信息犯罪与计算机取证第五章.PPT

这些信息保存在因特网的临时文件夹中。具体路径为C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files。 如图5-10所示： 图5-10 cache 已删除数据 如果用户将IE浏览器中的临时文件的目录删除，那么则需要使用专门的文件恢复工具（例如Winhex）才可以恢复。 如图5-11所示： 图5-11 恢复已删除数据 6 注册表 Windows操作系统中的一个重要的数据库，用于存储系统和应用程序的设置信息。 例如：HKCU\Software\Microsoft\Internet Explorer\Intelliforms。 这表示用户往表单域输入信息时，默认情况下IE将记录下这些输入信息以加快今后的输入速度。该信息是加密的，使用专门工具可得到姓名、地址、电子邮件地址、密码等信息。 7. 即时通信工具 即时通讯是一种使人们能在网上识别在线用户并与他们实时交换消息的技术，被很多人称为电子邮件发明以来最受欢迎的在线通讯方式。 现今的即时通讯软件主要有腾迅QQ、微软MSN等。 对即时通讯的取证分析主要有2个方面：本地取证和服务器取证，分别都包括对个人用户的配置文档，聊天参与者信息，浏览聊天日志和各种配置信息和日志的分析识别等。 在默认的安装条件下，腾讯QQ位置在C:\Program Files\Tencent ，当然用户可以自行选择安装到其他目录下。用户也可以在注册表项\HKEY_LOCAL_MACHINE\SOFTWARE\Tencent\QQ中查找其安装位置和版本信息。 在QQ主程序目录下，我们可以看见以QQ号为名称的目录。 它直接地说明了已经在本地登录过的用户所有QQ号，然后再打开每个以QQ号为名称的目录下，可以看到相关文件和子目录；这就是取证时要关注的地方。 同时，QQ允许通过客户端发送和接收文件。默认情况下，这些文件存储在C:\Documents and Settings\Administrator\My Documents\My QQ Files的目录中。 这些目录为计算机取证人员调查聊天记录，好友信息等提供了最有力的数据支撑。 思考题与练习 计算机系统的日志有哪些功能和特点？ windows 日志系统的取证方式有哪些？ 简述vista系统的特点。 Linux 系统的日志取证应关注哪些模块？ Unix系统的取证方式 Web服务器的日志分析 邮件服务器SendMail和Exchange 服务器的功能 Apache取证步骤 如何用LogMiner在Oracle数据库中取证 SQL数据库取证程序 网络通信过程中的数据分析有哪几种？ 简述网络监听常用工具 什么是入侵检测系统，取证时的注意事项有哪些？ 什么是蜜罐技术？ 在网页浏览器中如何查找历史记录，cache等信息？ ? ? ? ? ? ? ? 5.4.3 基于Web的攻击 基于Web的攻击一般有三类: 攻击服务器 篡改网页内容 窃取服务器中信息 例如: 对Web页面篡改的行为，攻击者必须拥有对该Web站点Web根目录的写访问权，这可能是由于密码被猜中、操作系统配置不当或应用程序的漏洞造成的，也可能是攻击者对授权域名服务器的侵入造成的. 5.4.4 监听网络 网络监听常常是被攻击者用来窃取用户信息的一种手段，但它同时也可以用来捕捉受怀疑的攻击者的流量，确定或排除疑点，收集补充证据，核查危及的范围。 进行网络监视需要必要的硬件系统支持，比如较高的主频，很大的硬盘空间，足够的内存空间，合适的操作系统，恰当的监听软件等。 同时应考虑进行监听的位置和安全性，为了不被发现，可选择交换机的分析端口(SPAN)和单向的Ethernet电缆等措施。 1. 网络监听工作原理 网络监听技术本来是提供给网络安全管理人员进行管理的工具，可以用来监视网络的状态、数据流动情况以及网络上传输的信息等。 2． 在局域网实现监听的基本原理 对于目前很流行的以太网协议，其工作方式是：将要发送的数据包发往连接在一起的所有主机，包中包含着应该接收数据包主机的正确地址，只有与数据包中目标地址一致的那台主机才能接收。 3. 具体实现 对网卡设置混杂模式是通过原始套接字（raw socket）实现的，这有别于通常是使用的数据流和数据报套接字。 在创建了原始套接字后，需要通过setsockopt()函数来设置IP头操作选项，然后再通过bind( )函数将原始套接字绑定到本地网卡。 这些数据经过了网络层和传输层的打包，因此需要根据其附加的帧头对数据包进行分析。 如图5-8所示： 图5-8 网络监听器窗口 5.4.5 P2P技术  P2P是Peer-To-Peer的缩写，是点对点、