【正文】 隨著我國信息產(chǎn)業(yè)的迅猛發(fā)展 ， 計(jì)算機(jī)取證的應(yīng)用日益拓展 ， 同時(shí)也對計(jì)算機(jī)取證人員提取了巨大的挑戰(zhàn) 。這種問題也逐漸受到各國的重視 ,因?yàn)閲覚C(jī)關(guān)的調(diào)查權(quán)和個(gè)人的隱私權(quán)方面的價(jià)值選擇 ,關(guān)系到公眾的安全感和公民個(gè)人的人格尊嚴(yán)。在當(dāng)事人個(gè)人收集電子證據(jù)時(shí) ,應(yīng)當(dāng)有特定的國家機(jī)關(guān) ,主要是公證機(jī)關(guān)對其收集過程、以及所收集證據(jù)的真實(shí)程度進(jìn)行見證或者公證。由于電子證據(jù)的特殊性 ,所以在電子證據(jù)的收集過程中既應(yīng)當(dāng)遵循一般證據(jù)的收集的規(guī)則 ,又應(yīng)當(dāng)遵循其特有的規(guī)則。傳統(tǒng) DDoS調(diào)查方法 ? 開發(fā)新取證協(xié)議：如 Recursive session token protocol used in puter forensics and TCP traceback 電子數(shù)據(jù)證據(jù)鑒定技術(shù) 內(nèi)容分析技術(shù)： ? 本電子數(shù)據(jù)主要其中包括兩種類型 ， 一種是文件系統(tǒng)中所存在的本地?cái)?shù)據(jù)或搜集來的網(wǎng)絡(luò)數(shù)據(jù) ， 另一種是周邊數(shù)據(jù)（ 如未分配的磁盤空間 、 Slack空間 、 臨時(shí)文件或交換文件 ——其中可能含有與系統(tǒng)中曾發(fā)生過的軟件的運(yùn)行 ， 特定操作的執(zhí)行 、 曾經(jīng)進(jìn)行過的 Inter瀏覽 、 Email交流等相關(guān)的信息 ） ， 而電子數(shù)據(jù)證據(jù)內(nèi)容分析技術(shù)就是在通過這兩種數(shù)據(jù)流或信息流中尋找 、 匹配關(guān)鍵詞或關(guān)鍵短語 ， 以及對數(shù)據(jù)中包含的系統(tǒng)曾進(jìn)行的 Inter訪問的 URL、 Email交流的郵件地址進(jìn)行基于模糊邏輯的分析來試圖發(fā)現(xiàn)電子證據(jù)與犯罪事實(shí)之間的客觀聯(lián)系 。 print ―$name ― done done | xargs ls ltd 電子數(shù)據(jù)證據(jù)鑒定技術(shù) IP地址來源鑒定： 對于所搜集來的電子數(shù)據(jù)證據(jù)，需要對其源 IP地址進(jìn)行認(rèn)定，從而更加有效地定位犯罪。 通過ps/lsof/ifstatus/logcheck/portsentry/ids/smrsh等查找相關(guān)信息 ， 如檢查本地?zé)o主文件： find / nouser –o –nogroup –print如檢查啟動(dòng)文件的改變 ， 可以使用： !/bin/sh/ for user in $ (cat –passwd | /bin/awk –F :’length ($6) 0 {print $6}’) do for name in $ user / .* do [[ $name == $user / ..]] amp。主要看是否有此文件 ， 本機(jī)是否受到遠(yuǎn)程操控 。 Lophtcrack 密碼攻擊工具 破解 nt/2022的所有用戶口令 。 Fragroute 分片攻擊工具 將正常數(shù)據(jù)包打碎分流 ， 影響 IDS的判斷能力 ， 影響防火墻的過濾控制能力 。 Sss 俄羅斯出品的漏洞掃描工具 同上 受 害 機(jī) 所 存 在 對 外 服 務(wù) 如/ftp/mail/tel等服務(wù)存在幾秒內(nèi)來自同一 IP地址的連接 。 本機(jī)上操作記錄 ， 搜索硬盤可查到 snanner及 。 受 害 機(jī) 所 存 在 對 外 服 務(wù) 如/ftp/mail/tel等服務(wù)存在幾秒內(nèi)來自同一 IP 地址的連接 。如針對 smtp掃描 ， 可用 snoop工具看到： xx..next smtp c port=1974 xx..next smtp c port=1974 mail from: dfddfvin……… 。 Hping 對防火墻進(jìn)行穿透性測試 。 攻擊者機(jī)器上 ， 網(wǎng)卡設(shè)為混雜模式 ，可以 ipconfig /all中看到 ， 或在網(wǎng)絡(luò)屬性中看到 “ MONITRO‖一項(xiàng) 。 存在大量syn\fin\tree\null這樣的會(huì)話 ，受害機(jī)受到 ftp跳轉(zhuǎn)掃描 、 udp掃描 。 使用 ping、 跟蹤路由等完成工具所提供的功能 ，所在網(wǎng)絡(luò)有大量ping包產(chǎn)生 ， 攻擊機(jī)發(fā)出大量數(shù)據(jù)包 。 當(dāng) office產(chǎn)生錯(cuò)誤時(shí) ， 除了在 temp目錄下產(chǎn)生 tmp或 tm0文件 ， 還發(fā)送報(bào)錯(cuò)信息到系統(tǒng)日志 正常退出特征：用戶所在目錄的 template下 ， 存儲本次文檔編輯的一部份信息；在%user%目錄下的 Application Datamicsoft—office存儲了自裝機(jī)以來歷次的刪除記錄 、文檔原來所在的目錄 ， 文檔名 ； 在 系 統(tǒng) 本 身%systemroot%中 ， 存在每個(gè)程序的使用記錄 。 現(xiàn)今使用的證書格式大多遵循 。要使別人認(rèn)可，證書必須由更高的權(quán)威機(jī)構(gòu) 認(rèn)證中心（ CA） 簽署。 為了得到身份驗(yàn)證的身份證明，公共密鑰必須以某種值得信賴的方式與個(gè)人相聯(lián)系。 電子數(shù)據(jù)證據(jù)保全技術(shù) 數(shù)字證書 公開密鑰加密技術(shù)允許人們用私有密鑰給電子信息進(jìn)行數(shù)字簽名。使用公開密鑰算法是實(shí)現(xiàn)數(shù)字簽名的主要技術(shù)。 電子數(shù)據(jù)證據(jù)保全技術(shù) 數(shù)字摘要技術(shù)的特點(diǎn) ： 例如： 3 1 4 5 2 6 0 電子數(shù)據(jù)證據(jù)保全技術(shù) 傳統(tǒng)加密方法： ? 密器的靈活性，可采用一次性密碼簿進(jìn)行加密。 ?加密是在不安全的環(huán)境中實(shí)現(xiàn)信息安全傳輸?shù)闹匾椒?。另?DOS還提供了一個(gè) MIROR命令用于記錄當(dāng)前磁盤的信息，供格式化或刪除之后的恢復(fù)使用，此方法也比較有效。目錄表由于沒有自動(dòng)備份功能，所以如果目錄損壞將丟失大量的文件。采用 DEBUG也可實(shí)現(xiàn)這種操作，即采用其 m命令把第二個(gè) FAT表移到第一個(gè)表處即可。 電子數(shù)據(jù)證據(jù)的獲取－技術(shù)性采集 其余數(shù)據(jù)恢復(fù)策略： ? FAT表引起的讀寫故障 FAT表記錄著硬盤數(shù)據(jù)的存儲地址，每一個(gè)文件都有一組 FAT鏈指定其存放的簇地址。 電子數(shù)據(jù)證據(jù)的獲取－技術(shù)性采集 其余數(shù)據(jù)恢復(fù)策略： ? DOS引導(dǎo)系統(tǒng)引起的啟動(dòng)故障 DOS引導(dǎo)系統(tǒng)主要由 DOS引導(dǎo)扇區(qū)和 DOS系統(tǒng)文件組成。當(dāng)從硬盤、軟盤或光盤啟動(dòng)時(shí)，將檢測這兩個(gè)字節(jié)，如果存在則認(rèn)為有硬盤存在，否則將不承認(rèn)硬盤。這些數(shù)據(jù)的損壞將造成該分區(qū)的混亂或丟失，可用的方法是用備份的分區(qū)表數(shù)據(jù)重新寫回，或者從其它的相同類型的并且分區(qū)狀況相同的硬盤上獲取分區(qū)表數(shù)據(jù)。 如果是某一分區(qū)類型錯(cuò)誤，可造成某一分區(qū)的丟失。雖然 DOS版本不斷更新，但硬盤的主引導(dǎo)程序一直沒有變化，從 DOS Windos 95的 DOS， 只要找到一種 DOS引導(dǎo)盤啟動(dòng)系統(tǒng)并運(yùn)行此程序即可修復(fù)。 電子數(shù)據(jù)證據(jù)的獲?。夹g(shù)性采集 其余數(shù)據(jù)恢復(fù)策略： ? 主引導(dǎo)程序引起的啟動(dòng)故障 主引導(dǎo)程序位于硬盤的主引導(dǎo)扇區(qū)，主要用于檢測硬盤分區(qū)的正確性，并確定活動(dòng)分區(qū)，負(fù)責(zé)把引導(dǎo)權(quán)移交給活動(dòng)分區(qū)的 DOS或其他操作系統(tǒng)?，F(xiàn)在的機(jī)器都支持 “ IDE Auto Detect‖的功能，可自動(dòng)檢測硬盤的類型。 電子數(shù)據(jù)證據(jù)的獲取－技術(shù)性采集 其余數(shù)據(jù)恢復(fù)策略： ? 系統(tǒng)不認(rèn)硬盤 系統(tǒng)從硬盤無法啟動(dòng)，從 A盤啟動(dòng)也無法進(jìn)入 C盤，使用 CMOS中的自動(dòng)監(jiān)測功能也無法發(fā)現(xiàn)硬盤的存在。 對于那些加密硬盤數(shù)據(jù)的病毒，清除時(shí)一定要選擇能恢復(fù)加密數(shù)據(jù)的可靠殺毒軟件。 ? 類型 特征 處理 ZIP、 TGZ等壓縮包無法解壓 ZIP文件損壞的情況下可以用一個(gè)名為 ZIPFIX的工具 處理。誤格 式化的情況可以用等工具處理。但由于對不連續(xù)文件要恢復(fù)文件 鏈，由于手工交叉恢復(fù)對一般計(jì)算機(jī)用戶來說并不容易，用工具處理，如可用 Norton Utilities， 可以用他來查找。以 FAT文件系統(tǒng)為例，數(shù)據(jù)文件寫到基于該系統(tǒng)的磁盤上以后，會(huì)在目錄入口和 FAT表中記錄相應(yīng)信息。 計(jì)算機(jī)取證技術(shù)發(fā)展趨勢 ? 計(jì)算機(jī)取證技術(shù)進(jìn)一步與信息安全技術(shù)相結(jié)合。隨著計(jì)算機(jī)犯罪技術(shù)手段的提高，這種靜態(tài)的視點(diǎn)已經(jīng)無法滿足要求，發(fā)展趨勢是將計(jì)算機(jī)取證結(jié)合到入侵檢測等網(wǎng)絡(luò)安全工具和網(wǎng)絡(luò)體系結(jié)構(gòu)中，進(jìn)行動(dòng)態(tài)取證。 ②文件中的 “ slack‖空間 ——如果文件的長度不是簇長度的整數(shù)倍，那么分配給文件的最后一簇中，會(huì)有未被當(dāng)前文件使用的剩余空間，其中可能包含了先前文件遺留下來的信息，可能是有用的證據(jù)。 計(jì)算機(jī)取證的基本步驟 ? 最大程度地顯示操作系統(tǒng)或應(yīng)用程序使用的隱藏文件、臨時(shí)文件和交換文件的內(nèi)容。 計(jì)算機(jī)取證的基本步驟 ? 在取證檢查中，保護(hù)目標(biāo)計(jì)算機(jī)系統(tǒng)，避免發(fā)生任何的改變、傷害、數(shù)據(jù)破壞或病毒感染。 目前法庭案例中出現(xiàn)的計(jì)算機(jī)證據(jù)都比較簡單 ， 多是文檔 、 電子郵件 、 程序源代碼等不需特殊工具就可以取得的信息 。 國外計(jì)算機(jī)取證歷史及現(xiàn)狀 ? 用于電子數(shù)據(jù)證據(jù)歸檔的工具： 如 NTI公司的軟件 NTIDOC可用于自動(dòng)記錄電子數(shù)據(jù)產(chǎn)生的時(shí)間 、 日期及文件屬性 。 該公司的軟件 SEIZED可用于保證用戶無法對正在被調(diào)查的計(jì)算機(jī)或系統(tǒng)進(jìn)行操作 。 國外計(jì)算機(jī)取證歷史及現(xiàn)狀 ? 法律的制定： ? 自 1976年的 Federal Rules of Evidence起，美國出現(xiàn)了如下一些法律解決由電子證據(jù)帶來的問題： ? The Economic Espionage Act of 1996:處理商業(yè)機(jī)密竊取問題 ? The Electronic Communications Privacy Act of 1986:處理電子通信的竊聽問題 ? The Computer Security Act of 1987(Public Law 100235):處理政府計(jì)算機(jī)系統(tǒng)的安全問題 國外計(jì)算機(jī)取證歷史及現(xiàn)狀 ? 取證技術(shù)： 逐漸走向自動(dòng)化、智能化，政府與各專業(yè)機(jī)構(gòu)均投入巨大人力、物力開發(fā)計(jì)算機(jī)取證專用工具。 計(jì)算機(jī)取證（電子取證）定義 一家專業(yè)的計(jì)算機(jī)緊急事件響應(yīng)和計(jì)算機(jī)取證咨詢公司： 計(jì)算機(jī)取證包括了對以磁介質(zhì)編碼信息方式存儲的計(jì)算機(jī)證據(jù)的保護(hù)、確認(rèn)、提取和歸檔。 計(jì)算機(jī)犯罪的形式 ? 清理垃圾 從計(jì)算機(jī)系統(tǒng)周圍廢棄物中獲取信息的一種方法。 計(jì)算機(jī)犯罪的形式 ? 冒名頂替 利用別人口令 ,竊用計(jì)算機(jī)謀取個(gè)人私利的做法。目前國內(nèi)多數(shù)為局域網(wǎng)管理銀行帳目而產(chǎn)生此類犯罪 ,因此 ,要警惕采用此手段作案的罪犯。發(fā)生在金融系統(tǒng)的此種計(jì)算機(jī)犯罪多為內(nèi)外勾結(jié) ,串通作案 ,由內(nèi)部人員修改數(shù)據(jù) ,外部人員提取錢款。 計(jì)算機(jī)犯罪的類型舉例 ? 《刑法》第 287條規(guī)定了利用計(jì)算機(jī)實(shí)施金融詐騙、盜竊、貪污、挪用公款、竊取國家秘密罪。 這一行為《刑法》第 286條概括為破壞計(jì)算機(jī)信息系統(tǒng)罪。據(jù)計(jì)算機(jī)安全專家估算，近年因計(jì)算機(jī)犯罪給總部在美國的公司帶來的損失為 2500億美元 。 此外，在計(jì)算機(jī)犯罪中犯罪主體中內(nèi)部人員也占有相當(dāng)?shù)谋壤? 各種各樣的個(gè)人隱私、商業(yè)秘密、軍事秘密等等都成為計(jì)算機(jī)犯罪的攻擊對象。美國因計(jì)算機(jī)犯罪造成的損失已在千億美元以上，年損失達(dá)幾十億，甚至上百億美元，英、德的年損失