文档介绍:1 华东理工大学计算机科学与工程系第3章网络防御技术指导教师:杨建国 2013 年8月10日 2 华东理工大学计算机科学与工程系? 安全架构? 密码技术? 防火墙技术? 杀毒技术? 入侵检测技术? 身份认证技术? VPN 技术? 反侦查技术? 蜜罐技术第3章网络防御技术????? 服务器安全防御? 内网安全管理? PKI 网络安全协议? 信息安全评估? 网络安全方案设计 3 4 华东理工大学计算机科学与工程系 2017-4-18 网络入侵与防范讲义 4 计算机取证技术?计算机取证的基本概念?计算机取证的一般步骤?计算机取证的常见工具 5 华东理工大学计算机科学与工程系 2017-4-18 网络入侵与防范讲义 5计算机取证的基本概念?计算机取证是指能对能够为法庭接受的、足够可靠和有说明力的、存在于计算机和相关外设中的电子证据的确认、保护、提取和归档的过程。?它能推动或促进犯罪事件的重构,或者帮助预见有害的未经授权的行为。 6 华东理工大学计算机科学与工程系 2017-4-18 网络入侵与防范讲义 6计算机取证的基本概念(2) ?若从一种动态的观点来看,计算机取证可归结为以下几点: ?是一门在犯罪进行过程中或之后收集证据的艺术; ?需要重构犯罪行为; ?将为起诉提供证据; ?对计算机网络进行取证尤其困难,且完全依靠所保护的信息的质量。 7 华东理工大学计算机科学与工程系 2017-4-18 网络入侵与防范讲义 7计算机取证的基本概念(3) ?从计算机取证的概念可以看出,取证过程主要是围绕电子证据来进行的。?因此,电子证据是计算机取证技术核心,它与传统的不同之处在于它是以电子介质为媒介的。?电子证据往往以多种形式存在:电子文件、图形文件、视频文件、已删除文件(如果没有被覆盖)、隐藏文件、系统文件、光盘、网页和域名等。?而且其作用的领域很广,如证明著作侵权、不正当竞争以及经济诈骗等。 8 华东理工大学计算机科学与工程系 2017-4-18 网络入侵与防范讲义 8计算机取证的基本概念(4) ?目前,国内法学界多数学者将电子证据定义为: 在计算机或计算机系统运行过程中产生的以其记录的内容来证明案件事实的电磁记录物。?电子证据的存在形式是电磁或电子脉冲,缺乏可见的实体。但是,它同样可以用专用工具和技术来收集和分析,而且有的可以作为直接证据。电子证据和其他种类的证据一样,具有证明案件事实的能力,而且在某些情况下电子证据可能是唯一的证据。?同时,电子证据与其他种类的证据相比,有其自身的特点,表现在:电子证据形式的多样性,存储介质的电子性,准确性,脆弱性和数据的挥发性。 9 华东理工大学计算机科学与工程系 2017-4-18 网络入侵与防范讲义 9计算机取证的基本概念(5) ?电子证据和传统证据相比,具有以下优点: ?(1). 可以被精确的复制,这样只需要对副件进行检查分析,避免原件受损坏的风险。?(2). 用适当的软件工具和原件相比,很容易鉴别当前的电子证据是否有改变,譬如 MD5 算法可以认证消息的完整性,数据中的一个比特( bit )的变化就会引起检验结果的很大差异; ?(3). 在一些情况下,犯罪嫌疑人完全销毁电子证据是比较困难的,如计算机中的数据删除后还可以从磁盘中恢复,数据的备份可能会被存储在嫌疑犯意想不到的地方。 10 华东理工大学计算机科学与工程系 2017-4-18 网络入侵与防范讲义 10 计算机取证的一般步骤?由于电子证据的特殊性,计算机取证应遵循一定的基本原则: ?尽早搜集证据,并保证其没有受到任何破坏,如销毁或其他破坏方式,也不会被取证程序本身所破坏; ?必须保证取证过程中计算机病毒不会被引入目标计算机; ?必须保证“证据连续性”( chain of custody ),即在证据被正式提交给法庭时必须保证一直能跟踪证据; ?整个检查、取证过程必须是受到监督的; ?必须保证提取出来的可能有用的证据不会受到机械或电磁损害; ?被取证的对象如果必须运行某些商务程序,要确保该程序的运行只能影响一段有限的时间; ?在取证过程中,应当尊重不小心获取的任何关于客户代理人的私人信息,不能把这些信息泄露出去。