计算机取证技术课件.ppt
- 【下载声明】
1. 本站全部试题类文档,若标题没写含答案,则无答案;标题注明含答案的文档,主观题也可能无答案。请谨慎下单,一旦售出,不予退换。
2. 本站全部PPT文档均不含视频和音频,PPT中出现的音频或视频标识(或文字)仅表示流程,实际无音频或视频文件。请谨慎下单,一旦售出,不予退换。
3. 本页资料《计算机取证技术课件.ppt》由用户(晟晟文业)主动上传,其收益全归该用户。163文库仅提供信息存储空间,仅对该用户上传内容的表现方式做保护处理,对上传内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(点击联系客服),我们立即给予删除!
4. 请根据预览情况,自愿下载本文。本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
5. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007及以上版本和PDF阅读器,压缩文件请下载最新的WinRAR软件解压。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 计算机 取证 技术 课件
- 资源描述:
-
1、第三章 计算机取证技术1 编辑版pppt本章将依据法律执行过程模型来介绍相关的计算机取证技术此模型在取证的过程中受法律约束模型的内容1.准备阶段2.收集阶段:包括保护与评估现场,对现场进行记录、归档、证据提取等3.检验阶段4.分析阶段5.报告阶段2 编辑版pppt4.1 计算机取证准备4.1.1 计算机取证人员培训美国NTI公司:取证设备制造和销售、计算机取证培训4.1.2计算机取证工具操作系统中已经存在的一些命令行工具;工具软件;取证工具包4.1.3应对具体案件的取证准备3 编辑版pppt4.1.2计算机取证工具所需的工具必须要满足整个设备的收集过程,包括:存档、收集、封装和运输。其中数据获
2、取和分析工具是是取证工具包中最基本、最重要的工具。提前准备:工具能够满足要求,它的输出是否可信,如何操作。工具分类1.证据获取工具2.证据保全工具:证物监督链,三种技术3.证据分析工具:证据分析是计算机取证的核心和关键4.证据归档工具:NTI-DOC、encase4 编辑版pppt证据保全工具数据签名用于验证传送对象的完整性以及传送者的身份数字摘要(散列)一般来说,数字签名是用来处理短消息的,而相对于较长的消息则显得有些吃力。当然,可以将长的消息分成若干小段,然后再分别签名。不过,这样做非常麻烦,而且会带来数据完整性的问题。比较合理的做法是在数字签名前对消息先进行数字摘要。数字摘要就是采用单项
3、Hash函数将需要加密的明文“摘要”成一串固定长度(128位)的密文,这一串密文又称为数字指纹。5 编辑版pppt数字时间戳技术对于成功的电子商务应用,要求参与交易各方不能否认其行为。这其中需要在经过数字签名的交易上打上一个可信赖的时间戳,从而解决一系列的实际和法律问题。由于用户桌面时间很容易改变,由该时间产生的时间戳不可信赖,因此需要一个权威第三方来提供可信赖的且不可抵赖的时间戳服务。在书面合同中,文件签署的日期和签名一样均是十分重要的防止文件被伪造和篡改的关键性内容。在电子文件中,同样需对文件的日期和时间信息采取安全措施,而数字时间戳服务(DTS:digital time-stamp se
4、rvice)就能提供电子文件发表时间的安全保护。6 编辑版pppt1.一般来说,数字时间戳产生的过程2.用户将需要加时间戳的文件用Hash算法运算行程摘要3.将该摘要发送到DTS4.DTS在加入了收到文件摘要的日期和事件信息后再对该文件加密(数字签名),然后送达用户。7 编辑版pppt4.1.3应对具体案件的取证准备获得合法的取证手续1.在对现场进行搜查之前要获得取证的司法授权2.搜查令要清楚地说明哪些将可能称为证据,哪些可疑人员将被迅速地控制起来以及收集的可疑设备。3.提前将搜查令交给计算机调查人员及公诉人员检查。常规取证1.现场勘察是获得计算机证据的第一步。首先要注意计算机物理证据的获取,
5、然后要获取计算机系统运行现场的状态相关证据。2.特别注意保证证据连续性8 编辑版pppt4.2 对现场证据的评估4.2.1 界定取证的范围1.确定哪些证据将要进行重点检查2.从前期调查人员那里了解案情3.调查要注意的事项4.2.2 界定计算机证据1.计算机调查员应该对所有可能成为证据的设备有详细的了解2.注意数据很容易在取下电池或拔下电源时而丢失3.潜在证据:数据证据通常都是在可以存储数据的硬件驱动器、存储设备或媒体中发现的。9 编辑版pppt电子设备分类1.计算机系统:用户建立的文件、用户保护的文件、操作系统建立 的文件、其它数据2.数码相机3.手持设备4.移动存储设备:移动硬盘、存储卡、记
6、忆棒5.网络部件包括网卡、路由器、交换机、集线器等6.打印机、复印机、扫描仪和传真机10编辑版pppt4.3 计算机证据的收集与保存4.3.1 计算机证据收集的原则4.3.2 计算机证据收集的过程4.3.3 独立计算机的证据收集4.3.4 复杂系统的证据收集4.3.5 磁盘映像4.3.6 计算机证据的保存1.证据的保存2.证据的完整性保护11编辑版pppt4.3.5 磁盘映像磁盘的映像应该是取得磁盘的完全副本,这包括对任何在磁盘上的信息的备份,这其中不仅仅是数据还包括数据的位置。现有的观点是磁盘映像必须实现每一个比特的复制。关于磁盘映像的几个重要问题1.磁盘映像工具是否可以制作一个和初始磁盘完
7、全一样的拷贝2.映像的内部验证问题3.磁盘映像的时间12编辑版pppt4.4 计算机证据的提取证据收集主要的工作是收集存储器的可疑数据,更多的是在尽可能不改变数据的情况下复制数据计算机证据的提取主要是在收集到的大量证据中找出犯罪证据证据提取中的两个问题犯罪嫌疑人会对重要文件进行加密犯罪嫌疑人作案后会删除、销毁证据13编辑版pppt4.4.1 密码破解使用的密码破解技术和方法1.密码分析技术2.密码破解技术:口令字典、重点猜测、穷举破解3.口令搜索:物理搜索、逻辑搜索、网络窃听4.口令提取:注册表5.口令恢复:使用密钥恢复机制可以从高级管理员那里获得口令破解第一步是精简操作系统存储加密口令的ha
展开阅读全文