【正文】 le)進(jìn)行分 析．如 NTI的IPFiIter可動(dòng)態(tài)獲取交換文件進(jìn)行分析。系統(tǒng)關(guān)閉后．交換文件就被刪除 恢復(fù)工具軟件如 GetFree可獲取交換文件和未分配空間 (Unal located Space)或刪除文件 (Erased Fi les)。 Fi le Slack是指從文件尾到分配給這個(gè)文件的簇尾的空白空間． GetSlack可獲取 File Slack并自動(dòng)生成一個(gè)或多個(gè)文件。同時(shí)這些分析工具對(duì) FIle Slack文件 未分配文件、刪除文件可進(jìn)行關(guān)鍵詞檢索 能夠識(shí)別有關(guān)Inter活動(dòng)的文字、電話號(hào)碼、信用卡號(hào)、身份證號(hào)、 網(wǎng)絡(luò)登錄及密碼等關(guān)鍵詞。 日志的反清除技術(shù) 對(duì)于 Unix系統(tǒng)．可能需要查看／ etc／ syslog conf文件確定日志信息文件在哪些位置。 NT通常使用 3個(gè)日志文件記錄所有的事件 每個(gè)事件都會(huì)被記錄到其中的一個(gè)文件有的 NT事件 每個(gè) NT事件都會(huì)被記錄到其中的一個(gè)文件中 使用 Event Viewer查看日志文件。其他一些 NT應(yīng)用程序可能會(huì)把自己的日志放到其他的地方．例如 ISS服務(wù)器默認(rèn)的日志目錄是 C：＼＼ Winnt＼ system32＼ Iogfile。但是 一旦攻擊者獲得了權(quán)限 他們就可以輕易地破壞或刪除操作 系統(tǒng)所保存的日志記錄．從而掩蓋他們留下的痕跡 在實(shí)際中可以考慮使用安全的日志系統(tǒng)和第三方日志工具來(lái)對(duì)抗日志的清除問(wèn)題。 日志分析技術(shù) 可分析 CUP時(shí)段負(fù)荷 用戶使用習(xí)慣 IP來(lái)源、惡意訪問(wèn)提示等．系統(tǒng)的日志數(shù)據(jù)還能夠提供一些有用的源地址信息。系統(tǒng)日志數(shù)據(jù)包括系統(tǒng)審計(jì)數(shù)據(jù)、防火墻日志數(shù)據(jù)、來(lái)自監(jiān)視器或入侵檢測(cè)工具的數(shù)據(jù)等。這些日志一般都包括以下信息：訪問(wèn)開(kāi)始和結(jié)束的時(shí)間、被訪問(wèn)的端口、執(zhí)行的任務(wù)名或命令名 改變權(quán)限的嘗試 被訪問(wèn)的文件等。 通過(guò)手工或使用日志分析工具如： NetTracker、 LogSurfer、 NetIog和 Analog等。對(duì)日志進(jìn)行分析．以得到攻擊的蛛絲馬跡。應(yīng)用系統(tǒng)也有相應(yīng)的日志分析工具。目前常用的 Web Server有 Apache Netscape enterprise server MS IIS等．其日志記錄不同．相應(yīng)的分析工具也不同．如常用的有 webt rendsTools FW LogQry Tcpreplay、 Tcpshow、 Swatch等。 取證數(shù)據(jù)傳輸時(shí)的傳輸安全技術(shù) 將所記錄的數(shù)據(jù)從目標(biāo)機(jī)器安全地轉(zhuǎn)移到取證分析機(jī)上．由于網(wǎng)絡(luò)取證的整個(gè)過(guò)程必須具有不可篡改性．因此 數(shù)據(jù) 在傳輸過(guò)程中要提高對(duì)遠(yuǎn)程數(shù)據(jù)傳輸?shù)谋Ｃ苄裕苊庠趥鬏斖局性馐芊欠ǜ`取?？刹捎眉用芗夹g(shù) 如 IP加密 SSL加密等協(xié)議標(biāo)準(zhǔn)．保證數(shù)據(jù)的安全傳輸．另外．通過(guò)使用消息鑒別編碼 (MAC)可保證數(shù)據(jù)在傳輸過(guò)程中的完整性。 存儲(chǔ)設(shè)備上所有數(shù)據(jù)的完整性檢測(cè)技術(shù) 文件完整性檢查系統(tǒng)保存有每個(gè)文件的數(shù)字文摘數(shù)據(jù)庫(kù)．每次檢查時(shí)．它重新計(jì)算文件的數(shù)字文摘并將它與數(shù)據(jù)庫(kù)中的值相比較。如不同．則文件已被修改：若相同．文件則未發(fā)生變化 文件的數(shù)字文摘通過(guò) Hash函數(shù)計(jì)算得到 不管文件長(zhǎng)度如何．它的函數(shù)計(jì)算結(jié)果是一個(gè)固定長(zhǎng)度的數(shù)字。采 用安全性高的 Hash算法．如MD SHA時(shí)．兩個(gè)不同的文件不可能得到相同的 Hash結(jié)果 從而．當(dāng)文件一被修改 就 可檢測(cè)出來(lái)。 網(wǎng)絡(luò)數(shù)據(jù)包截獲和分析技術(shù) 利用 TcpDump／ WinDump或 SNORT之類的工具來(lái)捕獲并分析網(wǎng)絡(luò)數(shù)據(jù)包．可得到源地址和攻擊的類型和方法。一些 網(wǎng)絡(luò)命令可用來(lái)獲得有關(guān)攻擊的信息．如stat、 nslookup、 whois、 ping、 traceroute等命令來(lái)收集信息．了解網(wǎng)絡(luò)通信的大致情況。 入侵追蹤技術(shù) 入侵追蹤是指給定一系列的主機(jī) H1， H2?? Hn(n2)當(dāng)攻擊 者順序從 Hi連接到 Hi+1(i= 1， 2， 3?? n一 1)．稱 H1， H2，?? Hn為一個(gè)連接鏈，追蹤的任務(wù)就是給定 Hn，要找出 Hn1． ． H1的部分或全部。 入侵追蹤方法可分為四類：基于主機(jī)的方法依靠每一臺(tái)主機(jī)收集的信息實(shí)施追蹤?；诰W(wǎng)絡(luò)的方法依靠網(wǎng)絡(luò)連接本身的特性 (連接鏈中應(yīng)用層的內(nèi)容不變 )實(shí)施追蹤。被動(dòng)式的入侵追蹤方法采取監(jiān)視和比較網(wǎng)絡(luò)通信流量來(lái)追蹤．而主動(dòng)式的方法通過(guò)定制數(shù)據(jù)包處理過(guò)程．動(dòng)態(tài)控制和確定同一連接鏈中的連接。實(shí)際中的入侵追蹤方法有 DIDS， CIS， Cal1erID， Thumbprint ， Timing based等。 IP地理位置調(diào)查技術(shù) 通過(guò)建立一個(gè) IP地址對(duì)應(yīng)的可能的地理位置的數(shù)據(jù)庫(kù)，幫助加快 lP地址的調(diào)查。如某些 IP地址網(wǎng)段來(lái)自于什么地方．什么組織 (大學(xué) )等。可以通過(guò) nslookup，tracert． whois等工具得到一些關(guān)于地理位置的信息．如電話．域名．可將這些信息分析后存入數(shù)據(jù)庫(kù)中。現(xiàn)有的工具如 Visual RouteSam Spade可以幫助建立這個(gè)數(shù)據(jù)庫(kù)。 1其他方面的技術(shù) 如動(dòng)態(tài)內(nèi)存獲取技術(shù)．基于 Honeypot／ Honey的取證系統(tǒng)．基于入侵檢測(cè)系統(tǒng)的取證系統(tǒng)．信息隱藏的取證發(fā)現(xiàn)和分析技術(shù)，逆向工程取證分析技術(shù)．密碼分析技術(shù)．證據(jù)間的關(guān)聯(lián)分析技術(shù)等。 四 、 結(jié)束語(yǔ) 在網(wǎng)絡(luò)經(jīng)濟(jì)的環(huán)境下，審計(jì) 、取證 模式的改變，不再是簡(jiǎn)單的修補(bǔ)和完善，而是一次深刻的革命，這也充分體現(xiàn)出網(wǎng)絡(luò)經(jīng)濟(jì)的特征。網(wǎng)絡(luò)審計(jì) 、取證 模式的構(gòu)建，在審計(jì) 與取證 處理的智能化、實(shí)時(shí)化和法制化等方面，對(duì)審計(jì) 與取證 發(fā)展具有不可低估的拉動(dòng)作用，將會(huì)成為傳統(tǒng)審計(jì) 與取證 模式的重塑者，同時(shí)也為傳統(tǒng)審計(jì) 與取證 模式的退出創(chuàng)造了條件。 網(wǎng)絡(luò)時(shí)代在向我們走來(lái) ,然而它帶給我們的不僅是鮮花和蛋糕 ,更有與之伴生的沼澤和險(xiǎn)灘 。我們只有掌握了高超的駕馭技能 ,才能使網(wǎng)絡(luò)金融活動(dòng)更穩(wěn)、更快地向前發(fā)展。 參考文獻(xiàn)： [1]許寶強(qiáng)．“網(wǎng)絡(luò)審計(jì)的現(xiàn)狀及發(fā)展對(duì)策”．中國(guó)內(nèi)部審計(jì)． 2021， (1)． [2]賈俊耀，王建發(fā)．“論網(wǎng)絡(luò)審計(jì)面臨的問(wèn)題及對(duì)策”．山西財(cái)政稅務(wù)?？茖W(xué)校學(xué)報(bào)． 2021， (4)． [3]謝京華．“會(huì)計(jì)信息化下的審計(jì)問(wèn)題”．審計(jì)與理財(cái)． 2021， (5)． [4]董剛毅．網(wǎng)絡(luò)審計(jì)的風(fēng)險(xiǎn)與控制 [J]．審計(jì)理論與實(shí)踐， 2021(9)． [5]楊玉明．淺談網(wǎng)絡(luò)審計(jì)應(yīng)注意的問(wèn)題 [J]．山東審計(jì)， 2021(4)． [6] (英 )ROSS J． ANDERSON． Secu6ty Engineering： A Guide toBuilding Dependable Distributed Systems[M]．機(jī)械工業(yè)出版社， 2021． [7] (美 )WILLIAM STALLINGS． Network Security Essentials： Applicafions and Stardards[M]．機(jī)械工業(yè)出版社． 2021 [8](美 )Mandy [M].楊濤 ,李明 ,譯 .北京 :機(jī)械工業(yè)出版社 ,2021 [9]王繼梅 ,金連甫 .Web 服務(wù)安全問(wèn)題研究和解決 .計(jì)算機(jī)應(yīng)用與軟件 ,2021,21(2):9193