计算机取证与分析鉴定概论课件.ppt

1、主讲：2022年8月6日主要内容Windows系统现场证据获取Windows系统中电子证据获取证据获取/工具使用实例证据保全证据保全1 保证证据的真实性1）所有需要作为证据的数据都必须有真实性保护2）保证电子证据真实性的原则3）保证电子证据真实性的措施2 保证证据的完整性1）所有需要作为证据的数据都必须有完整性保护2）完整性保证措施：MD5校验值(也称为哈希值)3）封存现场证据获取固定证据固定证据固定犯罪证据十分重要。应当提取什么样的电子证据，如何提取并有效的固定电子证据，是问题的关键。Windows系统作为目前最常用的操作系统，研究Windows系统上的计算机取证方法具有非常重要的现实意义。

2、目前Windows系统的计算机取证方法已经日趋成熟。1 固定硬盘2 部分文件的固定3 固定易丢失的证据现场证据获取深入获取深入获取1 深入获取证据的重要性Windows初始响应在收集易丢失的证据之后，可以继续进行一些调查。两个关键的证据来源是事件日志和目标系统上的注册表。这样，在大多数调查中，就需要对这两个目标进行彻底的调查。2 深入获取证据的途径1）事件日志2）注册表3）系统密码4）转储系统RAM现场证据获取日志日志1 系统日志Windows操作系统维护三个相互独立的日志文件：系统日志、应用程序日志和安全日志。2 服务程序日志可以搜索这一时间范围内所有被修改、访问或删除的文件以重建这一突发事

3、件。通过仔细查看Web服务器日志可以从中找出攻击的证据信息。3 防火墙、入侵检测系统日志会保存系统收到的各种不安全信息的时间、类型等。通过分析这些日志，可以发现曾经发生过或者正在进行的系统入侵行为。系统证据获取文件和目录文件和目录1 启动目录2 系统目录3 我的文档4 最近打开的文档5 删除文件的恢复系统证据获取注册表注册表1 启动项2 用户信息项3 系统信息项系统证据获取进程列表进程列表1 系统进程2 用户进程3 开始运行处的进程4 进程分析（操作文件、注册表或者访问网络的情况）系统证据获取网络轨迹网络轨迹所谓网络轨迹，是指系统访问网络之后留下来的一些记录。犯罪嫌疑人在利用网络进行犯罪，或因

4、为犯罪嫌疑人对计算机不是很了解，或因为犯罪嫌疑人的疏忽大意，会在Windows系统上留下一些记录。网络轨迹主要包括：1 网站访问下拉列表2 网站访问的历史记录3 网站收藏夹4 网络聊天工具分析系统证据获取系统服务系统服务Windows 上提供了很多服务，这些服务一方面使得合法用户可以访问，但另一方面也为有害的入侵者提供了一个接入口。1 计划任务服务2 共享服务3 远程控制和远程访问服务系统证据获取用户分析用户分析Windows 具有完善的用户体系，它规定了系统中有哪些帐户，这些帐户分别属于哪些组，这些帐户有什么权限，这些帐户有哪些文件存放在哪些目录下，其他帐户对该帐户的文档有什么权限。攻击者通

5、常会在他得到控制权的系统上添加一个管理员帐号，或者将克隆管理员帐户(Administrator)权限到来宾帐户(Guest)。1 用户列表2 用户属性3 用户相关的文档（所有权等）系统证据获取ENCASEEnCase是目前使用最为广泛的计算机取证工具，至少超过2000家的法律执行部门在使用它。它提供良好的基于windows的界面，左边是case文件的目录结构，右边是用户访问目录的证据文件的列表。实例ENCASE特点(1)EnCase可获取各个分区从而作为证据文件，在获取各个分区的同时恢复数据。(2)EnCase的过滤器机制使得可搜索出符合某种条件的文件。(3)EnCase查找使得用户可以迅速的

6、找到关键字。(4)EnCase使用脚本完成一系列的工作。(5)EnCase支持中文关键字的查找，通过EnCase伴侣得到中文的编码，在EnCase中设置编码方式即可查找。实例MD5校验值计算工具校验值计算工具:md5sum做md5校验的目的就是保证文件的完整性和唯一性，给文件做个md5校验，将md5校验值与原始文件的md5校验值比较，如果二者匹配，说明这个文件和原始文件是一模一样的，没有被修改过。md5校验也能确认系统没有被入侵。当刚装好系统后就给系统文件做md5校验，过了一段时间如果怀疑系统被攻破了，某些文件被人换掉，那么就可以给系统文件重新做个md5校验，若和从前得到的md5校验码不一样，

7、那么有可能系统已经被入侵过了。实例进程工具：进程工具：pslist实例注册表工具：注册表工具：autorunsautoruns具有全面的自启动程序检测功能，找出那些被设定在系统启动和登录期间自动运行的程序，并显示Windows加载它们的顺序。Autoruns不仅可以检测出“开始”菜单“启动”组和注册表中加载的自启动程序，而且还能显示出浏览器的加载项以及自动启动的服务。实例网络查看工具网络查看工具:fportFport是查看系统进程与端口关联的命令，使用方法是在命令行方式下输入Fport后回车，输出结果格式如下：实例网络查看工具网络查看工具:netstatnetstat-s-本选项能够按照各个协

8、议分别显示其统计数据。netstat-e-本选项用于显示关于以太网的统计数据。netstat-r-本选项可以显示关于路由表的信息。netstat-a-本选项显示一个所有的有效连接信息列表netstat-n-显示所有已建立的有效连接。实例服务工具：服务工具：psservicepsservice是一个服务管理程序。它的使用方法是：psservice 远程机器ip-u username-p password 它的参数只有：-u 后面跟用户名-p后面是跟密码的，如果建立ipc连接后这两个参数则不需要。实例本章小结Windows系统的计算机取证和分析鉴定分为现场取证和脱机取证现场取证必须保证电子证据的真

9、实性和完整性。保证真实性的措施是规定好现场取证的人数，签字，拍照，录像。保证完整性的措施是数据校验，目前使用最多的是MD5校验。现场取证时除了取硬盘，某个目录，更多的是取易丢失的数据，有时以上的证据并不能满足需要，还需取注册表，日志，系统密码等而脱机取证是对现场取证时取下来的硬盘进行取证一般对注册表，进程，服务，文件和目录，日志文件，网络轨迹进行取证，形成文件，并固定。取证时用到很多工具，例如EnCase，md5sums，pslist，fport，netstat，psservice，dviver。总结思考问题1.电子证据的真实性与完整性我们是如何理解的？如何保证电子证据的真实性与完整性？2.如何使用md5sums固定电子证据？3.易丢失的证据有哪些?如何取易丢失的证据?如何确定易丢失证据的完整性？4.当一个木马程序开机自动运行，它可能利用了windows系统的哪些机制?请一一列举。5.如何检查网络轨迹？6.EnCase与其他取证工具比较，有哪些优点？7.如何查看网络的使用情况以及如何查看哪个程序使用了哪些端口监听？8.我们对windows的服务是怎么理解的?如何对服务进行取证？思考