計(jì)算機(jī)取證技術(shù)的研究

計(jì)算機(jī)取證技術(shù)的研究

0電子證據(jù)的取證根據(jù)計(jì)算機(jī)證據(jù)的來(lái)源，計(jì)算機(jī)取樣技術(shù)可分為靜態(tài)采樣和動(dòng)態(tài)采集。在這項(xiàng)工作中，我們主要進(jìn)行靜態(tài)記錄，并在計(jì)算機(jī)網(wǎng)絡(luò)和硬盤上記錄。由于電子證據(jù)的特殊性,計(jì)算機(jī)取證既涉及到技術(shù)問(wèn)題又受相關(guān)法律法規(guī)的約束。因此,計(jì)算機(jī)取證必須遵循嚴(yán)格的過(guò)程和程序,否則,就會(huì)導(dǎo)致所獲取的證據(jù)缺乏可靠性和合法性,從而不被采用。1合格的鑒定復(fù)件目標(biāo)存儲(chǔ)媒介的鑒定復(fù)件提供了目標(biāo)系統(tǒng)的一個(gè)鏡像。合格的鑒定復(fù)件是包含每一比特的源信息,但可能用其他形式保存的文件。如果對(duì)源數(shù)據(jù)進(jìn)行讀操作時(shí)發(fā)生錯(cuò)誤,則在產(chǎn)生壞數(shù)據(jù)的地方放置占位符。2drvspace.謗給系統(tǒng)做映像需要有干凈的操作環(huán)境。使用DOS應(yīng)用環(huán)境為磁盤做映像時(shí),必須制作MSDOS引導(dǎo)盤。使用MSDOS格式化軟盤并復(fù)制系統(tǒng)文件。軟盤的根目錄下應(yīng)該有4個(gè)文件(IO.SYS、DRVSPACE.BIN、COMMAND.COM、MSDOS.SYS),這些文件含有使計(jì)算機(jī)運(yùn)行的最小的操作系統(tǒng)的代碼。計(jì)算機(jī)處理的第1個(gè)文件是IO.SYS。IO.SYS的代碼加載MSDOS.SYS的內(nèi)容并開(kāi)始初始化設(shè)備驅(qū)動(dòng)程序,測(cè)試并復(fù)位硬件,并加載命令解釋程序COMMAND.COM。在加載設(shè)備驅(qū)動(dòng)程序期間,如果和機(jī)器互連的磁盤或分區(qū)使用壓縮軟件(如DriveSpace或DoubleSpace),IO.SYS將加載DRVSPACE.BIN驅(qū)動(dòng)程序文件。在驅(qū)動(dòng)程序加載時(shí),它將加載壓縮卷并在操作系統(tǒng)中呈現(xiàn)未壓縮的文件系統(tǒng)視圖。當(dāng)裝載壓縮卷時(shí),它將更改壓縮文件上的時(shí)間/日期戳,這意味著證據(jù)將被修改。也就是說(shuō),從干凈的引導(dǎo)盤引導(dǎo)時(shí),要確保DRVSPACE.BIN驅(qū)動(dòng)程序加載失敗。簡(jiǎn)單地刪除該文件是個(gè)好想法,但I(xiàn)O.SYS能在所有的活動(dòng)分區(qū)根目錄下尋找這個(gè)文件。防止DRVSPACE.BIN加載最有效的方式是用十六進(jìn)制編輯器編輯IO.SYS并手工修改字符串?？梢允褂肗ortorn的DiskEditor進(jìn)行文件編輯,將文件載入十六進(jìn)制編輯器并進(jìn)行字符串搜索,尋找SPACE一詞。所尋找的目標(biāo)是DriveSpace或DoubleSpace。DOS在試圖加載這個(gè)文件時(shí)失敗,就必須將文件改為一個(gè)在文件系統(tǒng)上找不到的值。繼續(xù)搜索文件查找SPACE串。修改完成后,保存文件并退出十六進(jìn)制編輯器。也要?jiǎng)h除軟盤上的DRVSPACE.BIN文件。在制作了干凈的軟盤后,把訪問(wèn)被調(diào)查的計(jì)算機(jī)系統(tǒng)上的硬盤所需要的任何DOS模式驅(qū)動(dòng)程序都復(fù)制到其中。DOS驅(qū)動(dòng)程序的最好來(lái)源是相關(guān)硬件設(shè)備制造商的Web站點(diǎn),而不是產(chǎn)品附帶的驅(qū)動(dòng)程序光盤(IEEE1394接口沒(méi)有DOS驅(qū)動(dòng)程序)?？梢允褂萌∽C軟件SafeBack、EnCase制作鑒定復(fù)件。3收集和分析證據(jù)3.1遞歸式目錄清單單,記錄文件的大小、訪問(wèn)時(shí)間、修改時(shí)間以及創(chuàng)建時(shí)間。顯示文件屬性命令有:a)dir/t:a/a/s/o:dc:\:訪問(wèn)C盤上所有訪問(wèn)時(shí)間的遞歸式目錄清單;b)dir/t:w/a/s/o:dd:\:訪問(wèn)D盤上所有修改時(shí)間的遞歸式目錄清單;c)dir/t:c/a/s/o:de:\:訪問(wèn)E盤上所有創(chuàng)建時(shí)間的遞歸式目錄清單。3.2應(yīng)用證據(jù)的獲取來(lái)自系統(tǒng)方面的電子證據(jù)包括:系統(tǒng)日志,系統(tǒng)的審計(jì)記錄,操作系統(tǒng)和數(shù)據(jù)庫(kù)的臨時(shí)文件和隱藏文件,數(shù)據(jù)庫(kù)的操作記錄,硬盤驅(qū)動(dòng)的交換(swap)分區(qū)、扇區(qū)間隙(slack)和空閑區(qū),軟件設(shè)置,完成特定功能的腳本文件,Web瀏覽器數(shù)據(jù)緩沖,書簽歷史記錄或會(huì)話記錄、ARP緩存、內(nèi)核統(tǒng)計(jì)、內(nèi)存數(shù)據(jù)、物理配置、網(wǎng)絡(luò)拓?fù)鋱D以及由應(yīng)用軟件產(chǎn)生的記錄和日志等。證據(jù)存在的位置依據(jù)具體的案例各不相同,但總的來(lái)說(shuō),可在以下位置尋找證據(jù)。a)內(nèi)核結(jié)構(gòu)中的易失性數(shù)據(jù);b)松弛空間——從中可以獲取不可恢復(fù)的已刪除文件信息;c)自由空間或未分配空間,在這里可以取得已刪除文件,包括已損壞或不可訪問(wèn)的簇;d)邏輯文件系統(tǒng);e)事件日志;f)注冊(cè)表——應(yīng)將其看做一個(gè)龐大的日志文件;g)不受Windows事件日志服務(wù)管理的應(yīng)用程序日志;h)交換文件,該文件用于存放最近的系統(tǒng)內(nèi)存信息(即活動(dòng)分區(qū)上的pagefile.sys);i)特殊的應(yīng)用程序級(jí)文件,如InternetExplore的Internet歷史紀(jì)錄index.dat,Netscape的fat.db、history.hst文件,以及瀏覽器的緩存區(qū)域;j)許多應(yīng)用程序生成的臨時(shí)文件;k)回收站(一個(gè)隱藏的邏輯文件結(jié)構(gòu),從中可找到最近被刪除的數(shù)據(jù));l)打印機(jī)的假脫機(jī)隊(duì)列;m)已發(fā)送或已接收的電子郵件文件,如Outlook郵件的.pst文件。3.3用戶權(quán)限及審核策略WindowsNT、Windows2000、WindowsXP操作系統(tǒng)都包含3個(gè)獨(dú)立的日志文件:系統(tǒng)日志、應(yīng)用程序日志和安全日志。檢查這3個(gè)日志,可以獲得以下信息:確定訪問(wèn)特定文件的用戶;確定已經(jīng)成功登錄系統(tǒng)的用戶;確定試圖登錄系統(tǒng)但未成功的用戶;跟蹤特定程序的使用情況;跟蹤對(duì)審核策略做出的更改;跟蹤用戶權(quán)限的變化。此外,許多第三方應(yīng)用程序和Windows系統(tǒng)工具會(huì)為各自的應(yīng)用創(chuàng)建日志文件。在Windows系統(tǒng)上最有效的檢查方式之一就是檢查所有帶有.log后綴的文件。離線檢測(cè)日志時(shí)使用DOS啟動(dòng)盤,如果文件系統(tǒng)是NTFS,就用支持NTFS的DOS盤,也可使用帶有適當(dāng)內(nèi)核的Linux啟動(dòng)盤來(lái)加載NTFS驅(qū)動(dòng)器,或者簡(jiǎn)單地從磁盤鏡像中將secevent.evt、appevent.evt、sysevent.evt這些文件提取出來(lái),直接用事件查看器打開(kāi)相應(yīng)的日志文件。3.4串搜索的檢測(cè)在取證過(guò)程中,對(duì)主體的硬盤進(jìn)行字符串搜索是很重要的一步,有很多關(guān)鍵字對(duì)于調(diào)查過(guò)程可能很關(guān)鍵。字符串搜索可以在邏輯文件結(jié)構(gòu)或物理級(jí)對(duì)整個(gè)驅(qū)動(dòng)器的內(nèi)容進(jìn)行檢查。市場(chǎng)上大部分磁盤搜索工具都是從硬盤上直接讀取常用的磁盤搜索工具包括dtSearch公司的deSearch。這些工具都是在物理級(jí)進(jìn)行搜索。Encase有一個(gè)字符串搜索功能可以針對(duì)它創(chuàng)建的證據(jù)映像文件進(jìn)行檢查,也是物理級(jí)字符串搜索。3.5確認(rèn)相關(guān)文件3.5.1刪除文件的保護(hù)回收站只捕獲從Windows資源管理器和其他識(shí)別回收站的應(yīng)用程序中刪除的文件。命令行刪除或者用第三方軟件刪除的文件通常不放入回收站?；厥照境绦?yàn)槊總€(gè)用戶創(chuàng)建不同的目錄,當(dāng)用戶第一次刪除文件時(shí)創(chuàng)建該目錄。要從回收站中恢復(fù)文件,首先必須找到隱藏的回收站目錄。在分區(qū)的根目錄下進(jìn)入隱藏的RECYCLER目錄,可以看到回收站的內(nèi)容。C:\dir/arecyclerC:

ecycler的目錄2006-02-2114:32<DIR>……RECYCLER目錄中的文件不需要保持原來(lái)的文件名,但事件/日期與原來(lái)文件是相同的。如果使用回收站工具查看文件,可以看到文件加上了刪除日期。C:\cdrecyclerrC:\RECYCLER>cdS*C:\RECYCLER\S-1-5-21-1960408961-1177238915-725345543-1000>dirC:\RECYCLER\S-1-5-21-1960408961-1177238915-725345543-1000的目錄2006-03-2008-4732,768Dc1.docue796回收站顯示隱藏的RECYCLER目錄所存放文件的非正確名稱,因此,必須有一個(gè)文件跟蹤被刪除文件真實(shí)名稱及被刪除日期。在“RECYCLER\<SID>”目錄中有一個(gè)隱藏文件叫做INFO,是一個(gè)二進(jìn)制文件,它將每個(gè)被刪除文件的文件名和時(shí)間/日期映射到包含在RECYCLER目錄中的文件上?？梢允褂脤ｉT工具,如Rifiuti或InternetExploerViewer工具查看二進(jìn)制INFO文件。這個(gè)工具顯示文件被刪除的時(shí)間,以及文件的真實(shí)名。3.5.2臨時(shí)文件許多應(yīng)用程序,檢查所有帶有.tmp后綴的文件,也許會(huì)找出幾年前刪除的文件、以前的PowerPoint演示稿以及作為附件收到的文件。3.5.3系統(tǒng)配置單元Windows注冊(cè)表是一個(gè)數(shù)據(jù)文件的集合,這是數(shù)據(jù)文件存儲(chǔ)系統(tǒng)的重要配置數(shù)據(jù)。操作系統(tǒng)使用注冊(cè)表存儲(chǔ)關(guān)于硬件、軟件和系統(tǒng)組件的許多數(shù)據(jù)。注冊(cè)表可以顯示過(guò)去安裝過(guò)的軟件、機(jī)器的安全配置、DLL特洛伊木馬和啟動(dòng)程序,以及由許多不同應(yīng)用程序最近使用過(guò)(MRU)的文件。5個(gè)配置單元由系統(tǒng)中的4個(gè)主要文件產(chǎn)生:SAM、SECURITY、SOFTWARE和SYSTEM。這些文件的默認(rèn)存放位置是\WINNT\System32\Config目錄。對(duì)一個(gè)鑒定附件的注冊(cè)表進(jìn)行調(diào)查,把注冊(cè)表配置單元文件從默認(rèn)位置復(fù)制到司