2015侦查技术.ppt

linying@ 网络犯罪侦查技术 课程大纲 网络犯罪侦查技术概述 网络攻击模型 常用的网络攻击关键技术原理剖析 Windows系统下的现场数据收集及调查 收集网络证据 网络通信分析 黑客工具研究 病毒原理与防治 防火墙的技术原理与应用 弱点挖掘的技术原理与应用 入侵检测的技术原理与应用 网络诱骗系统原理与应用 计算机及网络攻击应急响应与取证 教材及参考资料 网络攻防技术原理与实战 卿斯汉， 蒋建春，科学出版社 应急响应——计算机犯罪调查 Kevin Mandia, Chris Prosise, 清华大学出版社 网站 中国计算机安全/ 国家计算机网络应急技术处理协调中心 /index.shtml …… 网络犯罪侦查技术概述 网络犯罪 网络犯罪概念 网络犯罪与计算机犯罪 计算机犯罪常用手段 针对网络的犯罪表现形式 网络犯罪的原因及特点 网络犯罪侦查 任务 常用技术 网络犯罪——争议的概念 网络犯罪是犯罪学概念还是刑法学概念 ?? 网络犯罪是基于网络的出现而产生的一种新型犯罪现象 ?? １９９７年修订的刑法典第二百八十五条和二百八十六条规定的非法侵入计算机信息系统罪和破坏计算机信息系统罪在绝大多数的情形下，主要表现为网络犯罪。因此，刑法意义上所使用的网络犯罪一词，实际是指这两个罪名所涵盖的犯罪行为 网络犯罪是工具犯罪还是对象犯罪 ?? 以网络为犯罪对象的犯罪还是通过网络实施的犯罪 广义上的界定，即网络犯罪是以计算机网络为犯罪工具或者犯罪对象而实施的严重危害网络空间安全的行为。包括违反国家规定，直接危害网络安全及网络正常秩序的各种犯罪行为。 网络犯罪与计算机犯罪 计算机犯罪 ?? 以计算机为犯罪工具或以计算机为犯罪对象的犯罪行为 计算机单机犯罪 ?? 对单机信息系统进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行和故意制作、传播计算机病毒等破坏性程序，攻击计算机系统等危害行为 计算机网络犯罪 对互联网的计算机信息系统进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行和故意制作、传播计算机病毒等破坏性程序，攻击计算机系统等危害行为。 两者关系 ?? 随着网络技术的发展和不断普及，二者的界定逐渐模糊。 计算机犯罪所用手段 意大利香肠术 活动天窗 废品利用 数据泄露 电子嗅探器 冒名顶替 社交方法 对程序、数据及系统设备的物理损坏 特洛伊木马术 数据欺骗 逻辑炸弹 电子欺骗技术 口令破解程序 利用扫描器 计算机病毒 意大利香肠术 这种计算机犯罪是采用他人不易觉查的手段，使对方自动做出一连串的细小让步，最后达到犯罪的目的。 活动天窗 所谓活动天窗，是指程序设计者为了对软件进行调试和维护故意设置在计算机软件系统的入口点。通过这些入口可以绕过程序提供的正常安全性检查而进入软件系统。 废品利用 废品利用是指有目的或有选择地在工作现场或从废弃的资料、磁带、磁盘中搜寻具有潜在价值的数据和信息、密码等。如搜集报废的计算机打印文件或其他文件拷贝，获取系统还没有清除的临时输入或输出的数据或磁盘、磁带上的信息。 数据泄露 这是一种有意转移或窃取数据的手段。如有的作案者将一些关键数据混杂在一般性的报表之中，然后在予以提取。有的计算机间谍在计算机系统的中央处理器上安装微型无线电发射机，将计算机处理的内容传送给几公里之外的接收机。如计算机和通信设备辐射出的电磁波信号可以被专用设备接收用于犯罪。 电子嗅探器 英文名称叫sniffer的电子嗅探器是用来截获和收藏在网络上传输的信息的软件或硬件。它可以截获的不仅是用户的帐号和口令，还可以截获敏感的经济数据（如信用卡号）、秘密信息（如电子邮件）和专有信息并可以攻击相邻的网络。需要注意的是，电子嗅探器就象专用间谍器材一样，个人是不允许买卖、持有和使用的，但是公安机关、国家安全机关可以用此来侦破案件或获取情报。 冒名顶替 冒名顶替是利用他人的访问代码，冒充授权用户进入计算机信息系统的方法。其获取他人的访问代码的方式可能是偷窃来的，也可能是利用特洛伊木马术而得到的。 社交方法 这是一种利用社交技巧来骗取合法用户的信任，以获得非法入侵系统所需的口令或权限的方法。 对程序、数据及系统设备的物理损坏 程序、数据及系统设备的存放、运行需要特定的环境，环境达不到要求或改变环境条件，程序、数据及系统设备就有可能物理损坏，而且这种损坏是不可恢复的。如可以利用磁铁消掉磁介质信息，可以在计算机电路间插进金属片造成计算机短路，水、火、静电和一些化学药品都能在短时间内损坏数百万美元的硬件和软件。 特洛伊木马术 特洛伊木马术是公元前120