《计算机取证技术》PPT课件
合集下载
《计算机取证技术》课件
文件分析技术
01
文件格式解析
识别并解析不同文件格式,提取关 键信息。
文件签名验证
通过文件的数字签名验证文件的真 实性和完整性。
03
02
文件内容分析
对文件内容进行深入分析,提取与 案件相关的证据。
文件隐藏分析
检测和提取隐藏在文件中的关键信 息,如密码、密钥等。
04
网络监控与追踪技术
网络流量捕获
实时捕获网络流量,分析网络通信内容。
02
打击犯罪行为
电子证据在许多犯罪案件中发挥着越来越重要的作用。计算机取证技术
可以帮助执法部门获取关键的电子证据,为案件调查和起诉提供有力支
持,有效打击各类犯罪行为。
03
维护公共利益
在许多涉及公共利益的领域,如知识产权保护、消费者权益保护等,计
算机取证技术可以用于获取和验证相关证据,维护公共利益和社会公正
网络监视与监听
调查网络监视与监听行为,保护公民的通信自由和隐私权。
数字知识产权保护
数字版权
对数字版权进行保护,打击盗版和非法复制行为,维护创作者的权益。
商业机密
通过计算机取证技术,保护企业的商业机密不被泄露或侵犯。
05
计算机取证的挑战与未来发 展
法律与道德问题
法律问题
计算机取证过程中,如何确保合法性、合规性,避免侵犯个人隐私和权利,是当前面临的重要挑战。 需要制定和完善相关法律法规,明确计算机取证的法律地位和程序规范。
《计算机取证技术》ppt课 件
目录
• 计算机取证技术概述 • 计算机取证的基本原则与流程 • 计算机取证的主要技术 • 计算机取证的应用场景与案例分
析 • 计算机取证的挑战与未来发展
计算机取证技术PPT课件
30
编辑版pppt
10
编辑版pppt
4.3 计算机证据的收集与保存
4.3.1 计算机证据收集的原则 4.3.2 计算机证据收集的过程 4.3.3 独立计算机的证据收集 4.3.4 复杂系统的证据收集 4.3.5 磁盘映像 4.3.6 计算机证据的保存 1. 证据的保存 2. 证据的完整性保护
11
编辑版pppt
18
编辑版pppt
19
编辑版pppt
Sniffer Pro
20
编辑版pppt
EasyRecovery
它是一个威力非常强大的硬盘数据恢复工具。能够帮你恢复丢 失的数据以及重建文件系统。
EasyRecovery不会向你的原始驱动器写入任何东西,它主要是 在内存中重建文件分区表使数据能够安全地传输到其他驱动器 中。你可以从被病毒破坏或是已经格式化的硬盘中恢复数据。 该软件可以恢复大于 8.4GB的硬盘。支持长文件名。被破坏的 硬盘中像丢失的引导记录、BIOS参数数据块;分区表;FAT 表 ;引导区都可以由它来进行恢复。
2. 用户将需要加时间戳的文件用Hash算法运算 行程摘要
3. 将该摘要发送到DTS
4. DTS在加入了收到文件摘要的日期和事件信息 后再对该文件加密(数字签名),然后送达 用户。
7
编辑版pppt
4.1.3应对具体案件的取证准备
获得合法的取证手续 1. 在对现场进行搜查之前要获得取证的司法授权 2. 搜查令要清楚地说明哪些将可能称为证据,哪些可疑
L0phtCrack是一款网络管理员的必备的工具,它可以用来 检测Windows、UNIX 用户是否使用了不安全的密码,同样 也是最好、最快的Win NT/2000/XP/UNIX 管理员帐号密码破 解工具。事实证明,简单的或容易遭受破解的管理员密码 是最大的安全威胁之一,因为攻击者往往以合法的身份登 陆计算机系统而不被察觉。
第9章(90)教材配套课件
第9章 计算机取证技术 2. 计算机取证工具 计算机取证工作需要一些相应的工具软件和设备来支持,
随着问题越来越复杂,将来还需要自动化程度更高的取证工 具。这些工具既包括操作系统中已经存在的一些命令行工具, 也包括专门开发的工具软件和取证工具包。
在进行电子证据收集之前,要对计算机硬件进行常规取 证,目的是获取收集数字信息的设备,所需的工具必须要满
【应用设置】按钮即修改成功。
第9章 计算机取证技术 图9.9 BitSureⅠ现场勘验取证系统设置界面
第9章 计算机取证技术 (9) 系统日志。 BitSureⅠ现场勘验取证系统日志界面如图9.10所示。 ① 在系统日志界面,记录了对整个系统的操作,包括对
证据提取的成功与否、取证重现的成功与否、证据验证的结 果、检查设备信息等过程。
第9章 计算机取证技术
下面介绍重庆爱思网安信息技术有限公司自主研发的 BitSureⅠ现场勘验取证系统,该产品前期技术研究是公安部 立项的科研项目,并已经通过项目验收(该项目验收结论是: 填补了国内空白)。该产品核心技术已经申请多项国家发明专 利,是目前国内唯一具有电子数据取证与调查过程强审计功 能的勘验取证产品。
足整个设备的收集过程,包括:存档、收集、封装和运输。
第9章 计算机取证技术 在取证过程中,数据获取和分析工具是计算机取证工具
包中最基本、最重要的工具。在选用有的系统命令和工具软 件作为取证工具之前,首先要验证所选用的工具能否满足要 求,即需要准确地核实工具的用途,判定它的输出是否可信 以及确定如何操作这个工具。这种验证对于确保计算机系统 内部信息的正确提取十分重要。通常我们需要证据获取工具、 证据保全工具、证据分析工具、证据归档工具这四种取证工 具。
第9章 计算机取证技术
《计算机取证技术》PPT课件_OK
• Computer related crime or computer aimed crime?
• 广义说:计算机犯罪———通常是指所有涉及 计算机的犯罪。如:
➢ 欧洲经济合作与发展组织的专家认为:“在自动 数据处理过程中任何非法的、违反职业道德的、 未经过批准的行为都是计算机犯罪。”
➢ 我国刑法学者有人认为:“凡是故意或过失不当 使用计算机致使他人受损失或有受损失危险的 行为,都是计算机犯罪。”
14
计算机犯罪的特点
• 损-失---大----,----对----象---广----泛----,---发----展----迅----速---,----涉----及----面---广---
➢ 计算机犯罪始于六十年代,七十年代迅速增长, 八十年代形成威胁。美国因计算机犯罪造成的损 失已在千亿美元以上,年损失达几十亿,甚至上 百亿美元,英、德的年损失也达几十亿美元。
8
计算机犯罪概念
---------------------------------------------------------------
➢ 折衷说:计算机本身在计算机犯罪中以“犯罪工具”或“犯罪对象”的 方式出现,这一概念注重的是计算机本身在犯罪中的作用。如: ➢ 德国学者施奈德认为:“计算机犯罪指的是利用电子数据处理设备作为 作案工具的犯罪行为或者把数据处理设备当作作案对象的犯罪行为。” ➢ 我国学者认为:“计算机犯罪是以计算机为工具或以计算机资产为对象 的犯罪行为。”
此外,在计算机犯罪中犯罪主体中内部人员也占有相当的比例。据有关统计, 计算机犯罪的犯罪主体集中为金融、证券业的“白领阶层”,身为银行或证 券公司职员而犯罪的占78%,并且绝大多数为单位内部的计算机操作管理人 员;从年龄和文化程度看,集中表现为具有一定专业技术知识、能独立工作 的大、中专文化程度的年轻人,这类人员占83%,案发时最大年龄为34岁。
• 广义说:计算机犯罪———通常是指所有涉及 计算机的犯罪。如:
➢ 欧洲经济合作与发展组织的专家认为:“在自动 数据处理过程中任何非法的、违反职业道德的、 未经过批准的行为都是计算机犯罪。”
➢ 我国刑法学者有人认为:“凡是故意或过失不当 使用计算机致使他人受损失或有受损失危险的 行为,都是计算机犯罪。”
14
计算机犯罪的特点
• 损-失---大----,----对----象---广----泛----,---发----展----迅----速---,----涉----及----面---广---
➢ 计算机犯罪始于六十年代,七十年代迅速增长, 八十年代形成威胁。美国因计算机犯罪造成的损 失已在千亿美元以上,年损失达几十亿,甚至上 百亿美元,英、德的年损失也达几十亿美元。
8
计算机犯罪概念
---------------------------------------------------------------
➢ 折衷说:计算机本身在计算机犯罪中以“犯罪工具”或“犯罪对象”的 方式出现,这一概念注重的是计算机本身在犯罪中的作用。如: ➢ 德国学者施奈德认为:“计算机犯罪指的是利用电子数据处理设备作为 作案工具的犯罪行为或者把数据处理设备当作作案对象的犯罪行为。” ➢ 我国学者认为:“计算机犯罪是以计算机为工具或以计算机资产为对象 的犯罪行为。”
此外,在计算机犯罪中犯罪主体中内部人员也占有相当的比例。据有关统计, 计算机犯罪的犯罪主体集中为金融、证券业的“白领阶层”,身为银行或证 券公司职员而犯罪的占78%,并且绝大多数为单位内部的计算机操作管理人 员;从年龄和文化程度看,集中表现为具有一定专业技术知识、能独立工作 的大、中专文化程度的年轻人,这类人员占83%,案发时最大年龄为34岁。
计算机取证与分析鉴定课件
如相关信息被加密、删改、破坏、计算机病毒、黑客的 袭扰等情况。
这种情况下常用的取证方式包括:
—— 解密 —— 恢复 ——测试
证据获取
网络证据的保护和保存
对于已经获取的网络证据,妥善的保护和保存是极其 重要的,这将直接关系到证据的可用性和法律效力, 为此,必须做到:
形成监护链(Chain of Custody) 理解证据的形式和组成 拷贝原始证据到只读的媒介成为原始证据文件的副本,
是Network General公司 Sniffer企业网络管理系统的重 要组成部分
Sniffer Infinistream集成Sniffer业界领先的网络流量监 控和解码分析能力以及专家系统
同时具备大容量的存储能力,提供了业界领先的网络 故隔离和性能管理解决方案。
取证工具
Infinistream的技术特点
与此同时,网络犯罪却如同侵入人类社会这台巨型计算 机上的病毒一样,不断蔓延和增多,严重的危及网络的 生存和安全运行,同时也给国家安全、公共安全和人们 的生命、财产造成重大影响。
概述
网络取证
加大打击网络犯罪力度是形势所需。 为了更好的打击网络犯罪,我们必须了解网络环境中
证据提取的相关知识 本章主要从技术的角度介绍网络环境下计算机取证与
5)攻击现场(Attack scenario):将攻击再现、重建并 按照逻辑顺序组织起来的事件。
证据获取
网络证据的来源
对于网络取证,其证据来源主要有
网络数据流 连网设备(包括各类调制解调器、网卡、路由器、集线
器、交换机、网线与接口等) 网络安全设备或软件(包括IDS、防火墙、网闸、反病
毒软件日志、网络系统审计记录、网络流量监控记录等 )
证据获取
这种情况下常用的取证方式包括:
—— 解密 —— 恢复 ——测试
证据获取
网络证据的保护和保存
对于已经获取的网络证据,妥善的保护和保存是极其 重要的,这将直接关系到证据的可用性和法律效力, 为此,必须做到:
形成监护链(Chain of Custody) 理解证据的形式和组成 拷贝原始证据到只读的媒介成为原始证据文件的副本,
是Network General公司 Sniffer企业网络管理系统的重 要组成部分
Sniffer Infinistream集成Sniffer业界领先的网络流量监 控和解码分析能力以及专家系统
同时具备大容量的存储能力,提供了业界领先的网络 故隔离和性能管理解决方案。
取证工具
Infinistream的技术特点
与此同时,网络犯罪却如同侵入人类社会这台巨型计算 机上的病毒一样,不断蔓延和增多,严重的危及网络的 生存和安全运行,同时也给国家安全、公共安全和人们 的生命、财产造成重大影响。
概述
网络取证
加大打击网络犯罪力度是形势所需。 为了更好的打击网络犯罪,我们必须了解网络环境中
证据提取的相关知识 本章主要从技术的角度介绍网络环境下计算机取证与
5)攻击现场(Attack scenario):将攻击再现、重建并 按照逻辑顺序组织起来的事件。
证据获取
网络证据的来源
对于网络取证,其证据来源主要有
网络数据流 连网设备(包括各类调制解调器、网卡、路由器、集线
器、交换机、网线与接口等) 网络安全设备或软件(包括IDS、防火墙、网闸、反病
毒软件日志、网络系统审计记录、网络流量监控记录等 )
证据获取
数字取证技术追踪与分析网络犯罪证据培训课件
实际操作演示及注意事项
确保操作环境安全
在进行取证操作时,要确保操作 环境的安全性和稳定性,避免数
据泄露或损坏。
遵循法律程序
在取证过程中,要严格遵守法律 程序和相关规定,确保取证活动
的合法性和有效性。
记录详细操作步骤
在取证过程中,要详细记录每一 步操作过程和结果,以便后续复
查和验证。
05
法律法规与伦理道德考量
者的行为轨迹。
网络流量数据
捕获网络传输过程中的数据包 ,通过分析可发现异常流量和 恶意行为。
文件和数据库
存储着大量的用户信息和业务 数据,可能成为网络犯罪的攻 击目标或留下犯罪痕迹。
社交媒体和通讯记录
犯罪嫌疑人在社交媒体上的发 言和通讯记录可能成为关键证
据。
网络犯罪证据特点分析
隐蔽性
网络犯罪证据往往隐藏 在大量的正常数据中,
电子数据已被广泛认可为 一种有效的法律证据,对 于打击网络犯罪具有重要 意义。
易于篡改
电子数据易于被篡改且不 留痕迹,因此确保其完整 性和真实性至关重要。
技术依赖性
电子数据的收集、保存和 分析需要依赖特定的技术 手段和工具。
常见网络犯罪证据类型
系统日志
记录计算机系统或网络设备的 操作和活动,可用于追踪攻击
难以被直接发现。
易逝性
电子数据容易被覆盖或 删除,因此及时收集和
保存证据至关重要。
多样性
网络犯罪证据类型多样 ,包括文本、图像、音 频、视频等多种形式。
跨地域性
网络犯罪往往涉及多个 国家和地区,证据的收 集和分析需要跨国合作
。
03
数字取证技术方法与实践
数据恢复与提取技术
数据恢复技术
第十二讲 计算机取证
12.2 计算机取证技术分类
1. 静态取证
静态取证也称事后取证,即在受到入侵之后进行取证。 静态取证也称事后取证,即在受到入侵之后进行取证。事后取证往往需要从 系统的隐蔽之处(如未分配空间、 空间、 系统的隐蔽之处(如未分配空间、Slack空间、临时文件和交换文件)获得数 空间 临时文件和交换文件) 重建数据,并对数据进行分析,最后得到取证报告。 据,重建数据,并对数据进行分析,最后得到取证报告。 数据获取的关键是保证在获取数据的同时不破坏原始介质。 数据获取的关键是保证在获取数据的同时不破坏原始介质。常用的数据获取 技术包括: 技术包括: 对计算机系统和文件的安全获取技术; 对计算机系统和文件的安全获取技术; 对数据和软件的安全搜集技术; 对数据和软件的安全搜集技术; 对磁盘或其他存储介质的安全无损的备份技术; 对磁盘或其他存储介质的安全无损的备份技术; 对已删除文件的恢复、重建技术; 对已删除文件的恢复、重建技术; Slack磁盘空间 未分配空间和自由空间中包含信息的发掘技术; 磁盘空间、 对Slack磁盘空间、未分配空间和自由空间中包含信息的发掘技术; 对交换文件、缓存文件、临时文件中包含的信息的复原技术; 对交换文件、缓存文件、临时文件中包含的信息的复原技术; 计算机在某一特定时刻活动内存中的数据的搜集技术; 计算机在某一特定时刻活动内存中的数据的搜集技术; 网络流动数据的获取技术。 网络流动数据的获取技术。
3. 计算机取证的程序
计算机取证程序分为以下5个方面: 计算机取证程序分为以下 个方面: 个方面 计算机证据的发现:可作为证据或可以提供相关信息的信息源有日志、 计算机证据的发现:可作为证据或可以提供相关信息的信息源有日志、文 系统进程、用户、系统状态、通信连接记录、存储介质等。 件、系统进程、用户、系统状态、通信连接记录、存储介质等。 计算机证据的固定:取证人员要将获取的信息安全地传送到取证分析机上, 计算机证据的固定:取证人员要将获取的信息安全地传送到取证分析机上, 并将有关的日期、时间和操作步骤详细记录。 并将有关的日期、时间和操作步骤详细记录。 计算机证据的提取:证据的提取主要是提取特征,包括过滤和挖掘、解码。 计算机证据的提取:证据的提取主要是提取特征,包括过滤和挖掘、解码。 证据的提取须确保与原始数据一致,不对原始数据造成改动和破坏。 证据的提取须确保与原始数据一致,不对原始数据造成改动和破坏。 计算机证据的分析:分析的目的是为犯罪行为重构、嫌疑人画像、 计算机证据的分析:分析的目的是为犯罪行为重构、嫌疑人画像、确定犯 罪动机、受害程度行为分析等。 罪动机、受害程度行为分析等。 计算机证据的表达:向管理者、律师或者法院提交证据。 计算机证据的表达:向管理者、律师或者法院提交证据。
第7章 计算机取证
记录取证调查工作
在调查取证时,应该把细节都记录 下来,而不是记忆在头脑中。 取证操作记录必须详细、完整。需 要但不完全包括以下内容: 证物软件的版本号 使用的收集工具 收集分析计算机媒体的方法 取证的每个步骤的细节和为什么这 样做的原因。
电子数据证据的法律性收集
证据的收集必须遵循法定的程序:我 国刑事诉讼法第43条就明确规定了收集证 据应当遵循的程序,民事诉讼法也规定了 收集证据的必须程序。由于电子证据的特 殊性,所以在电子证据的收集过程中既应 当遵循一般证据的收集的规则,又应当遵 循其特有的规则。
一般的删除文件操作,即使在清空 了回收站后,若不将硬盘低级格式化或 将硬盘空间装满,仍可将“删除”的文 件恢复过来。现在的取证软件已经具有 了非常好的数据恢复能力,同时,还可 以做一些基本的文件属性获得和档案处 理工作。
数据恢复以后,取证专家还要进行关键 字的查询、分析文件属性和数字摘要、搜寻 系统日志、解密文件等工作。由于缺乏对计 算机上的所有数据进行综合分析的工具,信 息发现的结果很大程度上依赖于取证专家的 经验。
目前,世界上比较发达的国家,纷纷设立 计算机警察: 德国设立了网络警察组织;在英国有CCV 的伦敦警察局犯罪部,;在法国巴黎有信息技 术犯罪稽查处;在美国佐治亚州有联邦执法培 训中心。 中国的网络警察队伍自从1994年前后建立 以来,为国民经济建设保驾护航做出了重大的 贡献。
处理证据要注意的法律问题
第七章 计算机取证
海军工程大学
主要内容
7.1 计算机取证概念
7.2 计算机取证技术
7.3 计算机取证工具
7.4 计算机反取证技术
7.5 小结
7.1 计算机取证的概念
7.1.1 计算机犯罪与电子证据
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
#xwd > myscreen.xwd 查看图像使用如下命令: #xwud -in myscreen.xwd 实际使用中,可以用xwd结合其它图形转换 程序直接获得想要的输出文件在linux上,每个东西都被当作文件来对待,这使复制 和保存系统存储器的内容变得容易。 实例
免费操作系统:LINUX、OpenBSD、FreeBSD
鉴于其基于网络的设计,UNIX系统是作为Internet和 小型网络上的关键部分的理想平台。许多电子商务网 站、公司财务数据库等都运行于UNIX平台。
2
精选课件
与Linux的区别和联系
UNIX是一个功能强大、性能全面的多用户、多任务操作系统 ,可以应用从巨型计算机到普通PC机等多种不同的平台上,是 应用面最广、影响力最大的操作系统。
现场证据获取的目的:保护现场,即保存当前系统运行 状态。 凡是涉及计算机系统当前状态的数据都是收集的目标。 在现场收集的数据应该优先考虑挥发性数据。
要完全收集一台计算机的状态是不可能的。仅仅是检查 高度易挥发的数据这种行为都会改变计算机的状态。 在系统的主存中查找字符串验证在LINUX上数据的易挥 发性,使用下面的命令:
假定在一个文件系统中有一个具有很大自由空间的 数据收集系统 步骤一: 在数据收集系统上设置两个监听netcat进程: #nc –l –p 10005>suspect.mem.images & #nc –l –p 10006>suspect.kmem.images &
9
精选课件
步骤二 从受嫌疑的机器上复制内存:
同时,HPPT连接还提供了正在连接的机器的名字。当netstat 不能够在本地的/etc/hosts中查找到这些机器名时,它会尝 试一下反向DNS查询,以确定与IP地址相关的主机名。
11
精选课件
6.1.4正在运行的进程
LINUX提供了许多工具,这些程序能够提供关于所有运行进 程的信息,或者提供关于特定运行进程的细节。
6
精选课件
6.1.1 屏幕信息
所有的UNIX版本都已经标准化了窗口操作标准-X Windows 。
它是一个网络系统,允许正在运行的进程把它们的窗口 显示在对用户来说最方便的任何工作站上。
X Windows的转储命令xwd能够转储一个单独的窗口或者 整个屏幕。
#xwd –display localhost:0 –root >screen.xwd
#dd bs=1024< /dev/mem l nc 192.168.0.2 10005 – w 3 32678 +0 records in 32678 +0 records out #dd bs=1024< /dev/mem l nc 192.168.0.2 10005 – w 3 22 +0 records in 22 +0 records out 注意:当复制高度异变的对象时,如系统的内存,是 不可能验证其准确性的。
10
精选课件
6.1.3 网络连接
使用netstat命令来捕获正在进行中的网络活动的信息。
在典型的linux系统内,大多数的网络连接是能兼容X Windows的。即使只是在本地运行,X Windows也要使用网 络机制。
在LINUX中,使用-p选项来显示与特定的网络连接相关的进 程。
HTTP是无状态的,因为这些连接都具有很短暂的生存期, 并且它们的状态迅速地循环到FIN_WAIT状态,然后到 CLOSE_WAIT状态。
计算机取证技术
第六章 linux系统取证
1
精选课件
UNIX ,是一个强大的多用户、多任务操作系统,支 持多种处理器架构,按照操作系统的分类,属于分时 操作系统,最早由KenThompson、DennisRitchie和 DouglasMcIlroy于1969年在AT&T的贝尔实验室开发。
商业版本:Solaris、AIX、HP-UX
3
精选课件
另外两大区别:
1) UNIX系统大多是与硬件配套的,而Linux则可 运行在多种硬件平台上.
2) UNIX有些版本比如aix,hp-ux是商业软件是闭源 的(不过solaris,*bsd等unix都是开源的),而Linux 是自由软件,免费、公开源代码的.
4
精选课件
6.1 LINUX系统现场证据获取
#xwud –in screen.xwd
xwd 命令提供了 -root 选项,可以用它通过捕获 X
Window 系统根窗口捕获整个屏幕,X Window 系统根窗
口是包含显示的所有其他 X Window 系统窗口和对话框
的全屏窗口。下面的命令捕获整个屏幕并把它写到 full-
screen.xwd 文件中: wd -root -out full-screen.xwd
在捕获正在运行的机器状态时,主要的一个任务就是收集 一份所有运行进程的列表,以及一份所有打开文件的列表 。
Linux并不是UNIX,而是一个类似于 UNIX的产品,它成功的实 现并超越了UNIX系统和功能,具体讲Linux是一套兼容于System V 以及BSD UNIX的操作系统,对于System V来说,目前把软件程序 源代码拿到Linux底下重新编译之后就可以运行,而对于BSD UNIX来说它的可执行文件可以直接在Linux环境下运行。
#grep abasasdc /dev/mem binary file /dev/mem matches
5
精选课件
/dev/mem 是一个特殊的设备文件,对它的访问其实是 对主存进行访问,类似的,虚拟存储器可以通过 /dev/kmem 来访问
日期、时间等基本的信息可以首先收集起来
获取现场证据
1. 屏幕信息 2. 内存信息 3. 网络联接状态 4. 正在运行的进程
7
精选课件
X-Window环境下截图 用X-Window中的截图工具 xwd与xwud是X-Window中自带 的截图工具。xwd是一个非常传统的屏幕截图软件,它可 以截取程序窗口和全屏图像。xwud是X11图形工具客户程 序,可以用它来显示由xwd程序创建的图形文件。这两个 程序包含在X-Window的标准发布版中。截取图像的方法 如下:
免费操作系统:LINUX、OpenBSD、FreeBSD
鉴于其基于网络的设计,UNIX系统是作为Internet和 小型网络上的关键部分的理想平台。许多电子商务网 站、公司财务数据库等都运行于UNIX平台。
2
精选课件
与Linux的区别和联系
UNIX是一个功能强大、性能全面的多用户、多任务操作系统 ,可以应用从巨型计算机到普通PC机等多种不同的平台上,是 应用面最广、影响力最大的操作系统。
现场证据获取的目的:保护现场,即保存当前系统运行 状态。 凡是涉及计算机系统当前状态的数据都是收集的目标。 在现场收集的数据应该优先考虑挥发性数据。
要完全收集一台计算机的状态是不可能的。仅仅是检查 高度易挥发的数据这种行为都会改变计算机的状态。 在系统的主存中查找字符串验证在LINUX上数据的易挥 发性,使用下面的命令:
假定在一个文件系统中有一个具有很大自由空间的 数据收集系统 步骤一: 在数据收集系统上设置两个监听netcat进程: #nc –l –p 10005>suspect.mem.images & #nc –l –p 10006>suspect.kmem.images &
9
精选课件
步骤二 从受嫌疑的机器上复制内存:
同时,HPPT连接还提供了正在连接的机器的名字。当netstat 不能够在本地的/etc/hosts中查找到这些机器名时,它会尝 试一下反向DNS查询,以确定与IP地址相关的主机名。
11
精选课件
6.1.4正在运行的进程
LINUX提供了许多工具,这些程序能够提供关于所有运行进 程的信息,或者提供关于特定运行进程的细节。
6
精选课件
6.1.1 屏幕信息
所有的UNIX版本都已经标准化了窗口操作标准-X Windows 。
它是一个网络系统,允许正在运行的进程把它们的窗口 显示在对用户来说最方便的任何工作站上。
X Windows的转储命令xwd能够转储一个单独的窗口或者 整个屏幕。
#xwd –display localhost:0 –root >screen.xwd
#dd bs=1024< /dev/mem l nc 192.168.0.2 10005 – w 3 32678 +0 records in 32678 +0 records out #dd bs=1024< /dev/mem l nc 192.168.0.2 10005 – w 3 22 +0 records in 22 +0 records out 注意:当复制高度异变的对象时,如系统的内存,是 不可能验证其准确性的。
10
精选课件
6.1.3 网络连接
使用netstat命令来捕获正在进行中的网络活动的信息。
在典型的linux系统内,大多数的网络连接是能兼容X Windows的。即使只是在本地运行,X Windows也要使用网 络机制。
在LINUX中,使用-p选项来显示与特定的网络连接相关的进 程。
HTTP是无状态的,因为这些连接都具有很短暂的生存期, 并且它们的状态迅速地循环到FIN_WAIT状态,然后到 CLOSE_WAIT状态。
计算机取证技术
第六章 linux系统取证
1
精选课件
UNIX ,是一个强大的多用户、多任务操作系统,支 持多种处理器架构,按照操作系统的分类,属于分时 操作系统,最早由KenThompson、DennisRitchie和 DouglasMcIlroy于1969年在AT&T的贝尔实验室开发。
商业版本:Solaris、AIX、HP-UX
3
精选课件
另外两大区别:
1) UNIX系统大多是与硬件配套的,而Linux则可 运行在多种硬件平台上.
2) UNIX有些版本比如aix,hp-ux是商业软件是闭源 的(不过solaris,*bsd等unix都是开源的),而Linux 是自由软件,免费、公开源代码的.
4
精选课件
6.1 LINUX系统现场证据获取
#xwud –in screen.xwd
xwd 命令提供了 -root 选项,可以用它通过捕获 X
Window 系统根窗口捕获整个屏幕,X Window 系统根窗
口是包含显示的所有其他 X Window 系统窗口和对话框
的全屏窗口。下面的命令捕获整个屏幕并把它写到 full-
screen.xwd 文件中: wd -root -out full-screen.xwd
在捕获正在运行的机器状态时,主要的一个任务就是收集 一份所有运行进程的列表,以及一份所有打开文件的列表 。
Linux并不是UNIX,而是一个类似于 UNIX的产品,它成功的实 现并超越了UNIX系统和功能,具体讲Linux是一套兼容于System V 以及BSD UNIX的操作系统,对于System V来说,目前把软件程序 源代码拿到Linux底下重新编译之后就可以运行,而对于BSD UNIX来说它的可执行文件可以直接在Linux环境下运行。
#grep abasasdc /dev/mem binary file /dev/mem matches
5
精选课件
/dev/mem 是一个特殊的设备文件,对它的访问其实是 对主存进行访问,类似的,虚拟存储器可以通过 /dev/kmem 来访问
日期、时间等基本的信息可以首先收集起来
获取现场证据
1. 屏幕信息 2. 内存信息 3. 网络联接状态 4. 正在运行的进程
7
精选课件
X-Window环境下截图 用X-Window中的截图工具 xwd与xwud是X-Window中自带 的截图工具。xwd是一个非常传统的屏幕截图软件,它可 以截取程序窗口和全屏图像。xwud是X11图形工具客户程 序,可以用它来显示由xwd程序创建的图形文件。这两个 程序包含在X-Window的标准发布版中。截取图像的方法 如下: