电子数据取证技术PPT课件(共12章)第12章电子数据取证综合案例分析.pptxVIP

电子数据取证技术PPT课件(共12章)第12章电子数据取证综合案例分析.pptx

  1. 1、本文档共174页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
  5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
  6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
  7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
  8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
第12章 电子数据取证综合案例分析12.1 案情简介12.2 案件的证据固定12.3 数据分析过程12.4 分析漏洞原因12.5 调查结果与评价12.1 案 情 简 介12.1.1 主要案情 2015年6月9日,P2P金融网站的网站管理人员接到用户投诉,称其账户中的资金不翼而飞。管理员开始误以为是系统错误,经尝试排查后未发现明显异常,在排查过程中又接到多名用户投诉,同样声称其账户中的资金不知去向。管理员此刻才意识到系统可能被黑客入侵,于是立即停止运行服务器中的Web服务和数据库服务,向警方报案以确定攻击者、攻击方法、攻击来源、攻击时间等。12.1.2 取证要求 委托方提取委托要求如下: (1) 对被攻击服务器中的网站、数据库、日志等涉案相关数据进行证据固定。 (2) 对上述证据固定结果进行分析,提取攻击者IP、攻击时间、攻击方法。 (3) 提取攻击者使用的银行卡、身份证等信息并分析攻击者转移资金的方法。 (4) 对攻击者的攻击行为进行分析,找出攻击者使用的漏洞,并分析漏洞形成原因。12.1.3 主要难点问题 近年来,随着司法机关对黑客类案件打击力度的不断增强,恶意的网站攻击者对打击手段也有所了解,具有了一定的反侦察意识。黑客在作案时经常使用代理服务器进行过渡,以隐藏自己的真实IP地址。同时,在进行这类金融类犯罪时,会有一个长期潜伏和准备的过程,尽可能地隐藏自己在被入侵系统中的存在感,减少对系统环境的破坏或修改,从而避免引起系统管理员的察觉。这种作案方式往往会导致更大的损失,与以破坏系统为目的的入侵类案件的手法有明显区别。 12.2 案件的证据固定 根据委托人的要求、案件类型及与委托方详细的沟通后,初步达成以下取证与分析步骤: (1) 了解被入侵服务器的相关参数及运行状态。 (2) 根据服务器的具体状况选择合适的证据固定工具,制订证据固定计划。  (3) 根据证据固定计划对被入侵服务器中所有涉案数据进行证据固定操作。 (4) 对证据固定结果进行分析,提取入侵时间、地点、IP、工具、方法等相关信息。 (5) 出具应急响应报告、计算机司法鉴定报告,对可能存在的系统漏洞提供合理修补建议。12.2.1 了解被入侵服务器的相关参数及运行状态 在正式取证之前,需要对目标服务器进行一个大概了解,并根据目标服务器的情况制订证据固定计划。对被入侵服务器情况介绍如下: (1) 被入侵服务器属于阿里云服务器,委托方提供了该服务器的IP 地址、连接用户名及密码。 (2) 被入侵服务器操作系统是Linux,可直接使用SSH客户端远程登录。 (3) 被入侵服务器Web服务是Apache,使用的编程语言为PHP。 (4) 被入侵服务器后端数据库是MySQL。12.2.2 制订证据固定计划 对服务器的远程证据固定大致包括以下3个步骤: (1) 收集被入侵服务器的系统信息,包括进程、端口、历史命令执行记录、系统日志、磁盘、内存等信息。 (2) 提取被入侵服务器 Web应用配置和相关数据。 (3) 提取被入侵服务器数据库配置和相关数据。12.2.3 选择证据固定工具 本案涉及Linux服务器的远程数据固定,选择的工具包括屏幕录像工具、远程SSH连接工具、远程文件下载工具、服务器系统信息提取工具等。 选择使用系统提供的工具来完成对Linux操作系统基本信息、进程、网络、端口等信息的提取,包括登录日志提取工具last、网络配置管理工具ifconfig、网络数据抓包工具tcpdump、网络端口信息工具netstat等。此外,用到的工具还包括以下几种:  (1) 屏幕录像软件FSCapture。屏幕录像的好处是交互性更好,后续屏幕展示的清晰度要远高于数码摄像机。 (2) 远程连接工具或软件PuTTY。PuTTY是Windows桌面环境中连接类Linux终端服务的首选工具之一。 (3) 远程文件下载工具WinScp。使用WinScp可通过SSH协议直接操作远程Linux服务器中的文件,进行上传、下载、增加、删除等操作,使用方便、直观,易操作。 (4) ?MySQL数据库的固定工具MySqldump。MySqldump是MySQL数据库系统中自带的数据库转储工具。12.2.4 连接到远程服务器 此处选择的连接工具是PuTTY,从上下载程序安装包,安装包MD5值为983d8c71dd6eee85734318。 运行安装完成的PuTTY工具,弹出的配置对话框如图12-1所示。图12-1 配置对话框  设置远程服务器的IP地址,单击“Open”按钮进入登录界面,输入用户名及对应的密码,即可进入系统。 启动屏幕录像软件FSCapture,勾选“Full Screen”单选按钮,再单击“Record”按钮,如图12-2所示。图12-2

文档评论(0)

139****1983 + 关注
实名认证
文档贡献者

副教授、一级建造师持证人

一线教师。

领域认证该用户于2023年06月21日上传了副教授、一级建造师

1亿VIP精品文档

相关文档