计算机取证

计算机取证

一、计算机取证概述

计算机取证(Computer Forensics)在打击计算机和?络犯罪中作??分关键，它的?的是要将犯罪者留在计算机中的“痕迹”作为有效的诉讼。证据提供给法庭，以便将犯罪嫌疑?绳之以法 。

是计算机、?络空间安全、法学、侦查实践等学科的交叉学科

识别、恢复、提取、保存电?存储信息（ESI），形成 告并使之成为法律证据的科学——First ICCE

二、电子数据

电?数据（Electronic Data），是指基于计算机应?、通 信和现代管理技术等电?化技术?段形成包括?字、图形 符 、数字、字?等的客观资料。

电?数据是案件发?过程中形成的，以数字化形式存储、 处理、传输的，能够证明案件事实的数据。

电?数据取证涉及法律和技术两个层?：

技术：采?技术?段，获取、固定、提取、分析、归档、出示 电?数据作为认定事实的科学

法律：能够为法庭所接受的、?够可靠和有说服性的、存在于计算机和相关外设中的电?数据的（收集、保全、确认、鉴定、 告及呈堂的）过程。 取和证是?个闭环的过程，最终的?标是形成“证据链”

合法性、客观性、关联性

三、取证基本步骤

?前没有?个范式，基本分为四个步骤

1.评估

电?数据取证?员应针对?作作出全?的评估，以决定下?步采取的?动。

2.获取

电?数据必须保存于原始状态中，防?被不正确的处理?法所影响、损害或删除。

3.分析

提取出有?证据，分析判断其中的关联性，将数据转换为可读可?的形式。

4. 告

所有操作都必须以?志形式记录，所有的结果都必须以 告形式记录展现。

该流程适?于电?数据取证的各个环节，包括侦查、勘验和电?数据检验鉴定。

四、UNIX/Linux取证

(一)基本描述

1.Linux操作系统是UNIX系统家族中的?个优秀分?

2.Android系统是Linux系统的?个深度定制版本

3.UNIX/Linux处于活跃状态的发?版本数量有数百个

4.所有发?版本都会遵循UNIX/Linux的?些基本设计思想 

(二)Linux发行版本和文件系统

1.Linux发?版本

Kali、Arch、Debian、Ubuntu、Redhat、CentOS、Fedora、SuSE、FreeBSD…

Deepin、StartOS、红旗Linux、CecOS、中标麒麟、中兴新?点，优麒麟、UOS

2.Linux?件系统

?件系统定义了硬盘上储存?件的?法和数据结构

UNIX发?版中常?的?件系统是UFS系列，但是每个?商对其进?了?些私有的扩展，有 不兼容的情况存在

Linux?件系统的核?思想来?于UFS，常?的?件系统有Ext2、Ext3、Ext4、btrfs

(三)Linux取证示例

1.Linux逻辑卷管理（Logical Volume Manager）

LVM提供管理功能：在硬盘分区之上，?创建?个逻辑层，以?便系统管理硬盘分区系统

调查?员因缺乏对LVM的了解，为进?正确设置导致?法正常识别Linux的?件系统

常?版本有LVM和LVM2，?持其?动识别及解析的取证软件有Encase、FTK和取证?师

2.Linux开机取证

涉案服务器常处于远程或不能关机状态，需在开机运?的情况下进?取证

UNIX/Linux提供了强?的基于命令?的?具集，需在开机取证过程中有效加以使?

shell是?种命令解释器，它提供了?户和操作系统之间的交互接?

系统进程：ps

?户登录信息：who、w

?件内容搜索：grep

?件查找：find

(四)可引导Linux取证光盘

与Windows操作系统不同，Linux系统内置有对硬盘?件系统进?加载和控制的能?

通过命令mount即可以写保护（只读）?式来加载?件系统，由此，诞?了不少基于 Linux内核的取证系统光盘 ：Kali、DEFT、CAINE、PALADIN、SIFT、LinEn

五、 站服务器取证基本流程

?站服务器取证的基本流程为：

1.分析前台?站服务器的配置?件，找到?站服务?件所在的?录和全部代码，导出

2.通过分析?站服务器?件的配置，找出?站数据库类型等，导出所有数据

3.利?仿真的?式或者利?提取的?站代码和数据库构建模拟?站服务器

4.使?同样的?式导出后台管理服务器的代码和数据库中的所有数据

5.通过登录前台界?、模拟?户操作?为，确定与之相关联的?站程序和模块

6.通过登录后台管理界?，确定并分析后台管理数据

7.综合分析?站数据，查清?站结构、?员组织架构、涉案资?流转等情况

(一)Apache配置目录的内容

（二）Apache主要配置选项

六、IP/路由器/MAC的取证

（一）IP取证

IP地址的基本描述

IP地址是指因特?协议地址（Internet Protocol Address，?译为?际协议地址），是IP Address的缩写

IP地址是IP协议提供的?种统?的地址格式，它为因特?上的每?个?络或每?台主机分配?个逻辑地址

IP地址就像是?络上的?牌 ，?以区分?络上不同的?络设备

IP地址的动态分配、随机分配

IP地址的获取：

?个IP地址对应?个?络设备，?不是?个?  

查看本机IP地址

Windows：ipconfig

Mac OS及Unix：ifconfig

通过访问www.ip.cn等?站，获取本地?络的公?IP地址

调查相关?络设备或服务器的留存资料

查询存储型路由器、交换机等?络设备，获取主机IP地址

从相关?络服务器调阅IP?志资料 

按证据调取规定，到相应的?络服务应?商处调取对应登录IP地址资

调查IP地址：

使?nslookup查询IP的?途

使?Tracert跟踪IP路由

Tracert命令通过发送?个TTL数据包，监听返回的ICMP超时消息来判断其路由路径

好处是可以获得最后到达?的IP的路由地址，从?判断出?的IP的真实属性和运营商

利?端?扫描判断IP所属?络设备的类型

?个端?代表?个服务，?有些服务是?些操作系统所特有的（默认的）

利??络搜索综合判断IP性质

利?各?搜索引擎对IP地址进?搜索，根据搜索结果对IP地址进?综合判断

(二)路由器的取证

1.路由器作为连接?络节点的关键设备

不仅会记录?般数据传输的路由信息

也会记录?些关键的IP地址或MAC地址的访问信息

2.企业级的路由器?般带有?志功能

提取?志进?分析

3.?般家庭或?型企业使?的路由器均不带?志存储功能

需要在路由器断电之前进?取证

?旦断电或重启路由器后

?些重要的数据，如路由表、监听的服务、当前使?的密码等重要的数据信息就会丢失，达不到取证的效果

(三)MAC地址相关的取证

1.Media Access Control，也即，物理地址、硬件地址

?来定义?络设备的位置

MAC地址采??六进制数表示，共六个字节（48位）形如：01-23-45-AB-CD-EF

2.查询本机?卡MAC地址（?卡标签上可以找到）

开机状态下，通过ifconfig、wincfg、ipconfig /all等命令或查询注册表等?式获取

3.通过arp命令查询局域?中?络设备的MAC地址

每台计算机都存有?个记录MAC地址与IP地址对应关系的ARP表

4.查询?络应?软件记录的MAC地址

很多?络软件商将其记录并作为识别终端?户的特征值

七、VPN的取证

(一)VPN的分类和特点

1.PPTP（Point to Point Tunneling Protocol）点到点隧道协议

在PPP协议的基础上开发的?种新的增强型安全协议

?持通过密码验证协议（PAP）、可扩展认证协议（EAP）增强其安全性

2.L2TP（Layer Two Tunneling Protocol）第?层隧道协议

结合了微软的PPTP协议及Cisco的L2F协议，通常以UDP ?的形式发送

L2TP本身没有加密，是?种传输模式的IPSEC隧道

3.IPSec（IP Security）IP安全协议

是IETF IPSec?作组为了在IP层提供通信安全?制定的?套协议族

包括安全协议部分和密钥协商部分

(二)VPN调查取证方法和技巧

1.端?扫描确定VPN

?多数VPN服务开放的端?为1723（L2TP隧道端?为1701，连接端?随

机），且不易改变

2.巧妙利?搜索引擎查找VPN服务器

? 提供VPN服务的企业在提供服务时，需要发布VPN服务器的IP资料信息

3.调取VPN服务器?志资料

在可以接触到VPN服务器的情况下，应尽快调取VPN?志资料

默认情况下，主流的微软?带的VPN?志记录了客户端IP、连?时间、客

户端机器名等信息

八、总结

常用的 络取证应用技术

1.IP地址获取技术

2.电?邮件的取证技术

3.?络输?输出系统取证技术

4.?络?侵跟踪技术

5.??智能和数据挖掘技术

6.IDS 取证技术

7.蜜阱取证技术

8.恶意代码技术

9.?侵容忍技术

10.?络监控和传感器技术

11.?络透视技术

12.Agent技术

13.SVM取证技术

文章知识点与官方知识档案匹配，可进一步学习相关知识CS入门技能树Linux入门初识Linux25101 人正在系统学习中