第三章计算机取证技术本章将依据法律执行过程模型来介绍相关的计算机取证技术此模型在取证的过程中受法律约束模型的内容1.准备阶段2.收集阶段:包括保护与评估现场,对现场进行记录、归档、证据提取等3.检验阶段4.分析阶段5.报告阶段4.1计算机取证准备4.1.1计算机取证人员培训美国NTI公司:取证设备制造和销售、计算机取证培训4.1.2计算机取证工具操作系统中已经存在的一些命令行工具;工具软件;取证工具包4.1.3应对具体案件的取证准备4.1.2计算机取证工具所需的工具必须要满足整个设备的收集过程,包括:存档、收集、封装和运输。其中数据获取和分析工具是是取证工具包中最基本、最重要的工具。提前准备:工具能够满足要求,它的输出是否可信,如何操作。工具分类1.证据获取工具2.证据保全工具:证物监督链,三种技术3.证据分析工具:证据分析是计算机取证的核心和关键4.证据归档工具:NTI-DOC、encase证据保全工具数据签名用于验证传送对象的完整性以及传送者的身份数字摘要(散列)一般来说,数字签名是用来处理短消息的,而相对于较长的消息则显得有些吃力。当然,可以将长的消息分成若干小段,然后再分别签名。不过,这样做非常麻烦,而且会带来数据完整性的问题。比较合理的做法是在数字签名前对消息先进行数字摘要。数字摘要就是采用单项Hash函数将需要加密的明文“摘要”成一串固定长度(128位)的密文,这一串密文又称为数字指纹。数字时间戳技术对于成功的电子商务应用,要求参与交易各方不能否认其行为。这其中需要在经过数字签名的交易上打上一个可信赖的时间戳,从而解决一系列的实际和法律问题。由于用户桌面时间很容易改变,由该时间产生的时间戳不可信赖,因此需要一个权威第三方来提供可信赖的且不可抵赖的时间戳服务。在书面合同中,文件签署的日期和签名一样均是十分重要的防止文件被伪造和篡改的关键性内容。在电子文件中,同样需对文件的日期和时间信息采取安全措施,而数字时间戳服务(DTS:digitaltime-stampservice)就能提供电子文件发表时间的安全保护。1.一般来说,数字时间戳产生的过程2.用户将需要加时间戳的文件用Hash算法运算行程摘要3.将该摘要发送到DTS4.DTS在加入了收到文件摘要的日期和事件信息后再对该文件加密(数字签名),然后送达用户。4.1.3应对具体案件的取证准备获得合法的取证手续1.在对现场进行搜查之前要获得取证的司法授权2.搜查令要清楚地说明哪些将可能称为证据,哪些可疑人员将被迅速地控制起来以及收集的可疑设备。3.提前将搜查令交给计算机调查人员及公诉人员检查。常规取证1.现场勘察是获得计算机证据的第一步。首先要注意计算机物理证据的获取,然后要获取计算机系统运行现场的状态相关证据。2.特别注意保证证据连续性4.2对现场证据的评估4.2.1界定取证的范围1.确定哪些证据将要进行重点检查2.从前期调查人员那里了解案情3.调查要注意的事项4.2.2界定计算机证据1.计算机调查员应该对所有可能成为证据的设备有详细的了解2.注意数据很容易在取下电池或拔下电源时而丢失3.潜在证据:数据证据通常都是在可以存储数据的硬件驱动器、存储设备或媒体中发现的。电子设备分类1.计算机系统:用户建立的文件、用户保护的文件、操作系统建立的文件、其它数据2.数码相机3.手持设备4.移动存储设备:移动硬盘、存储卡、记忆棒5.网络部件包括网卡、路由器、交换机、集线器等6.打印机、复印机、扫描仪和传真机4.3计算机证据的收集与保存4.3.1计算机证据收集的原则4.3.2计算机证据收集的过程4.3.3独立计算机的证据收集4.3.4复杂系统的证据收集4.3.5磁盘映像4.3.6计算机证据的保存1.证据的保存2.证据的完整性保护4.3.5磁盘映像磁盘的映像应该是取得磁盘的完全副本,这包括对任何在磁盘上的信息的备份,这其中不仅仅是数据还包括数据的位置。现有的观点是磁盘映像必须实现每一个比特的复制。关于磁盘映像的几个重要问题1.磁盘映像工具是否可以制作一个和初始磁盘完全一样的拷贝2.映像的内部验证问题3.磁盘映像的时间4.4计算机证据的提取证据收集主要的工作是收集存储器的可疑数据,更多的是在尽可能不改变数据的情况下复制数据计算机证据的提取主要是在收集到的大量证据中找出犯罪证据证据提取中的两个问题犯罪嫌疑人会对重要文件进行加密犯罪嫌疑人作案后会删除、销毁证据4.4.1密码破解使用的密码破解技术和方法1.密码分析技术2.密码破解技术:口令字典、重点猜测、穷举破解3.口令搜索:物理搜索、逻辑搜索、网络窃听4.口令提取:注册表5.口令恢复:使用密钥恢复机制可以从高级管理员那里获得口令破解第一步是精简操作系统存储加密口令的hash列表,之后才开始口令的破解,这个过程称为是cracking。口令字典密码字典,主要是配合解密软件使用的,密码字典里包括许多人们习惯性设置的密码,这样可以提高解密软件的密码破解命中率,缩短解密时间,当然,如果一个人密码设置没有规律或很复杂,未包含在密码字典里,这个字典就没有用了,甚至会延长解密时间。重点猜测穷举破解或称为暴力破解法,是一种针对于密码的破译方法,即将密码进行逐个推算直到找出真正的密码为止。密码破解技术加密可以分为弱加密和强加密。从破译密码的角度所破译的主要是弱加密。专门用于office文件的破解工具AOPR当使用像DES一类加密算法的时候,属于强加密的破解L0phtCrack是在NT平台上使用的口令审计软件在UNIX机上使用crypt命令就可以很明显的显示出一些强加密的漏洞。协议分析器可以捕获它所连接的网段上的每块数据。当以混杂方式运行这种工具时,它可以“嗅探出”该上发生的每件事AOPR专门用于office文件的破解提供包括口令字典、重点猜测、穷举破解等技术L0phtCrack最明显的漏洞就是明文文件及例子中的密钥L0phtCrack是一款网络管理员的必备的工具,它可以用来检测Windows、UNIX用户是否使用了不安全的密码,同样也是最好、最快的WinNT/2000/XP/UNIX管理员帐号密码破解工具。事实证明,简单的或容易遭受破解的管理员密码是最大的安全威胁之一,因为攻击者往往以合法的身份登陆计算机系统而不被察觉。NT就是指微软的server操作系统,早些的有windowsNT4,后来有windows2000server,windows2003,现在最新的是windows2008,自带很多支持局域网各种功能的组件,比如wins,活动目录,dhcp(动态主机配置),rras(路由与远程访问,做路由用的)SnifferProEasyRecovery它是一个威力非常强大的硬盘数据恢复工具。能够帮你恢复丢失的数据以及重建文件系统。EasyRecovery不会向你的原始驱动器写入任何东西,它主要是在内存中重建文件分区表使数据能够安全地传输到其他驱动器中。你可以从被病毒破坏或是已经格式化的硬盘中恢复数据。该软件可以恢复大于8.4GB的硬盘。支持长文件名。被破坏的硬盘中像丢失的引导记录、BIOS参数数据块;分区表;FAT表;引导区都可以由它来进行恢复。这个版本使用新的数据恢复引擎,并且能够对ZIP文件以及微软的Office系列文档进行修复!Professioanl(专业)版更是囊括了磁盘诊断、数据恢复、文件修复、E-mail修复等全部4大类目19个项目的各种数据文件修复和磁盘诊断方案。4.4.2数据恢复数据恢复原理系统根据校验和等其它原始信息,通过逆向运算把数据尽可能完整的还原数据恢复分类1.基于文件目录的数据恢复2.基于文件数据特征的数据恢复3.逻辑分区的恢复4.原始信号恢复基于文件目录的数据恢复文件包括两部分内容:文件所包含的内容数据;文件目录数据。基于文件数据特征的数据恢复逻辑分区的恢复原始信号恢复1.用激光束对盘片表面进行扫描2.深层信号还原数据恢复工具使用实例EasyRecovery能够对FAT和NTFS分区中的文件删除、格式化分区进行数据恢复,也能够对没有文件系统结构的信息即FAT表和目录区被破坏后的数据恢复。1.恢复被删除的文件2.恢复已格式化分区中的文件3.从损坏的分区中恢复文件4.修复损坏的文件4.5计算机证据的检验、分析与推理证据分析是一个将提取到的,对案情有重要意义的数据进行合理解释的一个过程。分析工作的第一步通常是分析可疑硬盘的分区表;分区表内容不仅是提交给法院的一个重要条目,而且它还将决定在分析时需要使用什么工具。Ptable工具可以用来分析硬盘驱动器的分区情况浏览文件系统的目录树;FileList是一个文件管理工具,可以将系统的文件按照上次使用的时间顺序进行排列,让分析人员可以建立用户在该系统上的行为时间表。UltraEdit32和Winhex等工具或一种取证程序来检查磁盘的主引导记录和引导扇区。如果取证程序具备搜索功能时,可以用它搜索与案件有关的词汇、术语。搜索关键词是分析工作很重要的一步。Filter_we可以对磁盘数据根据所给的关键词进行模糊搜索NetThreatAnalyzer\IPFilter\Ethereal:分析信息的工具。QuickViewPlus是一款优秀的文件浏览器ThusmbsPlus对图片进行查阅Encase可正确并快速地识别反常文件(与真实数据类型不相符的扩展名的文件)提供自动更新功能,可以将试图隐藏的数据文件以列表的形式列出来。其中的分析工具包括关键字查找、文件数字摘要对比分析等。在整个过程中利用encase的报告功能可方便地将证据及调查结果进行归档。证据分析的内容时间框架的分析确定事件发生的时间;两种方法。数据隐藏分析应用程序和文件的分析几个考虑角度各类案件的取证重点网上拍卖诈骗,计算机入侵,经济诈骗,恐吓、敲诈,赌博4.6整理文档、报告4.5磁盘映像工具磁盘映像软件工具1.映像工具的最重要的需求2.取证工具必须使用简单并且容易掌握3.提供快速磁盘映像功能4.提供压缩方法目前比较公认的映像工具硬盘克隆机