计算机取证技术 - 2010中国计算机网络安全年会- 国家互联网应急中心

国 家 互 联 网 应 急 中 心计 算 机 取 证 技 术国 家 互 联 网 应 急 中 心2010 年 9 月 北 京韩 晟

主 要 内 容计 算 机 取 证 的 概 念主 要 的 取 证 工 具 和 方 法

取 证 的 背 景谁 入 侵 了 我 的 电 脑 ?怎 样 证 明 是 他 干 的 ?

取 证 的 概 念什 么 是 计 算 机 取 证 技 术 ?简 单 的 说 , 计 算 机 取 证 就 是 通 过 技术 手 段 , 准 确 高 效 的 从 计 算 机 及 网 络设 备 上 搜 索 并 提 取 计 算 机 犯 罪 的 证 据 ,并 且 能 够 保 证 不 对 原 介 质 造 成 任 何 影响 , 提 取 的 证 据 要 经 过 签 名 验 证 , 保证 不 被 篡 改 。• Lee Garber 在 IEEE Security 发 表 的 文 章 中 认 为 , 计 算 机 取 证 是 分 析 硬 盘 驱动 、 光 盘 、 软 盘 、ZIP 和 Jazz 磁 盘 、 内 存 缓 冲 区 以 及 其 它 形 式 的 储 存 介 质 ,以 发 现 犯 罪 证 据 的 过 程 。• 计 算 机 取 证 资 深 专 家 Judd Robbins 对 此 给 出 了 如 下 的 定 义 : 计 算 机 取 证 是 将计 算 机 调 查 和 分 析 技 术 应 用 于 对 潜 在 的 、 有 法 律 效 力 的 证 据 的 确 定 与 获 取 。• 计 算 机 紧 急 事 件 响 应 组 和 取 证 咨 询 公 司 New Technologies 进 一 步 扩 展 了 该 定义 : 计 算 机 取 证 包 括 了 对 以 磁 介 质 编 码 信 息 方 式 存 储 的 计 算 机 证 据 的 保 护 、确 认 、 提 取 和 归 档 。• SANS 公 司 则 归 结 为 : 计 算 机 取 证 是 使 用 软 件 和 工 具 , 按 照 一 些 预 先 定 义 的 程序 , 全 面 地 检 查 计 算 机 系 统 , 以 提 取 和 保 护 有 关 计 算 机 犯 罪 的 证 据 。

证 据 在 哪 ?计 算 机 中 会 留 下 很 多 意 想 不 到 的 痕 迹 !• 未 分 配 空 间 : 当 前 硬 盘 上 尚 未 分 配 给 某 个 文 件 的 区 域 。• 自 由 空 间 : 硬 盘 驱 动 器 上 不 属 于 任 何 活 动 分 区 的 磁 盘 空 间 。• 松 弛 空 间 (Slack Space): 每 个 分 配 单 元 中 没 有 用 完 的 部 分 空 间 。

取 证 的 特 点‣ 取 证 过 程 中 不 能 对 目 标 设 备 有 任 何 改 动 , 读 取 硬 盘 数 据 必 须 用 “ 只 读 锁 ”‣ 所 有 提 取 的 文 件 都 要 经 过 签 名 , 保 证 不 被 篡 改‣ 保 存 证 据 的 硬 盘 每 次 使 用 前 都 要 “ 洗 盘 ”—— 清 零 操 作 (Erases)‣ 尽 可 能 优 先 提 取 易 失 性 数 据 —— 内 存 、 网 络 数 据 包 等 等‣ 分 析 证 据 的 工 作 应 该 在 工 作 副 本 ( 对 目 标 硬 盘 逐 位 、 逐 字 节 的 镜 像 ) 上 进 行

取 证 的 基 本 流 程1. 获 取 基 本 信 息2. 获 取 易 失 性 数 据3. 制 作 司 法 鉴 定 复 件4. 查 找 并 清 除 恶 意 代 码5. 分 析 司 法 鉴 定 复 件6. 撰 写 取 证 分 析 报 告

传 统 的 取 证 工 具auditpol确 定 系 统 的 审 核 策 略reg 转 储 Windows 系 统 注 册 表 中 的 特 定 信 息 ( 键 )regdumppwdump6NTLastSfindAfindDumpel以 文 本 文 件 格 式 转 储 注 册 表转 储 SAM 数 据 库 , 可 破 解 密 码监 控 成 功 和 失 败 的 系 统 登 录侦 测 隐 藏 在 NTFS 文 件 流 中 的 文 件扫 描 文 件 系 统 找 出 在 某 时 段 内 被 访 问 过 的 文 件转 储 Windows 系 统 的 事 件 日 志

EnCase 取 证 分 析 软 件EnCase 取 证 分 析 软 件‣ 美 国 Guidance 公 司 产 品‣EnCase 是 全 世 界 法 律 实 施 和 IT 安 全 专 业 人 士 使 用 的 排 名第 一 位 的 计 算 机 犯 罪 取 证 软 件‣ 成 为 全 世 界 计 算 机 犯 罪 调 查 取 证 的 标 准 和 通 用 平 台‣ 有 效 保 证 电 子 证 据 的 完 整 性 、 可 信 性 、 准 确 性

EnCase 取 证 分 析 软 件‣EnCase Forensic Edition( 取 证 版 EFE)• EDS----EnCase 解 密 模 块• VFS----EnCase 虚 拟 文 件 系 统• PDE----EnCase 物 理 磁 盘 模 拟 器‣EnCase Enterprise Edition( 企 业 版 EEE)‣ 三 大 功 能• 证 据 获 取• 证 据 分 析• 证 据 报 告

X-Ways Forensics‣ 德 国 X-Ways 公 司 最 著 名 的 计 算 机 法 证 工 具‣ 为 计 算 机 法 证 人 员 提 供 的 一 个 功 能 强 大 的 、 综 合 的取 证 、 分 析 环 境‣ 包 含 WinHex 软 件 的 所 有 基 本 功 能 , 并 增 加 了 很 多 特有 功 能 , 也 被 称 为 WinHex 法 证 版

X-Ways Forensics

FTK 司 法 分 析 软 件‣FTK(Forensic Toolkit) 是 世 界 上 公 认 的 计 算 机 取 证调 查 的 必 备 工 具 , 功 能 强 大 、 界 面 友 好 、 使 用 简 单‣ 集 成 解 决 方 案 :• 创 建 镜 像 、 查 看 注 册 表 、 破 解 加 密 文 件 、 调 查 分 析 案件 和 生 成 报 告 一 体 化• 恢 复 超 过 80 多 种 加 密 文 件 类 型 的 密 码‣ 集 成 Oracle 数 据 库 和 增 强 搜 索 功 能‣ 强 大 的 处 理 能 力 和 速 度‣ 直 观 界 面 和 强 大 功 能

F-Response 在 线 网 络 取 证 工 具‣ 在 开 机 状 态 下 直 接 取 证 , 避 免 丢 失 易 失 性 数 据‣ 在 局 域 网 范 围 内 远 程 取 证 , 支 持 VPN 连 接‣ 可 靠 的 加 密 连 接 、 只 读 方 式‣ 可 以 与 X-Ways Forensics、Smart、MacForensicsLab、FinalForensics、Intella 等 取 证 软 件 全 面 配 合‣ 对 Windows, MacOS, Linux 三 种 操 作 系 统 都 可 成 功 实 现在 线 分 析 和 取 证‣ 分 为 FK 法 证 版 、CE 调 查 版 、EE 企 业 版

F-Response 在 线 网 络 取 证 工 具

硬 件 取 证 工 具

演 示X-Ways Forensics 取 证 分 析

网 络 资 源FIRSTHTCIACERTISSASANSInfraGardFoundstonewww.first.orgwww.htcia.orgwww.cert.orgwww.issa.orgwww.sans.orgwww.infragard.netwww.foundstone.com

结 束 语敬 请 各 位 批 评 指 导 !韩 晟 13911180901hs@cert.org.cn