计算机取证与日志分析.PDF

计算机取证与日志分析 中科院高能所 网络安全课题组 杨泽明 报告内容 1. 计算机取证介绍 2. 计算机取证工具的研究与开发 案例1 案件情况：广东省阳江市一网民梁瑞本因被控乱发色情图片被当地公安 部门罚款1500元；梁瑞本则称是黑客入侵系统后，利用他的机器向外乱发 色情图片，他据此向阳江市江城区法院递交行政起诉状，请求撤消阳江市 公安局对他的处罚。（金羊网-新快报，新浪转载） 破案过程分析：1月17日，该局接到市民投诉，有人给她发送含有7张色 情图片的电子邮件。随后网络警察通过查看邮件信息和市电信局服务器日 志记录，发现了发送该色情图片的电脑IP地址。而依据该地址，查知该IP 地址属梁瑞本的电脑。经向梁本人询问，在投诉人接到邮件的时间里，梁 正在家里上网。带走他的计算机，并在其计算机上发现了那些色情图片。 认定依据：公安局认为，IP地址在网上具有唯一性、排它性。因此可以 证明该邮件正是梁所发，公安局在一个月后依照有关法规对梁作出1500元 的处罚。公安局向法庭提交了关于从电信及投诉人处下载的证据材料。 案例分析 1.取证分析不合理（直接在原始介质上进行分析） 破坏了证据的原始性 可能导致证据破坏，比如属性变化 可能导致证据丢失，比如磁盘空间的覆盖（碎片，恢复） 2.证据不充分，可以获取更多的证据 通过网络取证（比如监控，Sniffer等）获取更多的证据； 现场的其它存储介质，各种纸张、信函等； 在磁盘上寻找其它的辅助证据，比如：浏览器的记录，聊天记录等； 通过磁盘恢复和磁盘碎片分析寻找其它证据。 3.判定的依据不合理 单依据IP来判定网络行为并不科学 案例2 －北京市某版权执法部门 打击盗版软件，涉及微软软件和Adobe软件几 十台 取证过程 什么是计算机取证 • 可理解为“从计算机上提取证据” • 获取、保存 • 分析 • 出示 • 提供的证据必须可信 计算机取证的目标和基本理念 目标 使调查的结果能够经受法庭的检查。 基本理念 应该从一开始就把计算机作为物证对待，在不对原 有物证进行任何改动或损坏的前提下获取证据； 证明你所获取的证据和原有的数据是相同的； 在不改动数据的前提下对其进行分析； 务必确认你已经完整的记录下你采取的每一个步骤 以及采取该步骤的原因。 数字取证模型 取证方法 数字取 和过程 证工具 网络数据 取证技术员 系统日志 法律人员 数字证据 存储介质 系统管理员 计算机现场 数字证据 其它人员 生命周期 数字取证以数字证据为中心，包括取证方法、过程、工 具和人员等多个方面 计算机取证的过程 取证准备(Preparation) 操作准备 设备准备 P I 证据识别(Identification)