【正文】 。 受害機(jī)上無(wú)特殊日志 ， 可使用portsentry 監(jiān)視端口連接 。 Firetalk 測(cè)試攻擊途徑中所遇防火墻的過(guò)濾規(guī)則 。 同時(shí) 同上 Nessus 綜合性的漏洞掃描工具 。 攻擊者機(jī)器上在 .history留下操作記錄 ， 可看到 nessus 關(guān)鍵字 。 如在 secure 文件中存在記錄 : may 14 10:20:30 washacked [473] conct from () 攻擊者機(jī)器上用 find/ name 可查到此工具 ， 在 .history查看操作記錄 ，看到 storbe關(guān)鍵字 。 流光 國(guó)內(nèi)使用較多的漏洞掃描工具 占用資源 ， 對(duì)目標(biāo)系統(tǒng)產(chǎn)生影響 ， 速度較慢 ， 但可以查出幾個(gè)易于利用的漏洞 。 存在plugin\\dic\domules可供查看 ,也可查看注冊(cè)表 。 受害機(jī)連接大量的 cgi掃描記錄 .如這樣的記錄肯定意為著一次攻擊： GET /%0d%0a[Thu%20Nov%2044%2066:88:66%202666]%20[error]%20[client%]%20File%20does%20not%20exist:%20c:/web/ HTTP/。 受害機(jī)在被遠(yuǎn)程窮舉密碼時(shí)存在安全記錄 。 Bo2k 木馬文件 機(jī)器被人遠(yuǎn)程操縱 ，同時(shí)相似的還要查看是否有跳板程序 。amp。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，計(jì)算機(jī)犯罪的智能化、復(fù)雜化也在不斷提高，犯罪者往往利用 TCP/IP協(xié)議族、網(wǎng)絡(luò)操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備的某些漏洞來(lái)實(shí)施攻擊和犯罪行為。 電子數(shù)據(jù)證據(jù)鑒定系統(tǒng)示例 國(guó)家十五攻關(guān)項(xiàng)目：電子數(shù)據(jù)證據(jù)鑒定技術(shù) 承擔(dān)單位：北大青鳥環(huán)宇科技股份有限公司 開(kāi) 始 輸入電子數(shù)據(jù)證據(jù) 描述犯罪事實(shí) 電子數(shù)據(jù)分類歸檔 鑒定目標(biāo)描述轉(zhuǎn)換為系統(tǒng)可理解格式 抽取與鑒定目標(biāo)相關(guān)的電子數(shù)據(jù)證據(jù) 調(diào)用地址來(lái)源分析模塊 調(diào)用設(shè)備來(lái)源分析模塊 調(diào)用軟件來(lái)源分析模塊 調(diào)用內(nèi)容分析模塊 判斷需調(diào)用模塊 需鑒定設(shè)備來(lái)源 需鑒 定軟件來(lái)源 需鑒定地址來(lái)源 需鑒定設(shè)備來(lái)源 對(duì)電子數(shù)據(jù)證據(jù)進(jìn)行與犯罪事實(shí)相關(guān)的鑒定 生成鑒定結(jié)果 （ 包括根據(jù)現(xiàn)有信息不能鑒定時(shí)要求搜集進(jìn)一步相關(guān)信息 ） 結(jié)論是否確定 對(duì)結(jié)論進(jìn)行保全 ， 生成鑒定報(bào)告 要求搜集其他相關(guān)數(shù)據(jù) 結(jié) 束 其他電子證據(jù)搜集與保全系統(tǒng) 是 否 證據(jù)鑒定過(guò)程 系統(tǒng)結(jié)構(gòu)設(shè)計(jì) 用戶接口模塊 地址認(rèn)定模塊 標(biāo)準(zhǔn)設(shè)備 特征數(shù)據(jù)庫(kù) 常用軟件與 操作特征數(shù)據(jù)庫(kù) 數(shù)據(jù)設(shè)備來(lái)源 智能分析模塊 數(shù)據(jù)軟件來(lái)源 智能分析模塊 特定軟件與操作虛擬運(yùn)行模塊 鑒定結(jié)果生成模塊 電子數(shù)據(jù)證據(jù)歸檔及抽取模塊 鑒定目標(biāo)描述轉(zhuǎn)換模塊 內(nèi)容 分析 模塊 數(shù)據(jù)設(shè)備來(lái)源智能分析模塊 犯罪事實(shí) 標(biāo)準(zhǔn)設(shè)備特征庫(kù) 特定軟件與操作特征庫(kù) 電子數(shù)據(jù)證據(jù) 用戶接口模塊 鑒定目標(biāo)描述轉(zhuǎn)換模塊 電子數(shù)據(jù)證據(jù)歸檔及抽取模塊 數(shù)據(jù)軟件來(lái)源智能分析模塊 地址認(rèn)定模塊 軟件虛擬運(yùn)行模塊 鑒定結(jié)果生成模塊 內(nèi)容分析模塊 模塊調(diào)用關(guān)系 鑒定目標(biāo)描述轉(zhuǎn)換模塊 犯罪事實(shí)的描述 鑒定目標(biāo) ID庫(kù) 生成鑒定目標(biāo) ID集 ID與數(shù)據(jù)類型關(guān)聯(lián)庫(kù) 電子數(shù)據(jù)證據(jù)歸檔 及抽取模塊 調(diào)用相應(yīng)分析模塊 生成應(yīng)從電子數(shù)據(jù)中 抽取的數(shù)據(jù)類型 生成應(yīng)調(diào)用的分析模塊 相關(guān)電子數(shù)據(jù)證據(jù)已知常用軟件與操作特征子庫(kù)危險(xiǎn)軟件與操作特征子庫(kù)生成軟件鑒定結(jié)果危險(xiǎn)軟件與操作特征匹配，比較吻和程度與閥值特征對(duì)比與代碼匹配調(diào)用軟件虛擬運(yùn)行模塊有匹配代碼無(wú)匹配代碼小于閥值大于閥值數(shù)據(jù)軟件來(lái)源智能分析模塊 特定軟件與操作虛擬運(yùn)行模塊 可疑代碼或程序 （ 來(lái)自上層模塊 ） 描述仿真 (代碼匯編語(yǔ)言描述 ) 數(shù)據(jù) 設(shè)備來(lái)源 數(shù)據(jù) 地址來(lái)源 環(huán)境和運(yùn)行仿真（虛擬機(jī)） 虛擬運(yùn)行 結(jié)果分析 ， 判斷與系統(tǒng)實(shí)際狀況是否吻和 對(duì)系統(tǒng)造成危害？ 寫入軟件鑒定結(jié)果 加入常用軟件與操作特征庫(kù) 否 是 是 CPU仿真 RAM 仿真 存儲(chǔ)器仿真 協(xié)議仿真 操作系統(tǒng)仿真 實(shí)用軟件仿真 電子數(shù)據(jù)證據(jù)內(nèi)容分析 電子數(shù)據(jù)證據(jù) 周邊數(shù)據(jù)等中包 含 的 URL、Email地址 可讀文件 （ txt文件、 OFFICE 文件 、EMAIL等 ） 關(guān)鍵字 字典庫(kù) 關(guān)鍵字及關(guān)聯(lián)字 可疑 URL 及Email地址庫(kù) 匹配結(jié)論 判定 周邊數(shù)據(jù)分析結(jié)論 內(nèi)容分析結(jié)論 調(diào)取URL 對(duì)應(yīng)頁(yè)面 是 否 電子數(shù)據(jù)證據(jù)歸檔及抽取模塊 文件屬性和數(shù)字摘要分析 抽取相關(guān)電子數(shù)據(jù) 應(yīng)抽取數(shù)據(jù)類型 （來(lái)自鑒定目標(biāo) 模式轉(zhuǎn)換模塊） 電子數(shù)據(jù)證據(jù)歸檔 電子數(shù)據(jù)證據(jù) 主要是指電子證據(jù)收集的法律程序上的要求 ,主要包括收集主體的要求、收集具體程序的要求以及其收集中和相關(guān)權(quán)利的沖突和協(xié)調(diào)。包括 : ? 全面收集原則 ,這主要是指在刑事訴訟中 ,既要收集對(duì)犯罪嫌疑人、被告人不利的證據(jù)也要收集對(duì)其有利的證據(jù) ,收集過(guò)程重要注重對(duì)其人權(quán)的保護(hù)。 ? 無(wú)論是何種收集方式 ,在收集時(shí)都應(yīng)當(dāng)有相關(guān)的見(jiàn)證人在場(chǎng) ,特別是記載該數(shù)據(jù)的計(jì)算機(jī)的操作員或者管理者的在場(chǎng)。許多國(guó)家禁止在收集證據(jù)是侵犯公民的人身自由和私生活秘密。 現(xiàn)階段 ， 在實(shí)踐中適用的計(jì)算機(jī)取證專用工具還比較少 ， 但我們國(guó)家也已經(jīng)開(kāi)始投入巨大的人力 、 物力從事專業(yè)工具的研發(fā) ， 相信在我們的共同努力下 ， 不久的將來(lái)我們必會(huì)締造一個(gè)更加安全 、 純凈的信息 、 網(wǎng)絡(luò)空間 ！ 。 展望 計(jì)算機(jī)取證是一門專業(yè)性與技術(shù)性很強(qiáng)又發(fā)展極其迅速的應(yīng)用學(xué)科 。這種方式如果運(yùn)用不當(dāng)就會(huì)侵犯公民的隱私權(quán)。在法院主持下的收集 ,應(yīng)當(dāng)有審判人員的主持 ,并且由兩個(gè)以上的人共同進(jìn)行 ,要對(duì)證據(jù)收集的若干情況進(jìn)行詳細(xì)的記載。 電子數(shù)據(jù)證據(jù)的法律性搜集 ? 證據(jù)的收集必須遵循法定的程序：我國(guó)刑事訴訟法第 43條就明確規(guī)定了收集證據(jù)應(yīng)當(dāng)遵循的程序 ,民事訴訟法也規(guī)定了收集證據(jù)的必須程序。 電子數(shù)據(jù)證據(jù)鑒定技術(shù) IP地址來(lái)源鑒定方法： ? 利用源路由選項(xiàng) ? 路由回溯法：沿路由逆向逐站追溯源站。amp。 Rookit 和后門 可能有 lrk5/t等 同上 查看系統(tǒng) ， 檢查入侵痕跡 ， 再檢查破壞及安裝木馬的程度 。 本機(jī)被安裝此文件時(shí) ， 可被控制對(duì)其它 目 標(biāo) 提 供 dos 功能 ， 可用lsof/ifstatus/smrsh查看文件信息 ， 以及查看網(wǎng)絡(luò)連接記錄 ， 找到攻擊源 。攻擊者機(jī)器是否在 .hoistory中存在操作記錄 ， 本機(jī)有路由轉(zhuǎn)發(fā)功能 。 受害機(jī) Iis日志存在 GET/?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801 %u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff% u0... ... 這樣一些超長(zhǎng)字符串 ， 攻擊者機(jī)器本地硬盤是否有些文件 ， 本機(jī)是否有此連接記錄如防火墻是否有記錄 ， 是否有此軟件的操作記錄 。 本地硬盤上存在 fluxay及 xeyes等幾個(gè)關(guān)鍵文件 ， 也可查看注冊(cè)表 。 受 害 機(jī) 所 存 在 對(duì) 外 服 務(wù) 如/ftp/mail/tel等服務(wù)存在幾秒內(nèi)來(lái)自同一 IP地址的連接 。 Strobe 服務(wù)與版本掃描 與目標(biāo)機(jī)建立完整對(duì)話 ， 只與服務(wù)建立短時(shí)對(duì)話 ， 取到issue后 斷開(kāi)對(duì)話 。 受害機(jī)對(duì)外提供的服務(wù)日志中存在大量來(lái)自同一 IP的連接記錄； 。 攻擊者機(jī)器上在 .history留下操作記錄 ，看到 firewall關(guān)鍵字 。 Sniffer pro 繪制網(wǎng)絡(luò)拓?fù)渑c各節(jié)點(diǎn)會(huì)話 ， 竊取共享環(huán)境下的應(yīng)用會(huì)話 本地網(wǎng)卡設(shè)為混雜模式 受害機(jī)上無(wú)特殊日志 。 Nmap 端口 、 服務(wù) 、 系統(tǒng)判斷類的掃描工具 ， 同時(shí)也可以作為 具進(jìn)行攻擊 。 工具類型 名稱 使用效果 鑒別依據(jù) 特征 掃描與信息收集 cheops 可以將攻擊目標(biāo)所在的網(wǎng)絡(luò)拓樸構(gòu)畫出來(lái) ， 包括各種服務(wù)器 、 網(wǎng)絡(luò)設(shè)備 、 客戶機(jī)操作系統(tǒng)以及各節(jié)點(diǎn)間的通訊信息 。如下例： 電子數(shù)據(jù)證據(jù)鑒定技術(shù) 被鑒定軟件 靜態(tài)特征 運(yùn)行中特征 運(yùn)行后殘留特征 MS Word 摘要特征：原始作者 、 最后保存者 、編輯時(shí)間 、 生成時(shí)間 、 修訂號(hào) 、 公司名稱 注冊(cè)特征：每個(gè)office文檔 ， 都會(huì)包含類似標(biāo)識(shí)信息如： S1521117723891512026606298429252461000 編輯文檔時(shí) ， 將證書信息如A3BDA6FB5D97F5245AE8600E717538FB6FE19AE 以及 key 信息如10371F0D906B55A54BE3AC5A833B8D3E132B466B包含到文檔中 。 現(xiàn)在，當(dāng)人們用他的私鑰簽發(fā)電子信息時(shí)，接收者可用與之相應(yīng)的公鑰核實(shí)電