【正文】 國(guó)家規(guī)定 ,侵入國(guó)有事務(wù)、國(guó)防建設(shè)、尖端科學(xué)技術(shù)領(lǐng)域的計(jì)算機(jī)信息系統(tǒng)的 ,處三年以下有期徒刑或者拘役。 ? 故意對(duì)計(jì)算機(jī)信息系統(tǒng)中存儲(chǔ)處理或者傳輸?shù)臄?shù)據(jù)和應(yīng)用程序進(jìn)行刪除、修改、增加的操作 ,后果嚴(yán)重的行為 。 如盜竊電子資金 ,不法分子往往利用電子資金過戶系統(tǒng) ,例如定點(diǎn)銷售系統(tǒng) (ＰＯＳＳ )、自動(dòng)存取款機(jī) (ＡＴＭＳ )自動(dòng)化票據(jù)交換所 (ＡＣＨＳ )、電子身份證系統(tǒng)等提供的便利 ,使用計(jì)算機(jī)技術(shù)通過網(wǎng)絡(luò)修改電子資金帳目 ,竊取電子資金。這種方法很像偷吃香腸一樣 ,每次偷吃一小片并不引起人們的注意 ,但是日積月累的數(shù)目也是相當(dāng)可觀。它是表面上來看是正常合適的 ,但在內(nèi)部卻隱藏秘密指令和非法程序段的程序的代名詞。單用戶環(huán)境多為內(nèi)部人員所為 ,網(wǎng)絡(luò)系統(tǒng)則可能為非法滲透。 計(jì)算機(jī)犯罪的形式 ? 邏輯炸彈 指插入用戶程序中的一些異常指令編碼 ,該代碼在特定時(shí)刻或特定條件下執(zhí)行破壞作用 ,所以稱為邏輯炸彈或定時(shí)炸彈。 計(jì)算機(jī)取證（電子取證）定義 綜合： 計(jì)算機(jī)取證是指對(duì)能夠?yàn)榉ㄍソ邮艿摹⒆銐蚩煽亢陀姓f服性的，存在于計(jì)算機(jī)和相關(guān)外設(shè)中的電子證據(jù)的確認(rèn)、保護(hù)、提取和歸檔的過程。 NTI公司的 GetFree可從活動(dòng)的 Windows Swap分區(qū)中恢復(fù)數(shù)據(jù) ， 該公司的軟件 GetSlack可自動(dòng)搜集系統(tǒng)中的文件碎片并將其寫入一個(gè)統(tǒng)一的文件 。 該軟件使用人工智能中的模式識(shí)別技術(shù) ， 分析 Slack磁盤空間 、 未分配磁盤空間 、 自由空間中所包含的信息 ， 研究交換文件 、 緩存文件 、 臨時(shí)文件及網(wǎng)絡(luò)流動(dòng)數(shù)據(jù)， 從而發(fā)現(xiàn)系統(tǒng)中曾發(fā)生過的 Email交流 、Inter瀏覽及文件上傳下載等活動(dòng) ， 提取出與生物 、 化學(xué) 、 核武器等恐怖襲擊 、 炸彈制造及性犯罪等相關(guān)的內(nèi)容 。 但目前還沒有能夠全面鑒定電子數(shù)據(jù)證據(jù)設(shè)備來源 、 地址來源、 軟件來源的工具 。 計(jì)算機(jī)取證的主要原則 盡早搜集證據(jù) ， 并保證其沒有受到任何破壞 必須保證 “ 證據(jù)連續(xù)性 ” （ 有時(shí)也被稱為 “ chain of custody‖） ， 即在證據(jù)被正式提交給法庭時(shí) ， 必須能夠說明在證據(jù)從最初的獲取狀態(tài)到在法庭上出現(xiàn)狀態(tài)之間的任何變化 ， 當(dāng)然最好是沒有任何變化 。包括現(xiàn)存的正常文件，已經(jīng)被刪除但仍存在于磁盤上（即還沒有被新文件覆蓋）的文件，隱藏文件，受到密碼保護(hù)的文件和加密文件。 計(jì)算機(jī)取證的基本步驟 ? 分析在磁盤的特殊區(qū)域中發(fā)現(xiàn)的所有相關(guān)數(shù)據(jù)。 ? 給出必需的專家證明。 數(shù)據(jù)獲取技術(shù)包括： ? 對(duì)計(jì)算機(jī)系統(tǒng)和文件的安全獲取技術(shù)，避免對(duì)原始介質(zhì)進(jìn)行任何破壞和干擾； ? 對(duì)數(shù)據(jù)和軟件的安全搜集技術(shù)；對(duì)磁盤或其它存儲(chǔ)介質(zhì)的安全無損傷備份技術(shù)； ? 對(duì)已刪除文件的恢復(fù)、重建技術(shù)； 計(jì)算機(jī)取證相關(guān)技術(shù) 數(shù)據(jù)獲取技術(shù)包括： ? 對(duì)磁盤空間、未分配空間和自由空間中包含的信息的發(fā)掘技術(shù)； ? 對(duì)交換文件、緩存文件、臨時(shí)文件中包含的信息的復(fù)原技術(shù)； ? 計(jì)算機(jī)在某一特定時(shí)刻活動(dòng)內(nèi)存中的數(shù)據(jù)的搜集技術(shù)； ? 網(wǎng)絡(luò)流動(dòng)數(shù)據(jù)的獲取技術(shù)等。（如 Recursive session token protocol used in puter forensics and TCP traceback） ? 取證工具的開發(fā)往往結(jié)合人工智能、機(jī)器學(xué)習(xí)、神經(jīng)網(wǎng)絡(luò)和數(shù)據(jù)挖掘技術(shù)。當(dāng)我們從磁盤上刪除一個(gè)文件（并從 Windows提供的回收站中清除，下同）后，該文件在目錄入口中的信息就被清除了，在 FAT表中記錄的該文件所占用的扇區(qū)也被標(biāo)識(shí)為空閑，但其實(shí)這時(shí)保存在磁盤上的實(shí)際數(shù)據(jù)并未被真正清除；只有當(dāng)其他文件寫入，有可能使用該文件占用的扇區(qū)時(shí)（因?yàn)樗鼈円驯粯?biāo)識(shí)為空閑），該文件才會(huì)被真正覆蓋掉。特別注意的是，千萬不要在發(fā)現(xiàn)文件丟失后，在 本機(jī)安裝什么恢復(fù)工具，你可能恰恰把文件覆蓋掉了。不過一般的說，文件如果 字節(jié)正常，不能正常打開往往是文件頭損壞。 ?DBF文件死機(jī)后無法打開 典型的文件頭中的記錄數(shù)與實(shí)際不匹配了，把文件頭中 的記錄數(shù)向下調(diào)整。 ? 有些軟件是有后門的，比 如 DOS 下的 WPS，Ctrl+qiubojun就是通用密碼。如果新接上的硬盤也不被接受，一個(gè)常見的原因就是硬盤上的主從跳線，如果一條 IDE硬盤線上接兩個(gè)硬盤設(shè)備，就要分清楚主從關(guān)系。比如 CMOS中的硬盤類型小于實(shí)際的硬盤容量，則硬盤后面的扇區(qū)將無法讀寫，如果是多分區(qū)狀態(tài)則個(gè)別分區(qū)將丟失。修復(fù)此故障的方法較為簡(jiǎn)單，使用高版本 DOS的 FDISK最為方便，當(dāng)帶參數(shù) /mbr運(yùn)行時(shí)，將直接更換 (重寫 )硬盤的主引導(dǎo)程序。如果是沒有活動(dòng)分區(qū)標(biāo)志，則計(jì)算機(jī)無法啟動(dòng)。很多人利用此類型值實(shí)現(xiàn)單個(gè)分區(qū)的加密技術(shù)，恢復(fù)原來的正確類型值即可使該分區(qū)恢復(fù)正常。當(dāng)然也可采用 DEBUG進(jìn)行操作，但操作繁瑣并且具有一定的風(fēng)險(xiǎn)。另外，當(dāng) DOS引導(dǎo)扇區(qū)無引導(dǎo)標(biāo)志時(shí)，系統(tǒng)啟動(dòng)將顯示為： “ Mmissing Operating System‖。在 Windows 95攜帶的DOS系統(tǒng)中， ，是啟動(dòng) Windows必須的文件，但只啟動(dòng) DOS時(shí)可不用此文件。慶幸的是 DOS系統(tǒng)本身提供了兩個(gè) FAT表，如果目前使用的 FAT表損壞，可用第二個(gè)進(jìn)行覆蓋修復(fù)。如果是文本文件則可從中提取出完整的或部分的文件內(nèi)容。 電子數(shù)據(jù)證據(jù)的獲取－技術(shù)性采集 其余數(shù)據(jù)恢復(fù)策略： ? 格式化后硬盤數(shù)據(jù)的恢復(fù) 在 DOS高版本狀態(tài)下， FORMAT格式化操作在缺省狀態(tài)下都建立了用于恢復(fù)格式化的磁盤信息，實(shí)際上是把磁盤的 DOS引導(dǎo)扇區(qū)、 FAT分區(qū)表及目錄表的所有內(nèi)容復(fù)制到了磁盤的最后幾個(gè)扇區(qū)中 (因?yàn)楹竺娴纳葏^(qū)很少使用 )，而數(shù)據(jù)區(qū)中的內(nèi)容根本沒有改變。 電子數(shù)據(jù)證據(jù)保全技術(shù) ? 數(shù)據(jù)加密技術(shù)： ?加密就是把數(shù)據(jù)和信息轉(zhuǎn)換為不可辯識(shí)的密文的過程，使不應(yīng)了解該數(shù)據(jù)和信息的人不能夠識(shí)別，欲知密文的內(nèi)容，需將其轉(zhuǎn)換為明文，這就是解密過程。例如： 電子數(shù)據(jù)證據(jù)保全技術(shù) 傳統(tǒng)加密方法： ? 替換加密 一組字母，例如下面的一組字母之間的對(duì)應(yīng)關(guān)系就構(gòu)成了一個(gè)替換加密器。 電子數(shù)據(jù)證據(jù)保全技術(shù) 基于公鑰的加密算法： ? RSA ? PHP 電子數(shù)據(jù)證據(jù)保全技術(shù) 數(shù)字摘要技術(shù)： 數(shù)字摘要技術(shù)（ Digital Digest） 也稱作為安全 HASH編碼法（ SHA： Secure Hash Algorithm）。對(duì)于相同的數(shù)據(jù)信息進(jìn)行 HASH后，總是能得到同樣的摘要；如果數(shù)據(jù)信息被修改，進(jìn)行 Hash后，其摘要必定與先前不同 因此，數(shù)字簽名一般是結(jié)合了數(shù)字摘要技術(shù)和公開密鑰算法共同使用 電子數(shù)據(jù)證據(jù)保全技術(shù) 實(shí)現(xiàn)數(shù)學(xué)簽名的過程： 簽名信息 1. 對(duì)信息 M進(jìn)行 HASH函數(shù)處理，生成摘要 H 2. 用你的（發(fā)送者的）私鑰加密 H來獲取數(shù)字簽名 S 3. 發(fā)送 {M, S} 驗(yàn)證簽名信息 1. 接受 {M, S} 并區(qū)分開它們 2. 對(duì)接收到的信息 M進(jìn)行 HASH函數(shù)處理，生成摘要 H* 3. 取得發(fā)送者的公鑰 4. 用公鑰解密 S， 來獲取 H 5. 比較 H和 H*， 如果 H和 H*是一樣的，即說明信息在發(fā)送過程中沒有被篡改。這一驗(yàn)證過程說明信息發(fā)送者確實(shí)擁有相應(yīng)的私人密鑰，但這并不能說明發(fā)送者是合法的。數(shù)字證書是一些電子信息，它將公鑰與其所有者的個(gè)人詳細(xì)資料（諸如姓名、地址）聯(lián)系起來。其他人因此便可以信任這些證書了，因?yàn)檫@是由他們所信任的 CA簽署的。 ? 鑒定時(shí)要考慮各種軟件運(yùn)行的動(dòng)態(tài)特性。 電子數(shù)據(jù)證據(jù)鑒定技術(shù) 軟件來源鑒定： 在主機(jī)或網(wǎng)絡(luò)中的有害代碼與操作具有某些特點(diǎn)，如，為非授權(quán)用戶在系統(tǒng)中制造一些后門：放寬文件許可權(quán)、重新開放不安全的服務(wù)（如 REXD、 TFTP等）、修改系統(tǒng)的配置（如系統(tǒng)啟動(dòng)文件、網(wǎng)絡(luò)服務(wù)配置文件）、替換系統(tǒng)本身的共享庫(kù)文件、修改系統(tǒng)的源代碼、安裝特洛伊木馬、安裝 sniffers、 建立隱藏通道；或是采取各種方法來清除操作痕跡：篡改日志文件中的審計(jì)信息、改變系統(tǒng)時(shí)間造成日志文件數(shù)據(jù)紊亂以迷惑系統(tǒng)管理員、刪除或停止審計(jì)服務(wù)進(jìn)程。 攻擊者機(jī)器上在 .history留下操作記錄 ，讀取此文件可看到 cheops關(guān)鍵字 。 攻擊者機(jī)器上在 .history文件中留下操作記錄 ， 看到 nmap關(guān)鍵字 ， 對(duì)于 windows機(jī)器 ， 可在 ”程序 ” －＞ ” 文檔 ” 中留下記錄 。 只能針對(duì)過濾防火墻進(jìn)行攻擊 ，對(duì)代理無效 ， 攻擊時(shí)存在一些ICMP 包的超時(shí)錯(cuò)誤 防火墻日志中留下大量被拒絕的連接 ， 防火墻日志功能沒打開 ，則沒有記錄 ， 具體記錄格式與各防火墻的日志系統(tǒng)有關(guān) 。 占用網(wǎng)絡(luò)資源 、系統(tǒng)資源 ， 暴力式掃描容易被IDS系統(tǒng)察覺 。/ usr/local/share 下 有 大 量*.nasl文件 。 Supper scan 最快的掃描工具 占用大量網(wǎng)絡(luò) 、 系統(tǒng)資源 。 受 害 機(jī) 所 存 在 對(duì) 外 服 務(wù) 如/ftp/mail/tel等服務(wù)存在幾秒內(nèi)來自同一 IP地址的連接 。 攻擊工具 Iishack Iis遠(yuǎn)程漏洞利用 ，取得遠(yuǎn)程 執(zhí) 行 權(quán)限 導(dǎo)致目標(biāo)機(jī)綬沖區(qū)溢出 ， 產(chǎn)生新的端口 ， 可遠(yuǎn)程執(zhí)行 。 Fragroute自由并不會(huì)產(chǎn)生任何記錄 ， 當(dāng)與其它工具結(jié)合使用時(shí)產(chǎn)生一些奇怪的記錄 。 在注冊(cè)表中存在此鍵值 Tfn 拒絕服務(wù)攻擊工具 攻擊網(wǎng)絡(luò)與系統(tǒng) 、占用正常資源 。 查看進(jìn)程 、 注冊(cè)表 、 啟動(dòng)環(huán)境配置文件 、 系統(tǒng)文件是否被替換等 ， 使用殺毒軟件查找 。 continue [[ f $name ]] amp。利用信任關(guān)系、遠(yuǎn)程登錄、 IP堆棧修改等方式來進(jìn)行 IP地址欺騙是進(jìn)行網(wǎng)絡(luò)犯罪的一種常用手段。 ? 由于電子證據(jù)的不穩(wěn)定性和易更改性 ,為收集者作假和隨意變更提供了可能 ,因此對(duì)于電子證據(jù)的收集的主體應(yīng)當(dāng)嚴(yán)格限定。 ? 民事訴訟中電子證據(jù)的收集的程序要求分為法院主持下的收集和當(dāng)事人的收集。 在電子證據(jù)的收集過程中 ,要注意電子證據(jù)的收集和相關(guān)人的隱私權(quán)之間的沖突問題的解決 ,這類問題主要發(fā)生在國(guó)家機(jī)關(guān)收集電子證據(jù)的過程中 在一般情形下 ,電子證據(jù)的收集和提取主要是對(duì)在計(jì)算機(jī)的數(shù)據(jù)處理系統(tǒng)中已經(jīng)存儲(chǔ)或者處理的數(shù)據(jù) ,但是許多情形下 ,電子數(shù)據(jù)并不是現(xiàn)成的 ,而這種時(shí)候往往會(huì)采取對(duì)電子郵件、電子通訊等的監(jiān)聽和竊聽的方式來取得證據(jù)。但是隨著近年來計(jì)算機(jī)犯罪的增加以及電子證據(jù)的取證上的難度 ,各國(guó)在價(jià)值選擇上也有了變化 ,對(duì)在收集證據(jù)中侵犯隱私的行為加以了明確的規(guī)定 ,并不籠統(tǒng)的認(rèn)為只要是在取證中涉及到個(gè)人隱私問題都會(huì)產(chǎn)生侵犯隱