资源描述
,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,计算机取证与分析鉴定技术,(,过程,),计算机取证与分析鉴定技术(过程),主要内容,准备,设备,密码破解,数据恢复,证据的收集、保存与提供,证据的检验、分析与推理,主要内容准备,针对具体案例制定响应计划,计算机犯罪的特点决定了其取证与分析鉴定的整个过程必然与传统的犯罪案例有很大的不同。,在接到计算机犯罪报案后,具备取证与分析鉴定资质的机构和取证人员应及时响应,迅速展开调查工作。,调查等待的时间越长,可回答问题的人忘记答案的可能性就越大,完成系统刑事鉴定复制所等待的时间也越长,证据被篡改的可能性就越大,证据的价值也就越低,同时要制定适当的响应规划。,准备,针对具体案例制定响应计划计算机犯罪的特点决定了其取证与分析鉴,针对具体案例制定响应计划,计算机犯罪事件的侦查通常是需要特殊技能的复杂行为,如果没有经过事先规划并熟练操作,很可能带来很多问题。,因此必须针对每一个电子犯罪事件,目前主要是计算机或网络安全性突发事件,制定具体调查的问题框架和响应策略。,准备,针对具体案例制定响应计划计算机犯罪事件的侦查通常是需要特殊技,需解决的问题,对待任何一次计算机犯罪事件,第一响应人员,即计算机犯罪的现场取证人员都必须通过调查回答这样一些问题,比如:,1,、计算机案件发生的时间:何时发现的,何时开始的,持续了多长时间?,2,、计算机案件发生的地点:范围是本地,局域网,远程?,3,、涉及人员范围?,4,、案件的过程,怎样实施的?,5,、案件的严重程度怎样?,6,、法律方面的问题是什么?,7,、如何进行修复并避免以后再次发生?,准备,需解决的问题对待任何一次计算机犯罪事件,第一响应人员,即计算,响应计划制定的需求,为了尽快找到上述问题的答案,就需要制定一个响应计划。,针对如何找到上述问题的答案,响应计划必须规定具体的方法。,如何制定响应计划呢?,响应计划应该经过充分慎重的考虑而产生,应根据危害的严重程度做出规范的响应。,在响应计划中,应明确规定涉及哪些人员,包括主管人员;应详细说明进行调查所需的程序和设备;在事件管理中,应明确规定犯罪事件发生时需遵循的程序。,准备,响应计划制定的需求为了尽快找到上述问题的答案,就需要制定一个,确认犯罪事件报告,取证人员首先应该对犯罪事件报告进行确认。,主要是对事件进行响应之前的考察,需要搜集尽可能多的信息;,不要相信任何人,检验每件事;,确定危害的严重性和适当的响应,同时保持不连接状态,对可疑行为进行评估;,对发生的情况、发生方式、严重程度和相关人员进行诊断,确定行动过程;,确定响应的破坏性,并进行响应。,准备,确认犯罪事件报告取证人员首先应该对犯罪事件报告进行确认。准备,取证过程的准备阶段,首先,明确案例调查对象。,其次,尽早明确取证目标。,第三,根据犯罪案例的实际情况准备相应的取证工具及设备,这包括各种软件和硬件工具。,第四:审查响应计划中取证需遵循的程序和步骤,并根据现场的实际情况做出适当的调整。,准备,取证过程的准备阶段首先,明确案例调查对象。准备,设备准备,取证人员在制定响应计划之后,接下来应该做的工作就是准备取证的设备,根据目前的技术状况,取证设备主要分为以下几种:,1,取证拷贝机,2,计算机取证勘查箱,3,硬盘拷贝光盘,准备,设备准备取证人员在制定响应计划之后,接下来应该做的工作就是准,保护现场,取证人员到犯罪现场时若发现计算机等电子设备正在运行,要根据实际情况立即决定是否关机。,为避免计算机等电子设备运行时破坏证据,应立即拔掉电子设备的电源线,一般不直接关闭电子设备的电源开关,以避免启动自毁程序或引爆事先安装的炸弹。,如果当前的电子设备是一些重要网络系统的关键设备,要考虑到关机可能会造成更大损失。,准备,保护现场取证人员到犯罪现场时若发现计算机等电子设备正在运行,,保护现场,根据实际的现场情况,做如下的工作,(1),现场录相、照相,记录现场的原始状态,记录各设备之间的连线状态以及正在运行的计算机屏幕上的显示信息,如果正在运行的程序是在格式化硬盘或删除数据,立即切断电源;,(2),对正处于编辑或显示状态的文本、图像证据,应尽可能立即打印输出,并注明打印时间、打印机型号等;,(3),制作现场笔录,绘制现场图;,准备,保护现场根据实际的现场情况,做如下的工作准备,现场勘查,勘查现场的电子设备,分析电子证据的可能存储位置,下面是常见的电子设备中的数字证据。,(,1,)计算机系统(,Computer Systems,)硬盘及其他存储介质,(,2,)自动应答设备,(Answering Machines),(,3,)数码相机,(Digital Cameras),(,4,)手持电子设备,(Handheld Devices),(,5,)连网设备,(,6,)寻呼机,(Pagers),(,7,)打印机,(Printers),(,8,)扫描仪,(Scanners),(,9,)其他电子设备,准备,现场勘查勘查现场的电子设备,分析电子证据的可能存储位置,下面,概述,在计算机证据的整个取证过程中,取证设备能够实现对各类信息存储介质进行全面、彻底、快速地取证。,使用取证设备取得的证据具有较高的证明力。,设备,概述在计算机证据的整个取证过程中,取证设备能够实现对各类信息,硬盘拷贝机,MD5,硬盘拷贝机,MD5,硬盘拷贝机是美国,Logicube,公司根据司法部门的特殊需求而设计的新型计算机硬盘取证设备,,2004,年,3,月上市,目前已开始应用于各国司法部门。,MD5,拷贝机的拷贝速度非常高,经实际测试,其最高速度达到,3GB/,分钟。,优势:启动时间短,拷贝精度高、拷贝速度快、拷贝方式多、关键字搜索、,USB,只读保护。,不足:实际完成时间较长。,设备,硬盘拷贝机MD5硬盘拷贝机设备,硬盘拷贝机,Sonix,硬盘拷贝机,Sonix,是美国,Logicube,公司研制的民用型硬盘拷贝机,,2004,年,6,月完成。这种硬盘拷贝机具有拷贝速度快、适应范围广、功能多样、体积小巧等特点。,Sonix,拷贝机的拷贝速度最高可达,3.3GB/,分钟,复制完成,80GB,硬盘仅需,30,分钟。,优势:启动时间短,拷贝速度快、拷贝方式多,,SATA,硬盘、拷贝无需额外配件、双向拷贝、磁盘管理。,不足:拷贝精度同司法专业性相比略显差距,双向拷贝使用不当可能造成意外损失。,设备,硬盘拷贝机Sonix硬盘拷贝机设备,硬盘拷贝机,ICS Solo2 Forensics,硬盘拷贝机,Solo2 Forensics,是美国,ICS,公司研制的司法专用型硬盘取证设备。,从疑犯硬盘到证据硬盘的拷贝速度可以达到,1.8GB/,分钟,具有,CRC32,校验机制,可确保数据,优势:拷贝精度高、,SCSI,接口拷贝、坏扇区跳过、,1.8,寸硬盘拷贝、硬盘转接卡品种多。,不足:启动时间相比较长,灵活性不够。位对位的准确。,设备,硬盘拷贝机ICS Solo2 Forensics硬盘拷贝机设,便携专用机,网警案件取证勘查专用机(美亚柏科),接口齐全,具有数据获取和分析功能,数据只读。,Image MASSter Road MASSter,(,ICS,),优势:硬盘直接拷贝功能,可代替拷贝机,更换硬盘无需关机。,不足:,CPU,、内存等计算机整体配置低,屏幕小。,电子证据取证平台(天宇晶远),优势:拷贝速度快,拷贝方法多样,可解决电子证据种类多。,不足:设备较多,携带不便。,设备,便携专用机网警案件取证勘查专用机(美亚柏科)设备,接口套件,虽然目前的硬盘取证机和便携式取证箱功能比较齐全,而且大多数也不再需要专门的接口套件,但是还是有一些取证设备需要专门的接口套件,因此我们还是需要了解一下一些接口套件的相关知识。,Omin,电缆和适配器,Desktop WritePROtect,适配器,设备,接口套件虽然目前的硬盘取证机和便携式取证箱功能比较齐全,而且,概述,计算机犯罪具有高科技性,犯罪分子可能利用各种高科技手段对证据进行操作,如将计算机、文档或是其它资料进行加密。,因此,这就要求计算机犯罪的取证人员必须了解加密、解密的基本知识和常用的一些密码破解的方法,以便能够进入系统发现证据、找到证据,为后面的各项工作打下良好的基础。,在这一节我们就重点来探讨密码破解的内容。,密码破解,概述计算机犯罪具有高科技性,犯罪分子可能利用各种高科技手段对,密码破解原理,密码学根据其研究的范畴可分为密码编码学和密码分析学。,密码编码学和密码分析学是相互对立,相互促进并发展的。,密码编码学研究密码体制的设计,对信息进行编码表示实现隐蔽信息的一门学问。,密码分析学是研究如何破解被加密信息的学问。密码分析者之所以能够成功破译密码,最根本的原因是明文中有冗余度。,密码破解,密码破解原理密码学根据其研究的范畴可分为密码编码学和密码分析,一般密码破解方法,攻击或破译密码的方法主要有三种,:,穷举攻击,统计分析攻击,数学分析攻击,密码破解,一般密码破解方法攻击或破译密码的方法主要有三种:密码破解,穷举攻击法,所谓穷举攻击是指密码分析者采用依次试遍所有可能的密钥对所获密文进行解密,直至得到正确的明文,或者用一个确定的密钥对所有可能的明文进行加密,直至得到所获得的密文,只要有足够的时间和存储空间,穷举攻击法原则上是可行的,但在实际中,计算时间和存储空间都受到限制,只要密钥足够长,这种方法往往不可行,密码破解,穷举攻击法所谓穷举攻击是指密码分析者采用依次试遍所有可能的密,统计分析攻击法,统计分析攻击是指密码分析者通过分析密文和明文的统计规律来破译密码。,密码分析者对截获的密文进行统计分析,总结出其间的统计规律,并与明文的统计规律进行比较,从中提取出明文和密文之间的对应或变换信息。,密码破解,统计分析攻击法统计分析攻击是指密码分析者通过分析密文和明文的,数学分析攻击法,数学分析攻击是指密码分析者针对加、解密算法的数学基础和某些密码学特性,通过数学求解的方法来破译密码。,密码破解,数学分析攻击法数学分析攻击是指密码分析者针对加、解密算法的数,分布式网络密码破解,网格计算是一种把需要进行大量计算的工程数据分割成小块,由多台计算机分别计算,在上传运算结果后再统一合并得出数据结论的技术。,整个计算是由成千上万个“节点”组成的“一张网格”。这样组织起来的“虚拟的超级计算机”有两个优势,一个是数据处理能力超强;另一个是能充分利用网上的闲置处理能力。,分布式网络的设计思想,分布式网络的密码破解,密码破解,分布式网络密码破解网格计算是一种把需要进行大量计算的工程数据,密码破解的应用部分,1CMOS密码,2Windows密码,3文件处理软件密码,4压缩文件密码,5采用“*”显示的密码,6ICQ密码,密码破解,密码破解的应用部分1CMOS密码密码破解,概述,计算机犯罪的犯罪分子在成功的实施犯罪行为之后,为了逃避司法机关的打击,必然会尽可能的毁灭犯罪证据,对计算机等电子设备中的数据进行删除,使得侦查人员不能得到想要的数据。,数据在删除或丢失之后,为了向法庭提供可靠、强有力的证据,取证人员就必须对计算机证据的相关数据进行恢复,这也促使了数据恢复技术的产生和发展。,数据恢复,概述计算机犯罪的犯罪分子在成功的实施犯罪行为之后,为了逃避司,数据丢失的原因,在现实生活中,造成数据丢失的原因有很多,既有客观的自然因素,也有人为因素。,1,客观的自然因素,2,人为因素,3,数据丢失后必须注意的问题,数据恢复,数据丢失的原因在现实生活中,造成数据丢失的原因有很多,既有客,数据恢复的基本原理,1,什么是数据恢复,数据恢复就是把遭受破坏、或由硬件缺陷导致不可访问或不可获得、或由于误操作
展开阅读全文