信息犯罪与计算机取证

1 .信息犯罪与 计算机取证 E-Crime and Computer Forensics 王永全 唐玲 刘三满 主编

2 .第 九 章 电子数据证据的发现与收集 | 计算机系统 | 用户痕迹 | 取证 |

3 .计算机系统的含义 用户痕迹电子数据证据的发现与收集 各类系统与设备的取证等 重点内容

4 .学习要求 理解用户痕迹的概念和作用 熟悉各类系统和设备取证的基本步骤 能够在网络通信中发现和收集电子数据证据 了解计算机系统的含义及不同计算机系统日志的特点

5 .9.1 计算机系统 9.1.1 Windows 计算机系统 日志文件是 Windows 操作系统中一种特殊的文件，它记录了在 Windows 操作系统中所发生的一切活动。例如，各种服务的启动、运行、关闭等重要信息。日志文件的大小一般为 512 kB ，如果文件大小超出这个范围，系统则会报错，并不再记录任何日志。

6 .1 ． Windows Vista 的日志 传统事件日志：应用程序、安全、系统 安装日志 Windows Vista 的事件查看器 新日志 备份服务的日志 WinLogon 服务的日志

7 .2 ． Windows 7 的日志 其他日志、用户创建的自定义日志 安装日志 Windows 7 的事件日志 默认日志 备份服务的日志 WinLogon 服务的日志

8 .3 ． Windows 10 的日志 （ 1 ） 查看 系统时间篡改痕迹 ： 系统时间篡改的日志可以在 Windows 日志中的“安全”块查看。 （ 2 ） USB 使用记录日志： 打开计算机中的注册表编辑器，进入路径 HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet \ Enum \USBSTOR 所示的位置查看。

9 .9.1.2 Unix/Linux 计算机系统日志的作用 1 ． Unix/Linux 系列概述 类 Unix 系统的日志主要有以下三个日志子系统构成： （ 1 ）连接时间日志 （ 2 ）进程信息统计 （ 3 ）错误日志

10 .Linux 系统提供了大量有关审计和日志的工具及实用程序： （ 1 ） messages 文件 （ 2 ） lastlog 文件 （ 3 ） secure 文件 （ 4 ） wtmp 文件 （ 5 ） boot.log.x 文件 （ 6 ） history 实用程序日志 2 ． Linux 操作系统

11 .类 Unix 系统的日志目录是 / var / adm （ 1 ） syslog ： syslogd 负责从 UDP 514 端口接收系统中进程产生的日志信息，并根据 syslog.conf 文件的配置信息将日志信息分发到指定的位置 （ 2 ）取证分析 ① messages ② wtmp 、 utmplogs 和 ftp 日志 ③ sh_history 3 ．类 Unix 操作系统

12 .9.1.3 Mac OS 计算机系统日志的特点 苹果计算机系统主要使用 Macintosh OS X ，其内核是基于一个类似 Unix 的混合内核，系统的发展历程从 BSD Unix 、 Mach Kernel 、 NEXTSTEP OS 的进化，最后演变为现在的 Macintosh OS X 。

13 .9.2 用户痕迹电子数据证据的发现与收集 9.2.1 用户痕迹的概念 用户通过日常使用计算机、手机、平板电脑等设备，进行新建、修改、访问、传输等操作产生的电子数据记录就是用户留下的痕迹，即用户痕迹。

14 .9.2.2 用户痕迹的作用 人为、自动和两者结合方式产生的用户痕迹数据贯穿了使用计算机等设备的整个过程，也使第三方调查者能够通过这些痕迹数据对嫌疑人进行用户行为串联和分析，从而给还原案件的真相提供了可能。

15 .9.2.3 用户痕迹的特点 电子数据的普遍特点：无形性、多样性、客观性、易破坏性、隐蔽性等。 用户痕迹的特点 隐私数据的特点 ： 记录用户操作历史、行为轨迹、通信记录、密码信息等

16 .9.2.4 常见的用户痕迹 常见的用户痕迹有以下几种： （ 1 ） Link 文件 （ 2 ） Metadata （ 3 ） Thumbnail （ 4 ）回收站 （ 5 ）网络信息

17 .9.3 移动终端取证 9.3.1 移动终端取证概述 移动终端取证包括手机、平板电脑、智能手表等电子终端设备的取证。其中，最为常见的便是手机取证。本节主要以手机取证为例，对移动终端取证进行概述。

18 .不损害原则 避免使用原始证据原则 记录所做的操作 遵循相关的法律法规 ACPO 计算机及电子数据证据指导原则

19 .9.3.2 Android 系统取证 Android 操作系统是基于 Linux 2.6 内核的操作系统，在 Android 操作系统中， Linux 内核提供了 Android 操作系统最底层的一些功能，包括显示驱动、蓝牙驱动、摄像头驱动、 Flash 存储驱动、进程间通信驱动、键盘输入驱动、 USB 驱动、 Wi-Fi 无线网络驱动、音频驱动以及电源管理等。

20 .Android Debug Bridge 逻辑取证 物理取证及 root 权限 Android 逻辑数据提取和分析 短信 / 彩信的提取和分析 通话记录的提取和分析 Android 智能手机取证的相关注意事项 Android 操作系统取证的具体内容

21 .9.3.3 iOS 系统取证 iOS 现在不仅安装在 iPhone 手机中的操作系统，同样也安装在 iPod Touch 、 iPad 等设备中。这里主要针对采用 iOS 的 iPhone 智能手机的取证分析进行探讨，其他设备的取证分析与 iPhone 基本类似。

22 .备份文件取证 取证方式 物理取证 对 iPhone 手机进行取证 逻辑取证

23 .9.3.4 非智能系统取证 非智能系统的手机取证简单地说就是提取通信录、通话记录、短信、彩信等通常手机信息，这些信息可能是存储在手机中的，可以直接获取；也可以通过正规程序，从移动通信公司处获取相关信息。

24 .9.4 其他系统与设备 9.4.1 Web 服务器 IIS （ Internet Information Services ）日志分析、 Apache 日志分析和代理服务器 Squid 日志。这类日志信息与网络中心的安全紧密相关，反映了局域网用户的行为和网络受到入侵时的相关信息，可以帮助对网络中心的安全事件进行取证。

25 .1 ． IIS 日志分析 一般地，系统建议 IIS 日志使用 W3C 扩充日志文件格式。 IIS 的日志文件都是文本文件，可以使用任何编辑器或相关软件打开 。 日志的主体是一条一条的请求信息，请求信息的格式由 #Fields 定义，每个字段都有空格隔开。

26 .2 ． Apache 日志分析 第一项是远程主机的地址； 第二项是空白，用一个“ - ”占位符替代 ； 第三项是空白。这个位置用于记录浏览者进行身份验证时提供的名字 ； 第四项是请求的时间 ； 第五项 表示 服务器收到的是一个什么样的请求 ； 第六项是状态代码 ； 第七项表示发送给客户端的总字节数。

27 .3 ．代理服务器 Squid 日志 代理服务是指由一台拥有标准 IP 地址的机器代替若干没有标准 IP 地址的机器和 Internet 上的其他主机打交道，提供代理服务的这台机器称为代理服务器。代理服务器的作用就是沟通内部网和 Internet ，解决内部网访问 Internet 的问题。

28 .9.4.2 邮件服务器 SendMail ： 一个电子邮件传输代理，一个在用户代理和投递代理之间充当桥梁的程序。 Exchange Server ： Exchange Server 2007 可以确保日志报告绝不会由于日志邮箱不可用、已满、配置错误或脱机这些原因而丢失。

29 .9.4.3 数据库 1 ． SQL Server 数据库日志 （ 1 ）在事件查看器中查看服务器的运行情况 （ 2 ） SQL Server 2005 的新增功能