計算機取證與分析鑒定概論課件

1、計算機取證與分析鑒定Windows系統(tǒng)取證主講：2022年7月25日主要內(nèi)容Windows系統(tǒng)現(xiàn)場證據(jù)獲取Windows系統(tǒng)中電子證據(jù)獲取證據(jù)獲取/工具使用實例證據(jù)保全1 保證證據(jù)的真實性1）所有需要作為證據(jù)的數(shù)據(jù)都必須有真實性保護(hù)2）保證電子證據(jù)真實性的原則3）保證電子證據(jù)真實性的措施2 保證證據(jù)的完整性1）所有需要作為證據(jù)的數(shù)據(jù)都必須有完整性保護(hù)2）完整性保證措施：MD5校驗值(也稱為哈希值)3）封存現(xiàn)場證據(jù)獲取固定證據(jù)固定犯罪證據(jù)十分重要。應(yīng)當(dāng)提取什么樣的電子證據(jù)，如何提取并有效的固定電子證據(jù)，是問題的關(guān)鍵。Windows系統(tǒng)作為目前最常用的操作系統(tǒng)，研究Windows系統(tǒng)上的計算機取證

2、方法具有非常重要的現(xiàn)實意義。目前Windows系統(tǒng)的計算機取證方法已經(jīng)日趨成熟。1 固定硬盤2 部分文件的固定3 固定易丟失的證據(jù)現(xiàn)場證據(jù)獲取深入獲取1 深入獲取證據(jù)的重要性Windows初始響應(yīng)在收集易丟失的證據(jù)之后，可以繼續(xù)進(jìn)行一些調(diào)查。兩個關(guān)鍵的證據(jù)來源是事件日志和目標(biāo)系統(tǒng)上的注冊表。這樣，在大多數(shù)調(diào)查中，就需要對這兩個目標(biāo)進(jìn)行徹底的調(diào)查。2 深入獲取證據(jù)的途徑1）事件日志2）注冊表3）系統(tǒng)密碼4）轉(zhuǎn)儲系統(tǒng)RAM現(xiàn)場證據(jù)獲取日志1 系統(tǒng)日志W(wǎng)indows操作系統(tǒng)維護(hù)三個相互獨立的日志文件：系統(tǒng)日志、應(yīng)用程序日志和安全日志。2 服務(wù)程序日志可以搜索這一時間范圍內(nèi)所有被修改、訪問或刪除的文件

3、以重建這一突發(fā)事件。通過仔細(xì)查看Web服務(wù)器日志可以從中找出攻擊的證據(jù)信息。3 防火墻、入侵檢測系統(tǒng)日志會保存系統(tǒng)收到的各種不安全信息的時間、類型等。通過分析這些日志，可以發(fā)現(xiàn)曾經(jīng)發(fā)生過或者正在進(jìn)行的系統(tǒng)入侵行為。系統(tǒng)證據(jù)獲取文件和目錄1 啟動目錄2 系統(tǒng)目錄3 我的文檔4 最近打開的文檔5 刪除文件的恢復(fù)系統(tǒng)證據(jù)獲取注冊表1 啟動項2 用戶信息項3 系統(tǒng)信息項系統(tǒng)證據(jù)獲取進(jìn)程列表1 系統(tǒng)進(jìn)程2 用戶進(jìn)程3 開始運行處的進(jìn)程4 進(jìn)程分析（操作文件、注冊表或者訪問網(wǎng)絡(luò)的情況）系統(tǒng)證據(jù)獲取網(wǎng)絡(luò)軌跡所謂網(wǎng)絡(luò)軌跡，是指系統(tǒng)訪問網(wǎng)絡(luò)之后留下來的一些記錄。犯罪嫌疑人在利用網(wǎng)絡(luò)進(jìn)行犯罪，或因為犯罪嫌疑人對計

4、算機不是很了解，或因為犯罪嫌疑人的疏忽大意，會在Windows系統(tǒng)上留下一些記錄。網(wǎng)絡(luò)軌跡主要包括：1 網(wǎng)站訪問下拉列表2 網(wǎng)站訪問的歷史記錄3 網(wǎng)站收藏夾4 網(wǎng)絡(luò)聊天工具分析系統(tǒng)證據(jù)獲取系統(tǒng)服務(wù)Windows 上提供了很多服務(wù)，這些服務(wù)一方面使得合法用戶可以訪問，但另一方面也為有害的入侵者提供了一個接入口。1 計劃任務(wù)服務(wù)2 共享服務(wù)3 遠(yuǎn)程控制和遠(yuǎn)程訪問服務(wù)系統(tǒng)證據(jù)獲取用戶分析Windows 具有完善的用戶體系，它規(guī)定了系統(tǒng)中有哪些帳戶，這些帳戶分別屬于哪些組，這些帳戶有什么權(quán)限，這些帳戶有哪些文件存放在哪些目錄下，其他帳戶對該帳戶的文檔有什么權(quán)限。攻擊者通常會在他得到控制權(quán)的系統(tǒng)上添加一

5、個管理員帳號，或者將克隆管理員帳戶(Administrator)權(quán)限到來賓帳戶(Guest)。1 用戶列表2 用戶屬性3 用戶相關(guān)的文檔（所有權(quán)等）系統(tǒng)證據(jù)獲取ENCASEEnCase是目前使用最為廣泛的計算機取證工具，至少超過2000家的法律執(zhí)行部門在使用它。它提供良好的基于windows的界面，左邊是case文件的目錄結(jié)構(gòu)，右邊是用戶訪問目錄的證據(jù)文件的列表。實例ENCASE特點(1)EnCase可獲取各個分區(qū)從而作為證據(jù)文件，在獲取各個分區(qū)的同時恢復(fù)數(shù)據(jù)。(2)EnCase的過濾器機制使得可搜索出符合某種條件的文件。(3)EnCase查找使得用戶可以迅速的找到關(guān)鍵字。(4)EnCase使

6、用腳本完成一系列的工作。(5)EnCase支持中文關(guān)鍵字的查找，通過EnCase伴侶得到中文的編碼，在EnCase中設(shè)置編碼方式即可查找。實例MD5校驗值計算工具: md5sum做md5校驗的目的就是保證文件的完整性和唯一性，給文件做個md5校驗，將md5校驗值與原始文件的md5校驗值比較，如果二者匹配，說明這個文件和原始文件是一模一樣的，沒有被修改過。md5校驗也能確認(rèn)系統(tǒng)沒有被入侵。當(dāng)剛裝好系統(tǒng)后就給系統(tǒng)文件做md5校驗，過了一段時間如果懷疑系統(tǒng)被攻破了，某些文件被人換掉，那么就可以給系統(tǒng)文件重新做個md5校驗，若和從前得到的md5校驗碼不一樣，那么有可能系統(tǒng)已經(jīng)被入侵過了。實例進(jìn)程工具：

7、pslist實例注冊表工具：autorunsautoruns具有全面的自啟動程序檢測功能，找出那些被設(shè)定在系統(tǒng)啟動和登錄期間自動運行的程序，并顯示W(wǎng)indows加載它們的順序。Autoruns不僅可以檢測出“開始”菜單“啟動”組和注冊表中加載的自啟動程序，而且還能顯示出瀏覽器的加載項以及自動啟動的服務(wù)。實例網(wǎng)絡(luò)查看工具: fportFport是查看系統(tǒng)進(jìn)程與端口關(guān)聯(lián)的命令，使用方法是在命令行方式下輸入Fport后回車，輸出結(jié)果格式如下：實例網(wǎng)絡(luò)查看工具: netstatnetstat -s-本選項能夠按照各個協(xié)議分別顯示其統(tǒng)計數(shù)據(jù)。netstat -e-本選項用于顯示關(guān)于以太網(wǎng)的統(tǒng)計數(shù)據(jù)。ne

8、tstat -r-本選項可以顯示關(guān)于路由表的信息。netstat -a-本選項顯示一個所有的有效連接信息列表netstat -n-顯示所有已建立的有效連接。實例服務(wù)工具：psservicepsservice是一個服務(wù)管理程序。它的使用方法是：psservice 遠(yuǎn)程機器ip -u username -p password 它的參數(shù)只有：-u 后面跟用戶名 -p后面是跟密碼的，如果建立ipc連接后這兩個參數(shù)則不需要。實例本章小結(jié)Windows系統(tǒng)的計算機取證和分析鑒定分為現(xiàn)場取證和脫機取證現(xiàn)場取證必須保證電子證據(jù)的真實性和完整性。保證真實性的措施是規(guī)定好現(xiàn)場取證的人數(shù)，簽字，拍照，錄像。保證完整

9、性的措施是數(shù)據(jù)校驗，目前使用最多的是MD5校驗?，F(xiàn)場取證時除了取硬盤，某個目錄，更多的是取易丟失的數(shù)據(jù)，有時以上的證據(jù)并不能滿足需要，還需取注冊表，日志，系統(tǒng)密碼等而脫機取證是對現(xiàn)場取證時取下來的硬盤進(jìn)行取證一般對注冊表，進(jìn)程，服務(wù)，文件和目錄，日志文件，網(wǎng)絡(luò)軌跡進(jìn)行取證，形成文件，并固定。取證時用到很多工具，例如EnCase，md5sums，pslist，fport，netstat，psservice，dviver?？偨Y(jié)思考問題1. 電子證據(jù)的真實性與完整性我們是如何理解的？如何保證電子證據(jù)的真實性與完整性？2. 如何使用md5sums固定電子證據(jù)？3. 易丟失的證據(jù)有哪些?如何取易丟失的證據(jù)?如何確定易丟失證據(jù)的完整性？4. 當(dāng)一個木