计算机系统含义和用户痕迹的电子数据证据的发现和收集。

励志师---★发布于2018/06/27 00:00

注脚

1.信息犯罪与 计算机取证 E-Crime and Computer Forensics 王永全 唐玲 刘三满 主编

2.第 九 章 电子数据证据的发现与收集 | 计算机系统 | 用户痕迹 | 取证 |

3.计算机系统的含义 用户痕迹电子数据证据的发现与收集 各类系统与设备的取证等 重点内容

4.学习要求 理解用户痕迹的概念和作用 熟悉各类系统和设备取证的基本步骤 能够在网络通信中发现和收集电子数据证据 了解计算机系统的含义及不同计算机系统日志的特点

5.9.1 计算机系统 9.1.1 Windows 计算机系统 日志文件是 Windows 操作系统中一种特殊的文件,它记录了在 Windows 操作系统中所发生的一切活动。例如,各种服务的启动、运行、关闭等重要信息。日志文件的大小一般为 512 kB ,如果文件大小超出这个范围,系统则会报错,并不再记录任何日志。

6.1 . Windows Vista 的日志 传统事件日志:应用程序、安全、系统 安装日志 Windows Vista 的事件查看器 新日志 备份服务的日志 WinLogon 服务的日志

7.2 . Windows 7 的日志 其他日志、用户创建的自定义日志 安装日志 Windows 7 的事件日志 默认日志 备份服务的日志 WinLogon 服务的日志

8.3 . Windows 10 的日志 ( 1 ) 查看 系统时间篡改痕迹 : 系统时间篡改的日志可以在 Windows 日志中的“安全”块查看。 ( 2 ) USB 使用记录日志: 打开计算机中的注册表编辑器,进入路径 HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet \ Enum \USBSTOR 所示的位置查看。

9.9.1.2 Unix/Linux 计算机系统日志的作用 1 . Unix/Linux 系列概述 类 Unix 系统的日志主要有以下三个日志子系统构成: ( 1 )连接时间日志 ( 2 )进程信息统计 ( 3 )错误日志

10.Linux 系统提供了大量有关审计和日志的工具及实用程序: ( 1 ) messages 文件 ( 2 ) lastlog 文件 ( 3 ) secure 文件 ( 4 ) wtmp 文件 ( 5 ) boot.log.x 文件 ( 6 ) history 实用程序日志 2 . Linux 操作系统

11.类 Unix 系统的日志目录是 / var / adm ( 1 ) syslog : syslogd 负责从 UDP 514 端口接收系统中进程产生的日志信息,并根据 syslog.conf 文件的配置信息将日志信息分发到指定的位置 ( 2 )取证分析 ① messages ② wtmp 、 utmplogs 和 ftp 日志 ③ sh_history 3 .类 Unix 操作系统

12.9.1.3 Mac OS 计算机系统日志的特点 苹果计算机系统主要使用 Macintosh OS X ,其内核是基于一个类似 Unix 的混合内核,系统的发展历程从 BSD Unix 、 Mach Kernel 、 NEXTSTEP OS 的进化,最后演变为现在的 Macintosh OS X 。

13.9.2 用户痕迹电子数据证据的发现与收集 9.2.1 用户痕迹的概念 用户通过日常使用计算机、手机、平板电脑等设备,进行新建、修改、访问、传输等操作产生的电子数据记录就是用户留下的痕迹,即用户痕迹。

14.9.2.2 用户痕迹的作用 人为、自动和两者结合方式产生的用户痕迹数据贯穿了使用计算机等设备的整个过程,也使第三方调查者能够通过这些痕迹数据对嫌疑人进行用户行为串联和分析,从而给还原案件的真相提供了可能。

15.9.2.3 用户痕迹的特点 电子数据的普遍特点:无形性、多样性、客观性、易破坏性、隐蔽性等。 用户痕迹的特点 隐私数据的特点 : 记录用户操作历史、行为轨迹、通信记录、密码信息等

16.9.2.4 常见的用户痕迹 常见的用户痕迹有以下几种: ( 1 ) Link 文件 ( 2 ) Metadata ( 3 ) Thumbnail ( 4 )回收站 ( 5 )网络信息

17.9.3 移动终端取证 9.3.1 移动终端取证概述 移动终端取证包括手机、平板电脑、智能手表等电子终端设备的取证。其中,最为常见的便是手机取证。本节主要以手机取证为例,对移动终端取证进行概述。

18.不损害原则 避免使用原始证据原则 记录所做的操作 遵循相关的法律法规 ACPO 计算机及电子数据证据指导原则

19.9.3.2 Android 系统取证 Android 操作系统是基于 Linux 2.6 内核的操作系统,在 Android 操作系统中, Linux 内核提供了 Android 操作系统最底层的一些功能,包括显示驱动、蓝牙驱动、摄像头驱动、 Flash 存储驱动、进程间通信驱动、键盘输入驱动、 USB 驱动、 Wi-Fi 无线网络驱动、音频驱动以及电源管理等。

20.Android Debug Bridge 逻辑取证 物理取证及 root 权限 Android 逻辑数据提取和分析 短信 / 彩信的提取和分析 通话记录的提取和分析 Android 智能手机取证的相关注意事项 Android 操作系统取证的具体内容

21.9.3.3 iOS 系统取证 iOS 现在不仅安装在 iPhone 手机中的操作系统,同样也安装在 iPod Touch 、 iPad 等设备中。这里主要针对采用 iOS 的 iPhone 智能手机的取证分析进行探讨,其他设备的取证分析与 iPhone 基本类似。

22.备份文件取证 取证方式 物理取证 对 iPhone 手机进行取证 逻辑取证

23.9.3.4 非智能系统取证 非智能系统的手机取证简单地说就是提取通信录、通话记录、短信、彩信等通常手机信息,这些信息可能是存储在手机中的,可以直接获取;也可以通过正规程序,从移动通信公司处获取相关信息。

24.9.4 其他系统与设备 9.4.1 Web 服务器 IIS ( Internet Information Services )日志分析、 Apache 日志分析和代理服务器 Squid 日志。这类日志信息与网络中心的安全紧密相关,反映了局域网用户的行为和网络受到入侵时的相关信息,可以帮助对网络中心的安全事件进行取证。

25.1 . IIS 日志分析 一般地,系统建议 IIS 日志使用 W3C 扩充日志文件格式。 IIS 的日志文件都是文本文件,可以使用任何编辑器或相关软件打开 。 日志的主体是一条一条的请求信息,请求信息的格式由 #Fields 定义,每个字段都有空格隔开。

26.2 . Apache 日志分析 第一项是远程主机的地址; 第二项是空白,用一个“ - ”占位符替代 ; 第三项是空白。这个位置用于记录浏览者进行身份验证时提供的名字 ; 第四项是请求的时间 ; 第五项 表示 服务器收到的是一个什么样的请求 ; 第六项是状态代码 ; 第七项表示发送给客户端的总字节数。

27.3 .代理服务器 Squid 日志 代理服务是指由一台拥有标准 IP 地址的机器代替若干没有标准 IP 地址的机器和 Internet 上的其他主机打交道,提供代理服务的这台机器称为代理服务器。代理服务器的作用就是沟通内部网和 Internet ,解决内部网访问 Internet 的问题。

28.9.4.2 邮件服务器 SendMail : 一个电子邮件传输代理,一个在用户代理和投递代理之间充当桥梁的程序。 Exchange Server : Exchange Server 2007 可以确保日志报告绝不会由于日志邮箱不可用、已满、配置错误或脱机这些原因而丢失。

29.9.4.3 数据库 1 . SQL Server 数据库日志 ( 1 )在事件查看器中查看服务器的运行情况 ( 2 ) SQL Server 2005 的新增功能

30.2 . Oracle 数据库日志 Oracle 数据库 多用于 需要大量的数据存储,以数据仓库的方式和数据库集群的方式进行数据库服务器的分布式处理 的领域中。 从目前来看,分析 Oracle 日志的唯一方法是使用 Oracle 公司提供的 Log Miner 进行。

31.3 . DB2 数据库日志 循环日志:数据库安装成功后系统默认为循环日志。 归档日志:当最后一个日志文件写满时,归档日志记录过程会创建一个新的日志文件。

32.9.4.4 防火墙 Windows 防火墙是一个基于主机的状态防火墙,它会断开非请求的传入通信,这些通信是指并非为响应计算机的请求而发送的通信(请求通信)或被指定为可允许的非请求通信(例外通信)。

33.9.4.5 路由器 路由器的一些重要信息可以通过 syslog 机制在内部网络的 Unix 主机上形成日志。日志功能可通过在路由器上设定日志主机的 IP 地址,并在相应的 Unix 主机上做一些必要的设置来实现。

34.9.5 网络通信中电子数据证据发现与收集 与网络通信活动有关的证据都可以称为网络环境下的电子数据证据。实际上,证据最终总要被存储,现阶段的各种数字设备本质上都可以看成是计算机及其相关设备,且均可能存储相应的证据。

35.1 .来自网络服务器、网络应用主机的证据 包括系统事件记录和系统应用记录、网络服务器各种日志记录、网络应用主机的网页浏览历史记录、 Cookies 、收藏夹、浏览网页缓存等。

36.2 .来自网络通信数据的证据 从网络通信数据中可以发现对主机系统而言不易发现的一些证据,这样可以形成证据补充,或从另外的角度证实某个行为或事实,从而相互印证。

37.3 .来自网络安全产品、网络设施的证据 主要源自路由器、交换机、访问控制系统、专门性审计系统、防火墙、 IDS 系统等网络设备。

38.4 .专门的网络取证分析系统产生的包括日志信息在内的结果 大多网络流量在经过的路径上都留下了踪迹。路由器、防火墙、服务器、入侵检测设备以及其他网络设施都会保存日志,记录基于网络的事件。当结合所有基于网络的证据片段时,就有可能重建特定的网络事件,形成电子数据证据。

39.9.5.1 调查 IP 地址 使用 Who is 名称服务器查找( nslookup )命令 Tracert 或 Traceroute 命令 使用 IP 扫描工具程序 加强区域合作 MAC 地址的获取

40.9.5.2 电子邮件 从邮件最初创建的那刻起,有关该邮件的信息便已添加到邮件中称为 Internet 邮件头的隐藏部分中。这些信息包括邮件创建人、用来撰写该邮件的软件,以及邮件在到达收件人的途中所经过的电子邮件服务器等。

41.在 Web 应用程序中查看邮件头 在电子邮件应用程序中查看邮件头 ① Gmail ② Microsoft Outlook ③ Yahoo Mail 不同邮件环境下查看邮件头的步骤

42.9.5.3 基于 Web 的攻击 基于 Web 的攻击一般有三类:攻击服务器、篡改网页内容、窃取服务器中信息。发生这些攻击行为常常是因为操作系统或认证方式上存在漏洞。 不论攻击是哪一种类型,一般都会在系统日志中留下蛛丝马迹。在检查日志文件的基础上,不同的攻击类型可采取不同的应对措施。

43.9.5.4 监听网络 网络监听是被攻击者常用来窃取用户信息的一种手段,但它同时也可以用来捕捉受怀疑攻击者的流量,确定或排除疑点,收集补充证据,核查危及的范围。

44. 网络监听技术本来是提供给网络安全管理人员进行管理的工具,可以用来监视网络的状态、数据流动情况以及网络上传输的信息等。当信息以明文的形式在网络上传输时,只要将网络接口设置成监听模式,便可以将网上传输的信息截获。 1 .网络监听工作原理

45. 将要发送的数据包发往连接在一起的所有主机,数据包中包含着应该接收数据包主机的正确地址,只有与数据包中目标地址一致的那台主机才能接收。但是,当主机工作在监听模式下,无论数据包中的目标地址是什么,主机都将接收。 2 .在局域网实现监听的基本原理

46. 在创建了原始套接字后,需要通过 setsockopt () 函数设置 IP 头操作选项,再通过 bind( ) 函数将原始套接字绑定到本地网卡。为了让原始套接字能接收所有的数据,还需要通过 ioctlsocket () 进行设置,而且还可以指定是否亲自处理 IP 头。 3 .具体实现

47.9.5.5 P2P 技术 P2P ( Peer-To-Peer )是点对点、对等的意思。 P2P 技术的发展共经历了三代 : 集中服务器式 客户服务器式 散列服务器式

48.9.6 其他环境或设备取证 9.6.1 无人机取证 随着技术的发展,无人机已经可以实现实时回传高清图片和视频。在执法领域,还可以集成各种传感器或数据采集设备,实现基站信息、 Wi-Fi 信息的采集,可用于公共场所人流密度监测,避免造成踩踏事件。

49.9.6.2 现场勘查车 现场勘查车是根据交通管理部门对事故现场实施勘查、处理的需求所设计的一款多功能移动式勘查系统,能够快速高效地处理交通事故现场以避免交通堵塞并提高事故民警工作效率。

50.4. ACPO 计算机及电子数据证据指导原则是什么? 5. iPhone 手机进行取证有哪几种方式? 2 . Windows 日志系统的取证方式有哪些? 3 . 简述用户痕迹的特点。 思考与练习 1 .计算机系统的日志有哪些功能和特点? 6 .如何进行 Web 服务器的日志分析 ?

51.谢谢大家!

user picture
  • 励志师---★
  • Apparently, this user prefers to keep an air of mystery about them.

相关文档

  • 本章节主要介绍了微内核相关的知识,微内核(Micro kernel)是提供操作系统核心功能的内核的精简版本;从Mach到L4,Mach是一个由卡内基梅隆大学开发的用于支持操作系统研究的操作系统内核,是最早实现微核心操作系统的例子之一;L4是一组基于微内核构架的操作系统内核。这是一次革命性的升级,本文中对于此做了介绍。

  • 本章节主要介绍了GFS以及BigTable计算机操作系统技术。GFS是一个可扩展的分布式文件系统,用于大型的、分布式的、对大量数据进行访问的应用;而BigTable是Google设计的分布式数据存储系统,用来处理海量的数据的一种非关系型的数据库。在本文章中对两者做出了定义,由来,以及将两者做出了比较。

  • 本章节主要介绍散列表的两大类Chord和DynamoDB。Chord是一个算法,也是一个协议。作为一个算法,Chord能够从数学的角度严格证明其正确性和收敛性;作为一个协议,Chord具体定义了每一个环节的消息类型;而 DynamoDB是一个完全托管的NoSQL数据库服务,可以提供快速的、可预期的性能,并且可以实现无缝扩展。本章节给出了两者的定义,从不同角度分析了两者的作用,介绍了其应用以及将两者做出了比较。

  • 介绍持久化内存的编程模型的历史变迁,模型本身基本构架,以及对应的操作系统内核的变动。以及PMDK和Java如何使用持久化内存等。