【正文】 1 安焦峰會講稿 傅念東 2 ―中華人民共和國公安系統(tǒng)未來必備的強大網(wǎng)絡電子組合式武器庫 ” 基于 FIPA(The Foundation for Intelligent Physical Agents)引擎的 取證流程智能決策系統(tǒng) 3 ? 調(diào)查取證簡介 ? 證據(jù)保存與分析 ? 取證工具介紹 ? 詳細證據(jù) 4 計算機調(diào)查取證的定義 計算機調(diào)查取證可以簡單說是一門有關計算機操作系統(tǒng)和文件結(jié)構(gòu)的應用科學和分析技術，用來尋找潛在法庭證據(jù)的過程。 5 為什么證據(jù)很重要 ? ? 在互聯(lián)網(wǎng)世界，證據(jù)是一切 。 ? 證據(jù)可以推斷事實 。 ? 法庭調(diào)查是基于證據(jù)的。 6 誰需要計算機調(diào)查取證？ ? 受害者 ! ? 法律執(zhí)行者 ? 保險公司 ? 最終法律系統(tǒng) 7 誰可能是受害者？ ?私有公司 ?政府 ?個人 ?其它 8 ? 確定肇事者的身份 ? 識別肇事者犯罪軌跡 ? 引導受害者實現(xiàn)損失評估 ? 保護證據(jù) 以便法庭上使用 法庭調(diào)查取證分析的目的 9 ? 磁盤調(diào)查取證 ? 網(wǎng)絡調(diào)查取證 ? 電子郵件調(diào)查取證 ? 互聯(lián)網(wǎng)調(diào)查取證 ? 源代碼調(diào)查取證 計算機調(diào)查取證的類型 10 磁盤調(diào)查取證 ? 磁盤調(diào)查取證 是指獲得和分析儲存在物理介質(zhì)上數(shù)據(jù)的過程 。 ? 包括對隱藏和已刪除數(shù)據(jù)的恢復 ? 包括識別誰是文件和消息的創(chuàng)建者 – 梅利莎病毒 ： 該病毒首先感染通用模板： Nor_ ，并修改 Windows注冊表項： HKEY_CURRENTUSER\Software\Microsoft\Office，將其增加表項： Melis_ sa?，并給其賦值為： … by Kwyjibo 11 網(wǎng)絡調(diào)查取證 ? 網(wǎng)絡調(diào)查取證 是檢查網(wǎng)絡通訊的過程。它包括 ： ? 案發(fā)相關的通訊記錄分析 ? 網(wǎng)絡監(jiān)控的實時分析 ? SNIFFER ? 實時跟蹤 12 電子郵件調(diào)查取證 ? 電子郵件調(diào)查取證 是通過研究電子郵件來源及其內(nèi)容，查找證據(jù)的過程。 – 它包括識別實際郵件、消息的實際發(fā)送者和接收者，及其內(nèi)容、時間和地點。有時， 有關性別歧視、種族和宗教偏見內(nèi)容及其它非法活動常常和電子郵件捆綁在一起。 13 互聯(lián)網(wǎng)調(diào)查取證 ? 互聯(lián)網(wǎng)調(diào)查取證 是查明特定用戶使用因特網(wǎng)資源的地點和時間的過程 。 14 源代碼調(diào)查取證 ? 源代碼調(diào)查取證 可以用來判斷軟件所有者和軟件責任人。 – 它不是僅僅檢查實際的源代碼。 – 它檢查軟件完整的開發(fā)過程，包括開發(fā)程序，檢查開發(fā)時間表，文檔檢查，和源代碼修改。 15 技術進展 ? 計算機專業(yè)人員倍增 ? 世界網(wǎng)絡化程度已經(jīng)大大加強了，雖然絕大多數(shù)的用戶仍然是匿名的 ? 使用加密手段的現(xiàn)象已經(jīng)很普遍 ? 網(wǎng)絡帶寬已經(jīng)加大，而成本正逐漸下降 ? 磁盤價格正下降，而容量卻越來越大 – 網(wǎng)絡上的數(shù)據(jù)越來越多 16 技術進展 愛因斯坦曾經(jīng)說過 ： “技術進展就像是病態(tài)犯罪者手中的一把斧頭 .” 17 技術進展 ?計算機既是工具也是目標 – 手段 – 數(shù)據(jù)倉庫 ? 一些計算機罪犯使用計算機時和通常情況下使用方法是一樣的。 ?今日計算機犯罪特點 – 可以逃避懲罰 – 追求轟動效果 – 公眾態(tài)度冷漠 – 犯罪很容易 18 什么是計算機犯罪？ ? 計算機犯罪中技術扮演著重要的、通常是必須的角色。 – 計算機是： ? 攻擊的目標 ? 攻擊中使用的工具 ? 用來儲存犯罪活動相關的數(shù)據(jù) 19 計算機犯罪類型 ? 未授權訪問 ? 拒絕服務 ? 勒索 ? 偷竊 ? 破壞 ? 偵察 ? 計算機騙子 ? 盜用 ? 侵犯版權 ? 偽造 ? 網(wǎng)絡騙子 — “欺騙性的站點” ? SEC騙子和 STOCK操控 ? 兒童色情文學 ? 圍捕和折磨 ? 信用卡騙子和盜用者 20 當前計算機調(diào)查取證的議題 ? 國內(nèi)司法鑒定系統(tǒng)還沒有做好處理高技術犯罪的準備 – 缺乏訓練有素的調(diào)查人員和分析人員 – 缺乏調(diào)查取證標準 ? 太多的數(shù)據(jù) ! – 大磁盤和磁盤隊列 – 高速網(wǎng)絡連接 ? 高時間相關性 21 當前計算機調(diào)查取證的議題 ? 證據(jù)收集和檢查不能和下列政策法規(guī)相沖突： : – 憲法 – 國家安全法 – 行政訴訟法 22 調(diào)查取證過程 ? 準備 ? 保護 ? 映像 ? 檢查 ? 文檔化 23 準備 ? 對介質(zhì)分析 /檢查的授權進行確認 . ? 確認分析的目的并且清楚的定義所期望的結(jié)果 ? 保證有足夠的干凈介質(zhì)用來鏡像（比如，在使用前確定沒有病毒，沒有重要的文件等。） ? 保證用來分析的所有軟件工具都已經(jīng)過檢驗，并且被廣泛用來實施調(diào)查取證工作。 24 法律綜述 25 保護 ? 保護證據(jù)的完整性。 ? 要保密到最后一刻。 ? HASH保護 ? 多人證明 26 映像 ? 使用磁盤鏡像軟件來鏡像目標介質(zhì)，并確認它。 ? 當對目標介質(zhì)進行分析時，務必使用已制作的介質(zhì)鏡像；決不可以用實際的目標介質(zhì)。 27 檢查 ? 操作系統(tǒng) ? 服務 ? 應用程序 /處理過程 ? 硬件 ? 記錄文件 /日志文件 ? 文件系統(tǒng) 28 檢查 (續(xù) ) ? 已刪除的文件 /隱藏文件 /NTFS流 ? 軟件 ? 加密軟件 ? 共享 /許可 ? 密碼文件 ? SIDS ? 網(wǎng)絡結(jié)構(gòu)體系 /信任關系 29 文檔 ? 文檔是一切 ? 證據(jù)標簽 ? 保管鏈 ? 證據(jù)管理 30 證據(jù) 31 四個步驟 , ? 記住這四個步驟：識別，保護，分析和提交。 – 我們目的是在于提交證據(jù) – 分析是個很大的主題 ,不能全部把它包括進來 – （司法鑒定實驗室還有很多工作） – 我們集中于識別和保護 ? 一切從保護開始 … 32 證據(jù)保護 ? 記住我們的 ”最優(yōu)證據(jù) ” 和 “ 保管鏈 ” 原則 ? 這里描述的程序和步驟是用來遵循這些原則和對證據(jù)提供保護 ? 不要完全照搬這些原則 ? 除非你確定你具備不需要的理由，否則你都應該遵循這些原則 33 程序 1 ? 現(xiàn)場記錄 – 什么樣的計算機，在什么地方 – 給計算機，磁盤，和軟盤貼上標簽 – 通常這些工作都要由同一個人完成，所有的記錄都要記在同一地方 – 簡要的原則 ? 對每一計算機 – 拆開它 (已取得內(nèi)部部件 ) – 記錄對內(nèi)部部件 , 并貼上標簽 34 程序 2 ? 對每一磁盤，軟盤， CD… – 制作 md5 hash, 并記錄下來 – 制作司法鑒定映像（如使用 /safeback/dd命令 /Encase）到磁帶，或到專用文件系統(tǒng)等。 – dd if=/dev/had of=/dev/rst0 – dd if=/dev/had | nc 7000 – cat –L –p 7000 /mnt/evidence/ – 制作上述映像的 md5 hash,并記錄下來 – 比較 hashes 35 程序 3 ? 回到實驗室 – 把原件 /映像放在安全的地方 – 使用如 Encase創(chuàng)建證據(jù)文件，利用該工具創(chuàng)建證據(jù)介質(zhì)上數(shù)據(jù)的準確描述 – 證據(jù)管理人要控制對證據(jù)的接觸，并把一切文檔化 ? 誰提取了證據(jù)，原因，日期 ? 誰拷貝了證據(jù)，原因，日期 – 越少的管理者越好 – 可以減少證明 36 文檔 ? 文檔化必須了解： – 是誰，在什么地方，什么地點，如何，基于什么理由和規(guī)則（如搜查令）收集證據(jù)的 – 原件和拷貝的 Hashes – 實時和計算機時間的時鐘偏移量 (使用精確的參考時鐘 !) ? 多人證明 37 程序 ? 建議 : – 在包中放置一個拷貝 (比如拷貝到磁盤，把原件打包，拷貝到磁帶機 ) – 在包上貼上封條，并在上面說明未經(jīng)許可不能打開 – 在封條上簽名并且簽署日期 – 鎖起來 ? 直到我們展開調(diào)查，我們都不能遺失它們 38 Checksums and Hashes ? Checksum: 目的是用來錯誤探測。 – CRC 16, 32 – 很容易改變保存的 checksum； ? Hash: 目的是用來抵抗惡意的破壞 – MD5, SHA – 很 “ 難 ” 造成 hash沖突 – 很 “ 少 ” 可以發(fā)現(xiàn)兩份具有同樣 hash的文本文件 39 數(shù)字時間戳 ? 基本思想 : 創(chuàng)建 hash并公開它 ? 顯示數(shù)據(jù)和簽署日期 hash匹配 商業(yè)免費服務 – 免費服務 – 商業(yè)服務 – Hashkeeper服務 40 優(yōu)先響應事務 ? 保存系統(tǒng)上易消失的證據(jù) ? 繼續(xù)在系統(tǒng)上保留入侵者 ? ? 系統(tǒng)持續(xù)運作可能產(chǎn)生的影響（正面的和負面的） ? 司法的介入以擴大力度，這一步通常都具備 41 優(yōu)先響應事務 ? 保護 – 目標系統(tǒng)和資源 – 牽制入侵 ? 保護 – 證據(jù) (記錄 , 文件系統(tǒng) , 遺跡文件 ) – 用一種法律接受的方式 ? 通報 – IRT, LE, 管理員 , 其它站點 … 42 現(xiàn)場記錄 易消失 證據(jù)收集 ? 記錄易 消失證據(jù) 安全否 ? 磁盤鏡像 ? 關機 What Was The point? ? 制作 磁盤鏡像 回到實驗室 ,使用備 份進行分析，重組 計算機，分析 ―warez 調(diào)查 NV, 運行 ―last‖等 NO NO NO YES YES YES 43 現(xiàn)場記錄 易消失 證據(jù)收集 ? 記錄易 消失證據(jù) 安全否 ? 磁盤鏡像 ? 關機 What Was The point? ? 制作 磁盤鏡像 回到實驗室 ,使用備 份進行分析，重組 計算機，分析 ―warez‖ 調(diào)查 NV, 運行 ―last‖等 NO NO NO YES YES YES 44 現(xiàn)場