【正文】 回到實(shí)驗(yàn)室 ,使用備 份進(jìn)行分析，重組 計(jì)算機(jī)，分析 ―warez‖ 調(diào)查 NV, 運(yùn)行 ―last‖等 . NO NO NO YES YES YES 54 你還應(yīng)該 … ? 當(dāng)你檢查計(jì)算機(jī)的時(shí)候，你還應(yīng)該 : – 關(guān)機(jī) ? – CTRLALTDELETE, L1A? – Reboot? – 要不要和網(wǎng)絡(luò)斷開 ? – 要不要在路由器上過濾 ? – 要讓它繼續(xù)運(yùn)行還是快速進(jìn)行檢查 ? 55 關(guān)機(jī) ? 關(guān)機(jī) /中止 /sync 可以讓文件系統(tǒng)變得干凈 – 但是這些程序可能被非法破壞，導(dǎo)致文件破壞 ? 不要重啟 ! – 這會(huì)比關(guān)機(jī)帶來更多的破壞 ! – 重啟時(shí)刪除 /tmp目錄 (如果它不是動(dòng)態(tài)存儲(chǔ)器 ) – 它是否非法重啟，帶有 “bad stuff” (后門 , 破壞性的東西 )? 或者通過 cron重啟 ? 56 和網(wǎng)絡(luò)連接斷開 ? 如果你從網(wǎng)絡(luò)連接斷開并過濾掉它 ... – 有什么樣的 “dead man switches”記錄，它說明它斷開的時(shí)間和擦除了什么證據(jù) ? – Marcus Ranum wrote about this in the CSI Alert, September 1999, 198 57 讓它繼續(xù)運(yùn)行 ? 不把它和網(wǎng)絡(luò)斷開 – 直到你斷電關(guān)機(jī) ? 在短期內(nèi)它可能是安全的 – 然而，隨著時(shí)間的推移，風(fēng)險(xiǎn)是逐步增加的 – 它們可能被用來做非法的事情 – 責(zé)任問題 ? – 它們也可能擦除證據(jù)，特別是在它們發(fā)現(xiàn)你在探測(cè)的時(shí)候 (聰明的木馬） 58 關(guān)機(jī) ? 在你關(guān)機(jī)的時(shí)候 ... – 你丟失了易消失的證據(jù) : 進(jìn)程，網(wǎng)絡(luò)連接，網(wǎng)絡(luò)文件連接，內(nèi)存內(nèi)容 ... – 在很多時(shí)候下面的內(nèi)容是很重要的證據(jù) : 黑客增加存儲(chǔ)工具 , 在遠(yuǎn)程文件系統(tǒng)上的記錄 – 另一方面 ,如果你在一運(yùn)行的系統(tǒng)上調(diào)查，你就有可能改變了文件系統(tǒng) (特別是對(duì)磁盤 ) 59 現(xiàn)場(chǎng)記錄 易消失 證據(jù)收集 ? 記錄易 消失證據(jù) 安全否 ? 磁盤鏡像 ? 關(guān)機(jī) What Was The point? ? 制作 磁盤鏡像 回到實(shí)驗(yàn)室 ,使用備 份進(jìn)行分析，重組 計(jì)算機(jī)，分析 ―warez‖ 調(diào)查 NV, 運(yùn)行 ―last‖等 . NO NO NO YES YES YES 60 磁盤鏡像 ? 分區(qū)特點(diǎn) ? 整盤鏡像最保險(xiǎn) – dd if=/dev/wd0s2a of=/incident/19991011001/hosta/ ? 鏡像部分分區(qū)有時(shí)是很便利的 – 很容易通過 loopback安裝 – 小心：分區(qū)可能不能包括整個(gè)磁盤 61 磁盤鏡像 ? 存儲(chǔ)分區(qū)信息，特別是當(dāng)你沒有作整盤鏡像的時(shí)候 – fdisk –l /dev/wd0 /incidents/19991011001/hosta/ 62 利用鏡像的磁盤工作 ? 可以在實(shí)驗(yàn)室使用鏡像來恢復(fù) ? UNIX 文件系統(tǒng)使用 UNIX 工具 – The Coroner39。 27 檢查 ? 操作系統(tǒng) ? 服務(wù) ? 應(yīng)用程序 /處理過程 ? 硬件 ? 記錄文件 /日志文件 ? 文件系統(tǒng) 28 檢查 (續(xù) ) ? 已刪除的文件 /隱藏文件 /NTFS流 ? 軟件 ? 加密軟件 ? 共享 /許可 ? 密碼文件 ? SIDS ? 網(wǎng)絡(luò)結(jié)構(gòu)體系 /信任關(guān)系 29 文檔 ? 文檔是一切 ? 證據(jù)標(biāo)簽 ? 保管鏈 ? 證據(jù)管理 30 證據(jù) 31 四個(gè)步驟 , ? 記住這四個(gè)步驟：識(shí)別，保護(hù)，分析和提交。 24 法律綜述 25 保護(hù) ? 保護(hù)證據(jù)的完整性。 15 技術(shù)進(jìn)展 ? 計(jì)算機(jī)專業(yè)人員倍增 ? 世界網(wǎng)絡(luò)化程度已經(jīng)大大加強(qiáng)了，雖然絕大多數(shù)的用戶仍然是匿名的 ? 使用加密手段的現(xiàn)象已經(jīng)很普遍 ? 網(wǎng)絡(luò)帶寬已經(jīng)加大，而成本正逐漸下降 ? 磁盤價(jià)格正下降，而容量卻越來越大 – 網(wǎng)絡(luò)上的數(shù)據(jù)越來越多 16 技術(shù)進(jìn)展 愛因斯坦曾經(jīng)說過 ： “技術(shù)進(jìn)展就像是病態(tài)犯罪者手中的一把斧頭 .” 17 技術(shù)進(jìn)展 ?計(jì)算機(jī)既是工具也是目標(biāo) – 手段 – 數(shù)據(jù)倉庫 ? 一些計(jì)算機(jī)罪犯使用計(jì)算機(jī)時(shí)和通常情況下使用方法是一樣的。 13 互聯(lián)網(wǎng)調(diào)查取證 ? 互聯(lián)網(wǎng)調(diào)查取證 是查明特定用戶使用因特網(wǎng)資源的地點(diǎn)和時(shí)間的過程 。 ? 包括對(duì)隱藏和已刪除數(shù)據(jù)的恢復(fù) ? 包括識(shí)別誰是文件和消息的創(chuàng)建者 – 梅利莎病毒 ： 該病毒首先感染通用模板： Nor_ ，并修改 Windows注冊(cè)表項(xiàng)： HKEY_CURRENTUSER\Software\Microsoft\Office，將其增加表項(xiàng)： Melis_ sa?，并給其賦值為： … by Kwyjibo 11 網(wǎng)絡(luò)調(diào)查取證 ? 網(wǎng)絡(luò)調(diào)查取證 是檢查網(wǎng)絡(luò)通訊的過程。 5 為什么證據(jù)很重要 ? ? 在互聯(lián)網(wǎng)世界，證據(jù)是一切 。 ? 證據(jù)可以推斷事實(shí) 。它包括 ： ? 案發(fā)相關(guān)的通訊記錄分析 ? 網(wǎng)絡(luò)監(jiān)控的實(shí)時(shí)分析 ? SNIFFER ? 實(shí)時(shí)跟蹤 12 電子郵件調(diào)查取證 ? 電子郵件調(diào)查取證 是通過研究電子郵件來源及其內(nèi)容，查找證據(jù)的過程。 14 源代碼調(diào)查取證 ? 源代碼調(diào)查取證 可以用來判斷軟件所有者和軟件責(zé)任人。 ?今日計(jì)算機(jī)犯罪特點(diǎn) – 可以逃避懲罰 – 追求轟動(dòng)效果 – 公眾態(tài)度冷漠 – 犯罪很容易 18 什么是計(jì)算機(jī)犯罪？ ? 計(jì)算機(jī)犯罪中技術(shù)扮演著重要的、通常是必須的角色。 ? 要保密到最后一刻。 – 我們目的是在于提交證據(jù) – 分析是個(gè)很大的主題 ,不能全部把它包括進(jìn)來 – （司法鑒定實(shí)驗(yàn)室還有很多工作） – 我們集中于識(shí)別和保護(hù) ? 一切從保護(hù)開始 … 32 證據(jù)保護(hù) ? 記住我們的 ”最優(yōu)證據(jù) ” 和 “ 保管鏈 ” 原則 ? 這里描述的程序和步驟是用來遵循這些原則和對(duì)證據(jù)提供保護(hù) ? 不要完全照搬這些原則 ? 除非你確定你具備不需要的理由，否則你都應(yīng)該遵循這些原則 33 程序 1 ? 現(xiàn)場(chǎng)記錄 – 什么樣的計(jì)算機(jī)，在什么地方 – 給計(jì)算機(jī)，磁盤，和軟盤貼上標(biāo)簽 – 通常這些工作都要由同一個(gè)人完成，所有的記錄都要記在同一地方 – 簡(jiǎn)要的原則 ? 對(duì)每一計(jì)算機(jī) – 拆開它 (已取得內(nèi)部部件 ) – 記錄對(duì)內(nèi)部部件 , 并貼上標(biāo)簽 34 程序 2 ? 對(duì)每一磁盤，軟盤， CD… – 制作 md5 hash, 并記錄下來 – 制作司法鑒定映像（如使用 /safeback/dd命令 /Encase）到磁帶，或到專用文件系統(tǒng)等。s Toolkit, Farmer amp。 39。s Toolkit mactimes! ? 半 文件訪問 /修改事件的時(shí)間順序 ? 僅僅顯示最近的活動(dòng) ? 不要顯示誰 /什么改變了它 ? 很容易被欺騙 115 文件 ? UNIX (續(xù) ) – Core files ? 緩沖區(qū)攻擊后留下的 ? ? 使用字符串查找 – 任何有疑點(diǎn)的東西比如， /bin/sh? – 使用 mount, df命令來查看存在那兒的是什么類型的網(wǎng)絡(luò)文件系統(tǒng) ? 要小心的查找他們 ! ? I usually don39。pigetram /dev/ttyd139。 ? 最好的是用 SCSI介質(zhì) 162 介質(zhì)選擇 ? 內(nèi)部磁盤 ? 磁帶 – QIC磁帶機(jī) – Travan磁帶機(jī) – DAT ? 光學(xué)介質(zhì) – CDROM – CDWriter – DVD 163 可拆除介質(zhì) ? 硬盤 ? ZIP Drives ? Jazz Drives ? PCMCIA Flash Disks 164 磁盤鏡像硬件 ? 支持 IDE amp。 The nickel shielding layer creates a Faraday type shield. Meets MILB81705 and DoDSTD1686A ?泡沫添加磁盤運(yùn)輸箱 ?EMF警告標(biāo)簽 183 證據(jù)保護(hù) 184 網(wǎng)絡(luò)調(diào)查取證 ? 分析包痕跡 – 建立事件發(fā)展順序過程 – 目標(biāo)是確定入侵者 ? 工具 – 網(wǎng)絡(luò) Sniffer – 系統(tǒng)記錄 – NTSC Adapter 185 ? IP 欺騙 ? Hijacking ? 密碼攻擊 – 社會(huì)工程 – 密碼破解 – Sniffers ? 分布式 等價(jià)式攻擊 ? 身份隱藏 網(wǎng)絡(luò)調(diào)查取證 186 Connection Laundering 187 電子郵件調(diào)查取證 ? 2022年電子郵件使用情況 – 108億電子郵件用戶 – 每天 252億封電子郵件 ? 電子郵件使用的是不同步的允許通風(fēng)的通信機(jī)制 。 191 總結(jié) ? 計(jì)算機(jī)調(diào)查取證是突發(fā)事件響應(yīng)范疇內(nèi)一項(xiàng)完整的功能 ? 處理方法和步驟是計(jì)算機(jī)調(diào)查取證中最重要的方面 ? 未來的計(jì)算機(jī)犯罪要求提升計(jì)算機(jī)調(diào)查取證的能力 ? 基于取證方法論的取證決策和指導(dǎo)系統(tǒng)呼之欲出！ ? 謝 謝！ ? 祝安焦峰會(huì)圓滿成功！ 。 ? 電子郵件欺騙 。 Mac O/S ? 全部讀寫確認(rèn)和報(bào)告 ? 記錄能力 ? 對(duì)主盤不可寫 165 調(diào)查取證軟件 ? 潔凈操作系統(tǒng) ? 磁盤鏡像備份軟件 ? 檢查和恢復(fù)工具 ? 文件查看工具 ? 破解軟件 ? 打包和壓縮工具 166 驗(yàn)證軟件 ? 決定功能 – 確定操作 – 確定限制 – 確定漏洞 ? 法庭陳述 – 用自己的體驗(yàn)來闡述證據(jù) – 肯定是專家級(jí)別闡述 167 磁盤鏡像軟件 ? 在比特流水平上復(fù)制磁盤，而不是文件流水平上 ? 非操作系統(tǒng)依賴 ? 必須有記錄和錯(cuò)誤報(bào)告 ? 必須有刪除文件的備份 ? 工具 – EnCase – SafeBack – SnapBack – DD 168 研究工具 ? 調(diào)查取證工具 – EnCase – 調(diào)查取證工具箱 ? 文件系統(tǒng)工具 – DOS, Wind