的应用前景将更加广阔。未来,物联网取证技术将在智能化 、自动化、可视化等方面取得更大的突破,为数字取证工作带来更高效、更便捷的体验。同时,随着相关法律法 规的完善和技术标准的制定,物联网取证技术将更加规范、更加成熟。
基于物联网的数字取证方法
1 2 3
物联网设备数据提取
通过专业的取证工具或技术手段,从物联网设备 中提取与案件相关的数据,如传感器数据、通信 数据等。
物联网设备日志分析
对物联网设备产生的日志进行分析,以追溯设备 的运行状态、操作行为等,为案件调查提供证据 。
物联网设备仿真与重现
通过仿真技术,模拟物联网设备的运行环境和操 作过程,以重现案件相关的场景和事件。
技术标准与规范问题
缺乏统一的技术标准
目前物联网领域缺乏统一的技术标准和规范,导致不同设 备之间的数据格式和传输协议存在差异,增加了数字取证 的难度。
技术更新与兼容性
随着技术的不断更新,物联网设备的兼容性和互操作性可 能受到影响,使得数字取证过程中需要不断适应新的技术 标准。
技术可靠性问题
部分物联网设备可能存在技术缺陷或不稳定因素,导致数 字取证过程中数据收集和分析的可靠性受到质疑。
02
CATALOGUE
物联网取证技术原理
物联网设备数据采集
设备接口数据采集
通过物联网设备的API接口,实时 采集设备状态、传感器数据等信 息。
数据挖掘在信息安全方面的应用数字取证
第八章数字取证数字取证•数字证据从无到有、发展成为一种超越传统•概述的全新证据形式在各种案件中出现,用于发现、寻找数字证据的数字取证技术越来越为人所重视,尤其是司法部门。
•进入21世纪后,在大数据时代背景下,数据挖掘技术将是用于数字取证的合适的科学方法。
目录•数字取证技术•数字取证的定义•数字取证的发展•数字取证的原则、流程、内容和技术•数字取证面临的挑战•数据挖掘在数字取证中的应用•文献概览•现有用于数字取证的数据挖掘技术和工具•电子邮件挖掘•数据碎片分类•文档聚类数字取证技术•计算机相关案件的不断出现,使得计算机证据逐渐成为新的诉讼证据之一。
•计算机证据对司法界和计算机安全科学领域提出了新的挑战。
因此作为计算机领域和法学领域的一门交叉学科——计算机取证(Computer Forensics)成为人们研究与关注的焦点。
•随着信息技术的发展,设备不再局限于计算机,而是各种数字设备,计算机取证这一概念也被数字取证(Digital Forensics )所替代。
1.数字取证的定义2.数字取证的发展3.数字取证的原则、流程、内容和技术4.数字取证面临的挑战数字取证的定义传输于计算机系统或网络间、存储在数字设备或介•数字证据质中,和案事件事实相关、有证据价值的数据。
特点:1.容易被改变或删除,并且改变后不容易被发觉2.多种格式的存储方式3.易损毁性4.高科技性5.传输过程中通常和其他无关信息共享信道•数字取证就是以便于、促进重构犯罪事件,或帮助预见未授权的破坏性行动为目的,使用科学衍生并已被证明的方法保存、收集、确认、识别、分析、解释、记录和展现从不同数据源获得的数字证据的活动。
----2001年第一届数字取证研究国际会议(DFRWS)技术委员会•数字取证是揭示和解释电子数据的过程。
其目标是通过收集、识别、验证数字信息开展结构化调查的同时保全证据最原始的形式,以重构过去事件。
----技术百科(Definition from Techopedia)•。
司法鉴定中的数字取证技术介绍
文件解析与识别技术
文件解析
对数字设备中的各类文件进行深入分 析,提取文件头、元数据、内容等信 息,以确定文件类型、来源和修改历 史等。
文件识别
通过特定算法对文件进行识别和分类 ,如识别图像、音频、视频等文件的 格式和内容,为后续分析提供基础。
时间戳分析与验证技术
时间戳分析
对数字设备中的时间戳信息进行提取和分析,以确定文件创建、修改和访问的 时间,为案件调查提供时间线索。
工作流程
数字取证技术的工作流程通常包括案件受理、现场勘查 、数据提取、数据分析、证据呈现和结案归档等步骤。 其中,案件受理是指接收案件并了解案情;现场勘查是 指对涉案数字设备或存储介质进行现场勘查和收集;数 据提取是指对收集到的数据进行提取和整理;数据分析 是指对提取的数据进行深入分析和挖掘;证据呈现是指 将分析结果以可视化、直观化的方式呈现出来;结案归 档是指将案件相关材料和证据进行整理和归档。
展望未来发展趋势
技术创新
随着人工智能、大数据等技 术的不断发展,数字取证技 术将不断创新,提高自动化 和智能化水平。
法规完善
随着数字技术的广泛应用, 相关法律法规将不断完善, 为数字取证技术的发展提供 有力保障。
国际合作
跨国犯罪和网络犯罪日益猖 獗,数字取证技术的国际合 作将成为未来发展的重要趋 势。
时间戳验证
通过与其他证据或信息进行比对,验证时间戳的真实性和准确性,以确定数字 证据的可靠性和完整性。
加密解密技术应用
加密技术应用
采用加密算法对重要数字信息进行加密处理,确保信息在传 输和存储过程中的安全性,防止未经授权的访问和篡改。
解密技术应用
在合法授权的情况下,利用解密算法对加密信息进行解密处 理,以获取原始信息内容,为案件调查提供证据支持。
法医鉴定中的网络犯罪分析技术
法医鉴定中的网络犯罪分析技术随着互联网的飞速发展和普及,网络犯罪也随之而来。
在处理网络犯罪案件中,法医鉴定发挥着关键作用。
本文将探讨法医鉴定中的网络犯罪分析技术,介绍其原理和应用。
一、数字取证技术数字取证技术是法医鉴定中网络犯罪分析的基础。
通过对计算机、移动设备等电子载体进行取证,可以获取证据所需的数据。
数字取证技术主要包括取证准备、取证过程和取证后续处理三个环节。
在取证准备阶段,法医鉴定人员需要对待取证设备进行全面了解,包括硬件配置、操作系统等信息。
在取证过程中,需要采用合适的工具和方法获取被犯罪嫌疑人的存储数据,例如硬盘镜像和内存转储。
取证后续处理则包括证据保全、数据恢复和分析等环节。
二、网络行为分析技术网络行为分析技术是指通过对被犯罪嫌疑人在网络上的行为进行分析,推断其犯罪动机和手段的技术。
网络行为分析可以从通信记录、上网记录、留痕信息等方面进行入手。
通信记录是犯罪分析的重要依据之一。
通过分析被犯罪嫌疑人的通信内容和通信对象,可以了解其参与的犯罪活动以及与其他犯罪分子之间的关系。
上网记录则可通过分析被犯罪嫌疑人的上网行为,包括访问的网站、下载的文件等,来推断其犯罪动机和手段。
留痕信息是指在网络上留下的痕迹,例如IP地址、登录日志等,通过分析这些信息可以确定被犯罪嫌疑人的身份和行踪。
三、数据可视化技术数据可视化技术是指将庞大的数据通过图形化、可视化的方式展示出来,以便于法医鉴定人员进行分析和发现规律。
数据可视化技术主要包括图表、地图和网络拓扑图等。
图表是将数据通过条形图、饼状图等方式展示出来,可以直观地看到数据的分布和变化趋势。
地图则是将数据在地理位置上进行展示,可以帮助法医鉴定人员分析犯罪活动的地域分布和联系。
网络拓扑图则是将网络结构和关系以图形化方式呈现,帮助分析网络犯罪的关键节点和关联关系。
四、人工智能技术人工智能技术在法医鉴定中的应用也越来越广泛。
通过机器学习和自然语言处理等技术,可以对大量的数据进行分析和挖掘,辅助法医鉴定人员进行判别和预测。
信息安全教育的数字取证技术
信息安全教育的数字取证技术随着信息技术的迅猛发展,人们对于信息安全的关注度不断增加。
在网络空间中,隐私泄露、网络攻击等安全威胁频繁发生,对于保护个人隐私和网络安全形成了重要议题。
在信息安全教育中,数字取证技术的应用变得愈发重要。
本文将探讨信息安全教育中的数字取证技术。
一、数字取证技术的概念和作用数字取证是一种通过法律手段获取电子证据的技术方法,它起到了收集、分析和保护证据的作用。
在信息安全教育中,数字取证技术可以帮助学生了解并预防网络犯罪行为,培养其正确使用互联网的意识和能力。
数字取证技术可以追踪信息泄露的源头,找出黑客的入侵路径,为网络攻击提供犯罪证据,以便警方进行调查和追踪。
同时,数字取证技术还可以帮助用户防范网络钓鱼、诈骗等网络犯罪行为,增强网络安全意识。
二、数字取证技术在信息安全教育中的应用1. 渗透测试教育数字取证技术可以帮助教育机构开展渗透测试课程,模拟黑客攻击,测试网络系统的安全性。
学生可以通过实践了解网络攻击的手段和技术,从而学习如何强化系统的安全性和防范网络攻击。
2. 网络行为监控在信息安全教育中,数字取证技术可以帮助学校或企业对网络行为进行实时监控,并记录网络活动,以保护学生或员工的合法权益,防止违规行为的发生。
例如,学校可以监控学生的上网行为,及时发现和阻止违规操作,维护校园网络的安全环境。
3. 网络安全意识培养通过利用数字取证技术进行真实案例分析,可以有效地教育学生不在网上泄露个人隐私,不点击可疑链接,不信任陌生人并保护个人信息。
学生通过参与数字取证技术的学习和实践,会有意识地保护自己的个人隐私和网络安全。
三、数字取证技术的发展和挑战随着技术的不断进步,数字取证技术也在不断发展。
虽然数字取证技术在信息安全教育中有着广泛的应用前景,但同时也面临一些挑战。
1. 隐私保护难题数字取证技术涉及到用户隐私和个人信息的收集与分析,如何在保护个人隐私的前提下进行数字取证是一个重要问题。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第 8章
数字取证技术
本章教学要求: (1)知道数字取证、电子证据的特点;
(2)掌握数字取证原则和过程;
(3)了解网络取证概念; (4)了解IDS取证技术; (5)了解蜜阱取证技术; (6)了解数字取证常用工具。
-30-
数字取证技术
8.4.7恶意代码技术 恶意代码指能够长期潜伏、秘密窃取敏感信 息的有害代码程序,应用同样的原理,可以设计 用来进行取证。
-26-
第 8章
数字取证技术
8.5 数字取证常用工具
可以用作计算机取证常见工具有Tcpdump、 NetMonitor等, Encaee是专业的计算机取证工具。 Encase软件包括Encase取证版解决方案和 Encase企业版解决方案。 Encase取证版解决方案是国际领先的受法院 认可的计算机调查取证的工具。具有以下主要特 性: (1)支持并能管理易变的时区; (2)能分析UNIX和LINUX的系统文件;
第 8章
数字取证技术
第8章 数字取证技术
8.1 数字取证概述
8.2 电子证据
8.3 数字取证原则和过程 8.4 网络取证技术 8.5 数字取证常用工具
-1-
第 8章
数字取证技术
8.1 数字取证概述
数字取证技术将计算机调查和分析技术应用 于对潜在的、有法律效力的电子证据的确定与获 取,同样它们都是针对黑客和入侵的,目的都是 保障网络的安全。 从计算机取证技术的发展来看,先后有数字 取证(Digital Forensics)、电子取证(Electric Forensics)、计算机取证(Computer Forensic)、 网络取证(Networks Forensics)等术语。
-8-
第 8章
数字取证技术
要保存计算机系统的状态,避免无意识破坏 现场,同时不给犯罪者破坏证据提供机会,以供 日后分析。要注意以下几个方面: (1)收集数据前首先要咨询证人使用计算机 的习惯。 (2)可以通过质疑来获取目标计算机网络上 的相关信息。 (3)咨询系统管理员和其他可能与计算机系 统有关系的人员,再次确保掌握了关于备份系统 的所有信息和数据可能的储存位置。
-5-
第 8章
数字取证技术
5.数据的挥发性 8.2.3 常见电子设备中的电子证据 电子证据几乎无所不在。如计算机中的内存、 硬盘、光盘、移动存储介质、打印机、扫描仪、 带有记忆存储功能的家用电器等。 在这些存储介质中应检查的应用数据包括: 1.用户自建的文档; 2.用户保护文档; 3.计算机创建的文档; 4.其他数据区中的数据证据; 5.ISP计算机系统创建的文档、ftp文件等。
-11-
第 8章
数字取证技术
3.电子证据的分析 具体包括:文件属性分析技术;文件数字摘 要分析技术;日志分析技术;密码破译技术等。 分析阶段首先要确定证据的类型,主要可分为三 种: (1)使人负罪的证据,支持已知的推测; (2)辨明无罪的证据,同已知的推测相矛盾; (3)篡改证据,以证明计算机系统已被篡改 而无法用来作证。
-18-
第 8章
数字取证技术
(1)最好利用备份作掩护来暗中监视攻击 者,因为攻击者如果发现自己被监视,就会离开 甚至破坏主机; (2)多查看shell命令历史记录,如果攻击者 忘记清除该历史记录,就可以清楚地了解他们使 用过什么命令; (3)对付攻击者可以使用“以毒攻毒”的办 法; (4)最后要记住适时退出系统,因为断开网 络一两天是整理系统的最容易的办法,以提高安 全性和日志功能。
-9-
第 8章
数字取证技术
(4)不要对硬盘和其他媒介进行任何操作, 甚至不要启动它们。 (5)必须保护所有的媒介,对所有媒介进行 病毒扫描。 (6)牢记“已删除”并不意味着真的删除了。 (7)对不同类型的计算机采取不同的策略。 2.电子证据的保护 这一阶段将使用原始数据的精确副本,应保 证能显示存在于镜像中的所有数据,而且证据必 须是安全的,有非常严格的访问控制。为此必须 注意以下几点:
-2-
第 8章
数字取证技术
1.电子取证 电子取证则主要研究除计算机和网络以外的 电子产品中的数字证据获取、分析和展示,如数 码相机、复印机、传真机甚至有记忆存储功能的 家电产品等。 2. 计算机取证 计算机取证的主要方法有对文件的复制、被 删除文件的恢复、缓冲区内容获取、系统日志分 析等等,是一种被动式的事后措施,不特定于网 络环境。
-12-
第 8章
数字取证技术
4.展示阶段 给出调查所得结论及相应的证据,供法庭作 为公诉证据。还要解释是如何处理和分析证据的, 以便说明监管链和方法的彻底性。
ห้องสมุดไป่ตู้-13-
第 8章
数字取证技术
8.4 网络取证技术
8.4.1 网络取证概述 网络流的相关性、数据的完整性和包捕获的 速率是网络取证、分析首要考虑的事情。相关性 是指在某些环境下,应当在捕获网络流时应用过 滤器去掉不相关的数据。数据的完整性要求网络 取证工具应当一直监控网络流。 网络取证对数据的保护和一般的数字取证过 程要求相同,网络取证分析的相关技术包括人工 智能、机器学习、数据挖掘、IDS技术、蜜阱技 术、SVM和专家系统等。
-10-
第 8章
数字取证技术
(l)通过计算副本和原始证据的hash值来保 证取证的完整性; (2)通过写保护和病毒审查文档来保证数据 没有被添加、删除或修改; (3)使用的硬件和软件工具都必须满足工业 上的质量和可靠性标准; (4)取证过程必须可以复验; (5)数据写入的介质在分析过程中应当写保 护,以防止被破坏。
-27-
第 8章
数字取证技术
(3)能查看并搜索NTFS压缩文件,能检测 NTFS文件系统中的附加分区中的信息; (4)允许查看NTFS文件/文件夹的所有者和访 问权; (5)允许用户限制其可查看的数据,并能保护 特权数据; (6)良好的EnScript程序界面,编辑和调试代 码的操作更加方便; (7)可以隐藏用户定义的扇区或提前读取一定 数量的扇区,从而提高导航函数的速度;
-23-
第 8章
数字取证技术
5.反模糊化组件。运用“最小-最大”运算 产生输出值,作为取证分析器的输入。 6.取证分析器。判断捕获的数据包是否存 在攻击,它的主要功能是收集数据、分析相关信 息,并且生成数字证据。 8.4.6 SVM取证技术 SVM取证技术是为了发现信息行为的关键 特征,去除无意义的噪声,有助于减少信息存储 量,提高计算速度等。同时,网络取证应该是主 动的防御,对未知的网络攻击具有识别和取证能 力。
-3-
第 8章
数字取证技术
3.网络取证 网络取证更强调对网络安全的主动防御功能, 主要通过对网络数据流、审计、主机系统日志等 的实时监控和分析,发现对网络系统的入侵行为, 记录犯罪证据,并阻止对网络系统的进一步入侵。
-4-
第 8章
数字取证技术
8.2 电子证据
8.2.1 电子证据的概念 电子证据是在计算机或计算机系统运行过程 中产生的以其记录的内容来证明案件事实的电磁 记录物。 8.2.2 电子证据的特点 1.表现形式的多样性 2.存储介质的电子性 3.准确性 4.脆弱性
-22-
第 8章
数字取证技术
2.知识库组件。存储模糊推理引擎所使用 的模糊规则,其形式为: IF X1=A1 and X2=A2…and Xn=An THEN Y=Z 3.模糊化组件。确定每个语义变量的模糊 集所定义的隶属函数和每个模糊集中输入值的隶 属度。 4.模糊推理引擎组件。当所有的输入值被 模糊化为各自的语义变量,模糊推理引擎访问模 糊规则库,进行模糊运算,导出各语义变量的值。
-14-
第 8章
数字取证技术
8.4.2 网络取证模型 根据网络攻击一般过程,网络取证模型如图 所示。
-15-
第 8章
数字取证技术
8.4.3 IDS取证技术 将计算机取证结合到入侵检测等网络安全工 具和网络体系结构中进行动态取证,可使整个取 证过程更加系统并具有智能性和实时性,并且还 能迅速做出响应。 IDS取证的具体步骤如下: (l)寻找嗅探器(如sniffer); (2)寻找远程控制程序 ; (3)寻找黑客可利用的文件共享或通信程序 ; (4)寻找特权程序 ;
-28-
第 8章
数字取证技术
(8)多个关键词搜索算法能够动态加快搜索 速度; (9)支持RAID,了解动态磁盘分区结构并 能处理所有可能的配置。 Encase企业版解决方案是世界上第一个可有 效执行远程企业紧急事件响应 (Response)、审 计 (Audit)和发现 (Discovery)任务的解决方 案。 Encase企业版解决方案由SAFE、Examiner 和Servlet三部分组成。
-19-
第 8章
数字取证技术
8.4.4蜜阱取证技术 蜜阱是包括蜜罐和蜜网等以诱骗技术为核心 的网络安全技术。它是一种精心设计的诱骗系统, 当黑客攻击时,它能够监视攻击者的行径、策略、 工具和目标,从而自动收集相关的电子证据,实 现实时网络取证。 利用蜜阱进行取证分析时,一般遵循如下原 则和步骤: 1.确定攻击的方法、日期和时间(假设IDS 的时钟和NTP参考时间源同步);
-20-
第 8章
数字取证技术
2.尽可能多地确定有关入侵者的信息; 3.列出所有入侵者添加或修改的文件,并 对这些程序(包括末编译或未重组部分,因为这 些部分可能对确定函数在此事件中的作用和角色 有帮助)进行分析 4.建立一条事件时间线,对系统行为进行 详细分析,注意确认证据的来源; 5.给出适合管理层面或新闻媒体需要的报 告; 6.对事故进行费用估计。
-16-
第 8章
数字取证技术
(5)寻找文件系统的变动; (6)寻找未授权的服务; (7)寻找口令文件的变动和新用户; (8)核对系统和网络配置,特别注意过滤规则; (9)寻找异常文件,这将依赖于系统磁盘容量 的大小; (10)查看所有主机,特别是服务器;