dfr__第8章 数字取证技术.ppt

第8章 数字取证技术 8.1 数字取证概述 8.2 电子证据 8.3 数字取证原则和过程 8.4 网络取证技术 8.5 数字取证常用工具 8.1 数字取证概述 数字取证技术将计算机调查和分析技术应用于对潜在的、有法律效力的电子证据的确定与获取，同样它们都是针对黑客和入侵的，目的都是保障网络的安全。 从计算机取证技术的发展来看，先后有数字取证（Digital Forensics）、电子取证（Electric Forensics）、计算机取证（Computer Forensic）、网络取证（Networks Forensics）等术语。 1．电子取证 电子取证则主要研究除计算机和网络以外的电子产品中的数字证据获取、分析和展示，如数码相机、复印机、传真机甚至有记忆存储功能的家电产品等。 2. 计算机取证 计算机取证的主要方法有对文件的复制、被删除文件的恢复、缓冲区内容获取、系统日志分析等等，是一种被动式的事后措施，不特定于网络环境。 3．网络取证 网络取证更强调对网络安全的主动防御功能，主要通过对网络数据流、审计、主机系统日志等的实时监控和分析，发现对网络系统的入侵行为，记录犯罪证据，并阻止对网络系统的进一步入侵。 8.2 电子证据 8.2.1 电子证据的概念 电子证据是在计算机或计算机系统运行过程中产生的以其记录的内容来证明案件事实的电磁记录物。 8.2.2 电子证据的特点 1．表现形式的多样性 2．存储介质的电子性 3．准确性 4．脆弱性 5．数据的挥发性 8.2.3 常见电子设备中的电子证据 电子证据几乎无所不在。如计算机中的内存、硬盘、光盘、移动存储介质、打印机、扫描仪、带有记忆存储功能的家用电器等。 在这些存储介质中应检查的应用数据包括: 1．用户自建的文档； 2．用户保护文档； 3．计算机创建的文档； 4．其他数据区中的数据证据； 5．ISP计算机系统创建的文档、ftp文件等。 8.3 数字取证原则和过程 8.3.1 数字取证原则 1．尽早搜集证据，并保证其没有受到任何破坏； 2．必须保证取证过程中计算机病毒不会被引入到目标计算机； 3．必须保证“证据连续性”，即在证据被正式提交给法庭时必须保证一直能跟踪证据，要能够说明用于拷贝这些证据的进程是可靠、可复验的等； 4．整个检查、取证过程必须是受到监督的； 5．必须保证提取出来的可能有用的证据不会受到机械或电磁损害； 6．被取证的对象如果必须运行某些商务程序，只能影响一段有限的时间； 7．应当尊重不小心获取的任何关于客户代理人的私人信息。 8.3.2 数字取证过程 数字取证的过程一般可划分为四个阶段： 1．电子证据的确定和收集 要保存计算机系统的状态，避免无意识破坏现场，同时不给犯罪者破坏证据提供机会，以供日后分析。要注意以下几个方面： （1）收集数据前首先要咨询证人使用计算机的习惯。 （2）可以通过质疑来获取目标计算机网络上的相关信息。 （3）咨询系统管理员和其他可能与计算机系统有关系的人员，再次确保掌握了关于备份系统的所有信息和数据可能的储存位置。 （4）不要对硬盘和其他媒介进行任何操作，甚至不要启动它们。 （5）必须保护所有的媒介，对所有媒介进行病毒扫描。 （6）牢记“已删除”并不意味着真的删除了。 （7）对不同类型的计算机采取不同的策略。 2．电子证据的保护 这一阶段将使用原始数据的精确副本，应保证能显示存在于镜像中的所有数据，而且证据必须是安全的，有非常严格的访问控制。为此必须注意以下几点： （l）通过计算副本和原始证据的hash值来保证取证的完整性； （2）通过写保护和病毒审查文档来保证数据没有被添加、删除或修改； （3）使用的硬件和软件工具都必须满足工业上的质量和可靠性标准； （4）取证过程必须可以复验； （5）数据写入的介质在分析过程中应当写保护，以防止被破