信息安全技術(shù)（HCIA-Security）（微課版）（第2版） 課件 第13、14章 安全運(yùn)營(yíng)與數(shù)據(jù)監(jiān)控、電子取證

安全運(yùn)營(yíng)簡(jiǎn)介安全是發(fā)展的保障，發(fā)展是安全的目的。網(wǎng)絡(luò)安全是全球性挑戰(zhàn)，沒(méi)有哪個(gè)國(guó)家能夠置身事外、獨(dú)善其身，維護(hù)網(wǎng)絡(luò)安全是國(guó)際社會(huì)的共同責(zé)任。文字學(xué)習(xí)大國(guó)重器《中國(guó)超級(jí)計(jì)算機(jī)有多?！吠卣怪黝}愛(ài)國(guó)主義、科技強(qiáng)國(guó)、技能強(qiáng)國(guó)在當(dāng)今信息時(shí)代，安全運(yùn)營(yíng)逐漸成為一個(gè)熱門(mén)話題。信息安全事故層出不窮，大大影響了企業(yè)的正常運(yùn)行，迄今為止已對(duì)世界各地企業(yè)造成了不可估量的損失，而安全運(yùn)營(yíng)是全方面保證企業(yè)業(yè)務(wù)持續(xù)安全運(yùn)行的必要條件。本章節(jié)將介紹安全運(yùn)營(yíng)的基本概念，并且對(duì)安全運(yùn)營(yíng)需要具備的條件進(jìn)行簡(jiǎn)單介紹。學(xué)完本課程后，您將能夠：描述安全運(yùn)營(yíng)的概念了解安全運(yùn)營(yíng)的內(nèi)容描述數(shù)據(jù)監(jiān)控與分析的技術(shù)手段描述數(shù)據(jù)采集的過(guò)程使用威脅定位的技術(shù)安全運(yùn)營(yíng)概念安全運(yùn)營(yíng)概念安全運(yùn)營(yíng)基本要求安全運(yùn)營(yíng)內(nèi)容簡(jiǎn)述數(shù)據(jù)監(jiān)控?cái)?shù)據(jù)分析安全運(yùn)營(yíng)概念在企業(yè)信息安全建設(shè)初期，企業(yè)安全工作主要內(nèi)容是通過(guò)購(gòu)買(mǎi)一系列的安全設(shè)備部署在各個(gè)協(xié)議層以保證業(yè)務(wù)日常的穩(wěn)定運(yùn)行。而隨著安全問(wèn)題頻發(fā)，如信息泄露事件、自然災(zāi)害等，從業(yè)人員逐漸意識(shí)到僅僅部署安全設(shè)備并不能實(shí)現(xiàn)有效的安全運(yùn)營(yíng)。安全運(yùn)營(yíng)必須是資源、流程和管理的有效結(jié)合，才能達(dá)到保護(hù)企業(yè)業(yè)務(wù)安全持續(xù)穩(wěn)定運(yùn)行的目的。安全運(yùn)營(yíng)概念安全運(yùn)營(yíng)概念安全運(yùn)營(yíng)基本要求安全運(yùn)營(yíng)內(nèi)容簡(jiǎn)述數(shù)據(jù)監(jiān)控?cái)?shù)據(jù)分析安全運(yùn)營(yíng)基本條件安全運(yùn)營(yíng)涉及方方面面的要求，以下為安全運(yùn)營(yíng)的基本運(yùn)營(yíng)條件：安全運(yùn)營(yíng)業(yè)務(wù)連續(xù)性計(jì)劃物理安全管理安全運(yùn)營(yíng)事件預(yù)防及響應(yīng)災(zāi)難恢復(fù)計(jì)劃調(diào)查取證保護(hù)資源的配置理解和應(yīng)用基本的安全操作原則采用資源保護(hù)技術(shù)執(zhí)行和支持補(bǔ)丁及脆弱性管理參與和理解變更管理流程參與解決人身安全管理日志和監(jiān)控行為實(shí)施事件管理操作和維護(hù)預(yù)防措施實(shí)施恢復(fù)策略執(zhí)行災(zāi)難恢復(fù)過(guò)程測(cè)試災(zāi)難恢復(fù)計(jì)劃理解和支持調(diào)查理解調(diào)查取證類(lèi)別的要求安全運(yùn)營(yíng)概念安全運(yùn)營(yíng)內(nèi)容簡(jiǎn)述業(yè)務(wù)連續(xù)性計(jì)劃事件響應(yīng)管理災(zāi)難恢復(fù)計(jì)劃調(diào)查取證數(shù)據(jù)監(jiān)控?cái)?shù)據(jù)分析業(yè)務(wù)連續(xù)性計(jì)劃業(yè)務(wù)連續(xù)性計(jì)劃（BusinessContinuityPlanning，BCP）的目標(biāo)是在緊急情況下提供快速、沉著和有效的響應(yīng)，從而增強(qiáng)企業(yè)立即從破壞性事件中恢復(fù)過(guò)來(lái)的能力。業(yè)務(wù)連續(xù)性計(jì)劃基本步驟項(xiàng)目范圍和計(jì)劃編制連續(xù)性計(jì)劃編制BCP文檔化業(yè)務(wù)影響評(píng)估項(xiàng)目范圍和計(jì)劃任何流程或計(jì)劃的制定都必須依據(jù)具體組織的實(shí)際業(yè)務(wù)的規(guī)模和性質(zhì)，符合企業(yè)文化，并且遵守相關(guān)法律。如下是制定計(jì)劃初期無(wú)額定項(xiàng)目范圍的具體要求：業(yè)務(wù)組織分析BCP團(tuán)隊(duì)組建資源要求法律和法規(guī)要求業(yè)務(wù)影響評(píng)估業(yè)務(wù)影響評(píng)估（BusinessImapctAssessment）確定了能夠決定組織持續(xù)發(fā)展的資源，以及對(duì)這些資源的威脅，并且還評(píng)估每種威脅實(shí)際出現(xiàn)的可能性以及出現(xiàn)的威脅對(duì)業(yè)務(wù)的影響。業(yè)務(wù)影響評(píng)估包含以下部分：確定優(yōu)先級(jí)風(fēng)險(xiǎn)識(shí)別可能性評(píng)估影響評(píng)估資源優(yōu)先級(jí)劃分連續(xù)性計(jì)劃編制上兩個(gè)階段主要用于確定BCP的工作過(guò)程以及保護(hù)業(yè)務(wù)資產(chǎn)的有限順序，在連續(xù)性計(jì)劃編制階段則注重于連續(xù)性策略的開(kāi)發(fā)和實(shí)現(xiàn)，在這一階段涉及以下任務(wù)：2345計(jì)劃實(shí)現(xiàn)預(yù)備和處理培訓(xùn)和教育計(jì)劃批準(zhǔn)1策略開(kāi)發(fā)BCP文檔化將BCP文檔化有助于在發(fā)生緊急事件時(shí)，此文檔能夠?qū)CP人員提供處理威脅事件的指導(dǎo)。同時(shí)，該文檔記錄了修改歷史，為后續(xù)處理類(lèi)似事件或者文檔修改提供經(jīng)驗(yàn)借鑒。文檔的內(nèi)容應(yīng)當(dāng)包含以下內(nèi)容：連續(xù)性計(jì)劃的目標(biāo)重要性聲明組織職責(zé)的聲明緊急程度和時(shí)限的聲明風(fēng)險(xiǎn)評(píng)估可接受的風(fēng)險(xiǎn)/風(fēng)險(xiǎn)調(diào)解重大記錄計(jì)劃響應(yīng)緊急事件的指導(dǎo)原則維護(hù)測(cè)試和演習(xí)安全運(yùn)營(yíng)概念安全運(yùn)營(yíng)內(nèi)容簡(jiǎn)述業(yè)務(wù)連續(xù)性計(jì)劃事件響應(yīng)管理災(zāi)難恢復(fù)計(jì)劃調(diào)查取證數(shù)據(jù)監(jiān)控?cái)?shù)據(jù)分析事件響應(yīng)管理并非所有的威脅事件都能被預(yù)防，業(yè)務(wù)連續(xù)性計(jì)劃提供了處理緊急事件的流程指導(dǎo)，盡快地對(duì)威脅事件進(jìn)行響應(yīng)，能夠盡量減少事件對(duì)組織的影響。響應(yīng)緩解報(bào)告恢復(fù)修復(fù)檢測(cè)經(jīng)驗(yàn)教訓(xùn)安全運(yùn)營(yíng)概念安全運(yùn)營(yíng)內(nèi)容簡(jiǎn)述業(yè)務(wù)連續(xù)性計(jì)劃事件響應(yīng)管理災(zāi)難恢復(fù)計(jì)劃調(diào)查取證數(shù)據(jù)監(jiān)控?cái)?shù)據(jù)分析災(zāi)難恢復(fù)計(jì)劃在災(zāi)難事件導(dǎo)致業(yè)務(wù)中斷時(shí)，災(zāi)難恢復(fù)計(jì)劃開(kāi)始生效，指導(dǎo)緊急事件響應(yīng)人員的工作，將業(yè)務(wù)還原到正常運(yùn)行的狀態(tài)。災(zāi)難恢復(fù)計(jì)劃包括以下內(nèi)容：實(shí)施恢復(fù)策略執(zhí)行災(zāi)難恢復(fù)過(guò)程測(cè)試災(zāi)難恢復(fù)計(jì)劃安全運(yùn)營(yíng)概念安全運(yùn)營(yíng)內(nèi)容簡(jiǎn)述業(yè)務(wù)連續(xù)性計(jì)劃事件響應(yīng)管理災(zāi)難恢復(fù)計(jì)劃調(diào)查取證數(shù)據(jù)監(jiān)控?cái)?shù)據(jù)分析調(diào)查在采取措施之前，需要確定攻擊已經(jīng)發(fā)生，攻擊發(fā)生之后需要對(duì)該安全事件進(jìn)行調(diào)查和收集證據(jù)，調(diào)查是為了找出發(fā)生了什么，以及該事件的損害程度。操作型調(diào)查犯罪調(diào)查民事調(diào)查監(jiān)管調(diào)查電子發(fā)現(xiàn)證據(jù)為了成功地檢舉犯罪，必須提供足夠的證據(jù)來(lái)證實(shí)犯罪行為。證據(jù)的類(lèi)型分為：實(shí)物證據(jù)文檔證據(jù)言辭證據(jù)調(diào)查取證流程事故確認(rèn)請(qǐng)求執(zhí)法證據(jù)收集及保存約談個(gè)人提起訴訟本章主要介紹如何通過(guò)技術(shù)手段獲取有效信息，并針對(duì)獲取的信息分析，定位安全風(fēng)險(xiǎn)與威脅。數(shù)據(jù)的收集可以從互聯(lián)的網(wǎng)絡(luò)設(shè)備中采集，也可以檢查提供服務(wù)的終端系統(tǒng)。在安全事件發(fā)生前，通過(guò)數(shù)據(jù)的監(jiān)控和分析，主動(dòng)分析網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)，加固網(wǎng)絡(luò)；在安全事件發(fā)生后，通過(guò)數(shù)據(jù)的監(jiān)控和分析，迅速定位安全威脅，為攻擊防御與取證提供支持。安全運(yùn)營(yíng)概念安全運(yùn)營(yíng)內(nèi)容簡(jiǎn)述數(shù)據(jù)監(jiān)控主動(dòng)分析被動(dòng)采集數(shù)據(jù)分析主動(dòng)分析主動(dòng)分析：在攻擊發(fā)生前，對(duì)網(wǎng)絡(luò)的狀況進(jìn)行安全評(píng)估，對(duì)暴露的問(wèn)題進(jìn)行及時(shí)的改正，加固網(wǎng)絡(luò)，提升網(wǎng)絡(luò)的安全性。安全評(píng)估方法如圖所示：安全評(píng)估方法1.安全掃描2.人工審計(jì)3.滲透測(cè)試4.調(diào)查問(wèn)卷5.訪談?wù){(diào)研安全掃描工作目標(biāo)：為了充分了解目標(biāo)系統(tǒng)當(dāng)前的網(wǎng)絡(luò)安全漏洞狀況，需要利用掃描分析評(píng)估工具對(duì)目標(biāo)系統(tǒng)進(jìn)行掃描，以便發(fā)現(xiàn)相關(guān)漏洞。工作內(nèi)容：系統(tǒng)開(kāi)放的端口號(hào)系統(tǒng)中存在的安全漏洞是否存在弱口令SQL注入漏洞跨站腳本漏洞工作輸出掃描工具生成結(jié)果安全掃描人工審計(jì)滲透測(cè)試問(wèn)卷調(diào)查訪談?wù){(diào)研掃描工具工具類(lèi)型工具名稱(chēng)用途掃描類(lèi)型端口掃描軟件superscan

功能強(qiáng)大的端口掃描軟件：通過(guò)Ping來(lái)檢驗(yàn)IP是否在線；檢驗(yàn)?zāi)繕?biāo)計(jì)算機(jī)提供的服務(wù)類(lèi)別；檢驗(yàn)一定范圍目標(biāo)計(jì)算機(jī)的是否在線和端口情況。Nmap是Linux下的網(wǎng)絡(luò)掃描和嗅探工具包。基本功能：一是探測(cè)一組主機(jī)是否在線；其次是掃描主機(jī)端口，嗅探所提供的網(wǎng)絡(luò)服務(wù)；還可以推斷主機(jī)所用的操作系統(tǒng)。漏洞掃描工具Sparta集成于Kali內(nèi)的漏洞掃描工具，能夠發(fā)現(xiàn)系統(tǒng)中開(kāi)啟的服務(wù)以及開(kāi)放端口，還可以根據(jù)字典，暴力破解應(yīng)用的用戶名和密碼。應(yīng)用掃描BurpSuiteBurpSuite是用于滲透web應(yīng)用程序的集成平臺(tái)。它包含了許多工具，并為這些工具設(shè)計(jì)了許多接口，以促進(jìn)加快攻擊應(yīng)用程序的過(guò)程。Superscan工具使用展示如圖，使用Superscan對(duì)實(shí)驗(yàn)環(huán)境中的web服務(wù)器進(jìn)行掃描，測(cè)試如圖：查看Superscan掃描結(jié)果在“Scan”菜單欄，點(diǎn)解“ViewHTMLResult”查看掃描結(jié)果，如下圖：Nmap工具使用展示選擇“Application”中的“InformationGathering”，點(diǎn)擊“Nmap”，如圖：查看Nmap掃描結(jié)果根據(jù)Nmap工具的參數(shù)規(guī)則，對(duì)目標(biāo)系統(tǒng)進(jìn)行信息收集，如下圖是對(duì)主機(jī)開(kāi)放的TCP端口進(jìn)行掃描：Sparta工具使用展示選擇“Application”中的“VulnerabilityAnalysis”，點(diǎn)擊“Sparta”，如圖：查看Sparta掃描結(jié)果在操作界面添加要掃描的地址網(wǎng)段或主機(jī)地址，進(jìn)行掃描，如圖展示了目標(biāo)主機(jī)開(kāi)放的端口及應(yīng)用，而且可以查看操作系統(tǒng)的信息：BurpSuite使用展示BurpSuite會(huì)向應(yīng)用發(fā)送請(qǐng)求并通過(guò)payload驗(yàn)證漏洞。它對(duì)下列的兩類(lèi)漏洞有很好的掃描效果：客戶端的漏洞，像XSS、Http頭注入、操作重定向；服務(wù)端的漏洞，像SQL注入、命令行注入、文件遍歷。BurpSuite掃描結(jié)果在Results界面，自動(dòng)顯示隊(duì)列中已經(jīng)掃描完成的漏洞明細(xì)。人工審計(jì)工作目標(biāo)人工審計(jì)是對(duì)工具評(píng)估的一種補(bǔ)充，它不需要在被評(píng)估的目標(biāo)系統(tǒng)上安裝任何軟件，對(duì)目標(biāo)系統(tǒng)的運(yùn)行和狀態(tài)沒(méi)有任何影響，在不允許安裝軟件進(jìn)行檢查的重要主機(jī)上顯得非常有用。工作內(nèi)容安全專(zhuān)家對(duì)包括主機(jī)系統(tǒng)、業(yè)務(wù)系統(tǒng)、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等在內(nèi)的目標(biāo)系統(tǒng)進(jìn)行人工檢查。檢查的內(nèi)容視檢查目標(biāo)不同將可能涵蓋以下方面：是否安裝最新補(bǔ)丁是否使用服務(wù)最小化原則，是否開(kāi)啟了不必要的服務(wù)和端口防火墻配置策略是否正確安全掃描人工審計(jì)滲透測(cè)試問(wèn)卷調(diào)查訪談?wù){(diào)研滲透測(cè)試滲透測(cè)試是作為外部審查的一部分而進(jìn)行的。這種測(cè)試需要探查系統(tǒng)，以發(fā)現(xiàn)操作系統(tǒng)和任何網(wǎng)絡(luò)服務(wù)，并檢查這些網(wǎng)絡(luò)服務(wù)有無(wú)漏洞。滲透測(cè)試的流程如下：1信息收集、分析2制定滲透方案、實(shí)施準(zhǔn)備3前段信息匯報(bào)、分析4提升權(quán)限、滲透實(shí)施5滲透結(jié)果總結(jié)6輸出滲透測(cè)試報(bào)告7提出安全解決建議安全掃描滲透測(cè)試問(wèn)卷調(diào)查訪談?wù){(diào)研滲透測(cè)試調(diào)查問(wèn)卷調(diào)查對(duì)象網(wǎng)絡(luò)系統(tǒng)管理員、安全管理員、技術(shù)負(fù)責(zé)人等調(diào)查內(nèi)容業(yè)務(wù)、資產(chǎn)、威脅、脆弱性（管理方面）。設(shè)計(jì)原完整性、具體性、簡(jiǎn)潔性、一致性安全掃描滲透測(cè)試問(wèn)卷調(diào)查訪談?wù){(diào)研滲透測(cè)試訪談?wù){(diào)研訪談對(duì)象安全管理員、技術(shù)負(fù)責(zé)人、網(wǎng)絡(luò)系統(tǒng)管理員等訪談內(nèi)容確認(rèn)問(wèn)卷調(diào)查結(jié)果詳細(xì)獲取管理執(zhí)行現(xiàn)狀聽(tīng)取用戶想法和意見(jiàn)安全掃描滲透測(cè)試問(wèn)卷調(diào)查訪談?wù){(diào)研滲透測(cè)試安全運(yùn)營(yíng)概念安全運(yùn)營(yíng)內(nèi)容簡(jiǎn)述數(shù)據(jù)監(jiān)控主動(dòng)分析被動(dòng)采集數(shù)據(jù)分析被動(dòng)獲取被動(dòng)獲?。寒?dāng)攻擊發(fā)生時(shí)，及時(shí)采集數(shù)據(jù)，分析攻擊使用的方法，以及網(wǎng)絡(luò)存在的問(wèn)題，進(jìn)行及時(shí)的補(bǔ)救，減少損失。數(shù)據(jù)采集方式如下所示：數(shù)據(jù)采集抓包命令行抓包軟件端口鏡像日志網(wǎng)絡(luò)設(shè)備日志操作系統(tǒng)日志抓包-命令行(1)命令行：查看OSPF鄰居建立過(guò)程。<Switch>debuggingospfeventApr12201812:03:16.370.1-05:00SW3RM/6/RMDEBUG:FileID:0x7017802dLine:1136Level:0x20OSPF1:Nbr4RcvHelloReceivedStateDown->Init.Apr12201812:03:16.380.1-05:00SW3RM/6/RMDEBUG:FileID:0x7017802dLine:1732Level:0x20OSPF1:Nbr4Rcv2WayReceivedStateInit->2Way.Apr12201812:03:16.390.1-05:00SW3RM/6/RMDEBUG:FileID:0x7017802dLine:1732Level:0x20OSPF1:Nbr4RcvAdjOk?State2Way->ExStart.Apr12201812:03:16.400.1-05:00SW3RM/6/RMDEBUG:FileID:0x7017802dLine:1845Level:0x20OSPF1:Nbr4RcvNegotiationDoneStateExStart->Exchange.Apr12201812:03:16.410.1-05:00SW3RM/6/RMDEBUG:FileID:0x7017802dLine:1957Level:0x20OSPF1:Nbr4RcvExchangeDoneStateExchange->Loading.Apr12201812:03:16.430.1-05:00SW3RM/6/RMDEBUG:FileID:0x7017802dLine:2359Level:0x20OSPF1:Nbr4RcvLoadingDoneStateLoading->Full.抓包-命令行(2)命令行：查看OSPF報(bào)文信息具體內(nèi)容。<Switch>debuggingospfpacketApr12201812:05:42.930.2-05:00SW3RM/6/RMDEBUG:SourceAddress:4Apr12201812:05:42.930.3-05:00SW3RM/6/RMDEBUG:DestinationAddress:Apr12201812:05:42.940.1-05:00SW3RM/6/RMDEBUG:Ver#2,Type:1(Hello)Apr12201812:05:42.940.2-05:00SW3RM/6/RMDEBUG:Length:48,Router:4Apr12201812:05:42.940.3-05:00SW3RM/6/RMDEBUG:Area:,Chksum:4dcfApr12201812:05:42.940.4-05:00SW3RM/6/RMDEBUG:AuType:00Apr12201812:05:42.940.5-05:00SW3RM/6/RMDEBUG:Key(ascii):********dApr12201812:05:42.940.6-05:00SW3RM/6/RMDEBUG:NetMask:eApr12201812:05:42.940.7-05:00SW3RM/6/RMDEBUG:HelloInt:10,Option:_E_Apr12201812:05:42.940.8-05:00SW3RM/6/RMDEBUG:RtrPriority:1,DeadInt:40Apr12201812:05:42.940.9-05:00SW3RM/6/RMDEBUG:DR:4Apr12201812:05:42.940.1-05:00SW3RM/6/RMDEBUG:BDR:3Apr12201812:05:42.940.2-05:00SW3RM/6/RMDEBUG:#AttachedNeighbors:1Apr12201812:05:42.940.3-05:00SW3RM/6/RMDEBUG:Neighbor:3抓包-工具(1)使用wireshark抓包工具，查看OSPF鄰居建立過(guò)程。抓包-工具(2)使用wireshark抓包工具，查看OSPF報(bào)文信息具體內(nèi)容。端口鏡像端口鏡像是指設(shè)備復(fù)制從鏡像端口流經(jīng)的報(bào)文，并將此報(bào)文傳送到指定的觀察端口進(jìn)行分析和監(jiān)控。監(jiān)控設(shè)備鏡像端口觀察端口Client1Client2Client3網(wǎng)絡(luò)設(shè)備日志以USG6330為例，支持日志與報(bào)表，當(dāng)硬盤(pán)不在位時(shí)，僅能查看并導(dǎo)出系統(tǒng)日志及業(yè)務(wù)日志。硬盤(pán)不在位：硬盤(pán)在位：防火墻日志格式防火墻支持的日志格式：格式使用場(chǎng)景二進(jìn)制格式會(huì)話日志以二進(jìn)制格式輸出時(shí)，占用的網(wǎng)絡(luò)資源較少，但不能在FW上直接查看，需要輸出到日志服務(wù)器查看。Syslog格式話日志、丟包日志以及系統(tǒng)日志以Syslog格式輸出時(shí)，日志的信息以文本格式呈現(xiàn)。Netflow格式對(duì)于會(huì)話日志，F(xiàn)W還支持以Netflow格式輸出到日志服務(wù)器進(jìn)行查看，便于管理員分析網(wǎng)絡(luò)中的IP報(bào)文流信息。Dataflow格式業(yè)務(wù)日志以Dataflow格式輸出，在日志服務(wù)器上查看。系統(tǒng)日志以防火墻USG6000為例，查看系統(tǒng)日志：選擇“監(jiān)控>日志>系統(tǒng)日志”，查看防火墻的系統(tǒng)日志信息。業(yè)務(wù)日志以防火墻USG6000為例，查看業(yè)務(wù)日志：選擇“監(jiān)控>日志>業(yè)務(wù)日志”，查看防火墻的業(yè)務(wù)日志信息。告警信息以防火墻USG6000為例，查看業(yè)務(wù)日志：選擇“監(jiān)控>日志>告警信息”，查看防火墻的告警信息。操作系統(tǒng)日志以windows為例，點(diǎn)擊“開(kāi)始”，右鍵“計(jì)算機(jī)”，選擇“管理”，選擇“系統(tǒng)工具>事件查看器>Windows日志”，如下圖：以windows操作系統(tǒng)為例，操作系統(tǒng)日志分為：系統(tǒng)日志應(yīng)用程序日志安全日志W(wǎng)indows日志分類(lèi)Windows系統(tǒng)日志類(lèi)型：日志類(lèi)型作用Vista/Win7/Win8//Win10/Server2008/Server2012存儲(chǔ)位置系統(tǒng)日志記錄操作系統(tǒng)組件產(chǎn)生的事件，主要包括驅(qū)動(dòng)程序、系統(tǒng)組件和應(yīng)用軟件的崩潰以及數(shù)據(jù)。%SystemRoot%\System32\Winevt\Logs\System.evtx應(yīng)用程序日志包含由應(yīng)用程序或系統(tǒng)程序記錄的事件，主要記錄程序運(yùn)行方面的事件。%SystemRoot%\System32\Winevt\Logs\Application.evtx安全日志記錄系統(tǒng)的安全審計(jì)事件，包含各種類(lèi)型的登錄日志、對(duì)象訪問(wèn)日志、進(jìn)程追蹤日志、特權(quán)使用、帳號(hào)管理、策略變更、系統(tǒng)事件。%SystemRoot%\System32\Winevt\Logs\Security.evtxWindows日志存儲(chǔ)位置以安全日志為例，選擇“屬性”，查看日志的具體信息，如下圖：Windows日志事件類(lèi)型日志事件類(lèi)型：事件類(lèi)型作用信息（Information）應(yīng)用程序、驅(qū)動(dòng)程序或服務(wù)的成功操作的事件。警告（Warning）不是直接的、主要的，但是會(huì)導(dǎo)致將來(lái)問(wèn)題的發(fā)生。例如，當(dāng)磁盤(pán)空間不足或未找到打印機(jī)時(shí)，都會(huì)記錄一個(gè)“警告”事件。錯(cuò)誤（Error）錯(cuò)誤事件通常指功能和數(shù)據(jù)的丟失。例如,如果一個(gè)服務(wù)不能作為系統(tǒng)引導(dǎo)被加載，那么它會(huì)產(chǎn)生一個(gè)錯(cuò)誤事件。成功審核（Successaudit）成功的審核安全訪問(wèn)嘗試，主要是指安全性日志，這里記錄著用戶登錄/注銷(xiāo)、對(duì)象訪問(wèn)、特權(quán)使用、賬戶管理、策略更改、詳細(xì)跟蹤、目錄服務(wù)訪問(wèn)、賬戶登錄等事件，例如所有的成功登錄系統(tǒng)都會(huì)被記錄為“成功審核”事件。失敗審核（Failureaudit）失敗的審核安全登錄嘗試，例如用戶試圖訪問(wèn)網(wǎng)絡(luò)驅(qū)動(dòng)器失敗，則該嘗試會(huì)被作為失敗審核事件記錄下來(lái)。Windows日志格式Windows日志由兩部分組成：頭部字段和描述字段。安全運(yùn)營(yíng)概念安全運(yùn)營(yíng)內(nèi)容簡(jiǎn)述數(shù)據(jù)監(jiān)控?cái)?shù)據(jù)分析日志分析分析工具介紹數(shù)據(jù)分析打擊計(jì)算機(jī)網(wǎng)絡(luò)犯罪的關(guān)鍵，是如何在計(jì)算機(jī)系統(tǒng)中提取和分析計(jì)算機(jī)犯罪分子留在計(jì)算機(jī)中的“痕跡”，使之成為能夠追蹤并抓獲犯罪嫌疑人的重要手段和方法。網(wǎng)絡(luò)中發(fā)生的重要事件都會(huì)被記錄在日志中，因此，對(duì)日志的分析尤為重要。網(wǎng)絡(luò)設(shè)備日志操作系統(tǒng)日志事件WhoWhenWhereHowWhat日志分析事件日志分析要點(diǎn)Who用戶訪客When時(shí)間where位置設(shè)備接口服務(wù)How有線無(wú)線VPNWhat行為設(shè)備類(lèi)型資源網(wǎng)絡(luò)設(shè)備日志分析以防火墻為例，可以通過(guò)日志，分析攻擊行為。如下圖，通過(guò)“威脅日志”發(fā)現(xiàn)存在IPSpoofAttack，并可以獲得攻擊的時(shí)間，使用的協(xié)議，接收接口等信息。操作系統(tǒng)日志分析由于日志中記錄了操作系統(tǒng)的所有事件，在大量的信息中快速篩選出關(guān)鍵信息尤為重要。Windows操作系統(tǒng)中可以根據(jù)需要篩選關(guān)鍵事件，如下圖：用戶登錄與注銷(xiāo)事件分析使用場(chǎng)景：判斷哪些用戶登錄過(guò)操作系統(tǒng)。分析用戶對(duì)操作系統(tǒng)的使用情況。事件ID：4624–登陸成功（安全日志）4625–登錄失?。ò踩罩荆?634–注銷(xiāo)成功（安全日志）4672–使用超級(jí)用戶（管理員）進(jìn)行登錄（安全日志）用戶登錄成功與失敗事件如圖，分別展示了安全日志中記錄的用戶登陸成功，登錄失敗的具體日志信息。用戶注銷(xiāo)與特權(quán)登錄事件如圖，分別展示了安全日志中記錄的用戶注銷(xiāo)與使用特權(quán)登錄的具體日志信息。修改系統(tǒng)時(shí)間事件分析使用場(chǎng)景：查找用戶修改系統(tǒng)時(shí)間的證據(jù)。事件ID：1–Kernel-General（系統(tǒng)日志）4616–更改系統(tǒng)時(shí)間（安全日志）修改系統(tǒng)時(shí)間事件日志如圖，分別展示了系統(tǒng)日志與安全日志中記錄的修改系統(tǒng)時(shí)間的事件。外部設(shè)置使用事件分析使用場(chǎng)景：分析哪些硬件設(shè)備何時(shí)安裝到系統(tǒng)中。事件ID：20001/20003–即插即用驅(qū)動(dòng)安裝（系統(tǒng)日志）外部設(shè)置使用事件日志如圖，展示了系統(tǒng)日志中記錄的外部設(shè)備驅(qū)動(dòng)安裝的事件。安全運(yùn)營(yíng)概念安全運(yùn)營(yíng)內(nèi)容簡(jiǎn)述數(shù)據(jù)監(jiān)控?cái)?shù)據(jù)分析日志分析分析工具介紹日志分析工具LogParser是微軟公司出品的日志分析工具，它功能強(qiáng)大，使用簡(jiǎn)單，可以分析基于文本的日志文件、XML文件、CSV（逗號(hào)分隔符）文件，以及操作系統(tǒng)的事件日志、注冊(cè)表、文件系統(tǒng)、ActiveDirectory。但需要能夠熟練的使用SQL語(yǔ)言。LogParserLizard使用圖形界面，比較易于使用，甚至不需要記憶繁瑣的命令，只需要做好設(shè)置，寫(xiě)好基本的SQL語(yǔ)句，就可以直觀的得到結(jié)果。LogParserLizard使用展示(1)如圖，展示了使用LogParserLizard篩選“TOP1000WindowsEvent”的結(jié)果。LogParserLizard使用展示(2)如圖，展示了使用LogParserLizard篩選“CounteventtypesfromSystem”的結(jié)果。安全評(píng)估方法不包括以下哪個(gè)選項(xiàng)？（）安全掃描人工審計(jì)滲透測(cè)試調(diào)查取證Windows日志分類(lèi)不包括以下哪個(gè)選項(xiàng)？（）系統(tǒng)日志安全日志應(yīng)用程序日志業(yè)務(wù)日志業(yè)務(wù)連續(xù)性計(jì)劃和災(zāi)難恢復(fù)計(jì)劃有什么區(qū)別？安全運(yùn)營(yíng)概念安全運(yùn)營(yíng)內(nèi)容簡(jiǎn)述數(shù)據(jù)監(jiān)控：主動(dòng)分析、被動(dòng)采集數(shù)據(jù)分析：日志分析、分析工具介紹電子取證推進(jìn)全球互聯(lián)網(wǎng)治理體系變革是大勢(shì)所趨、人心所向。國(guó)際網(wǎng)絡(luò)空間治理應(yīng)該堅(jiān)持多邊參與、多方參與,發(fā)揮政府、國(guó)際組織、互聯(lián)網(wǎng)企業(yè)、技術(shù)社群、民間機(jī)構(gòu)、公民個(gè)人等主體作用。文字學(xué)習(xí)民族品牌強(qiáng)大的中國(guó)芯拓展主題愛(ài)國(guó)主義、科技強(qiáng)國(guó)、技能強(qiáng)國(guó)隨著信息技術(shù)的不斷發(fā)展，計(jì)算機(jī)越來(lái)越多地參與到人們的工作與生活中。與計(jì)算機(jī)相關(guān)的法庭案例，如電子商務(wù)糾紛、計(jì)算機(jī)犯罪等也不斷出現(xiàn)。判定或處置各類(lèi)糾紛和刑事案件過(guò)程中，一種新的證據(jù)形式——電子證據(jù)，逐漸成為新的訴訟證據(jù)之一。電子證據(jù)本身和取證過(guò)程的許多有別于傳統(tǒng)物證和取證方法的特點(diǎn)，對(duì)司法和計(jì)算機(jī)科學(xué)領(lǐng)域都提出了新的研究課題。本章我們將通過(guò)介紹電子取證的過(guò)程，展示電子取證使用的技術(shù)和工具。學(xué)完本課程后，您將能夠：描述電子取證的過(guò)程描述電子取證的技術(shù)使用電子取證的相關(guān)工具電子取證概覽計(jì)算機(jī)犯罪電子取證概述電子取證過(guò)程計(jì)算機(jī)犯罪定義：行為人違反國(guó)家規(guī)定，故意侵入計(jì)算機(jī)信息系統(tǒng)，或者利用各種技術(shù)手段對(duì)計(jì)算機(jī)信息系統(tǒng)的功能及有關(guān)數(shù)據(jù)、應(yīng)用程序等進(jìn)行破壞；制作、傳播計(jì)算機(jī)病毒；影響計(jì)算機(jī)系統(tǒng)正常運(yùn)行且造成嚴(yán)重后果的行為。計(jì)算機(jī)犯罪無(wú)外乎以下兩種方式：利用計(jì)算機(jī)存儲(chǔ)有關(guān)犯罪活動(dòng)的信息；直接利用計(jì)算機(jī)作為犯罪工具進(jìn)行犯罪活動(dòng)。計(jì)算機(jī)犯罪特點(diǎn)近年來(lái)，計(jì)算機(jī)犯罪案例呈逐年上升趨勢(shì)，且呈現(xiàn)以下特點(diǎn)：手段專(zhuān)業(yè)動(dòng)機(jī)復(fù)雜、多樣形式隱蔽具有跨國(guó)性潛在危害巨大成員多且低齡化計(jì)算機(jī)犯罪特點(diǎn)計(jì)算機(jī)犯罪動(dòng)機(jī)計(jì)算機(jī)犯罪的犯罪動(dòng)機(jī)復(fù)雜、多樣，具體如下：惡作劇報(bào)復(fù)利益驅(qū)動(dòng)揚(yáng)名無(wú)知政治目的犯罪動(dòng)機(jī)閑極無(wú)聊又具備一定的技能，總想訪問(wèn)所有感興趣的站點(diǎn)證明自己的實(shí)力，得到同類(lèi)的尊敬與認(rèn)可被停職，解雇，降職或不公正的待遇，進(jìn)行報(bào)復(fù)，后果很可怕正在學(xué)習(xí)計(jì)算機(jī)和網(wǎng)絡(luò)，無(wú)意中發(fā)現(xiàn)一個(gè)弱點(diǎn)漏洞可能導(dǎo)致數(shù)據(jù)摧毀或執(zhí)行誤操作為獲巨額報(bào)酬受雇于人，幫人攻入目標(biāo)系統(tǒng)盜竊或篡改信息破壞，竊取情報(bào)，信息戰(zhàn)計(jì)算機(jī)犯罪形式計(jì)算機(jī)犯罪形式多種多樣，下圖列舉了常見(jiàn)的幾種形式：木馬黑客后門(mén)DDoS病毒蠕蟲(chóng)內(nèi)、外部泄密網(wǎng)絡(luò)犯罪形式電子取證概覽計(jì)算機(jī)犯罪電子取證概述電子取證過(guò)程電子取證概述電子證據(jù)（ElectronicEvidence）電子證據(jù)是指在計(jì)算機(jī)或計(jì)算機(jī)系統(tǒng)運(yùn)行過(guò)程中產(chǎn)生的，以其記錄的內(nèi)容來(lái)證明案件事實(shí)的電磁記錄物。電子證據(jù)亦稱(chēng)為數(shù)字證據(jù)、計(jì)算機(jī)證據(jù)。電子證據(jù)文本圖形圖像動(dòng)畫(huà)音頻視頻電子證據(jù)來(lái)源司法實(shí)踐中常見(jiàn)的電子證據(jù)可分為三類(lèi)：與現(xiàn)代通信技術(shù)有關(guān)的電子證據(jù)；與廣播技術(shù)、電視技術(shù)、電影技術(shù)等其他現(xiàn)代信息技術(shù)有關(guān)的電子證據(jù)；與計(jì)算機(jī)技術(shù)或網(wǎng)絡(luò)技術(shù)有關(guān)的電子證據(jù)。通信類(lèi)手機(jī)錄音聊天記錄電傳資料傳真資料電視劇錄像電影廣播、電視、電影類(lèi)數(shù)據(jù)庫(kù)操作記錄瀏覽器緩存記錄網(wǎng)絡(luò)監(jiān)控流量操作系統(tǒng)日志計(jì)算機(jī)、網(wǎng)絡(luò)類(lèi)電子證據(jù)特點(diǎn)電子證據(jù)必須借助計(jì)算機(jī)技術(shù)和存儲(chǔ)技術(shù)等，離開(kāi)了高科技的技術(shù)設(shè)備，電子證據(jù)無(wú)法保存和傳輸。電子證據(jù)不是單一的數(shù)據(jù)、圖像或聲音，而是數(shù)據(jù)、聲音、圖像、圖形、動(dòng)畫(huà)、文本的結(jié)合。由于對(duì)計(jì)算機(jī)等電子數(shù)字設(shè)備的依賴(lài)性，電子證據(jù)的形成、傳輸環(huán)節(jié)容易被破壞，很可能會(huì)使電子證據(jù)遭到破壞，無(wú)法反映真實(shí)情況。運(yùn)用黑客手段入侵電腦網(wǎng)絡(luò)系統(tǒng)，盜用密碼對(duì)電子數(shù)據(jù)任意篡改，就會(huì)改變電子證據(jù)的本來(lái)面目，給證據(jù)認(rèn)定帶來(lái)困難。電子證據(jù)是以電子形式存儲(chǔ)在各種電子設(shè)備上的，它以光、電、磁形式存在，不像傳統(tǒng)證據(jù)那樣能為人直接看到聽(tīng)到接觸到。電子證據(jù)能夠反映的事實(shí)是一個(gè)動(dòng)態(tài)連續(xù)的過(guò)程，較直觀地再現(xiàn)了現(xiàn)場(chǎng)情景，所以也具有生動(dòng)形象性。高科技性多樣性脆弱性、易破壞性動(dòng)態(tài)傳輸性、生動(dòng)形象性無(wú)形性人為性電子證據(jù)特點(diǎn)計(jì)算機(jī)取證概念計(jì)算機(jī)取證（ComputerForensics）亦被稱(chēng)為數(shù)字取證或電子取證。定義：計(jì)算機(jī)取證是指對(duì)能夠?yàn)榉ㄍソ邮艿?、足夠可靠和有說(shuō)服性的，存在于計(jì)算機(jī)和相關(guān)外設(shè)中的電子證據(jù)的確認(rèn)、保護(hù)、提取和歸檔以及法庭出示的過(guò)程。電子取證相關(guān)規(guī)定與標(biāo)準(zhǔn)美國(guó)自1976年的FederalRulesofEvidence起，美國(guó)出現(xiàn)了一些法律解決由電子證據(jù)帶來(lái)的問(wèn)題：TheEconomicEspionageActof1976：處理商業(yè)機(jī)密竊取問(wèn)題；TheElectronicCommunicationsPrivacyActof1986：處理電子通信的竊聽(tīng)問(wèn)題；TheComputerSecurityActof1987(PublicLaw100-235)：處理政府計(jì)算機(jī)系統(tǒng)的安全問(wèn)題。IETF早在2002年2月就發(fā)布了RFC3227((電子證據(jù)收集、保管指南》，而ITU則在2009年4月發(fā)布了電子證據(jù)法案》的草案和《了解網(wǎng)絡(luò)犯罪：針對(duì)發(fā)展中國(guó)家的犯罪》，并在2012年9月發(fā)布了《了解網(wǎng)絡(luò)犯罪：現(xiàn)象、挑戰(zhàn)和法律相應(yīng)》。IETF國(guó)際標(biāo)準(zhǔn)化組織信息安全技術(shù)委員會(huì)在2012年10月發(fā)布了《電子證據(jù)識(shí)別、收集、獲取和保存指南》(ISO/IEC27037：2012)中國(guó)2005年《公安機(jī)關(guān)電子數(shù)據(jù)鑒定規(guī)則》明確要求公安機(jī)關(guān)電子數(shù)據(jù)鑒定人應(yīng)當(dāng)履行并遵守行業(yè)標(biāo)準(zhǔn)和檢驗(yàn)鑒定規(guī)程規(guī)定的義務(wù)；2006年《公安機(jī)關(guān)鑒定機(jī)構(gòu)登記管理辦法》(公安部令第83號(hào))明確將鑒定機(jī)構(gòu)遵守技術(shù)標(biāo)準(zhǔn)的情況納入公安登記管理部門(mén)年度考核的內(nèi)容中；2007年《司法鑒定程序通則》(司法部令第107號(hào))對(duì)鑒定人采納技術(shù)標(biāo)準(zhǔn)問(wèn)題做出了詳細(xì)的要求。國(guó)際標(biāo)準(zhǔn)化組織電子取證現(xiàn)狀與趨勢(shì)現(xiàn)狀形勢(shì)趨勢(shì)現(xiàn)狀1.我國(guó)的計(jì)算機(jī)普及與應(yīng)用起步較晚，相關(guān)的法律法規(guī)仍不完善；2.學(xué)界對(duì)計(jì)算機(jī)犯罪的研究也主要集中于計(jì)算機(jī)犯罪的特點(diǎn)、預(yù)防對(duì)策及其給人類(lèi)帶來(lái)的影響，取證技術(shù)己不能滿足打擊計(jì)算機(jī)犯罪、保護(hù)網(wǎng)絡(luò)與信息安全的要求；3.需要自主開(kāi)發(fā)適合我國(guó)國(guó)情的、能夠全面檢查計(jì)算機(jī)與網(wǎng)絡(luò)系統(tǒng)的計(jì)算機(jī)取證的工具與軟件。趨勢(shì)1.取證技術(shù)融合其他理論和技術(shù)（如人工智能、機(jī)器學(xué)習(xí)、神經(jīng)網(wǎng)絡(luò)和數(shù)據(jù)挖掘理論及信息安全技術(shù)）；2.取證工具的專(zhuān)業(yè)化和自動(dòng)化；3.在網(wǎng)絡(luò)協(xié)議設(shè)計(jì)過(guò)程中考慮到未來(lái)取證的需要，為潛在的取證活動(dòng)保留充足信息。電子取證概覽電子取證過(guò)程取證原則完整性合法性連續(xù)性全面性及時(shí)性原則盡早搜集證據(jù)，并保證其沒(méi)有受到任何破壞。在證據(jù)被正式提交時(shí)，必須能夠說(shuō)明在證據(jù)從最初的獲取狀態(tài)到證據(jù)出示之間的變化。整個(gè)檢查、取證過(guò)程必須是受到監(jiān)督的；如果可能并且法律允許，訪問(wèn)被保護(hù)或加密文件的內(nèi)容。搜索目標(biāo)系統(tǒng)中的所有文件；全面分析結(jié)果，給出必要的專(zhuān)家證明。在取證檢查中，保護(hù)目標(biāo)計(jì)算機(jī)系統(tǒng)，避免發(fā)生任何的改變、數(shù)據(jù)破壞或病毒感染。電子取證過(guò)程根據(jù)電子證據(jù)的特點(diǎn)，在進(jìn)行計(jì)算機(jī)取證時(shí)，首先要盡早搜集證據(jù)，并保證其沒(méi)有受到任何破壞。取證工作一般按照下面步驟進(jìn)行：保護(hù)現(xiàn)場(chǎng)獲取證據(jù)保全證據(jù)鑒定證據(jù)分析證據(jù)進(jìn)行追蹤出示證據(jù)保護(hù)現(xiàn)場(chǎng)取證時(shí)首先必須凍結(jié)目標(biāo)計(jì)算機(jī)系統(tǒng)，不給犯罪嫌疑人破壞證據(jù)的機(jī)會(huì)。避免出現(xiàn)任何更改系統(tǒng)設(shè)置、損壞硬件、破壞數(shù)據(jù)或病毒感染的情況。證據(jù)被正式提交時(shí)，必須能夠說(shuō)明在證據(jù)從最初的獲取狀態(tài)到證據(jù)出示之間的變化，當(dāng)然最好是沒(méi)有任何變化。特別重要的是，計(jì)算機(jī)取證的全部過(guò)程必須是受到監(jiān)督。保護(hù)現(xiàn)場(chǎng)獲取證據(jù)保全證據(jù)鑒定證據(jù)分析證據(jù)進(jìn)行追蹤出示證據(jù)獲取證據(jù)搜索目標(biāo)系統(tǒng)中的所有文件。包括現(xiàn)存的正常文件，已經(jīng)被刪除但仍存在于磁盤(pán)上（即還沒(méi)有被新文件覆蓋）的文件，隱藏文件，受到密碼保護(hù)的文件和加密文件。取證工具：硬件工具軟件工具保護(hù)現(xiàn)場(chǎng)獲取證據(jù)保全證據(jù)鑒定證據(jù)分析證據(jù)進(jìn)行追蹤出示證據(jù)硬件取證工具(1)硬盤(pán)復(fù)制機(jī)：因?yàn)槿∽C過(guò)程不允許對(duì)硬盤(pán)進(jìn)行直接操作，硬盤(pán)復(fù)制機(jī)能夠?qū)τ脖P(pán)內(nèi)容做鏡像，從而保證不會(huì)修改硬盤(pán)內(nèi)的數(shù)據(jù)。硬盤(pán)只讀鎖：用于阻止硬盤(pán)的寫(xiě)入通道，有效的保證存儲(chǔ)介質(zhì)中的數(shù)據(jù)在獲取和分析過(guò)程中不會(huì)被修改，從而保證數(shù)據(jù)的完整性。硬盤(pán)復(fù)制機(jī)硬盤(pán)只讀鎖硬件取證工具(2)取證一體機(jī)：基于拷貝克隆，讀取，銷(xiāo)毀于一體的取證設(shè)備。取證塔：具有手機(jī)取證分析，手機(jī)鏡像，機(jī)芯片鏡像和介質(zhì)取證等功能。介質(zhì)修復(fù)設(shè)備：支持對(duì)電子硬盤(pán)、機(jī)械硬盤(pán)、鏡像文件、U盤(pán)、TF卡等各種電子數(shù)據(jù)存儲(chǔ)介質(zhì)的修復(fù)。取證一體機(jī)取證塔介質(zhì)修復(fù)設(shè)備軟件取證工具為了更好的用于研究和調(diào)查，開(kāi)發(fā)人員創(chuàng)建了多樣的計(jì)算機(jī)取證工具。具體分類(lèi)如下：圖片檢查工具ThumbsPlus反刪除工具HetmanUneraserCD-ROM工具CD-RDiagnostics文本搜索工具dtSearch驅(qū)動(dòng)器映像程序SafeBackSnapBack、Ghost、DD磁盤(pán)擦除工具DiskScrub取證軟件軟件取證工具舉例EnCase是一個(gè)完全集成的基于Windows界面的取證應(yīng)用程序，其功能包括：數(shù)據(jù)瀏覽、搜索、磁盤(pán)瀏覽、數(shù)據(jù)預(yù)覽、建立案例、建立證據(jù)文件、保存案例等。電子取證相關(guān)技術(shù)電子取證相關(guān)技術(shù)：網(wǎng)絡(luò)數(shù)據(jù)包分析取證；日志取證技術(shù)；蜜罐取證技術(shù)；隱蔽代碼取證技術(shù)；數(shù)據(jù)挖掘技術(shù)等。新型取證技術(shù)：芯片取證；云取證；物聯(lián)網(wǎng)取證；邊信道攻擊取證。數(shù)據(jù)包分析取證抓包工具及特點(diǎn)：工具名稱(chēng)使用環(huán)境特點(diǎn)TcpdumpLinux采集過(guò)濾WiresharkLinux&Windows采集過(guò)濾SleuthKitLinux采集過(guò)濾，流重組，數(shù)據(jù)關(guān)聯(lián)ArgusLinux采集過(guò)濾，日志分析SniffersLinux&Windows網(wǎng)絡(luò)流量、數(shù)據(jù)包分析芯片取證JointTestActionGroup（聯(lián)合測(cè)試行動(dòng)組）分析：通過(guò)芯片內(nèi)部的TAP（TestAccessPort，測(cè)試訪問(wèn)端口），訪問(wèn)分析處理器的內(nèi)部寄存器，即使