网络安全第十六章

第十六章取证技术16.1取证的原则与步骤16.216.3取证的基本概念16蜜罐技术其他取证工具16.4取证的基本概念•定义–计算机取证（computerforensics）就是对计算机犯罪的证据进行获取、保存、分析和出示，实际上可以认为是一个详细扫描计算机系统以及重建入侵事件的过程–可以认为，计算机取证是指对能够为法庭接受的、足够可靠和有说服性的，存在于数字犯罪场景(计算机和相关外设)中的数字证据的确认、保护、提取和归档的过程16.1取证的基本概念•目的–计算机取证的目的是根据取证所得的证据进行分析，试图找出入侵者和/或入侵的机器，并重构或解释入侵过程–who/when/where/how/what16.1取证的基本概念•计算机取证希望解决的问题–攻击者是如何进入的？–攻击者停留了多长时间？–攻击者做了什么？–攻击者得到了什么？–如何确定在攻击者主机上的犯罪证据？–如何赶走攻击者？–如何防止事件的再次发生？–如何能欺骗攻击者？16.1取证的基本概念•电子证据–定义•在计算机或计算机系统运行过程中产生的以其记录的内容来证明案件事实的电磁记录物•与传统证据（书面证据、视听资料证据、）的不同之处在于它是以电子介质为媒介的背景：《中华人民共和国电子签名法》已由中华人民共和国第十届全国人民代表大会常务委员会第十一次会议于２００４年８月２８日通过，现予公布，自２００５年４月１日起施行。16.1取证的基本概念•证据的特点–可信的–准确的–完整的–使法官信服的–符合法律法规的，即可为法庭所接受的16.1取证的基本概念•电子证据的特点–表现形式和存储格式的多样性–高科技性和准确性–脆弱性和易毁坏性–数据的挥发性16.1取证的基本概念•电子证据的优点–可以被精确的复制–用适当的软件工具和原件对比，很容易鉴别当前的电子证据是否有改变–在一些情况下，犯罪嫌疑人完全销毁电子证据是比较困难的16.1取证的基本概念•电子证据的来源–来自系统•硬盘、移动硬盘、U盘、MP3播放器、各类软盘、磁带和光盘等•系统日志文件、应用程序日志文件等•交换区文件，如386.swp、PageFile.sys；临时文件、数据文件等•硬盘未分配空间；系统缓冲区等•备份介质等16.1取证的基本概念•电子证据的来源–来自网络•防火墙日志、IDS日志•系统登录文件、应用登录文件、AAA登录文件(比如RADIUS登录)、网络单元登录（NetworkElementlogs）•磁盘驱动器、网络数据区和记数器、文件备份等16.1取证的基本概念•电子证据的来源–来自其他数字设备•便携设备中存储的数据•路由器、交换机中的数据•各种配置信息•磁卡、IC卡等16.1取证的原则与步骤•一般原则–尽早搜集证据，并保证其没有受到任何破坏–必须保证取证过程中计算机病毒不会被引入目标计算–不要在作为证据的计算机上执行无关的程序16.2取证的原则与步骤•一般原则–必须保证“证据连续性”–整个检查、取证过程必须是受到监督的–要妥善保存得到的物证–详细记录所有的取证活动16.2取证的原则与步骤•计算机取证的过程–数据获取–数据分析–证据陈述16.2取证的原则与步骤•计算机取证的过程–数据获取•了解所有可能存放有电子证据的地方•了解主机系统以外的相关软硬件配置•无损地复制硬盘上所有已分配和未分配的数据•对不同类型的计算机采取不同的策略以收集计算机内的所有数据16.2取证的原则与步骤•计算机取证的过程–数据获取•在取证检查中，保护目标计算机系统，远离磁场，避免发生任何的改变、伤害、数据破坏或病毒感染•对系统进行数据备份16.2取证的原则与步骤•计算机取证的过程–数据分析阶段•根据现有的（包括已经被删除的、临时的、交换区、加密的）数据，分析出对案件有价值的电子证据•需要分析师的经验和智慧•注意保护数据完整性•取证过程必须可以复验以供诉状结尾的举例证明16.2取证的原则与步骤•计算机取证的过程–证据陈述阶段•对专家和/或法官给出调查所得到的结论及相应的证据•陈述过程中需注意遵守国家法律、政策、企业规章制度16.2取证的原则与步骤•计算机取证相关技术–数据获取技术•搜索软件、数据和文件•磁盘无损伤备份•已删除、未分配空间和自由空间•交换文件、缓存文件、临时文件•内存•网络16.2取证的原则与步骤•计算机取证相关技术–数据分析技术•文件属性分析技术•文件数字摘要分析技术•日志分析技术•根据数据的用词、语法和写作（编程）风格，推断出其可能的作者•发掘同一事件的不同证据间的联系分析技术•数据解密技术•密码破译技术•对电子介质中的被保护信息的强行访问技术16.2取证的原则与步骤•计算机取证相关技术–数据获取、保全、分析技术•文件被删除或系统被格式化时的恢复•文件损坏时的恢复•文件/硬盘被加密时的恢复•缺乏用户口令进入文件系统的方法•网络数据获取方法•数据保全技术•鉴定技术16.2取证的原则与步骤•保护目标计算机系统•搜索目标系统中所有文件•恢复发现的已删除文件•最大程度显示隐藏文件、临时文件、交换文件等•在法律允许的情况下，访问被保护或加密的文件内容•发现磁盘特殊区域的文件•打印分析结果•给出专家证词16.2蜜罐技术•蜜罐概述•蜜罐的分类•蜜罐的配置方式•Honeynet16.3蜜罐技术•蜜罐概述–蜜罐系统是一个包含漏洞的诱骗系统–它通过模拟一个或多个易受攻击的主机，给攻击者提供一个容易攻击的目标16.3蜜罐技术•蜜罐概述–主要作用•让攻击者在蜜罐上浪费时间，延缓对真正目标的攻击•对入侵的取证提供重要的信息和有用的线索，并使之成为入侵的有力证据–虽然蜜罐不会直接提高计算机网络安全，但它却是其它安全策略不可替代的一种主动防御技术16.3蜜罐技术•蜜罐概述–主要功能•对系统中所有的操作和行为进行监视和记录•通过对系统进行伪装，使得攻击者在进入到蜜罐系统后并不会知晓其行为已经处于系统的监视之中16.3蜜罐技术•蜜罐概述–优点•使用简单•资源占用少•数据价值高16.3蜜罐技术•蜜罐概述–缺点•数据收集面狭窄，只能搜集对蜜罐的攻击数据•可能给使用者带来额外的风险16.3蜜罐技术•蜜罐的分类–产品型和研究型–低交互蜜罐、中交互蜜罐和高交互蜜罐–牺牲型蜜罐、外观型蜜罐和测量型蜜罐16.3蜜罐技术•蜜罐的配置方式–诱骗服务•建立网络服务侦听–弱化系统•配置有已知漏洞的操作系统–强化系统•配置能够收集攻击信息的加强的系统–用户模式服务器•在主机上模拟功能健全的操作系统16.3蜜罐技术•Honeynet–Honeynet是专门为研究设计的高交互型蜜罐–与其他大部分蜜罐不同的是：它不进行模拟，而是对真实的系统不进行修改或改动很小–不是一个单独的系统而是由多个系统和多个攻击检测应用组成的网络16.3Honeynet概念•honeypot（蜜罐）•一些用来被探测、攻击和试探的网络资源•没有任何的应用价值，进出honeypot的数据仅仅是探测、攻击和试探的数据。取证工具•TCT(TheCoroner'sToolkit)•NTI•EnCase•NetMonitor•ForensicToolKit•ForensiX16.4本章小结•取证的基本概念•取证的原则与步骤•蜜罐技术•取证工具