网络与信息安全-计算机取证技术94574new.ppt

* * * * * BIOS中硬盘的NORMAL、LAB和LARGE的含义（作者：qurro　2000年07月18日 11:01）现在装硬盘，基本上都是在BIOS中自动查找，而其NORMAL、LAB和LARGE的含义早已无人问津了，能够知晓的人更是少之又少，那么qurro就在这里就给大家简单介绍一下这三着的含义吧。 　　 NORMAL（普通模式），是最早的IDE方式。以此方式访问BIOS和IDE控制器对参数不做任何转换。该模式支持的最大柱面数为1024，最大磁头数为16，最大扇区为63，每个扇区字节数为512。因此这种模式所支持的硬盘最大容量为528MB（1024*16*63*512),既使硬盘实际的物理空间要比这个大，但能够访问的空间也只有528M。 　　 LBA（逻辑寻址方式），这种模式将硬盘访问空间增加至8.4GB，在LBA模式下设置的柱面、磁头、扇区等参数并不是实际硬盘的物理参数，在访问硬盘时，由IDE控制器把硬盘的柱面、磁头、扇区等逻辑地址转换成实际的物理地址。LBA与NORMAL设置的区别就在于可设置的最大磁头数为255（1024*255*63*512）。 　　 LARGE（大硬盘模式），当硬盘的柱面超过1024而又不为LBA所支持时，采用此模式。这种模式是把柱面数除以2，磁头数乘以2，其总容量不改变。 　　  * * * * * * * * * * * * * * * * * * * ?使用公开密钥算法，当你用自己的私钥加密了一个信息，并将其发送给一个朋友时，如果你的朋友能够使用你的公钥来解密出信息，他就能确定信息必定是从你那里发来的，而不是一些冒名顶替的。这实际上就是数字签名的原理。 * ?使用公开密钥算法，当你用自己的私钥加密了一个信息，并将其发送给一个朋友时，如果你的朋友能够使用你的公钥来解密出信息，他就能确定信息必定是从你那里发来的，而不是一些冒名顶替的。这实际上就是数字签名的原理。 * ? * * * 逻辑炸弹是计算机信息系统安全的潜在威胁和隐患,主要是计算机工作人员为保护自身利益,和单位或领导对抗而采用的一种报复行为。在我国由于人事制度改革的不断深入,许多行业的铁饭碗已被打破,加之计算机技术发展迅猛,优胜劣汰在所难免,许多人存在下岗可能,在这种心理恐惧压力下,很可能会作出不利于计算机安全的举动。此类犯罪对计算机内部信息威胁较大,不能等闲视之。一些程序的开发者也常在程序中加入逻辑炸弹以期打击盗版者。 　 * 客观性是指证据必须是客观存在的事实。 关联性是指证据必须与案件有某种联系，对证明案件有实际意义。合法性是指证据必须符合法定的形式，并且证据的收集程序是合法的。 * * * * * * * * * * * * * * * * * * * * * * * * * * * * 电子数据证据鉴定技术 IP地址来源鉴定方法： 利用源路由选项 路由回溯法：沿路由逆向逐站追溯源站。传统DDoS调查方法 开发新取证协议：如Recursive session token protocol used in computer forensics and TCP traceback  --------------------------------------------------------------------------- 电子数据证据鉴定技术 内容分析技术： ? 　　本电子数据主要其中包括两种类型，一种是文件系统中所存在的本地数据或搜集来的网络数据，另一种是周边数据（如未分配的磁盘空间、Slack空间、临时文件或交换文件——其中可能含有与系统中曾发生过的软件的运行，特定操作的执行、曾经进行过的Internet浏览、Email交流等相关的信息），而电子数据证据内容分析技术就是在通过这两种数据流或信息流中寻找、匹配关键词或关键短语，以及对数据中包含的系统曾进行的Internet访问的URL、Email交流的邮件地址进行基于模糊逻辑的分析来试图发现电子证据与犯罪事实之间的客观联系。  --------------------------------------------------------------------------- 电子数据证据鉴定系统示例 --------------------------------------------------------------------------- 国家十五攻关项目：电子数据证据鉴定技术 承担单位：北大青鸟环宇科技股份有限公司 　　　　　 开 始 输入电子数据证据 描述犯罪事实 电子数据分类归档 鉴定目标描述转换为系统可理解格式 抽取与鉴定目标相关的电