課程內(nèi)容

?課題背景

?計算機犯罪簡述

?計算機取證概念、原則與步驟

?國夕卜計算機串證應(yīng)用現(xiàn)狀

?國內(nèi)計算機隼證應(yīng)用現(xiàn)狀

?取證過程與方法

?展望卷北2手

課寇背景

隨著社會信息化、網(wǎng)絡(luò)化大潮的推

進，社會生活中的計算機犯罪由最初的

，，小荷才露尖尖角”到目前的層出不窮，舉

不勝舉，因此，電子數(shù)據(jù)證據(jù)的法律效力

正在成為學(xué)界關(guān)注的焦點。

社會信息化發(fā)展步伐

硬件方面：

Moore定律：每18個月相同價格的集成電路

的處理能力就會加倍。

Intel研制出M納米"晶體管摩爾定律將被推翻

硅芯片晶體密度提百倍摩爾定律再用20年

CSDN-英特爾即將啟用遠紫外技術(shù)摩爾定律再

獲新發(fā)展

社會信息化發(fā)展步伐

軟件方面：

由最初的手動編制二進制代碼到匯編語言、

高級語言、面向?qū)ο蟮母拍睢④浖こ痰?/p>

UML建模技術(shù)，軟件開發(fā)日益呈現(xiàn)工程化、

自動化趨勢，軟件的應(yīng)用范圍日益拓展，

已成為社會生活重要組成部分。

社會信息化發(fā)展步伐

網(wǎng)絡(luò)與通信：互聯(lián)網(wǎng)在中國的發(fā)展

CNNIC的統(tǒng)計:我們的網(wǎng)民總量截至2002

年7月為4580萬，上網(wǎng)計算機數(shù)量為1613

萬臺，CN下注冊的域名數(shù)量是126146個。

WWW站點數(shù)（包括.CN、.COM..NET、.ORG

下的網(wǎng)站）大約293213個。

計算機犯罪概念

?Computerrelatedcrimeorcomputeraimed

crime?

?廣義說：計算機犯罪-----通常是指所有涉及

計算機的犯第。如：

＞歐洲經(jīng)濟合作與發(fā)展組織的專家認(rèn)為：“在自動

數(shù)據(jù)處理過程中任何非法的、違反取業(yè)道德的、

未經(jīng)過批準(zhǔn)的行為卻是計算機犯罪?！?/p>

＞我國刑法學(xué)者有人認(rèn)為:“凡是故意或過失不當(dāng)

使用計算機致使他人受損失或有受損失危險的

行為,都是計算機犯罪?！?/p>

尊桃Q、學(xué)

計算機犯罪概念

■狹義說：計算機犯罪-----通常是對計算機資產(chǎn)本身

進行侵犯的犯罪。例如：

■瑞典的私人保密權(quán)法規(guī)定:“未經(jīng)過批準(zhǔn)建立和保存計

算機私人文件,非法竊取電子數(shù)據(jù)處理記錄或非法篡改、

刪除記錄侵犯個人隱私的行為都是計算機犯罪?！?/p>

?我國有學(xué)者認(rèn)為，“計算機犯罪是指利用計算機操作所

實施的危害計算機信息系統(tǒng)（包括內(nèi)存數(shù)據(jù)及程序）安全

的犯罪行為”

計算機犯罪概念

A折衷說：計算機本身在計算機犯罪中以“犯罪工具”或

“犯罪對象”的方式出現(xiàn),這一概念注重的是計算機本身

在犯罪中的作用。如：

?德國學(xué)者施奈德認(rèn)為:“計算機犯罪指的是利用電子數(shù)

據(jù)處理設(shè)備作為作案工具的犯罪行為或者把數(shù)據(jù)處理設(shè)

備當(dāng)作作案對象的犯罪行為。”

?我國學(xué)者認(rèn)為:“計算機犯罪是以計算機為工具或以計

算機資產(chǎn)為對象的犯罪行為?！?/p>

計算機犯罪的特點

?犯罪形式的隱蔽性

＞計算機犯罪一般不受時間和地點限制，可以通

過網(wǎng)絡(luò)大幅度跨地域遠程實現(xiàn),其罪源可來自全

球的任何一個終端，隨機性很強。

＞計算機犯罪黑數(shù)高。

計算機犯罪的特點

A犯罪主體和手段的智能性

>計算機犯罪的各種手段中，無論是“特洛依木

馬術(shù)”,還是“邏輯炸彈”,無一不是憑借高科技手

段實施的，而熟練運用這些手段并實現(xiàn)犯罪目的

的則是具有相當(dāng)豐富的計算機技術(shù)知識和嫻熟

的計算機操作技能的專業(yè)人員。

計算機犯罪的特點

?復(fù)雜性

A犯罪主體的復(fù)雜性。

A犯罪對象的復(fù)雜性。

參肘Q、”

計算機犯罪的特點

?跨國性

網(wǎng)絡(luò)沖破了地域限制，計算機犯罪呈國際化趨勢。因特網(wǎng)

絡(luò)具有“時空壓縮化”的特點，當(dāng)各式各樣的信息通過因特

網(wǎng)絡(luò)傳送時，國界和地理距離的暫時消失就是空間壓縮的

具體表現(xiàn)。這為犯罪分了跨地域、跨國界作案提供了可能。

犯罪分子只要擁有一臺聯(lián)網(wǎng)的終端機，就可以通過因特網(wǎng)

到網(wǎng)絡(luò)上任何一個站點實施犯罪活動。而且，可以甲地作

案，通過中間結(jié)點，使其他聯(lián)網(wǎng)地受害。由于這種跨國界、

跨地區(qū)的作案隱蔽性強、不易偵破，危害也就更大。

計算機犯罪的特點

?匿名性

罪犯在接受網(wǎng)絡(luò)中的文字或圖像信息

的過程是不需要任何登記，完全匿名，因

而對其實施的犯罪行為也就很難控制。罪

犯可以通過反復(fù)匿名登錄，幾經(jīng)周折，最

后直奔犯罪目標(biāo)，而作為對計算機犯罪的

偵查，就得按部就班地調(diào)查取證，等到接

近犯罪的目標(biāo)時，犯罪分子早已逃之夭夭

To

計算機犯罪的檢點

?損失大，對象廣泛，發(fā)展迅速，涉及面廣

計算機犯罪始于六十年代，七十年代迅速增

長，八十年代形成威脅。美國因計算機犯罪造

成的損失已在千億美元以上，年損失達幾十

億，甚至上百億美元，英、德的年損失也達幾

十億美元。

>我國從1986年開始每年出現(xiàn)至少幾起或幾十

起計算機犯罪，到1993年一年就發(fā)生了上百

起，近幾年利用計算機計算機犯罪的案件以每

年30%的速度遞增，其中金融行業(yè)發(fā)案比例占

61%,平均每起金額都在幾十萬元以上，單起犯

罪案件的最大金額高達1400余萬元，;每年造成

的直接經(jīng)濟損失近億元。出兔系）”

計算機犯罪的特點

持獲利和探秘動機居多

全世界每年被計算機犯罪直接盜走的資金達20

億美元。我國2001年發(fā)現(xiàn)的計算機作案的經(jīng)濟

犯罪已達100余件，涉及金額達1700萬元，在整

個計算機犯罪中占有相當(dāng)?shù)谋壤?/p>

各種各樣的個人隱私、商業(yè)秘密、軍事秘密等

等都成為計算機犯罪的攻擊對象。侵害計算機

信息系統(tǒng)的更是層出不窮。

計算機犯罪的特點

?低齡化和內(nèi)部人員多

我國對某地的金融犯罪情況的調(diào)查，犯罪的年齡在35歲

以下的人占整個犯罪人數(shù)的比例：1989年是69.9%,

1990年是73.2%,1991年是75.8%°其中年齡最小的只有

18歲。

此外，在計算機犯罪中犯罪主體中內(nèi)部人員也占有相當(dāng)

的比例。據(jù)有關(guān)統(tǒng)計，計算機犯罪的犯罪主體集中為金

融、證券業(yè)的“白領(lǐng)階層”，身為銀行或證券公司職員而

犯罪的占78%,并且絕大多數(shù)為單位內(nèi)部的計算機操作

管理人員；從年齡和文化程度看，集中表現(xiàn)為具有一定

專業(yè)技術(shù)知識、能獨立工作的大、中專文化程度的年輕

人，這類人員占83%,案發(fā)時最大年齡為34歲。

計算機犯罪的特點

?巨大的社會危害性

網(wǎng)絡(luò)的普及程度越高，計算機犯罪的危害也就

越大，而且計算機犯罪的危害性遠非一般傳統(tǒng)

犯罪所能比擬，不僅會造成財產(chǎn)損失，而且可

能危及公共安全和國家安全。據(jù)美國聯(lián)邦調(diào)查

局統(tǒng)計測算，一起刑事案件的平均損失僅為

2000美元，而一起計窠機犯罪案件的平均損失

高達50萬美元。據(jù)計算機安全專家估算，近年

因計算機犯罪給總部在美國的公司帶來的損失

為2500億美元。

參肘Q孝

計算機犯罪的類鯉舉例

?非法侵入計算機信息系統(tǒng)罪。

《刑法》第285條規(guī)定，違反國家規(guī)定，侵入國有

事務(wù)、國防建設(shè)、尖端科學(xué)技術(shù)領(lǐng)域的計算機

信息系統(tǒng)的,處三年以下有期徒刑或者拘役。

計算機犯罪的類型舉例

?破壞計算機信息系統(tǒng)罪。

這一行為《刑法》第286條概括為破壞計算機信息系統(tǒng)

罪。主要表現(xiàn)為：

>故意對計算機信息系統(tǒng)功能進行刪除、修改、增加、

干擾,造成計算機信息系統(tǒng)不能正常運行,后果嚴(yán)重的

行為；

>故意對計算機信息系統(tǒng)中存儲處理或者傳輸?shù)臄?shù)據(jù)

和應(yīng)用程序進行刪除、修改、增加的操作，后果嚴(yán)重的

行為；

故意制作、傳播計算機病毒等破壞性程序，影響計算

機系統(tǒng)正常運行,后果嚴(yán)重的行為O

計算機犯罪的類型舉例

?《刑法》第287條規(guī)定了利用計算機實施金融詐

騙、盜竊、貪污、挪用公款、竊取國家秘密罪。

利用計算機實施盜竊的行為納入盜竊罪定罪處

罰的范圍，從而使盜竊罪更具信息時代的特征。

如盜竊電子資金,不法分子往往利用電子資金過

戶系統(tǒng)，例如定點銷售系統(tǒng)（POSS）、自動存

取款機（ATMS）自動化票據(jù)交換所（ACH

S）、電子身份證系統(tǒng)等提供的便利，使用計算

機技術(shù)通過網(wǎng)絡(luò)修改電子資金帳目，竊取電子資

金。

.A

I

計算機犯罪的形式

?數(shù)據(jù)欺騙

非法篡改輸入/輸出數(shù)據(jù)獲取個人利益,是最普

通最常見的計算機犯罪活動。發(fā)生在金融系統(tǒng)

的此種計算機犯罪多為內(nèi)外勾結(jié)，串通作案，由

內(nèi)部人員修改數(shù)據(jù)，外部人員提取錢款。

計算機犯罪的形式

?意大利香腸術(shù)

侵吞存款利息余額,積少成多的一種作案手段，

是金融系統(tǒng)計算機犯罪的典型類型。這種方法

很像偷吃香腸一樣,每次偷吃一小片并不引起人

們的注意,但是日積月累的數(shù)目也是相當(dāng)可觀。

此類案件在國內(nèi)外均有發(fā)現(xiàn),因為只有修改計算

機程序才能達到其犯罪目的,故多為直接接觸程

序的工作人員所為。目前國內(nèi)多數(shù)為局域網(wǎng)管

理銀行帳目而產(chǎn)生此類犯罪，因此,要警惕采用

此手段作案的罪犯。

計算機犯罪的形式

?特洛依木馬

“特洛依木馬”來源于古希臘傳說，相傳希臘人

為了攻陷特洛依城,在城外故意拋下一個木馬并

假裝撤退,特洛依人將木馬拖回城內(nèi)后,埋伏在

木馬內(nèi)的希臘士兵就打開城門，里應(yīng)外合而將特

洛依城攻陷。它是表面上來看是正常合適的，但

在內(nèi)部卻隱藏秘密指令和非法程序段的程序的

代名詞。，，特洛依木馬”就是用來表示以軟件程

序為基礎(chǔ)進行欺騙和破壞的方法。

計算機犯罪的形式

冒名頂替

利用別人口令,竊用計算機謀取個人私利的做法。

在機密信息系統(tǒng)和金融系統(tǒng)中，罪犯常以此手法

作案。單用戶環(huán)境多為內(nèi)部人員所為，網(wǎng)絡(luò)系統(tǒng)

則可能為非法滲透。由于人們普遍存在獵奇心

理,對別人加密程序，總想解密一睹,因此用戶口

令應(yīng)注意保密和更新，且最好不用容易破譯的口

令密碼，如電話號碼、出生日期、人名縮寫等。

計算機犯罪的形式

?清理垃圾

從計算機系統(tǒng)周圍廢棄物中獲取信息的一種

方法。由此帶來損失的例子并不罕見，提醒計算

機用戶不要隨便處理所謂廢棄物，因為其中可能

含有不愿泄漏的信息資料。

計算機犯罪的形式

?邏輯炸彈

指插入用戶程序中的一些異常指令編碼,該代碼

在特定時刻或特定條件下執(zhí)行破壞作用，所以稱

為邏輯炸彈或定時炸彈。

有關(guān)電子數(shù)據(jù)證據(jù)

任何材料要成為證據(jù),均需具備三性:

?客觀性

?關(guān)聯(lián)性

?合法性

計算機率證（電子取證）定義

計算機取證專業(yè)資深人士Judd

Robins:

計算機取證不過是簡單地將計算機調(diào)查和分析

技術(shù)應(yīng)用于對潛在的、有法律效力的證據(jù)的確

定與獲取上。

計算機取證（電子取證）定義

一家專業(yè)的計算機緊急事件響應(yīng)和計

算機取證咨詢公司：

計算機取證包括了對以磁介質(zhì)編碼信息方式

存儲的計算機證據(jù)的保護、確認(rèn)、提取和歸檔

O

*

計算機取證（電子取證）定義

一篇綜述文章給出了如下的定義:

計算機取證是使用軟件和工具，按照一些預(yù)

先定義的程序全面地檢查計算機系統(tǒng)，以提取

和保護有關(guān)計算機犯罪的證據(jù)。

計算機取證（電子取證）定義

綜合：

計算機取證是指對能夠為法庭接受的、足

夠可靠和有說服性的，存在于計算機和相關(guān)外

設(shè)中的電子證據(jù)的確認(rèn)、保護、提取和歸檔的

過程。

電子證據(jù)與傳蛻證據(jù)的區(qū)別

?計算機數(shù)據(jù)無時無刻不在改變；

?計算機數(shù)據(jù)不是肉眼直接可見的，必須借助適

當(dāng)?shù)墓ぞ撸?/p>

?搜集計算機數(shù)據(jù)的過程，可能會對原始數(shù)據(jù)造

成很嚴(yán)重的修改，因為打開文件、打印文件等

一般都不是原子操作;

?電子證據(jù)問題是由于技術(shù)發(fā)展引起的，因為計

算機和電信技術(shù)的發(fā)展非常迅猛，所以取證步

驟和程序也必須不斷調(diào)整以適應(yīng)技術(shù)的進步O

卷姓Q、手

外計算機取證歷史及現(xiàn)狀

?法律的制定：

?自1976年的FederalRulesofEvidence起，美

國出現(xiàn)了如下一些法律解決由電子證據(jù)帶來的問題：

?TheEconomicEspionageActof1996:處理商業(yè)機密

竊取問題

?TheElectronicCommunicationsPrivacyActof

1986:處理電子通信的竊聽問題

?TheComputerSecurityActof1987(PublicLaw

100-235):處理政府計算機系統(tǒng)的安全問題

外計算機取證歷史及現(xiàn)狀

?取證技術(shù):

逐漸走向自動化、智能化，政府與各專業(yè)

機構(gòu)均投入巨大人力、物力開發(fā)計算機取證專

用工具。

卷共Q、乎

外計算機取證歷史及現(xiàn)狀

?用于電子數(shù)據(jù)證據(jù)獲取的工具:

如HigherGroundSoftwareInc.的軟件Hard

DriveMechanic可用于從被刪除的、被格式

化的和已被重新分區(qū)的硬盤中獲取數(shù)據(jù)。NTI

公司的GetFree可從活動的WindowsSwap分區(qū)

中恢復(fù)數(shù)據(jù)，該公司的軟件GetSlack可自動搜

集系統(tǒng)中的文件碎片并將其寫入一個統(tǒng)一的文

擇。

■V參共Q亭

外計算機取證歷史及現(xiàn)狀

?用于電子數(shù)據(jù)證據(jù)保全的工具:

GuidanceSoftware公司生產(chǎn)的硬件設(shè)備Fastbloc可用

于Windows操作系統(tǒng)下計算機媒質(zhì)內(nèi)容的快速鏡像，

NTI的軟件系統(tǒng)CRCMd5可用于在計算機犯罪調(diào)查過程中

保護已搜集來的電子證據(jù)，保證其不被改變，也可以

用于將系統(tǒng)從一臺計算機遷移到另一臺計算機時保障

系統(tǒng)的完整性。該公司的軟件SEIZED可用于保證用戶

無法對正在被調(diào)查的計算機或系統(tǒng)進行操作°

r爹北Q手

外計算機取證歷史及現(xiàn)狀

?用于電子數(shù)據(jù)證據(jù)分析的工具:

這類工具中最著名的是NTI公司的軟件系統(tǒng)Net

ThreatAnalyzero該軟件使用人工智能中的

模式識別技術(shù)，分析Slack磁盤空間、未分配

磁盤空間、自由空間中所包含的信息，研究交

換文件、緩存文件、臨時文件及網(wǎng)絡(luò)流動數(shù)據(jù)

，從而發(fā)現(xiàn)系統(tǒng)中曾發(fā)生過的Email交流、

Internet瀏覽及文件上傳下載等活動，提取出

與生物、化學(xué)、核武器等恐怖襲擊、炸彈制造

及性犯罪等相關(guān)的內(nèi)容。該軟件在美國9.11要,

件的調(diào)查中起到了很大的作用。W姓不以營

外計算機取證歷史及現(xiàn)狀

?用于電子數(shù)據(jù)證據(jù)歸檔的工具:

如NTI公司的軟件NTI-DOC可用于自動記錄電子數(shù)

據(jù)產(chǎn)生的時間、日期及文件屬性。

外計算機取證歷史及現(xiàn)狀

嘉結(jié)對論并：算機取證的全部活動而言，美國的各研究

機構(gòu)與公司所開發(fā)的工具主要覆蓋了電子數(shù)據(jù)

證據(jù)的獲取、保全、分析和歸檔的過程，各研

究機構(gòu)與公司也都在進一步優(yōu)化現(xiàn)有的各種工

具，提高利用工具進行電子證據(jù)搜集、保全、

鑒定、分析的可靠性和準(zhǔn)確度，進一步提高計

算機取證的自動化和智能化。但目前還沒有能

夠全面鑒定電子數(shù)據(jù)證據(jù)設(shè)備來源、地址來源

、軟件乘源的工具。

巨內(nèi)計算機取證歷史及現(xiàn)狀

我國的計算機普及與應(yīng)用起步較晚，有關(guān)計算機取證的

研究與實踐工作也僅有10年的歷史，相關(guān)的法律法規(guī)

仍很不完善，學(xué)界對計算機犯罪的研究也主要集中于

計算機犯罪的特點、預(yù)防對策及其給人類帶來的影響

o目前法庭案例中出現(xiàn)的計算機證據(jù)都比較簡單，多

是文檔、電子郵件、程序源代碼等不需特殊工具就可

以取得的信息。但隨著技術(shù)的進步，計算機犯罪的水

平也在不斷提高，目前的計算機取證技術(shù)己不能滿足

打擊計算機犯罪、保護網(wǎng)絡(luò)與信息安全的要求，自主

開發(fā)適合我國國情的、能夠全面檢查計算機與網(wǎng)絡(luò)系

統(tǒng)的計算機取證的工具與軟件已經(jīng)迫在眉睫。

計算機取證的主要原則

盡早搜集證據(jù)，并保證其沒有受到任何破壞

必須保證“證據(jù)連續(xù)性”（有時也被稱為“chainofcustody”），

即在證據(jù)被正式提交給法庭時，必須能夠說明在證據(jù)從最初的

獲取狀態(tài)到在法庭上出現(xiàn)狀態(tài)之間的任何變化，當(dāng)然最好是沒

有任何變化。

整個檢查、取證過程必須是受到監(jiān)督的，也就是說，由原告委派

的專家所作的所有調(diào)查取證工作，都應(yīng)該受到由其它方委派的

專家的監(jiān)督。

計算機取證的基本步驟

?在取證檢查中，保護目標(biāo)計算機系統(tǒng)，避免發(fā)生任何

的改變、傷害、數(shù)據(jù)破壞或病毒感染。

?搜索目標(biāo)系統(tǒng)中的所有文件。包括現(xiàn)存的正常文件，

已經(jīng)被刪除但仍存在于磁盤上（即還沒有被新文件覆

蓋）的文件，隱藏文件，受到密碼保護的文件和加密

文件。

?全部（或盡可能）恢復(fù)發(fā)現(xiàn)的已刪除文件。

計算機電證的基本步驟

?最大程度地顯示操作系統(tǒng)或應(yīng)用程序使用的隱藏文

件、臨時文件和交換文件的內(nèi)容。

?如果可能并且如果法律允許，訪問被保護或加密文件

的內(nèi)容。

計算機取證的基本步驟

?分析在磁盤的特殊區(qū)域中發(fā)現(xiàn)的所有相關(guān)

數(shù)據(jù)。特殊區(qū)域至少包括下面兩類：

①所謂的未分配磁盤空間——雖然目前沒有被使用，但

可能包含有先前的數(shù)據(jù)殘留。

②文件中的“slack”空間——如果文件的長度不是簇長

度的整數(shù)倍，那么分配給文件的最后一簇中，會有未

被當(dāng)前文件使用的剩余空間，其中可能包含了先前文

件遺留下來的信息，可能是有用的證據(jù)。

<參肘林亭

計算機取證的基本步驟

?打印對目標(biāo)計算機系統(tǒng)的全面分析結(jié)果，然后給出分

析結(jié)論：系統(tǒng)的整體情況，發(fā)現(xiàn)的文件結(jié)構(gòu)、數(shù)據(jù)、

和作者的信息，對信息的任何隱藏、刪除、保護、加

密企圖，以及在調(diào)查中發(fā)現(xiàn)的其它的相關(guān)信息。

?給出必需的專家證明。

計算機取證的基本步驟

注：

如上計算機取證原則及步驟都是基于一種靜態(tài)的視點，

即事件發(fā)生后對目標(biāo)系統(tǒng)的靜態(tài)分析。隨著計算機犯

罪技術(shù)手段的提高，這種靜態(tài)的視點已經(jīng)無法滿足要

求，發(fā)展趨勢是將計算機取證結(jié)合到入侵檢測等網(wǎng)絡(luò)

安全工具和網(wǎng)絡(luò)體系結(jié)構(gòu)中，進行動態(tài)取證。整個取

證過程將更加系統(tǒng)并具有智能性，也將更加靈活多樣

計算機取證相關(guān)技術(shù)

數(shù)據(jù)獲取技術(shù)包括:

?對計算機系統(tǒng)和文件的安全獲取技術(shù)，避免對原始介

質(zhì)進行任何破壞和干擾；

?對數(shù)據(jù)和軟件的安全搜集技術(shù)；對磁盤或其它存儲介

質(zhì)的安全無損傷備份技術(shù);

?對已刪除文件的恢復(fù)、重建技術(shù);

計算機取證相關(guān)技術(shù)

數(shù)據(jù)獲取技術(shù)包括:

?對磁盤空間、未分配空間和自由空間中包含的信息的

發(fā)掘技術(shù)；

?對交換文件、緩存文件、臨時文件中包含的信息的復(fù)

原技術(shù)；

?計算機在某一特定時刻活動內(nèi)存中的數(shù)據(jù)的搜集技術(shù)

?網(wǎng)絡(luò)流動數(shù)據(jù)的獲取技術(shù)等。

計算機取證相關(guān)技術(shù)

數(shù)據(jù)分析技術(shù)：在已經(jīng)獲取的數(shù)據(jù)流或信息流中

尋找、匹配關(guān)鍵詞或關(guān)鍵短語是目前的主要數(shù)

據(jù)分析技術(shù),g體包括:

?文件屬性分析技術(shù)；

?文件數(shù)字摘要分析技術(shù);

?日志分析技術(shù);

計算機取證相關(guān)技術(shù)

數(shù)據(jù)分析技術(shù)：

?根據(jù)已經(jīng)獲得的文件或數(shù)據(jù)的用詞、語法和寫作（編

程）風(fēng)格，推斷出其可能的作者的分析技術(shù)；

?發(fā)掘同一事件的不同證據(jù)間的聯(lián)系的分析技術(shù)；

?數(shù)據(jù)解密技術(shù)；

?密碼破譯技術(shù)；

?對電子介質(zhì)中的被保護信息的強行訪問鮮匏早

計算機取證技術(shù)發(fā)質(zhì)趨勢

?計算機取證技術(shù)進一步與信息安全技術(shù)相結(jié)合。

?在網(wǎng)絡(luò)協(xié)議設(shè)計過程中考慮到未來取證的需要，為潛

在的取證活動保留充足信息。(如Recursive

sessiontokenprotocolusedincomputer

forensicsandTCPtraceback)

?取證工具的開發(fā)往往結(jié)合人工智能、機器學(xué)習(xí)、神經(jīng)

網(wǎng)絡(luò)和數(shù)據(jù)挖掘技術(shù)。

電子數(shù)據(jù)證據(jù)的獲取-技術(shù)性采集

關(guān)于數(shù)據(jù)恢復(fù)原理：

微機系統(tǒng)，大多采用FAT、FAT32或者NTFS三種文件系統(tǒng)。以FAT

文件系統(tǒng)為例，數(shù)據(jù)文件寫到基于該系統(tǒng)的磁盤上以后，會在

目錄入口和FAT表中記錄相應(yīng)信息。目錄入口保留我們通常通

過資源管理器等工具能看到的文件信息，如文件名稱、大小、

類型等，它還保留了該文件在FAT表（FileAllocationTable

文件分配表）市相應(yīng)記錄項拓地址；而FAT表記錄了該文件在

磁盤上所占用的各個實際扇區(qū)的位置。當(dāng)我們從磁盤上刪除一

個文件（并從Windows提供的回收站中清除，下同）后，該文

件在目錄入口中的信息就被清除了，在FAT表中記錄的該文件

所占用的扇區(qū)也被標(biāo)識為空閑，但其實這時保存在磁盤上的實

際數(shù)據(jù)并未被真正清除；只有當(dāng)其他文件寫入，有可能使用該

文件占用的扇區(qū)時（因為它們已被標(biāo)識為空閑攀3裝犢翕

被真正覆蓋掉。

電子數(shù)據(jù)證據(jù)的獲取-技術(shù)性采集

文件被刪除或系統(tǒng)被格式化時的恢復(fù)：

一般的來說，文件刪除僅僅是把文件的首字節(jié)，改為E5H,而

并不破壞不身，因此可以恢復(fù)。但由于對不連續(xù)文件要恢復(fù)

文件鏈，由于手工交叉恢復(fù)對一般計算機用戶來說并不容易

,用工具處理，如可用NortonUtilities,可以用他來查找。

另外，RECOVERNT等工具，都是恢復(fù)的利器。特別注意的是

，千萬不要在發(fā)現(xiàn)文件丟失后，在本機安裝什么恢復(fù)工具，

你可能恰恰把文件覆蓋掉了。特別是你的文件在C盤的情況下

,如果你發(fā)現(xiàn)主要文件被你失手清掉了，（比如你按SHIFT刪

除），你應(yīng)該馬上直接關(guān)閉電源，用軟盤啟動進行恢復(fù)或把

硬盤串接到其他有恢復(fù)工具的機器處理。誤格式化的情況可

以用等工具處理。

電子數(shù)據(jù)證據(jù)的獲取一技術(shù)性采集

文件損壞時的恢復(fù)：

?一般的說，恢復(fù)文件損壞需要清楚的了解文件的結(jié)構(gòu)，不是很

容易的事情，而這方面的工具也不多。不過一般的說，文件如

果字節(jié)正常，不能正常打開往往是文件頭損壞。就文件恢復(fù)

舉幾個簡單例子。

＞類型特征處理

ZIP、TGZ等壓縮包無法解壓

ZIP文件損壞的情況下可以用一個名為ZIPFIX的工具處理。

4^.

*

電子數(shù)據(jù)證據(jù)的獲職-技術(shù)性采集

文件損壞時的恢復(fù)：

>自解壓文件無法解壓

可能是可執(zhí)行文件頭損壞，可以用對應(yīng)壓縮工具按一

般壓縮文件解壓。

>DBF文件死機后無法打開

典型的文件頭中的記錄數(shù)與實際不匹配了，把文件頭

中的記錄數(shù)向下調(diào)整。

1參共Q芽

電子數(shù)據(jù)證據(jù)的獲取一技術(shù)性采集

硬盤被加密或變換時的恢復(fù):

一定要反解加密算法，或找到被移走的重要扇區(qū)。

對于那些加密硬盤數(shù)據(jù)的病毒，清除時一定要選擇能

恢復(fù)加密數(shù)據(jù)的可靠殺毒軟件。

電子數(shù)據(jù)證據(jù)的獲取一技術(shù)性采集

加密文件后密碼破解:

?采用口令破解軟件，如zipcrack等，其原理是字典攻

盅。

?有些軟件是有后門的，比如DOS下的WPS,

Ctrl+qiubojun就是通用密碼。

電子數(shù)據(jù)證據(jù)的獲取-技術(shù)性采集

缺乏用戶口令進入文件系統(tǒng)方法：

用軟盤啟動（也可以把盤掛接在其他NT上），找到支持

該文件系統(tǒng)結(jié)構(gòu)的軟件（比如針對NT的NTFSDOS）,

利用他把密碼文件清掉、或者是COPY出密碼檔案，用

破解軟件套字典來處理。

電子數(shù)據(jù)證據(jù)的獲取一技術(shù)性采集

其余數(shù)據(jù)恢復(fù)策略:

?系統(tǒng)不認(rèn)硬盤

系統(tǒng)從硬盤無法啟動，從A盤啟動也無法進入C盤,

使用CMOS中的自動監(jiān)測功能也無法發(fā)現(xiàn)硬盤的存在。

這種故障大都出現(xiàn)在連接電纜或IDE端口上，硬盤本

身故障的可能性不大，可通過重新插接硬盤電纜或者

改換IDE口及電纜等進行替換試驗，就會很快發(fā)現(xiàn)故

障的所在。如果新接上的硬盤也不被接受，一個常見

的原因就是硬盤上的主從跳線，如果一條IDE硬盤線

上接兩個硬盤設(shè)備，就要分清楚主從關(guān)璃丑，/玲

電子數(shù)據(jù)證據(jù)的獲取一技術(shù)性采集

其余數(shù)據(jù)恢復(fù)策略:

?CMOS引起的故障

CMOS中的硬盤類型正確與否直接影響硬盤的正常使用?，F(xiàn)在的

機器卻支持“IDEAutoDetect”的功能，可自動檢測硬盤的類

型。當(dāng)硬盤類型錯誤時，有時干脆無法啟動系統(tǒng)，有時能夠啟

動，但會發(fā)生讀寫錯誤。比如CMOS中的硬盤類型小于實際的硬

盤容量，則硬盤后面的扇區(qū)將無法讀寫，如果是多分區(qū)狀態(tài)則

個別分區(qū)將丟失。還有一個重要的故障原因，由于目前的IDE

都支持邏輯參數(shù)類型，硬盤可采用“Normal,LBA,Large”等，如

果在一般的模式下安裝了數(shù)據(jù),而又在CMOS中改為其它的模式

，則會發(fā)生硬盤的讀寫錯誤故障，因為其映射關(guān)系已經(jīng)改變，

將無法讀取原來的正確硬盤位置O

圖北2手

電子數(shù)據(jù)證據(jù)的獲取一技術(shù)性采集

其余數(shù)據(jù)恢復(fù)策略:

?主引導(dǎo)程序引起的啟動故障

主引導(dǎo)程序位于硬盤的主引導(dǎo)扇區(qū)，主要用于檢測硬盤分區(qū)的正

確性，并確定活動分區(qū)，負(fù)責(zé)把引導(dǎo)權(quán)移交給活動分區(qū)的DOS

或其他操作系統(tǒng)。此段程序損壞將無法從硬盤引導(dǎo)，但從軟驅(qū)

或光驅(qū)啟動之后可對硬盤進行讀寫。修復(fù)此故障的方法較為簡

單，使用高版本DOS的FDISK最為方便，當(dāng)帶參數(shù)/mbr運行時，

將直接更換（重寫）硬盤的主引導(dǎo)程序。實際上硬盤的主引導(dǎo)扇

區(qū)正是此程序建立的，F(xiàn)DISK.EXE之中包含有完整的硬盤主引

導(dǎo)程序。雖然DOS版本不斷更新，但硬盤的主引導(dǎo)程序一直沒

有變化，從DOS3.x到Windos95的DOS,只要排到二種DOS平星

盤啟動系統(tǒng)并運行此程序即可修復(fù)。喏共系J浮

電子數(shù)據(jù)證據(jù)的獲取一技術(shù)性采集

其余數(shù)據(jù)恢復(fù)策略:

?分區(qū)表錯誤引發(fā)的啟動故障

分區(qū)表錯誤是硬盤的嚴(yán)重錯誤，不同的錯誤程度會造成不同

的損失。如果是沒有活動分區(qū)標(biāo)志，則計算機無法啟動。但從

軟驅(qū)或光驅(qū)引導(dǎo)系統(tǒng)后可對硬盤讀寫，可通過FDISK重置活動

分區(qū)進行修復(fù)。

如果是某一分區(qū)類型錯誤，可造成某一分區(qū)的丟失。分區(qū)表

的第四個字節(jié)為分區(qū)類型值，正常的可引導(dǎo)的大于32MB的基本

DOS分區(qū)值為06,而擴展的DOS分區(qū)值是05。很多人利用此類型

值實現(xiàn)單個分區(qū)的加密技術(shù)，恢復(fù)原來的正確

分區(qū)恢復(fù)正常。

電子數(shù)據(jù)證據(jù)的獲取一技術(shù)性采集

其余數(shù)據(jù)恢復(fù)策略:

?分區(qū)表錯誤引發(fā)的啟動故障

分區(qū)表中還有其它數(shù)據(jù)用于記錄分區(qū)的起始或終止地址。這

些數(shù)據(jù)的損壞將造成該分區(qū)的混亂或丟失，可用的方法是用備

份的分區(qū)表數(shù)據(jù)重新寫回，或者從其它的相同類型的并且分區(qū)

狀況相同的硬盤上獲取分區(qū)表數(shù)據(jù)。

恢復(fù)的工具可采用NU等工具軟件，操作非常方便。當(dāng)然也可

采用DEBUG進行操作，但操作繁瑣并且具有一定的風(fēng)險。

電子數(shù)據(jù)證據(jù)的獲取一技術(shù)性采集

其余數(shù)據(jù)恢復(fù)策略:

?分區(qū)有效標(biāo)志錯誤的故障

在硬盤主引導(dǎo)扇區(qū)中還存在一個重要的部分，那就是其最后

的兩個字節(jié)：“55aa”，此字節(jié)為扇區(qū)的有效標(biāo)志。當(dāng)從硬盤、

軟盤或光盤啟動時，將檢測這兩個字節(jié)，如果存在則認(rèn)為有硬

盤存在，否則將不承認(rèn)硬盤。此處可用于整個硬盤的加密技術(shù)

，可采用DEBUG方法進行恢復(fù)處理。另外，當(dāng)DOS引導(dǎo)扇區(qū)無引

導(dǎo)標(biāo)志時，系統(tǒng)啟動將顯示為：“MmissingOperating

System”。可使用DOS系統(tǒng)通用的修復(fù)方法。

電子數(shù)據(jù)證據(jù)的獲取一技術(shù)性采集

其余數(shù)據(jù)恢復(fù)策略:

?DOS引導(dǎo)系統(tǒng)引起的啟動故障

DOS引導(dǎo)系統(tǒng)主要由DOS引導(dǎo)扇區(qū)和DOS系統(tǒng)文件組成。系統(tǒng)

文件主要包括I0.SYS、MSDOS.SYS、COMMAND.COM,其中

COMMAND.COM是DOS的外殼文件，可用其它的同類文件眷換，但

缺省狀態(tài)下是DOS啟動的必備文件。在Windows95攜帶的DOS系

統(tǒng)禮MSDOS.SYS是一個文本文件，是啟動Windows必須的文件

，但只啟動DOS時可不用此文件。DOS引導(dǎo)出錯時，可從軟盤或

光盤引導(dǎo)系統(tǒng)后使用SYSC:命令傳送系統(tǒng)，即可修復(fù)故障，包

括引導(dǎo)扇區(qū)及系統(tǒng)文件都可自動修復(fù)到正常狀態(tài)。

圖北2手

電子數(shù)據(jù)證據(jù)的獲取一技術(shù)性采集

其余數(shù)據(jù)恢復(fù)策略:

?FAT表引起的讀寫故障

FAT表記錄著硬盤數(shù)據(jù)的存儲地址，每一個文件都有一組FAT鏈指定其存放

的簇地址。FAT表的損壞意味著文件內(nèi)容的丟失。慶幸的是DOS系統(tǒng)本身提

供了兩個FAT表，如果目前使用的FAT表損壞，可用第二個進行覆蓋修復(fù)。

但由于不同規(guī)格的磁盤其FAT表的長度及第二個FAT表的地址也是不固定的

,所以修復(fù)時必須正確查找其正確位置，一些工具軟件如NU等本身具有這

樣的修復(fù)功能，使用也非常的方便。采用DEBUG也可實現(xiàn)這種操作，即采

用其m命令把第二個FAT表移到第一個表處即可。如果第二個FAT表也損壞

了，則也無法把硬盤恢復(fù)到原來的狀態(tài)，但文件的數(shù)據(jù)仍然存放在硬盤的

數(shù)據(jù)區(qū)中，可采用CHKDSK或SCANDISK命令進行修復(fù)，最終得到*,CHK文件

,這便是丟失FAT鏈的扇區(qū)數(shù)據(jù)。如果是文本文件則可從中提取出完整的

或部分的文件內(nèi)容。

電子數(shù)據(jù)證據(jù)的獲取一技術(shù)性采集

其余數(shù)據(jù)恢復(fù)策略：

■目錄表損壞引起的引導(dǎo)故障

目錄表記錄著硬盤中文件的文件名等數(shù)據(jù)，其中最重要的一

項是該文件的起始簇號。目錄表由于沒有自動備份功能，所以

如果目錄損壞將丟失大量的文件。一種減少損失的方法也是采

用CHKDSK或SCANDISK程序恢復(fù)的方法，從硬盤中搜索出*?CHK

文件，由于目錄表損壞時僅是首簇號丟失，每一個*.CHK文件

即是一個完整的文件，把其改為原來的名字即可恢復(fù)大多數(shù)文

件。

電子數(shù)據(jù)證據(jù)的獲取一技術(shù)性采集

其余數(shù)據(jù)恢復(fù)策略:

?格式化后硬盤數(shù)據(jù)的恢復(fù)

在DOS高版本狀態(tài)下，F(xiàn)ORMAT格式化操作在缺省狀態(tài)下都建

立了用于恢復(fù)格式化的磁盤信息，實際上是把磁盤的DOS引導(dǎo)

扇區(qū)、FAT分區(qū)表及目錄表的所有內(nèi)容復(fù)制到了磁盤的最后幾

個扇區(qū)中（因為后面的扇區(qū)很少使用），而數(shù)據(jù)區(qū)中的內(nèi)容根本

沒有改變。這樣通過運行UNFORMAT命令即可恢復(fù)。另外DOS還

提供了一個MIROR命令用于記錄當(dāng)前磁盤的信息，供格式化或

刪除之后的恢復(fù)使用，此方法也比較有效。

電子數(shù)據(jù)證據(jù)的獲取一技術(shù)性采集

網(wǎng)絡(luò)數(shù)據(jù)獲取方法：

?Sniffer:

如：windows平臺上的sniffer工具：netxray和snifferpro軟件

等

Linux平臺下的TCPDump:dumpthetrafficeonanetwork.,

根據(jù)使用者的定義對網(wǎng)絡(luò)上的數(shù)據(jù)包進行截獲的包分析工具。

電子數(shù)據(jù)證據(jù)保全技術(shù)

?數(shù)據(jù)加密技術(shù)：

＞加密就是把數(shù)據(jù)和信息轉(zhuǎn)換為不可辯識的密文的過程

,使不應(yīng)了解該數(shù)據(jù)和信息的人不能夠識別，欲知密

文的內(nèi)容，需將其轉(zhuǎn)換為明文，這就是解密過程。加

密系統(tǒng)的組成。

＞加密是在不安全的環(huán)境中實現(xiàn)信息安全傳輸?shù)闹匾?/p>

法。

電子數(shù)據(jù)證據(jù)保全技術(shù)

?數(shù)據(jù)加密技術(shù)：

加密和解密過程組成為加密系統(tǒng)，明文與密文總

稱為報文，任何加密系統(tǒng)，不管形式多么復(fù)雜，至少

包括以下4個組成部分：

1、待加密的掖文，也稱明文；

2、加密報文，也稱密文；

3、加密、解密裝置或算法；

4、用于加密和解密的鑰匙，它可以是數(shù)字、詞

匯或語句

電子數(shù)據(jù)證據(jù)保全技術(shù)

傳統(tǒng)加密方法：

?代碼加密

發(fā)送秘密消息的最簡單方法，就是使用通信雙方

整先設(shè)定的一組代碼，它簡單而有效，得到了廣泛的

應(yīng)用。例如：

密文：老鼠已經(jīng)出洞了

明文：匪徒已出現(xiàn)在目標(biāo)區(qū)

卷北2手

電子數(shù)據(jù)證據(jù)保全技術(shù)

傳統(tǒng)加密方法:

?替換加密

明文中的每個字母或每組字母被替換成另一個或

一組字母，例如下面的一組字母之間的對應(yīng)關(guān)系就構(gòu)

成了一個替換加密器。

明文字母：ABCD

密文字母：LKJL

電子數(shù)據(jù)證據(jù)保全技術(shù)

傳統(tǒng)加密方法：

?變位加密

變位加密不隱藏原明文的字符，但卻將字符重新

排列。例如：

密鑰：3145260

明文：火車已安全發(fā)出

密文：出車全火已安發(fā)O姓家/早

電子數(shù)據(jù)證據(jù)保全技術(shù)

傳統(tǒng)加密方法：

?一次性密碼簿加密

如果要既保持代碼加密的可靠性，又保持替換加

密器的靈活性，可采用一次性密碼簿進行加密。密碼

簿的每一頁都是不同的代碼表，可以用一頁上的代碼

來加密一些詞，用后毀掉；再用另一頁的代碼加密另

一些詞，直到全部的明文都被加密，破譯密文的惟一

方法就是獲得一份相同的密碼簿。

.游共Q手

電子數(shù)據(jù)證據(jù)保全技術(shù)

基于公鑰的加密算法:

RSA

PHP

爹共2手

電子數(shù)據(jù)證據(jù)保全技術(shù)

數(shù)字摘要技術(shù)：

數(shù)字摘要技術(shù)(DigitalDigest)也稱作為安全HASH編

碼法(SHA：SecureHashAlgorithm)o數(shù)字摘要技

術(shù)用于對所要傳輸?shù)臄?shù)據(jù)進行運算生成信息摘要，它

并不是一種加密機制，但卻能產(chǎn)生信息的數(shù)字"指紋"

,它的目的是為了確保數(shù)據(jù)沒有被修改或變化，保證

信息的完整性不被破壞。

電子數(shù)據(jù)證據(jù)保全技術(shù)

數(shù)字摘要技術(shù)的特點：

?它能處理任意大小的信息，并對其生成固定大小

的數(shù)據(jù)摘要，數(shù)據(jù)摘要的內(nèi)容不可預(yù)見

?對于相同的數(shù)據(jù)信息進行HASH后，總是能得到同樣

的摘要；如果數(shù)據(jù)信息被修改，進行Hash后，其摘要

必定與先前不同

?HASH函數(shù)是不可逆的，無法通過生成的數(shù)據(jù)摘要恢

復(fù)出源數(shù)據(jù)

?莪共M乎

電子數(shù)據(jù)證據(jù)保全技術(shù)

數(shù)字簽名技術(shù)

數(shù)字簽名(DigitalSignature)用來保證信息傳輸

過程中完整性、提供信息發(fā)送者的身份認(rèn)證和不可抵

賴性。使用公開密鑰算法是實現(xiàn)數(shù)字簽名的主要技術(shù)

由于公開密鑰算法的運算速度比較慢，因此可使

用HASH函數(shù)對要簽名的信息進行摘要處理，減小使用

公開密鑰算法的運算量。因此，數(shù)字簽名一般是結(jié)合

了數(shù)字摘要技術(shù)和公開密鑰算法共同使用

電子數(shù)據(jù)證據(jù)保全技術(shù)

實現(xiàn)數(shù)學(xué)簽名的過程：

簽名信息

1?對若1M進行HASH函數(shù)處理，生成摘要H

2.用你的（發(fā)送者的）私鑰加密H來獲取數(shù)字簽名S

3.發(fā)送｛M,S｝

驗證簽名信息

1.接受｛M,S｝并區(qū)分開它們

2.對接收到的信息M進行HASH函數(shù)處理，生成摘要H*

3.取得發(fā)送者的公鑰

4.用公鑰解密S,來獲取H

5：比較H和H：3□果H和H*是一樣的，即說明信息在發(fā)送過程中沒有被

篡改。

由于俞信息進行數(shù)字簽名后，明文信息也通過網(wǎng)絡(luò)進行傳遞，因此，在做

完數(shù)字簽名后，還要對整個信息（包括明文信息M和數(shù)字簽名的密文信息S

）進行加密，以保證信息的保密性。

電子數(shù)據(jù)證據(jù)保全技術(shù)

數(shù)字證書

公開密鑰加密技術(shù)允許人們用私有密鑰給電子信息進行數(shù)字簽名。信息

接收者可使用發(fā)送者的公開密鑰來查證該信息確為相應(yīng)私鑰所簽發(fā)。這一

驗證過程說明信息發(fā)送者確實擁有相應(yīng)的私人密鑰，但這并不能說明發(fā)送

者是合法的。也就是說，信息發(fā)送者無法證明他們確為其所稱之人。

為了得到身份驗證的身份證明，公共密鑰必須以某種值得信賴的方式與

個人相聯(lián)系。這一任務(wù)由數(shù)字證書來完成。數(shù)字證書是一些電子信息，它

將公鑰與其所有者的個人詳細(xì)資料（諸如姓名、地址）聯(lián)系起來。

然而，證書本身并無法保證其所有者的身份。要使別人認(rèn)可，證書必須

由更高的權(quán)威機構(gòu)一認(rèn)證中心（CA）簽署。CA向身份得到證實的用戶簽署

并頒發(fā)證書。其他人因此便可以信任這些證書了，因為這是由他們所信任

的CA簽署的。

現(xiàn)在，當(dāng)人們用他的私鑰簽發(fā)電子信息時，接收者可用與之相應(yīng)的公鑰

核實電子信息，并且可用包含有公鑰的證書驗證發(fā)送者的身份。現(xiàn)今使

用的證書格式大多遵循X.509標(biāo)準(zhǔn)。

電子數(shù)據(jù)證據(jù)分析技術(shù)

日志分析：

?操作系統(tǒng)日志分析

?防火墻日志分析

?IDS軟件日志分析

?應(yīng)用軟件日志分析

電子數(shù)據(jù)證據(jù)鑒定技術(shù)

電子數(shù)據(jù)

證據(jù)

圖共Q、步

設(shè)備來源鑒定：

?CPU:提取CPU類型、序列號信息；

?存儲設(shè)備：類型、ID;

?網(wǎng)絡(luò)設(shè)備：

?網(wǎng)絡(luò)接口卡：類型、MAC地址

?集線器、交換機、路由器：IP地址、物理地址、機器

類型

?ATM交換機：IP地址、ATM地址

電子數(shù)據(jù)證據(jù)鑒定技術(shù)

軟件來源鑒定：

?根據(jù)文件擴展名、摘要、作者名、軟件注冊碼判斷數(shù)

據(jù)來自某一個軟件及其作者、產(chǎn)生時間。

?鑒定時要考慮各種軟件運行的動態(tài)特性。如下例：

參共2手

電子數(shù)據(jù)證據(jù)鑒定技術(shù)

被鑒定軟件靜態(tài)特征運行中特征運行后殘留特征

摘要特征：原始作編輯文檔時一，將證書信正常退出特征：用戶所在目

者、最后保存者、息如錄的template卜一，存儲本次文

編輯時間、生成時A3BDA6FB5D97F5245AE檔編輯的一部份信息；在

間、修訂號、公司8600E717538FB6FE19AE%user%目錄下的Application

名稱4、以及key信息如Data—micsoft—office存儲了

10371F0D906B55A54BE3自裝機以來歷次的刪除記錄、

注冊特征：每個AC5A833B8D3E132B466文檔原來所在的目錄，文檔

office文檔，都會包B包含到文檔中。名；在系統(tǒng)本身

MSWord含類似標(biāo)識信息如%systemroot%中，存在每個

S-1-5-21-當(dāng)office產(chǎn)生錯誤時，除程序的使用記錄。

1177238915-了在temp目錄下產(chǎn)生tmp

1202660629-或tm。文件，還發(fā)送報錯異常退出特征：

842925246-1000信息到系統(tǒng)日志緩存文件中存儲一部份恢復(fù)

信息。

電子數(shù)據(jù)證據(jù)鑒定技術(shù)

軟件來源鑒定：

在主機或網(wǎng)絡(luò)中的有害代碼與操作具有某些特點，如，

為非授權(quán)用戶在系統(tǒng)中制造一些后門：放憑文件許可

權(quán)、重新開放不安全的服務(wù)（如REXD、TFTP等）、修

改系統(tǒng)的配置（如系統(tǒng)啟動文件、網(wǎng)絡(luò)服務(wù)配置文件

）、替換系統(tǒng)本身的共享庫文件、修改系統(tǒng)的源代碼

、安裝特落伊未烏、安裝sniffers、建立隱藏通道；

或是采取各種方法來清除操作痕跡：篡改日志文件中

的審計信息、改變系統(tǒng)時間造成日志文件數(shù)據(jù)紊亂以

迷惑系統(tǒng)管理員、刪除或停止審計服務(wù)潘進程。2孝

名稱使用效果饕別依據(jù)特征

cheops可以將攻擊目標(biāo)使用ping、跟蹤受害機上無特殊日志，可終用

所■的網(wǎng)絡(luò)拓樸路由等完成工具abacusportsentry監(jiān)視端口

構(gòu)畫出來，包括所提供的功能，并與防火墻連動。攻擊者機器

各種服務(wù)器、網(wǎng)所在網(wǎng)絡(luò)有大量上在.history留下操作記錄，

絡(luò)設(shè)備、客戶機ping包產(chǎn)生，攻讀取此文件可看到cheops關(guān)鍵

操作系統(tǒng)以及各擊機發(fā)出大量數(shù)字。

節(jié)點間的通訊信據(jù)包。

息°

端口、服務(wù)、系存在大量受害機上無特殊日志，可使用

掃描與Nmap

統(tǒng)判斷類的掃描syn\fin\tree\nportsentry監(jiān)視端口連接。

信息收

工具，同時也可攻擊者機器上在.histfwy文件

集ull這樣的會

以作為D.0.S工話，受害機受到中留下操作記錄，看到nmap關(guān)

具進行攻擊。ftp跳轉(zhuǎn)掃描、鍵字，對于windows機器，可在”

udp掃描。程序”一〉”文檔”中留下記錄。

Snifferpro繪制網(wǎng)絡(luò)拓?fù)渑c本地網(wǎng)卡設(shè)為混受害機上無特殊日志。攻擊者

各節(jié)點會話，竊雜模式機器上，網(wǎng)卡設(shè)為混雜模式，

取共享環(huán)境下的可以ipconfig/all中看到,或

應(yīng)用會話在網(wǎng)絡(luò)屬性中看到“M0NITR0”一

項。

Firetalk測試攻擊途徑中只能針對過濾防防火墻日志中留下大量被拒絕的

所遇防火墻的過火墻進行攻擊，連接，防火墻日志功能沒打開，

濾規(guī)則。對代理無效，攻則沒有記錄，具體記錄格式與各

擊時存在一些防火墻的日志系統(tǒng)有關(guān)。攻擊者

ICMP包的超時機器上在.history留下操作記錄，

錯誤看到fibrewall關(guān)鍵字。

Hping對防火墻進行穿同時同上

透性測試。

Nessus綜合性的漏洞掃占用網(wǎng)絡(luò)資源、受害機對外提供的服務(wù)日志中存

描工具。系統(tǒng)資源，暴力在大量來自同一IP的連接記錄；。

式掃描容易被如針對smtp掃描，可用snoop工

IDS系統(tǒng)察覺。具看至（J：xx..xx.xxx.xx->next

smtpcport=1974

xx..xx.xxx.xx->nextsmtpc

port=1974mailfrom:<

dfddf@vin.......攻擊者機器

上在.history留下操作記錄，可

看到nessus關(guān)鍵字。

/usr/local/share下有大量

*.nasi文件。

Strobe服務(wù)與版本掃描與目標(biāo)機建立完整受害機所存在對外服務(wù)如

置,對話’只與服務(wù)建http/Rp/mail/telnet等服務(wù)存在幾秒內(nèi)

、一Fd立短時對話，取到來自同一1P地址的連接。如在

issue后斷開對話。secure文件中存在記錄:may14

10:20:30washackedin.telnetd[473]

connetctfrom

2(00.62)

攻擊者機器上用find/-name可查到

此工具，在.history查看操作記錄，

看到storbe關(guān)鍵字。

Supperscan最快的掃描工具占用大量網(wǎng)絡(luò)、系受害機所存在對外服務(wù)如

統(tǒng)資源。http/ftp/mail/telnet等服務(wù)存在幾秒

內(nèi)來自同-IP地址的連接。本機上

操作記錄，搜索硬盤可查到snanner

及scanJst等幾個文件。

流光國內(nèi)使用較多的漏占用資源，對目標(biāo)受害機所存在對外服務(wù)如

洞掃描工具系統(tǒng)產(chǎn)生影響，速http/ftp/mail/telnet等服務(wù)存在幾秒

度較慢，但可以查內(nèi)來自同一IP地址的連接。本地硬

出幾個易于利用的盤上存在fluxay及netxeyes等幾個關(guān)

漏洞。鍵文件，也可查看注冊表。

Sss俄羅斯出品的漏洞同上受害機所存在對外服務(wù)如

掃描工具http/ftp/mail/telnet等服務(wù)存在幾秒