【正文】 %u0003%u8b00%u531b%u53ff% u0... ... 這樣一些超長(zhǎng)字符串 ， 攻擊者機(jī)器本地硬盤是否有些文件 ， 本機(jī)是否有此連接記錄如防火墻是否有記錄 ， 是否有此軟件的操作記錄 。 Fragroute 分片攻擊工具 將正常數(shù)據(jù)包打碎分流 ， 影響 IDS的判斷能力 ， 影響防火墻的過濾控制能力 。 受害機(jī)連接大量的 cgi掃描記錄 .如這樣的記錄肯定意為著一次攻擊： GET /%0d%0a[Thu%20Nov%2044%2066:88:66%202666]%20[error]%20[client%]%20File%20does%20not%20exist:%20c:/web/ HTTP/。 Fragroute自由并不會(huì)產(chǎn)生任何記錄 ， 當(dāng)與其它工具結(jié)合使用時(shí)產(chǎn)生一些奇怪的記錄 。攻擊者機(jī)器是否在 .hoistory中存在操作記錄 ， 本機(jī)有路由轉(zhuǎn)發(fā)功能 。 Lophtcrack 密碼攻擊工具 破解 nt/2022的所有用戶口令 。 受害機(jī)在被遠(yuǎn)程窮舉密碼時(shí)存在安全記錄 。 在注冊(cè)表中存在此鍵值 Tfn 拒絕服務(wù)攻擊工具 攻擊網(wǎng)絡(luò)與系統(tǒng) 、占用正常資源 。 本機(jī)被安裝此文件時(shí) ， 可被控制對(duì)其它 目 標(biāo) 提 供 dos 功能 ， 可用lsof/ifstatus/smrsh查看文件信息 ， 以及查看網(wǎng)絡(luò)連接記錄 ， 找到攻擊源 。主要看是否有此文件 ， 本機(jī)是否受到遠(yuǎn)程操控 。 Bo2k 木馬文件 機(jī)器被人遠(yuǎn)程操縱 ，同時(shí)相似的還要查看是否有跳板程序 。 查看進(jìn)程 、 注冊(cè)表 、 啟動(dòng)環(huán)境配置文件 、 系統(tǒng)文件是否被替換等 ， 使用殺毒軟件查找 。 Rookit 和后門 可能有 lrk5/t等 同上 查看系統(tǒng) ， 檢查入侵痕跡 ， 再檢查破壞及安裝木馬的程度 。 通過ps/lsof/ifstatus/logcheck/portsentry/ids/smrsh等查找相關(guān)信息 ， 如檢查本地?zé)o主文件： find / nouser –o –nogroup –print如檢查啟動(dòng)文件的改變 ， 可以使用： !/bin/sh/ for user in $ (cat –passwd | /bin/awk –F :’length ($6) 0 {print $6}’) do for name in $ user / .* do [[ $name == $user / ..]] amp。amp。 continue [[ f $name ]] amp。amp。 print ―$name ― done done | xargs ls ltd 電子數(shù)據(jù)證據(jù)鑒定技術(shù) IP地址來源鑒定： 對(duì)于所搜集來的電子數(shù)據(jù)證據(jù)，需要對(duì)其源 IP地址進(jìn)行認(rèn)定，從而更加有效地定位犯罪。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，計(jì)算機(jī)犯罪的智能化、復(fù)雜化也在不斷提高，犯罪者往往利用 TCP/IP協(xié)議族、網(wǎng)絡(luò)操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備的某些漏洞來實(shí)施攻擊和犯罪行為。利用信任關(guān)系、遠(yuǎn)程登錄、 IP堆棧修改等方式來進(jìn)行 IP地址欺騙是進(jìn)行網(wǎng)絡(luò)犯罪的一種常用手段。 電子數(shù)據(jù)證據(jù)鑒定技術(shù) IP地址來源鑒定方法： ? 利用源路由選項(xiàng) ? 路由回溯法：沿路由逆向逐站追溯源站。傳統(tǒng) DDoS調(diào)查方法 ? 開發(fā)新取證協(xié)議：如 Recursive session token protocol used in puter forensics and TCP traceback 電子數(shù)據(jù)證據(jù)鑒定技術(shù) 內(nèi)容分析技術(shù)： ? 本電子數(shù)據(jù)主要其中包括兩種類型 ， 一種是文件系統(tǒng)中所存在的本地?cái)?shù)據(jù)或搜集來的網(wǎng)絡(luò)數(shù)據(jù) ， 另一種是周邊數(shù)據(jù)（ 如未分配的磁盤空間 、 Slack空間 、 臨時(shí)文件或交換文件 ——其中可能含有與系統(tǒng)中曾發(fā)生過的軟件的運(yùn)行 ， 特定操作的執(zhí)行 、 曾經(jīng)進(jìn)行過的 Inter瀏覽 、 Email交流等相關(guān)的信息 ） ， 而電子數(shù)據(jù)證據(jù)內(nèi)容分析技術(shù)就是在通過這兩種數(shù)據(jù)流或信息流中尋找 、 匹配關(guān)鍵詞或關(guān)鍵短語 ， 以及對(duì)數(shù)據(jù)中包含的系統(tǒng)曾進(jìn)行的 Inter訪問的 URL、 Email交流的郵件地址進(jìn)行基于模糊邏輯的分析來試圖發(fā)現(xiàn)電子證據(jù)與犯罪事實(shí)之間的客觀聯(lián)系 。 電子數(shù)據(jù)證據(jù)鑒定系統(tǒng)示例 國家十五攻關(guān)項(xiàng)目：電子數(shù)據(jù)證據(jù)鑒定技術(shù) 承擔(dān)單位：北大青鳥環(huán)宇科技股份有限公司 開 始 輸入電子數(shù)據(jù)證據(jù) 描述犯罪事實(shí) 電子數(shù)據(jù)分類歸檔 鑒定目標(biāo)描述轉(zhuǎn)換為系統(tǒng)可理解格式 抽取與鑒定目標(biāo)相關(guān)的電子數(shù)據(jù)證據(jù) 調(diào)用地址來源分析模塊 調(diào)用設(shè)備來源分析模塊 調(diào)用軟件來源分析模塊 調(diào)用內(nèi)容分析模塊 判斷需調(diào)用模塊 需鑒定設(shè)備來源 需鑒 定軟件來源 需鑒定地址來源 需鑒定設(shè)備來源 對(duì)電子數(shù)據(jù)證據(jù)進(jìn)行與犯罪事實(shí)相關(guān)的鑒定 生成鑒定結(jié)果 （ 包括根據(jù)現(xiàn)有信息不能鑒定時(shí)要求搜集進(jìn)一步相關(guān)信息 ） 結(jié)論是否確定 對(duì)結(jié)論進(jìn)行保全 ， 生成鑒定報(bào)告 要求搜集其他相關(guān)數(shù)據(jù) 結(jié) 束 其他電子證據(jù)搜集與保全系統(tǒng) 是 否 證據(jù)鑒定過程 系統(tǒng)結(jié)構(gòu)設(shè)計(jì) 用戶接口模塊 地址認(rèn)定模塊 標(biāo)準(zhǔn)設(shè)備 特征數(shù)據(jù)庫 常用軟件與 操作特征數(shù)據(jù)庫 數(shù)據(jù)設(shè)備來源 智能分析模塊 數(shù)據(jù)軟件來源 智能分析模塊 特定軟件與操作虛擬運(yùn)行模塊 鑒定結(jié)果生成模塊 電子數(shù)據(jù)證據(jù)歸檔及抽取模塊 鑒定目標(biāo)描述轉(zhuǎn)換模塊 內(nèi)容 分析 模塊 數(shù)據(jù)設(shè)備來源智能分析模塊 犯罪事實(shí) 標(biāo)準(zhǔn)設(shè)備特征庫 特定軟件與操作特征庫 電子數(shù)據(jù)證據(jù) 用戶接口模塊 鑒定目標(biāo)描述轉(zhuǎn)換模塊 電子數(shù)據(jù)證據(jù)歸檔及抽取模塊 數(shù)據(jù)軟件來源智能分析模塊 地址認(rèn)定模塊 軟件虛擬運(yùn)行模塊 鑒定結(jié)果生成模塊 內(nèi)容分析模塊 模塊調(diào)用關(guān)系 鑒定目標(biāo)描述轉(zhuǎn)換模塊 犯罪事實(shí)的描述 鑒定目標(biāo) ID庫 生成鑒定目標(biāo) ID集 ID與數(shù)據(jù)類型關(guān)聯(lián)庫 電子數(shù)據(jù)證據(jù)歸檔 及抽取模塊 調(diào)用相應(yīng)分析模塊 生成應(yīng)從電子數(shù)據(jù)中 抽取的數(shù)據(jù)類型 生成應(yīng)調(diào)用的分析模塊 相關(guān)電子數(shù)據(jù)證據(jù)已知常用軟件與操作特征子庫危險(xiǎn)軟件與操作特征子庫生成軟件鑒定結(jié)果危險(xiǎn)軟件與操作特征匹配，比較吻和程度與閥值特征對(duì)比與代碼匹配調(diào)用軟件虛擬運(yùn)行模塊有匹配代碼無匹配代碼小于閥值大于閥值數(shù)據(jù)軟件來源智能分析模塊 特定軟件與操作虛擬運(yùn)行模塊 可疑代碼或程序 （ 來自上層模塊 ） 描述仿真 (代碼匯編語言描述 ) 數(shù)據(jù) 設(shè)備來源 數(shù)據(jù) 地址來源 環(huán)境和運(yùn)行仿真（虛擬機(jī)） 虛擬運(yùn)行 結(jié)果分析 ， 判斷與系統(tǒng)實(shí)際狀況是否吻和 對(duì)系統(tǒng)造成危害？ 寫入軟件鑒定結(jié)果 加入常用軟件與操作特征庫 否 是 是 CPU仿真 RAM 仿真 存儲(chǔ)器仿真 協(xié)議仿真 操作系統(tǒng)仿真 實(shí)用軟件仿真 電子數(shù)據(jù)證據(jù)內(nèi)容分析 電子數(shù)據(jù)證據(jù) 周邊數(shù)據(jù)等中包 含 的 URL、Email地址 可讀文件 （ txt文件、 OFFICE 文件 、EMAIL等 ） 關(guān)鍵字 字典庫 關(guān)鍵字及關(guān)聯(lián)字 可疑 URL 及Email地址庫 匹配結(jié)論 判定 周邊數(shù)據(jù)分析結(jié)論 內(nèi)容分析結(jié)論 調(diào)取URL 對(duì)應(yīng)頁面 是 否 電子數(shù)據(jù)證據(jù)歸檔及抽取模塊 文件屬性和數(shù)字摘要分析 抽取相關(guān)電子數(shù)據(jù) 應(yīng)抽取數(shù)據(jù)類型 （來自鑒定目標(biāo) 模式轉(zhuǎn)換模塊） 電子數(shù)據(jù)證據(jù)歸檔 電子數(shù)據(jù)證據(jù) 主要是指電子證據(jù)收集的法律程序上的要求 ,主要包括收集主體的要求、收集具體程序的要求以及其收集中和相關(guān)權(quán)利的沖突和協(xié)調(diào)。 ? 由于電子證據(jù)的不穩(wěn)定性和易更改性 ,為收集者作假和隨意變更提供了可能 ,因此對(duì)于電子證據(jù)的收集的主體應(yīng)當(dāng)嚴(yán)格限定。 電子數(shù)據(jù)證據(jù)的法律性搜集 ? 證據(jù)的收集必須遵循法定的程序：我國刑事訴訟法第 43條就明確規(guī)定了收集證據(jù)應(yīng)當(dāng)遵循的程序 ,民事訴訟法也規(guī)定了收集證據(jù)的必須程序。由于電子證據(jù)的特殊性 ,所以在電子證據(jù)的收集過程中既應(yīng)當(dāng)遵循一般證據(jù)的收集的規(guī)則 ,又應(yīng)當(dāng)遵循其特有的規(guī)則。包括 : ? 全面收集原則 ,這主要是指在刑事訴訟中 ,既要收集對(duì)犯罪嫌疑人、被告人不利的證據(jù)也要收集對(duì)其有利的證據(jù) ,收集過程重要注重對(duì)其人權(quán)的保護(hù)。 ? 民事訴訟中電子證據(jù)的收集的程序要求分為法院主持下的收集和當(dāng)事人的收集。在法院主持下的收集 ,應(yīng)當(dāng)有審判人員的主持 ,并且由兩個(gè)以上的人共同進(jìn)行 ,要對(duì)證據(jù)收集的若干情況進(jìn)行詳細(xì)的記載。在當(dāng)事人個(gè)人收集電子證據(jù)時(shí) ,應(yīng)當(dāng)有特定的國家機(jī)關(guān) ,主要是公證機(jī)關(guān)對(duì)其收集過程、以及所收集證據(jù)的真實(shí)程度進(jìn)行見證或者公證。 ? 無論是何種收集方式 ,在收集時(shí)都應(yīng)當(dāng)有相關(guān)的見證人在場(chǎng) ,特別是記載該數(shù)據(jù)的計(jì)算機(jī)的操作員或者管理者的在場(chǎng)。 在電子證據(jù)的收集過程中 ,要注意電子證據(jù)的收集和相關(guān)人的隱私權(quán)之間的沖突問題的解決 ,這類問題主要發(fā)生在國家機(jī)關(guān)收集電子證據(jù)的過程中 在一般情形下 ,電子證據(jù)的收集和提取主要是對(duì)在計(jì)算機(jī)的數(shù)據(jù)處理系統(tǒng)中已經(jīng)存儲(chǔ)或者處理的數(shù)據(jù) ,但是許多情形下 ,電子數(shù)據(jù)并不是現(xiàn)成的 ,而這種時(shí)候往往會(huì)采取對(duì)電子郵件、電子通訊等的監(jiān)聽和竊聽的方式來取得證據(jù)。這種方式如果運(yùn)用不當(dāng)就會(huì)侵犯公民的隱私權(quán)。這種問題也逐漸受到各國的重視 ,因?yàn)閲覚C(jī)關(guān)的調(diào)查權(quán)和個(gè)人的隱私權(quán)方面的價(jià)值選擇 ,關(guān)系到公眾的安全感和公民個(gè)人的人格尊嚴(yán)。許多國家禁止在收集證據(jù)是侵犯公民的人身自由和私生活秘密。但是隨著近年來計(jì)算機(jī)犯罪的增加以及電子證據(jù)的取證上的難度 ,各國在價(jià)值選擇上也有了變化 ,對(duì)在收集證據(jù)中侵犯隱私的行為加以了明確的規(guī)定 ,并不籠統(tǒng)的認(rèn)為只要是在取證中涉及到個(gè)人隱私問題都會(huì)產(chǎn)生侵犯隱私的行為。 展望 計(jì)算機(jī)取證是一門專業(yè)性與技術(shù)性很強(qiáng)又發(fā)展極其迅速的應(yīng)用學(xué)科 。 隨著我國信息產(chǎn)業(yè)的迅猛發(fā)展 ， 計(jì)算機(jī)取證的應(yīng)用日益拓展 ， 同時(shí)也對(duì)計(jì)算機(jī)取證人員提取了巨大的挑戰(zhàn) 。 現(xiàn)階段 ， 在實(shí)踐中適用的計(jì)算機(jī)取證專用工具還比較少 ， 但我們國家也已經(jīng)開始投入巨大的人力 、 物力從事專業(yè)工具的研發(fā) ， 相信在我們的共同努力下 ， 不久的將來我們必會(huì)締造一個(gè)更加安全 、 純凈的信息 、 網(wǎng)絡(luò)空間 ！