1、,计算机取证与司法鉴定,项目一计算机取证准备和现场处理,理解计算机取证的概念和计算机取证的原则了解计算机取证的法律程序了解企业内部取证和司法取证的异同掌握计算机取证前的程序准备和文档准备的方法掌握计算机取证前的取证启动盘和取证工具箱的准备方法掌握计算机取证现场的处理方法,学习目标,公司主管Alice怀疑Adam和Bob在原公司工作期间就利用上班时间发展自己的私人业务,并窃取公司机密资料为新创办公司做准备因此授权企业IT部门的调查人员Tom来调查这两名雇员的办公电脑和所有公司给予他们的存储介质,以便找到相关证据。,项目说明,项目任务,在进入计算机取证现场之前分析案例性质,并根据案例性质进行计算机
2、取证的程序和文档准备;进行进入取证现场前的外围调查,并根据案例特点进行计算机取证的设备和工具准备;在进入取证现场的时候对原始证据进行妥善处理。,计算机取证(Computer Forensics),研究如何对计算机犯罪的证据进行获取、保存、分析和出示的法律规范和科学技术。,基础知识,司法鉴定,指在诉讼活动中鉴定人运用科学技术或者专门知识对诉讼涉及的专门性问题进行鉴别和判断并提供鉴定意见的活动。,计算机取证与司法鉴定的业务类型,存在性认定信息量认定同一性认定来源认定功能认定事件重构,基础知识,申领搜查令状的计算机搜查应当至少满足三项基本条件,建立在正当理由的基础上,即申请令状的计算机取证调查人员必
3、须有相当的证据表明,将能够从计算机硬盘等介质中寻找到涉案证据;由合格的司法人员签发,目前我国的搜查证是由侦查机关的负责人进行审查签发;详细描述搜查的地点和扣押的项目,这些都直接关系到搜查范围的确定。,基础知识,取证调查人员根据取证时的具体情况判断计算机搜查过程中有无扣押他人电子信息的必要性。而对于必要性的判断通常结合以下要素,被调查者涉及案件的性质;该电子数据作为证据的证明价值;该电子数据受到篡改、删除的可能性;该电子数据所有人的隐私和商业秘密的保护性质。,基础知识,计算机取证和鉴定的原则应包括,合法原则主体合法对象合法手段合法过程合法无损原则全面原则及时原则,基础知识,计算机取证的实施过程,
4、案件受理取证准备处理现场搜集和固定证据证据保存证据分析报告生成证据归档证据显示与质证,基础知识,鉴定人的职业资格证书,具备下列条件之一的人员,可以申请登记从事司法鉴定业务:具有与所申请从事的司法鉴定业务相关的高级专业技术职称;具有与所申请从事的司法鉴定业务相关的专业执业资格或者高等院校相关专业本科以上学历,从事相关工作五年以上;具有与所申请从事的司法鉴定业务相关工作十年以上经历,具有较强的专业技能。因故意犯罪或者职务过失犯罪受过刑事处罚的,受过开除公职处分的,以及被撤销鉴定人登记的人员,不得从事司法鉴定业务。,基础知识,司法鉴定人的法律责任,刑事责任民事责任行政责任,基础知识,电子取证相关工作
5、基本程序,电子取证的基本程序计算机调查的程序计算机现场勘验的程序,基础知识,这样的取证调查应当是针对企业内部的调查当Alice 决定对Adam 和Bob 的侵权嫌疑进行调查时,必须首先明确这样的调查是否合法,是否会侵犯Adam 和Bob 的隐私权。当Alice 主管的公司具有相应规章制度和明确的警示标语,同时Alice 咨询公司法务部门,确定可以在这个必要的时候行使这样的权利,即确定对于Adam 和Bob 的侵权嫌疑进行调查是合法的时,可以进行调查,项目分析,任务一:计算机取证的程序和文档准备,计算机取证调查授权书必须至少明确以下内容:委托人(法人)(签章) 委托人代表(签字) 受托人(法人或
6、个人)(签章) 调查对象(范围) 调查目的 调查时间,项目实施,任务一:计算机取证的程序和文档准备,评估案件的性质案情:雇员利用公司计算机和其他资源开办个人公司;案件性质:雇员滥用公司资源侵权案件;详细的案件描述证据类型操作系统已知磁盘存储格式证据所在位置,项目实施,任务一:计算机取证的程序和文档准备,确定计算机取证调查的边界这次攻击的目标机是哪一台? 发动这次攻击或做坏事的嫌疑人在哪里? 访问数据存放在哪里? 嫌疑人访问过哪些路由器防火墙交换机? 嫌疑人使用过哪些打印机? 嫌疑人使用过哪些文件服务器?,项目实施,任务一:计算机取证的程序和文档准备,确定计算机取证调查的边界 嫌疑人使用过哪些F
7、TP 服务器? 嫌疑人有一台以上的计算机吗?它们都放在哪里? 嫌疑人是否使用了代理服务器? 嫌疑人是否使用了DHCP 服务器? 嫌疑人是否还有外围设备(PDA、ipad、手机、数码相机或者USB 盘等)?,项目实施,任务一:计算机取证的程序和文档准备,计算机取证的证据管理表单至少应当包含以下内容表题;案件编号;调查机构;调查员(签字);案件性质;每个证据的获取细节;证据调查取用处理细节;,项目实施,任务二:计算机取证的硬软件准备,了解取证案件的需求受托案件的性质;受托案件的取证范围;调查的目的;被调查者的个人信息、专业方向、技术程度、工作甚至生活习惯;取证对象是主机取证还是网络取证;被取证计算
8、机的操作系统环境;被取证存储设备的文件格式;,项目实施,任务二:计算机取证的硬软件准备,规划取证调查当Tom 明确了对受托案件的需求后,就可以对整个取证调查进行规划,并制订调查计划了。Tom 还确定出了所需证据的类型,现在可以明确一下收集证据、建立证据链以及展开取证分析的详细步骤了。这些步骤是为调查而制订的最基本的计划,它们说明Tom 在什么时候应该干什么。,项目实施,WinFE的作用,计算机证据必须满足关联性、合法性和客观性如何保证客观性?正常启动Windows能否保证证据的客观性?WinFE是什么?,WIN FE启动盘的制作,WinFE是什么?,WinPE:Windows Pre-Inst
9、alled Environment WinFE:Windows Forensics Environment,WIN FE启动盘的制作,如何制作WinFE启动光盘?,制作WinFE前的准备硬件:CD/DVD刻录机、空白CD/DVD软件:Windows Automated Installation Kit (AIK)取证工具软件,WIN FE启动盘的制作,如何制作WinFE启动光盘?,第一步:拷贝启动文件从下载安装 Windows Automated Installation Kit (AIK)以管理员身份运行 AIK command line 拷贝WinPE 文件到WinFE文件夹:copype
10、.cmd x86 C:WinFE也可使用amd64或ia64替换 x86,WIN FE启动盘的制作,如何制作WinFE启动光盘?,第二步:boot.wim 镜像制作在制作 ISO镜像之前,首先需要修改 .wim镜像,因此需要两个.wim镜像文件WinFEISOsourcesboot.wim WinFEwinpe.wim boot.wim是最终制作ISO的资源,winpe.wim和boot.wim均可以作为最终的ISO资源,但是如果要使用winpe.wim或者没有boot.wim ,那么需要拷贝winpe.wim到WinFEISOsources目录并重命名为boot.wim,WIN FE启动盘的
11、制作,如何制作WinFE启动光盘?,第二步:boot.wim 镜像制作通过AIK 命令行制作WinFE安装镜像imagex /mountrw C:winFEISOsourcesboot.wim 1 C:winFEmount,WIN FE启动盘的制作,如何制作WinFE启动光盘?,第三步:修改镜像安装文件:使用RegEdit修改WinFE启动方式使用RegEdit加载WinFE的SYSTEM文件C:winfemountWindowsSystem32configSYSTEM 加载位置:HKEY_LOCAL_MACHINE命名为WinFE HKEY_LOCAL_MACHINEWinFEControl
12、Set001servicesmountmgr下创建DWORD(32)项,命名为NoAutoMount修改值为1,WIN FE启动盘的制作,如何制作WinFE启动光盘?,第三步:修改镜像安装文件:使用RegEdit修改WinFE启动方式HKEY_LOCAL_MACHINEWinFEControlSet001servicespartmgrParameters 修改Sans Policy 项的DWORD值为3 从注册表中卸载WinFE项,WIN FE启动盘的制作,如何制作WinFE启动光盘?,第四步:加载取证工具将取证所需工具拷贝到winfemountProgram Files,WIN FE启动盘的
13、制作,如何制作WinFE启动光盘?,第五步:加载特殊驱动程序通用设备的驱动在WinFE中已经加载,如果需要特殊的取证硬件设备,按照以下方式加载到WinFE的启动光盘镜像中 AIK命令行的当前目录位置修改为WinFE,执行以下命令peimg.exe /inf=C:drivers*.inf C:winFEmountWindows,WIN FE启动盘的制作,如何制作WinFE启动光盘?,第六步:以上修改加载入WinFE的启动镜像boot.wimimagex.exe /unmount /commit C:winFEmount,WIN FE启动盘的制作,如何制作WinFE启动光盘?,第七步:在C:Win
14、FEISOboot目录中删除bootfix.bin 目的是防止启动时发出警告信息press any key to boot from cd,WIN FE启动盘的制作,如何制作WinFE启动光盘?,第八步:利用AIK命令行创建ISO镜像 oscdimg -n -m -o bC:WinFE C:WinFEISO C:WinFEWinFE.iso,WIN FE启动盘的制作,如何制作WinFE启动光盘?,第九步:刻录WinFE启动光盘,WIN FE启动盘的制作,Paladin是什么?,Paladin是SUMURI公司基于Ubuntu操作系统为计算机取证开发的一个现场取证平台,目前的版本为Paladin
15、4,Paladin启动盘的制作,如何制作Paladin启动U盘?,制作前的准备硬件:计算机、2GB以上的U盘软件:Paladin4,Paladin启动盘的制作,如何制作Paladin启动U盘?,第一步:工作准备在http:/,Paladin启动盘的制作,如何制作Paladin启动U盘?,第二步:将计算机设置为光驱引导的模式,并利用Paladin4的DVD引导系统,系统引导成功后进入Paladin平台环境 ;,Paladin启动盘的制作,如何制作Paladin启动U盘?,第三步:插入准备好的U盘,打开桌面上的Paladin Toolbox选择Disk Manager栏,并选择准备好的U盘,Pal
16、adin启动盘的制作,如何制作Paladin启动U盘?,第三步:选择带格式化U盘的文件系统格式为vFat或者NTFS,并输入卷标“PALADIN”,格式化完成后暂时移除U盘,Paladin启动盘的制作,如何制作Paladin启动U盘?,第四步:打开终端(在桌面的底部可以找到快捷图标)输入shell命令“sudo rm /etc/udev/rules.d/50-writeblocker.rules” ,执行后关闭终端窗口,Paladin启动盘的制作,如何制作Paladin启动U盘?,第五步:插入刚才格式化后的U盘 在Paladin平台环境的菜单中打开“System- Startup Disk C
17、reator”,Paladin启动盘的制作,如何制作Paladin启动U盘?,第五步:在随之打开的界面中确认制作时的“源”为我们用来启动计算机的Paladin DVD,“目的”为我们刚刚格式化的,卷标为“PALADIN”的U盘,Paladin启动盘的制作,如何制作Paladin启动U盘?,第五步:在目的U盘栏的下面选择“Erase Disk”,操作完成后在界面下部选择“Discarded on shutdown, unless you save them elsewhere”,Paladin启动盘的制作,如何制作Paladin启动U盘?,第五步:点击“Make Startup Disk”开始制
18、作取证的Paladin U盘,制作完成后就得到了一张取证使用的Paladin 启动U盘,取证调查人员可以根据需调查的案件情况,在该U盘中准备一些有针对性的取证和分析工具,Paladin启动盘的制作,如何制作Paladin启动U盘?,第六步:验证刚刚制作的Paladin取证启动U盘 将计算机设置为U盘引导,并插入Paladin取证启动U盘,启动计算机在启动的过程中可以设置工作语言,Paladin启动盘的制作,如何制作Paladin启动U盘?,第六步:验证刚刚制作的Paladin取证启动U盘 在启动时的询问界面中选择“Sumuri Paladin Live Session” 启动成功后,进入了由取
19、证启动U盘引导的Paladin4的工作环境平台,界面和利用Paladin DVD引导系统的界面相同,Paladin启动盘的制作,如何制作Paladin启动U盘?,第六步:验证刚刚制作的Paladin取证启动U盘 在现场取证时,可以利用Paladin4桌面上的“Paladin Toolbox”,针对被启动的计算机硬盘等设备,制作取证镜像 也可以使用其他在取证准备时针对案件特性,由调查人员拷贝到Paladin 取证启动U盘中工具进行取证调查,Paladin启动盘的制作,任务三:进入取证现场,处理一个主要的取证现场保护现场的数字证据分类数字证据处理和管理数字证据存储数字证据,项目实施,计算机取证与司
20、法鉴定,项目二Windows 环境单机取证,学习目标,理解电子证据的概念和特点 掌握Windows 环境下易失性证据的固定方法和磁盘取证镜像的制作方法 掌握Windows 环境注册表取证调查方法 掌握Windows 环境重要文件目录和日志调查方法 掌握Windows 环境常用进程和网络痕迹调查方法,在项目一的案例中,某公司主管Alice 怀疑部门经理Adam 对公司有侵权行为,因此委托计算机取证调查人员Tom 进行调查。Tom 通过对案件的了解和取证的准备以及现场的勘察,了解到被调查者Adam 使用的办公计算机采用Windows XP 的操作系统,且其USB 盘和存储卡等也采用Microsof
21、t 的文件结构。那么Tom如何针对Adam的计算机进行计算机取证调查呢?,项目说明,项目任务,在计算机取证现场固定原始证据;对取证目标系统的注册表进行分析;分析取证目标系统的重要文件和目录;调查取证目标系统的重要日志;调查取证目标系统的常用进程和网络痕迹。,电子证据,一切由信息技术形成的,用以证明案件事实的数据信息。,基础知识,电子证据的特点,物理特性技术特征,基础知识,电子证据的可采性问题,电子证据的关联性电子证据的合法性电子证据的客观性,基础知识,Windows/DOS 取证基础,主引导记录MBRFAT 文件结构NTFS 文件结构,基础知识,Tom 明确针对Adam 的办公计算机进行调查时
22、需获取和固定原始证据,即对Adam 的办公计算机硬盘和所有公司配给其使用的USB 盘和存储卡制作取证镜像备份。 考虑到如果进入取证现场时取证目标处于开机并正常运行,需在关机前对易失性证据进行获取和固定,因此需要准备易失性证据获取工具包,以便快速获取和固定易失性证据。 准备在取证实验室深入分析原始证据镜像备份前,首先对取证目标系统的注册表、重要文件和目录、重要日志、常用进程和网络痕迹等这些最容易获取证据和线索的方便进行初步的调查。,项目分析,任务一:原始证据取证复制,易失性证据的获取,项目实施,初始响应工具包,初始响应工具包的作用固定易失性证据在计算机取证中,一般需要对系统进行取证分析时,首先需
23、要关闭系统,然后对硬盘进行取证精确备份以做深入分析。但一旦关机,有些重要的易失性证据信息就会消失。所谓易失性证据,通常指存在于被取证计算机的寄存器、缓存或内存中,主要包括网络连接情况、正运行进程状态等关机后就会全部丢失且不可能恢复的证据信息。,项目实施,初始响应工具包,初始响应工具包的作用易失性证据主要包括:系统日期和时间:最近运行的进程列表;最近打开的套接字列表;在打开的套接字上进行监听的应用程序;当前登录的用户列表;当前或最近与本系统建立连接的其他系统列表。,项目实施,初始响应工具包,初始响应工具包的作用对Windows系统进行初始响应前,取证调查人员首先应创建初始响应工具包,目前在Win
24、dows环境下常用的初始响应工具有以下几种:cmd.exe:Win NT/2000等的命令行工具;systeminfo:列出被取证系统环境信息;ipconfig:列出被取证系统网络配置;psgetsid:列出被取证系统当前的SID信息;psinfo:列出被取证系统基本信息;,项目实施,初始响应工具包,初始响应工具包的作用对Windows系统进行初始响应前,取证调查人员首先应创建初始响应工具包,目前在Windows环境下常用的初始响应工具有以下几种:psloggedon:显示所有本地和远程连接用户;pslist:列出被取证系统上正运行的所有进程;netstat:列出监听端口和对应的当前连接;ar
25、p:显示最后一分钟内与被取证系统进行通信的其他系统MAC地址;psservice:列出系统当前的服务信息;psloglist:列出系统日志;,项目实施,初始响应工具包,初始响应工具包的作用对Windows系统进行初始响应前,取证调查人员首先应创建初始响应工具包,目前在Windows环境下常用的初始响应工具有以下几种:nbtstat:列出最近十分钟内的NetBios连接;fport:列出打开TCP/IP端口的所有进程;MD5sum:为一个给定的文件创建MD5的Hash码;doskey:为打开的cmd.exe命令行程序显示其历史命令的列表;netcat:在取证工作计算机和被取证计算机之间创建通信信
26、道。,项目实施,初始响应工具包,初始响应工具包的作用调查人员在系统关机前,可使用这些初始响应的工具进行现场易失性证据的收集,为了保证取证的顺利进行,调查人员必须使用安全的命令行解释程序。由于被取证系统的命令行shell可能被修改,调查人员不能相信它的输出,因此在现场进行易失性证据收集时,必须使用自己确认可信的命令行解释程序。,项目实施,初始响应工具包,初始响应工具包的作用在易失性证据收集的过程中,为了保证无损取证的原则,不能将收集到的数据存放在被取证计算机的硬盘上。因此取证调查人员通常采用两种方式保存。一种是采用网络通信的方式利用netcat等工具将收集到的数据信息传送到取证人员的计算机中;另
27、一种是取证人员准备专用的取证存储介质(U盘,存储卡等),将数据存储在其中。,项目实施,初始响应工具包,初始响应工具包的制作在做好以上工作后,取证调查人员运行初始响应工具包中的工具来收集易失性证据。取证调查人员在收集易失性证据时,通常将很多必须的操作合并成一个批处理文件,然后利用脚本文件的运行自动获取易失性证据。案件性质不同,初始响应工具包中脚本文件的编写也有差异。,项目实施,初始响应工具包,初始响应工具包的制作以Win系统为例,在制作初始响应工具包时,首先应当具有安全的Cmd.exe。需要MD5sum程序对提取的信息进行证据固定如果需要提取的信息在内部命令中无法提取,就需要一些外部的工具,如f
28、port、pslist等等,项目实施,初始响应工具包,初始响应工具包的制作在完成准备工作后,需要执行相应的命令,并将提取的信息存放到文本文件中,并将该文本文件保存到取证U盘等介质中。最后需要利用MD5sum程序对保存提取信息的文本文件运算Hash码,进行证据固定通常有经验的取证人员的初始响应工具包中,常常会自己编写一个或数个批处理文件,用于不同情况的易失性证据的快速获取,项目实施,初始响应工具包,初始响应工具包的制作 echo on time /t .evidenceevidence.txtdate /t .evidenceevidence.txt systeminfo .evidenceev
29、idence.txt ipconfig .evidenceevidence.txtpsloggedon /t .evidenceevidence.txtnetstat -an .evidenceevidence.txtnbtstat -c .evidenceevidence.txttime /t .evidenceevidence.txtdate /t .evidenceevidence.txtdoskey /history .evidenceevidence.txtcd .evidence md5sum *.txt hash.txt,项目实施,任务一:原始证据取证复制,利用FTK Image
30、r 进行取证复制利用X-Ways Forensics 进行取证复制,项目实施,任务二:Windows 注册表调查,对计算机调查员来说,注册表提供了大量丰富的信息来源,包括各种计算机设置,以及从识别安装软件到寻找网站密码等行动的信息。从调查的角度来看,注册表中包含了有价值的证据信息。调查人员可以使用注册表编辑器程序查阅和搜索注册表,查找可能包含证据线索的条目。,项目实施,任务二:Windows 注册表调查,在Windows NT/2000/ XP/ 2003 等系统中默认的注册表文件位置HKEY_ CURRENT_ USERHKEY_ CURRENT_ CONFIGHKEY_ CLASSES_
31、ROOTHKEY_ LOCAL_ MACHINE,项目实施,任务二:Windows 注册表调查,计算机取证调查中关注的常规键HKCR*HKCUControl Panel*HKCUNetwork*HKCUPrinters DevModePerUserHKCU Volatile EnvironmentHKCU Software*与HKLMSoftware*HKCU Software Microsoft Internet Account Manager Accounts*,项目实施,任务二:Windows 注册表调查,计算机取证调查中关注的常规键HKCU Software Microsoft NTB
32、ackupHKCU Software Microsoft Windows CurrentVersion Explorer ComputerDescriptionsHKCU Software Microsoft Windows NT CurrentVersion DevicesHKLM Hardware Devicemap ScsiHKLM Network LogonHKLM SAM SAM Domains Account,项目实施,任务二:Windows 注册表调查,计算机取证调查中关注的常规键HKLM Software Microsoft UpdatesHKLM Software Micro
33、soft Windows CurrentVersion UninstallHKLM Software Microsoft WindowsNT CurrentVersion Network CardsHKLM System CurrentControlSet Control ComputerNameHKLM System CurrentControlSet Control Print Printers,项目实施,任务二:Windows 注册表调查,计算机取证调查中关注的常规键HKLM System CurrentControlSet Control TimeZone InformationHKL
34、M System CurrentControlSet EnumHKLM System CurrentControlSet Enum USBSTORHKLM System CurrentControlSet ServicesHKLM System MountedDevicesSID,项目实施,任务二:Windows 注册表调查,取证调查时注册表中关注的文件夹位置取证调查时注册表中关注的自启动项,项目实施,固定注册表信息,以注册表中自启动项的调查为例,讨论如何固定注册表信息间谍软件、病毒以及其他恶意代码为了在系统重启后继续感染计算机,通常会更改系统设置,使得他们在系统启动时自动运行;另外,对自启动
35、项目的调查也可以了解用户要经常打开的文件是些什么。Windows注册表中有很多地方都记载了自动启动运行的项目,其中最为常用的位置如下。,项目实施,固定注册表信息,以注册表中自启动项的调查为例,讨论如何固定注册表信息HKCU Software Microsoft Windows CurrentVersion Run:列出特定用户设置为下次登录时运行的软件;HKLM SOFTWARE Microsoft Windows CurrentVersion Run:列出每次系统登录时自动执行的项目;HKLM SOFTWARE Microsoft Windows CurrentVersion RunOnce
36、:列出设置为执行一次就从注册表中删除的可执行文件。它常常被有两部分的安装引导程序使用,这些程序在两个部分中间需要重启。恶意软件可使用这个键,其方式是在键里面安置一个指向恶意代码的链接,然后在自动移除之后把它放回去;HKLM SOFTWARE Microsoft Windows CurrentVersion RunOnceEx:列出设置为执行一次接着就从注册表中删除的可执行文件。通常在Win XP系统中用于无人看管的系统安装。恶意代码使用RunOnceEx的方式与RunOnce相同;HKCU SOFTWARE Microsoft Windows CurrentVersion RunService
37、s与RunServicesOnce以及HKLM SOFTWARE Microsoft Windows CurrentVersion RunServices与RunServicesOnce:列出在启动时只运行一次(RunServicesOnce)或每次启动都自动运行(RunServices)的服务。这些键能用于在用户登录之前触发可执行程序;,项目实施,固定注册表信息,以注册表中自启动项的调查为例,讨论如何固定注册表信息HKCU SOFTWARE Microsoft WindowsNT CurrentVersion Windowsload:一个较为隐蔽的与自启动有关的键,其不要求创建新的子键;HK
38、CU SOFTWARE Microsoft Windows CurrentVersion Policies Explorer Run和HKLM SOFTWARE Microsoft Windows CurrentVersion Policies Explorer Run:列出允许用户登录时自动运行的与资源管理器相关的程序(在HKCU下只和某个特定用户相关,而在HKLM下则适用于所有用户;HKCU SOFTWARE Microsoft WindowsNT CurrentVersion WinlogonUserinit:此处含有正常的可执行程序userinit.exe,但也能包含其他被逗号分隔的程
39、序名。由于通常正常程序并不使用这个键,所以除了userinit.exe之外的其他条目都应调查;HKLM SOFTWARE Microsoft Windows CurrentVersion Explorer SharedTaskScheduler:列出基于Win NT的系统启动时要运行的任务列表。,项目实施,固定注册表信息,以注册表中自启动项的调查为例,讨论如何固定注册表信息除了自启动项外,注册表中还有许多的重要信息,其中SID码的提取,可以唯一指向一个用户,是取证中极其重要的信息,其路径如下HKLMSOFTWAREMicrosoftWindows NTCurrentVersionProfile
40、list,项目实施,固定注册表信息,以注册表中自启动项的调查为例,讨论如何固定注册表信息调查人员在进行计算机取证调查时,可以利用各种注册表查看、搜索和提取工具,在无损取证的原则下,对目标系统的注册表相关项进行深入分析,并提取相应的信息,固定为电子证据信息。Tom在调查Adam的办公计算机时,对系统的注册表较为关注两个方面,一是这个系统每次登录时自动执行了哪些项目?另一个是最近一次,在这个系统的“运行”框中键入过哪些命令?因此Tom需要分别调查HKLM SOFTWARE Microsoft Windows CurrentVersion Run项和HKCU Software Microsoft W
41、indows Current Version Explorer RunMRU项的内容,并将这些内容固定。Tom可以采用以下做法,项目实施,固定注册表信息,以注册表中自启动项的调查为例,讨论如何固定注册表信息打开一个可信任的CMD.exe,并在存储取证信息的介质盘中创建名为“AdamHives”的目录;使用reg命令将注册表中感兴趣的两个项的内容输出并存储在“AdamHives”目录。使用MD5sum工具,利用命令“MD5sum *.reg Hash.txt”,对刚刚提取的“Run.reg”和“RunMRU.reg”两个文件计算MD5的Hash码,固定证据。,项目实施,固定注册表信息,以注册表中
42、自启动项的调查为例,讨论如何固定注册表信息执行完成后,在“AdamHives”目录分别产生了“Run.reg”、“RunMRU.reg”和“Hash.txt”三个文件,其中“Run.reg”中即是Adam的办公计算机系统每次登录时自动执行了的项目信息;“RunMRU.reg”中即为最近一次在Adam的办公计算机系统的“运行”框中键入过的命令信息。“Hash.txt”中则记录了“Run.reg”和“RunMRU.reg”两个文件的MD5散列值。,项目实施,任务三:Windows 文件目录调查,自启动目录和文件Windows 系统中的重要目录Windows 系统中的重要系统文件,项目实施,任务四:
43、Windows 日志调查,事件日志的调查,项目实施,任务四:Windows 日志调查,网络日志的调查Win 防火墙日志HTTP 日志FTP 日志SMTP 日志,项目实施,任务五:Windows 的进程和网络痕迹调查,系统常用进程分析系统进程用户进程开始运行处进程进程查看pslist,项目实施,任务五:Windows 的进程和网络痕迹调查,系统网络痕迹调查网页访问下拉列表网页访问历史记录网页收藏夹网络聊天记录,项目实施,计算机取证与司法鉴定,项目三非Windows 环境单机取证,学习目标,理解电子证据的概念和特点了解Macintosh 系统文件结构和引导过程 了解UNIX/Linux 系统磁盘结
44、构和引导过程 掌握UNIX/Linux 环境中易失性证据的获取方法 掌握UNIX/Linux 环境中重要文件目录和日志调查方法,在项目一的案例中,某公司主管Alice 怀疑技术骨干Bob 对公司有侵权行为,因此委托计算机取证调查人员Tom 进行调查。Tom 通过对案件的了解和取证的准备以及现场的勘察,了解到被调查者Bob 使用的计算机采用Linux 的操作系统。那么Tom 如何针对Bob 的非Windows计算机系统进行计算机取证调查呢?,项目说明,项目任务,在计算机取证的现场获取和固定原始证据;对取证目标系统的重要文件目录和日志进行初步调查。,Macintosh 的引导过程和文件系统,基础知
45、识,Macintosh 的引导过程和文件系统,基础知识,Macintosh 的引导过程和文件系统,基础知识,Unix/Linux 的引导过程和文件系统,UNIX/Linux 磁盘结构,基础知识,Unix/Linux 的引导过程和文件系统,Linux 的目录结构和重要文件/usr/var/etc/proc,基础知识,Tom 明确针对Bob 的计算机进行调查时需要首先获取和固定原始证据,即对Bob 的计算机硬盘和所有公司配给其使用的USB 盘和存储卡制作取证镜像备份。考虑到如果进入取证现场时取证目标系统处于开机并正常运行状态,需在关机前对易失性证据进行获取和固定。 同样准备在取证实验室深入分析原始
46、证据镜像备份前,首先对取证目标系统的重要文件和目录、重要日志、常用进程和网络痕迹等这些最容易获取证据和线索的方便进行初步的调查。,项目分析,任务一:在UNIX/Linux 环境下获取原始证据,控制台模式下屏幕信息的获取,项目实施,任务一:在UNIX/Linux 环境下获取原始证据,X-Windows 环境下屏幕信息的获取使用X-Windows 中的截图工具用GNOME 中的工具截图用KDE 中的工具来截图键盘的“PrintScreen”快捷键截图,项目实施,任务一:在UNIX/Linux 环境下获取原始证据,UNIX/Linux 环境中内存与硬盘信息的获取将设备挂接到系统上mount采用“dd
47、”命令读出内存等各种信息,项目实施,任务一:在UNIX/Linux 环境下获取原始证据,UNIX/Linux 环境中进程信息的获取WhoWPstop,项目实施,任务一:在UNIX/Linux 环境下获取原始证据,项目实施,任务一:在UNIX/Linux 环境下获取原始证据,UNIX/Linux 环境中的网络连接信息获取使用“netstat”命令来查看网络连接,项目实施,任务一:在UNIX/Linux 环境下获取原始证据,项目实施,任务二:UNIX/Linux 环境的数据初步分析,UNIX/Linux 环境的取证数据预处理UNIX/Linux 环境的日志调查,项目实施,任务二:UNIX/Linu
48、x 环境的数据初步分析,账号信息定时运行的程序临时文件目录“/tmp”隐藏文件和目录命令行解释器Shell内核转储文件信任关系其他可疑文件,项目实施,计算机取证与司法鉴定,项目四原始证据的深入分析,学习目标,了解电子证据司法鉴定和电子证据保全的程序掌握撰写计算机调查取证报告的一般准则掌握利用EnCase Forensic 深入分析原始证据的方法掌握利用X-Ways Forensics 深入分析原始证据的方法,在项目一的案例中,某公司主管Alice 怀疑部门经理Adam 对公司有侵权行为,因此委托计算机取证调查人员Tom 进行调查。Tom 通过对案件的初步调查和取证,获得了Adam 的办公计算机
49、磁盘的取证镜像备份,并封存了该磁盘。Tom 如何利用已经获得的原始证据进行深入的计算机取证调查的分析呢?,项目说明,项目任务,考虑到不同的计算机取证分析工具有着不同的侧重点和优势,因此决定利用两种目前较为流行的计算机取证分析工具对原始证据进行深入分析。鉴于此Tom 应当完成两个任务:利用EnCase Forensic 对原始证据进行深入分析;利用X-Ways Forensics 对原始证据进行深入分析。,电子证据司法鉴定,电子证据鉴定是由专门鉴定机构的鉴定人或具有专门知识的人,对计算机设备、通信设备、网络设备、数控设备、视听设备、广电设备等各种存储介质及其所存储的数据,按照一定的技术规程,运用
50、专业知识、特定仪器设备和技术方法,进行检查、验证、发现、提取、解释、分析、鉴别、判定并出具鉴定结论的过程。电子证据鉴定的主体是专门的鉴定人或具有专门知识的人,需要具备进行电子证据鉴定的资质和能力;鉴定对象是计算机设备等各类存储介质和所存储的数据。,基础知识,电子证据司法鉴定,电子证据司法鉴定的程序委托受理鉴定实施出具鉴定文书返还送检物品,基础知识,电子证据保全,电子证据保全是指用一定的形式将电子证据固定下来,并妥善保管,以便司法人员或律师分析、认定案件事实时使用。,基础知识,电子证据保全,电子证据保全的程序原则双重固定原则无损固定原则全面固定原则,基础知识,调查取证报告,取证报告的书写准则其观