2023學(xué)年完整公開(kāi)課版蜜罐與取證

蜜罐與取證北京電子科技職業(yè)學(xué)院2023/5/13網(wǎng)絡(luò)入侵與防范講義22023/5/1311.7蜜罐與取證11.7.1蜜罐技術(shù)11.7.2計(jì)算機(jī)取證技術(shù)2023/5/13網(wǎng)絡(luò)入侵與防范講義32023/5/1311.7.1蜜罐技術(shù)蜜罐的概念蜜罐的基本配置蜜罐的分類常用蜜罐工具2023/5/13網(wǎng)絡(luò)入侵與防范講義42023/5/13蜜罐的概念蜜罐是一種在互聯(lián)網(wǎng)上運(yùn)行的計(jì)算機(jī)系統(tǒng)，它是專門為吸引并“誘騙”那些試圖非法闖入他人計(jì)算機(jī)系統(tǒng)的人而設(shè)計(jì)的。蜜罐系統(tǒng)是一個(gè)包含漏洞的誘騙系統(tǒng)，它通過(guò)模擬一個(gè)或多個(gè)易受攻擊的主機(jī)，給攻擊者提供一個(gè)容易攻擊的目標(biāo)。最重要的功能是對(duì)系統(tǒng)中所有的操作和行為進(jìn)行監(jiān)視和記錄。另一個(gè)用途是拖延攻擊者對(duì)真正目標(biāo)的攻擊，讓攻擊者在蜜罐上浪費(fèi)時(shí)間。這樣，最初的攻擊目標(biāo)得到了保護(hù)，真正有價(jià)值的內(nèi)容沒(méi)有受到侵犯。此外，蜜罐也可以為追蹤者提供有用的線索，為起訴攻擊者搜集有力的證據(jù)。2023/5/13網(wǎng)絡(luò)入侵與防范講義52023/5/13蜜罐的概念大多數(shù)防護(hù)技術(shù)如防火墻技術(shù)、入侵檢測(cè)技術(shù)、病毒防護(hù)技術(shù)、數(shù)據(jù)加密和認(rèn)證技術(shù)等，都是在攻擊者對(duì)網(wǎng)絡(luò)進(jìn)行攻擊時(shí)對(duì)系統(tǒng)進(jìn)行被動(dòng)的防護(hù)。而蜜罐技術(shù)可以采取主動(dòng)的方式。顧名思義，就是用特有的特征吸引攻擊者，同時(shí)對(duì)攻擊者的各種攻擊行為進(jìn)行分析并找到有效的對(duì)付方法。為了吸引攻擊者，安全專家通常還在蜜罐系統(tǒng)上故意留下一些安全后門以吸引攻擊者上鉤，或者放置一些攻擊者希望得到的敏感信息，當(dāng)然這些消息都是虛假的信息。2023/5/13網(wǎng)絡(luò)入侵與防范講義62023/5/13蜜罐的概念蜜罐是一種被偵聽(tīng)、被攻擊或已經(jīng)被入侵的資源，也就是說(shuō)，無(wú)論如何對(duì)蜜罐進(jìn)行配置，所要做的就是使得整個(gè)系統(tǒng)處于被偵聽(tīng)、被攻擊的狀態(tài)。蜜罐是一種資源，它的價(jià)值是被攻擊或攻陷。這就意味著蜜罐是用來(lái)被探測(cè)、被攻擊甚至最后被攻陷的，蜜罐不會(huì)修補(bǔ)任何東西，這樣就為使用者提供了額外的、有價(jià)值的信息。蜜罐不會(huì)直接提高計(jì)算機(jī)網(wǎng)絡(luò)安全，但它卻是其它安全策略所不可代替的一種主動(dòng)防御技術(shù)。2023/5/13網(wǎng)絡(luò)入侵與防范講義72023/5/13蜜罐的概念蜜罐并非一種安全解決方案，這是因?yàn)槊酃薏⒉粫?huì)“修理”任何錯(cuò)誤。蜜罐只是一種工具，如何使用這個(gè)工具取決于使用者想要做到什么。蜜罐可以僅僅是一個(gè)對(duì)其它系統(tǒng)和應(yīng)用的仿真，可以創(chuàng)建一個(gè)監(jiān)禁環(huán)境將攻擊者困在其中，還可以是一個(gè)產(chǎn)品系統(tǒng)。2023/5/13網(wǎng)絡(luò)入侵與防范講義82023/5/13蜜罐的概念無(wú)論使用者如何建立和使用蜜罐，只有蜜罐受到攻擊，它的作用才能發(fā)揮出來(lái)。蜜罐在系統(tǒng)中的一種配置方法見(jiàn)下頁(yè)圖，從中可以看出其在整個(gè)安全防護(hù)體系中的地位。2023/5/13網(wǎng)絡(luò)入侵與防范講義92023/5/132023/5/13網(wǎng)絡(luò)入侵與防范講義102023/5/13蜜罐的基本配置方式蜜罐有4種不同的配置方式：誘騙服務(wù)(DeceptionService)弱化系統(tǒng)(WeakenedSystem)強(qiáng)化系統(tǒng)(HardenedSystem)用戶模式服務(wù)器(UserModeServer)2023/5/13網(wǎng)絡(luò)入侵與防范講義112023/5/13誘騙服務(wù)誘騙服務(wù)是指在特定IP服務(wù)端口上偵聽(tīng)并像其他應(yīng)用程序那樣對(duì)各種網(wǎng)絡(luò)請(qǐng)求進(jìn)行應(yīng)答的應(yīng)用程序。例如，可以將誘騙服務(wù)配置為sendmail服務(wù)的模式，當(dāng)攻擊者連接到蜜罐的tcp/25端口時(shí)，就會(huì)收到一個(gè)由蜜罐發(fā)出的代表sendmail版本號(hào)的標(biāo)識(shí)。如果攻擊者認(rèn)為誘騙服務(wù)就是他要攻擊的sendmail，他就會(huì)采用攻擊sendmail服務(wù)的方式進(jìn)入系統(tǒng)。此時(shí)，系統(tǒng)管理員便可以記錄攻擊的細(xì)節(jié)，并采取相應(yīng)的措施及時(shí)保護(hù)網(wǎng)絡(luò)中實(shí)際運(yùn)行著sendmail的系統(tǒng)。日志記錄也會(huì)提交給產(chǎn)品廠商、CERT或法律執(zhí)行部門進(jìn)行核查，以便對(duì)產(chǎn)品進(jìn)行改進(jìn)并提供相應(yīng)的證據(jù)。2023/5/13網(wǎng)絡(luò)入侵與防范講義122023/5/13誘騙服務(wù)(2)蜜罐的誘騙服務(wù)需要精心配置和設(shè)計(jì)。首先，先要將服務(wù)模擬得足以讓攻擊者相信是一件非常困難的事情；另一個(gè)問(wèn)題是誘騙服務(wù)只能收集有限的信息。從理論上講，誘騙服務(wù)本身可以在一定程度上允許攻擊者訪問(wèn)系統(tǒng)，但是這樣會(huì)帶來(lái)一定的風(fēng)險(xiǎn)，如果攻擊者找到了攻擊誘騙服務(wù)的方法，蜜罐就陷于失控狀態(tài)，攻擊者可以闖入系統(tǒng)隨意活動(dòng)，并將所有攻擊的證據(jù)刪除，這顯然是很糟的。2023/5/13網(wǎng)絡(luò)入侵與防范講義132023/5/13弱化系統(tǒng)弱化系統(tǒng)是一個(gè)配置有已知攻擊弱點(diǎn)的操作系統(tǒng)。比如，系統(tǒng)安裝有較舊版本的SunOs，這個(gè)操作系統(tǒng)已知的易受遠(yuǎn)程攻擊的弱點(diǎn)有RPC、sadmind和mountd等。這些配置將使惡意攻擊者更容易進(jìn)入系統(tǒng)，系統(tǒng)可以收集有關(guān)攻擊的數(shù)據(jù)。2023/5/13網(wǎng)絡(luò)入侵與防范講義142023/5/13弱化系統(tǒng)的優(yōu)點(diǎn)優(yōu)點(diǎn)：蜜罐可以提供的是攻擊者試圖入侵的實(shí)際服務(wù)，這種配置方案解決了誘騙服務(wù)需要精心配置的問(wèn)題，而且它不限制蜜罐收集到的信息量，只要攻擊者入侵蜜罐的某項(xiàng)服務(wù)，系統(tǒng)就會(huì)連續(xù)記錄下它們的行為并觀察它們接下來(lái)的所有動(dòng)作。這樣系統(tǒng)可以獲得更多的關(guān)于攻擊者本身、攻擊方法和攻擊工具方面的信息。2023/5/13網(wǎng)絡(luò)入侵與防范講義152023/5/13弱化系統(tǒng)的缺點(diǎn)弱化系統(tǒng)的問(wèn)題是“維護(hù)費(fèi)用高，但收益很少”。如果攻擊者對(duì)蜜罐使用已知的攻擊方法，弱化系統(tǒng)就變得毫無(wú)意義，因?yàn)橄到y(tǒng)管理員已經(jīng)有防護(hù)這種入侵方面的經(jīng)驗(yàn)，并且已經(jīng)在實(shí)際系統(tǒng)中針對(duì)該攻擊做了相應(yīng)的修補(bǔ)。2023/5/13網(wǎng)絡(luò)入侵與防范講義162023/5/13強(qiáng)化系統(tǒng)強(qiáng)化系統(tǒng)是對(duì)弱化系統(tǒng)配置的改進(jìn)，強(qiáng)化系統(tǒng)并不配置一個(gè)看似有效的系統(tǒng)，蜜罐管理員為基本操作系統(tǒng)提供所有已知的安全補(bǔ)丁，使系統(tǒng)每個(gè)無(wú)掩飾的服務(wù)變得足夠安全。一旦攻擊者闖入“足夠安全”的服務(wù)中，蜜罐就開(kāi)始收集攻擊者的行為信息，一方面可以為加強(qiáng)防御提供依據(jù)，另一方面可以為執(zhí)法機(jī)關(guān)提供證據(jù)。配置強(qiáng)化系統(tǒng)是在最短時(shí)間內(nèi)收集最多有效數(shù)據(jù)的最好方法。2023/5/13網(wǎng)絡(luò)入侵與防范講義172023/5/13強(qiáng)化系統(tǒng)(2)唯一的缺點(diǎn)是：這種方法需要系統(tǒng)管理員具有比惡意入侵者更高的專業(yè)技術(shù)。如果攻擊者具有更高的技術(shù)就很有可能取代管理員對(duì)系統(tǒng)進(jìn)行控制，并掩飾自己的攻擊行為。更糟的是，它們可能會(huì)使用蜜罐來(lái)進(jìn)行對(duì)其它系統(tǒng)的攻擊。2023/5/13網(wǎng)絡(luò)入侵與防范講義182023/5/13用戶模式服務(wù)器將蜜罐配置為用戶模式服務(wù)器是相對(duì)較新的觀點(diǎn)。用戶模式服務(wù)器是一個(gè)用戶進(jìn)程，它運(yùn)行在主機(jī)上，并模擬成一個(gè)功能齊全的操作系統(tǒng)，類似于用戶通常使用的臺(tái)式電腦操作系統(tǒng)。在用戶的臺(tái)式電腦上，用戶可以運(yùn)行文字處理等應(yīng)用程序。將每個(gè)應(yīng)用程序當(dāng)作一個(gè)具有獨(dú)立IP地址的操作系統(tǒng)和服務(wù)的特定實(shí)例。簡(jiǎn)單的說(shuō)，就是用一個(gè)用戶進(jìn)程來(lái)虛擬一個(gè)服務(wù)器。用戶模式服務(wù)器是一個(gè)功能健全的服務(wù)器，嵌套在主機(jī)操作系統(tǒng)的應(yīng)用程序空間中。2023/5/13網(wǎng)絡(luò)入侵與防范講義192023/5/13用戶模式服務(wù)器配置的網(wǎng)絡(luò)

2023/5/13網(wǎng)絡(luò)入侵與防范講義202023/5/13用戶模式服務(wù)器(2)對(duì)于因特網(wǎng)上的用戶來(lái)說(shuō)，用戶模式主機(jī)看似一個(gè)路由器和防火墻。每個(gè)用戶模式服務(wù)器都看成是一個(gè)獨(dú)立運(yùn)行在路由器或防火墻或防火墻后子網(wǎng)內(nèi)的主機(jī)。由于主機(jī)運(yùn)行在防火墻內(nèi)受到的保護(hù)非常非常，所以運(yùn)用這種配置方式對(duì)付準(zhǔn)攻擊者非常有效。2023/5/13網(wǎng)絡(luò)入侵與防范講義212023/5/13用戶模式服務(wù)器(3)用戶服務(wù)器的執(zhí)行取決于攻擊者受騙的程度。如果配置適當(dāng)，攻擊者幾乎無(wú)法覺(jué)察他們鏈接的是用戶模式服務(wù)器而不是真正的目標(biāo)主機(jī)，也就不會(huì)得知自己的行為已經(jīng)被記錄下來(lái)。2023/5/13網(wǎng)絡(luò)入侵與防范講義222023/5/13用戶模式蜜罐的優(yōu)點(diǎn)用戶模式蜜罐的優(yōu)點(diǎn)是它僅僅是一個(gè)普通的用戶進(jìn)程，這就意味著攻擊者如果想控制機(jī)器，就必須首先沖破用戶模式服務(wù)器，再找到攻陷主機(jī)系統(tǒng)的有效方法。這保證了系統(tǒng)管理員可以在面對(duì)強(qiáng)大對(duì)手的同時(shí)依然保持對(duì)系統(tǒng)的控制，同時(shí)也為取證提供證據(jù)。因?yàn)槊總€(gè)用戶模式服務(wù)器都是一個(gè)定位在主機(jī)系統(tǒng)上的單個(gè)文件，如果要清除被入侵者攻陷的蜜罐，只需關(guān)閉主機(jī)上的用戶模式服務(wù)器進(jìn)程并激活一個(gè)新的進(jìn)程即可。2023/5/13網(wǎng)絡(luò)入侵與防范講義232023/5/13用戶模式服務(wù)器的缺點(diǎn)用戶模式服務(wù)器的最大缺點(diǎn)：不適用于所有的操作系統(tǒng)。為了創(chuàng)建用戶模式服務(wù)器，用戶必須啟動(dòng)一個(gè)常規(guī)的操作系統(tǒng)，并將用戶模式服務(wù)器作為用戶應(yīng)用程序運(yùn)行。在寫(xiě)文件時(shí)，必須是Linux和NT的用戶模式服務(wù)器，并無(wú)HPUX或AIX操作系統(tǒng)的用戶模式服務(wù)器，這就嚴(yán)格限制了用戶配置蜜罐時(shí)所使用的操作系統(tǒng)。2023/5/13網(wǎng)絡(luò)入侵與防范講義242023/5/13密罐的基本分類根據(jù)產(chǎn)品設(shè)計(jì)目的，蜜罐可分為：產(chǎn)品型研究型根據(jù)與攻擊者之間的交互程度，蜜罐可以分為：犧牲型蜜罐（Sacrificiallambs）外觀型蜜罐（facades）測(cè)量型蜜罐（instrumentedsystems）2023/5/13網(wǎng)絡(luò)入侵與防范講義252023/5/13產(chǎn)品型蜜罐產(chǎn)品型蜜罐的目的是減輕受保護(hù)組織將受到的攻擊威脅，可以將這種類型的蜜罐作為“法律實(shí)施者”，它們所要做的工作就是檢測(cè)并對(duì)付惡意攻擊者。2023/5/13網(wǎng)絡(luò)入侵與防范講義262023/5/13研究型蜜罐研究型蜜罐則專門以研究和獲取攻擊信息為目的。這類蜜罐并沒(méi)有增強(qiáng)特定組織的安全性，恰恰相反，蜜罐此時(shí)要做的工作是使研究組織面對(duì)各類威脅，以幫助尋找能夠?qū)Ω哆@些威脅更好的方式。2023/5/13網(wǎng)絡(luò)入侵與防范講義272023/5/13犧牲型蜜罐犧牲型蜜罐就是一臺(tái)簡(jiǎn)單的為某種特定攻擊設(shè)計(jì)的計(jì)算機(jī)。犧牲型蜜罐實(shí)際上是放置在易受攻擊地點(diǎn)，假扮為攻擊的受害者，它為攻擊者提供了極好的攻擊目標(biāo)。遺憾的是，提取攻擊數(shù)據(jù)非常費(fèi)時(shí)，并且犧牲型蜜罐本身也會(huì)被攻擊者利用來(lái)攻擊其他機(jī)器。2023/5/13網(wǎng)絡(luò)入侵與防范講義282023/5/13外觀型蜜罐外觀型蜜罐技術(shù)僅僅對(duì)網(wǎng)絡(luò)服務(wù)進(jìn)行仿真而不會(huì)導(dǎo)致機(jī)器真正被攻擊，從而蜜罐的安全不會(huì)受到威脅。用外觀型蜜罐對(duì)記錄的數(shù)據(jù)進(jìn)行訪問(wèn)也比犧牲性蜜罐更簡(jiǎn)單，因此可以更加容易地檢測(cè)出攻擊者。外觀型蜜罐也具有犧牲型蜜罐的弱點(diǎn)，但是它們不會(huì)向攻擊者提供犧牲型蜜罐那么多的數(shù)據(jù)。2023/5/13網(wǎng)絡(luò)入侵與防范講義292023/5/13測(cè)量型蜜罐測(cè)量型蜜罐建立在犧牲型蜜罐和外觀型蜜罐的基礎(chǔ)上。與犧牲型蜜罐類似，測(cè)量型蜜罐為攻擊者提供了高度可信的系統(tǒng)。與外觀型蜜罐類似，由于記錄攻擊信息的原因，測(cè)量型蜜罐非常容易訪問(wèn)但是很難繞過(guò)。與此同時(shí)，高級(jí)的測(cè)量型蜜罐還防止攻擊者將系統(tǒng)作為進(jìn)一步攻擊的跳板。2023/5/13網(wǎng)絡(luò)入侵與防范講義302023/5/13常用蜜罐工具蜜罐是一個(gè)可以模擬具有一個(gè)或多個(gè)攻擊弱點(diǎn)的主機(jī)的系統(tǒng)，為攻擊者提供一個(gè)易于被攻擊的目標(biāo)。蜜罐中所有的假終端和子網(wǎng)都經(jīng)過(guò)精心設(shè)計(jì)，以吸引攻擊的攻擊。當(dāng)攻擊者闖入網(wǎng)絡(luò)，最吸引他們的就是蜜罐，因?yàn)槟抢锟瓷先ナ亲钣腥さ娜ヌ?，于是便引發(fā)報(bào)警。蜜罐監(jiān)視攻擊者的行徑，收集相關(guān)的數(shù)據(jù)。2023/5/13網(wǎng)絡(luò)入侵與防范講義312023/5/13DTKDTK（DeceptionKit，欺騙工具包）是由FredCohen開(kāi)發(fā)的蜜罐上具，這是一種免費(fèi)軟件，可以在互聯(lián)網(wǎng)上找到。DTK為攻擊者展示的是一個(gè)具有很多常見(jiàn)攻擊弱點(diǎn)的系統(tǒng)。DTK吸引攻擊者的詭計(jì)就是可執(zhí)行性，但是它與攻擊者進(jìn)行的交互的方式是模仿那些具有可攻擊弱點(diǎn)的系統(tǒng)進(jìn)行的，所以可以產(chǎn)生的應(yīng)答非常有限。2023/5/13網(wǎng)絡(luò)入侵與防范講義322023/5/13BOFBOF（BlackOrificeFriendly）是一種簡(jiǎn)單但又十分實(shí)用的蜜罐，是由MarcusRanum和NFR（NetworkFlightRecord）公司開(kāi)發(fā)的一種用來(lái)監(jiān)控BackOrifice的工具。NFRBackOrificeFriendly可以運(yùn)行在Windows95、Windows98、WindowsNTServer4.0和WindowsWorkstation4.0上。此外NFR公司還推出了Unix系統(tǒng)下的版本，它是低交互蜜罐中較為出色的一例。2023/5/13網(wǎng)絡(luò)入侵與防范講義332023/5/13SpecterSpecter（幽靈）是一種商業(yè)化的低交互蜜罐，它類似于BOF，主要功能是模擬服務(wù)，不過(guò)它還可以模擬的服務(wù)和功能范圍更加廣泛。除了可以模擬服務(wù)之外，它還可以模擬多種不同類型的操作系統(tǒng)，與BOF類似，Specter操作簡(jiǎn)單并且風(fēng)險(xiǎn)很低。Specter同樣也安裝在Windows操作系統(tǒng)上。由于與攻擊者進(jìn)行交互的并不是真實(shí)的操作系統(tǒng)，所以風(fēng)險(xiǎn)就降得很低。2023/5/13網(wǎng)絡(luò)入侵與防范講義342023/5/13Home-made蜜罐另一種比較常見(jiàn)的蜜罐是Home-made蜜罐（自制蜜罐），這種蜜罐也是低交互的，它的設(shè)計(jì)目的是捕獲特定的行為，比如蠕蟲(chóng)攻擊或掃描行為。它既可以作為產(chǎn)品型蜜罐，也可以作為研究型蜜罐。這取決于使用者的使用目的。它與攻擊者的交互很少，所以攻擊者可以造成的危害也較小。一個(gè)比較常見(jiàn)的例子是創(chuàng)建一個(gè)在端口80（HTTP）進(jìn)行監(jiān)聽(tīng)的服務(wù)，來(lái)捕獲出入該端口的所有業(yè)務(wù)，通常用于捕獲蠕蟲(chóng)攻擊。2023/5/13網(wǎng)絡(luò)入侵與防范講義352023/5/13HoneydHoneyd是由NielsProvos創(chuàng)建一種很強(qiáng)大的具有開(kāi)放源代碼的蜜罐，運(yùn)行在UNIX系統(tǒng)上，可以同時(shí)模仿400多種不同的操作系統(tǒng)和上千種不同的計(jì)算機(jī)。2023/5/13網(wǎng)絡(luò)入侵與防范講義362023/5/13SmokeDectectorSmokeDectector是一種商用的蜜罐產(chǎn)品。SmokeDector可以從試圖闖入蜜罐系統(tǒng)的攻擊行為中捕獲重要的信息并將這些發(fā)送給蜜罐的系統(tǒng)管理員。在這些被捕獲的信息中包括攻擊日期、攻擊時(shí)間、模仿主機(jī)（“偽裝服務(wù)器”）的IP地址、與SmokeDetector進(jìn)行通信的攻擊者所在的IP地址以及代表“警惕程序”的數(shù)字，系統(tǒng)管理員用這個(gè)數(shù)字來(lái)辨別攻擊的嚴(yán)重性。2023/5/13網(wǎng)絡(luò)入侵與防范講義372023/5/1311.7.2計(jì)算機(jī)取證技術(shù)計(jì)算機(jī)取證的基本概念計(jì)算機(jī)取證的一般步驟計(jì)算機(jī)取證的常見(jiàn)工具2023/5/13網(wǎng)絡(luò)入侵與防范講義382023/5/13計(jì)算機(jī)取證的基本概念計(jì)算機(jī)取證是指能對(duì)能夠?yàn)榉ㄍソ邮艿?、足夠可靠和有說(shuō)明力的、存在于計(jì)算機(jī)和相關(guān)外設(shè)中的電子證據(jù)的確認(rèn)、保護(hù)、提取和歸檔的過(guò)程。它能推動(dòng)或促進(jìn)犯罪事件的重構(gòu)，或者幫助預(yù)見(jiàn)有害的未經(jīng)授權(quán)的行為。2023/5/13網(wǎng)絡(luò)入侵與防范講義392023/5/13計(jì)算機(jī)取證的基本概念(2)若從一種動(dòng)態(tài)的觀點(diǎn)來(lái)看，計(jì)算機(jī)取證可歸結(jié)為以下幾點(diǎn)：是一門在犯罪進(jìn)行過(guò)程中或之后收集證據(jù)的藝術(shù)；需要重構(gòu)犯罪行為；將為起訴提供證據(jù)；對(duì)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行取證尤其困難，且完全依靠所保護(hù)的信息的質(zhì)量。2023/5/13網(wǎng)絡(luò)入侵與防范講義402023/5/13計(jì)算機(jī)取證的基本概念(3)從計(jì)算機(jī)取證的概念可以看出，取證過(guò)程主要是圍繞電子證據(jù)來(lái)進(jìn)行的。因此，電子證據(jù)是計(jì)算機(jī)取證技術(shù)核心，它與傳統(tǒng)的不同之處在于它是以電子介質(zhì)為媒介的。電子證據(jù)往往以多種形式存在：電子文件、圖形文件、視頻文件、已刪除文件（如果沒(méi)有被覆蓋）、隱藏文件、系統(tǒng)文件、光盤、網(wǎng)頁(yè)和域名等。而且其作用的領(lǐng)域很廣，如證明著作侵權(quán)、不正當(dāng)競(jìng)爭(zhēng)以及經(jīng)濟(jì)詐騙等。2023/5/13網(wǎng)絡(luò)入侵與防范講義412023/5/13計(jì)算機(jī)取證的基本概念(4)目前，國(guó)內(nèi)法學(xué)界多數(shù)學(xué)者將電子證據(jù)定義為：在計(jì)算機(jī)或計(jì)算機(jī)系統(tǒng)運(yùn)行過(guò)程中產(chǎn)生的以其記錄的內(nèi)容來(lái)證明案件事實(shí)的電磁記錄物。電子證據(jù)的存在形式是電磁或電子脈沖，缺乏可見(jiàn)的實(shí)體。但是，它同樣可以用專用工具和技術(shù)來(lái)收集和分析，而且有的可以作為直接證據(jù)。電子證據(jù)和其他種類的證據(jù)一樣，具有證明案件事實(shí)的能力，而且在某些情況下電子證據(jù)可能是唯一的證據(jù)。同時(shí)，電子證據(jù)與其他種類的證據(jù)相比，有其自身的特點(diǎn)，表現(xiàn)在：電子證據(jù)形式的多樣性，存儲(chǔ)介質(zhì)的電子性，準(zhǔn)確性，脆弱性和數(shù)據(jù)的揮發(fā)性。2023/5/13網(wǎng)絡(luò)入侵與防范講義422023/5/13計(jì)算機(jī)取證的基本概念(5)電子證據(jù)和傳統(tǒng)證據(jù)相比，具有以下優(yōu)點(diǎn)：(1).可以被精確的復(fù)制，這樣只需要對(duì)副件進(jìn)行檢查分析，避免原件受損壞的風(fēng)險(xiǎn)。(2).用適當(dāng)?shù)能浖ぞ吆驮啾?，很容易鑒別當(dāng)前的電子證據(jù)是否有改變，譬如MD5算法可以認(rèn)證消息的完整性，數(shù)據(jù)中的一個(gè)比特（bit）的變化就會(huì)引起檢驗(yàn)結(jié)果的很大差異；(3).在一些情況下，犯罪嫌疑人完全銷毀電子證據(jù)是比較困難的，如計(jì)算機(jī)中的數(shù)據(jù)刪除后還可以從磁盤中恢復(fù)，數(shù)據(jù)的備份可能會(huì)被存儲(chǔ)在嫌疑犯意想不到的地方。2023/5/13網(wǎng)絡(luò)入侵與防范講義432023/5/13計(jì)算機(jī)取證的一般步驟由于電子證據(jù)的特殊性，計(jì)算機(jī)取證應(yīng)遵循一定的基本原則：盡早搜集證據(jù)，并保證其沒(méi)有受到任何破壞，如銷毀或其他破壞方式，也不會(huì)被取證程序本身所破壞；必須保證取證過(guò)程中計(jì)算機(jī)病毒不會(huì)被引入目標(biāo)計(jì)算機(jī)；必須保證“證據(jù)連續(xù)性”（chainofcustody），即在證據(jù)被正式提交給法庭時(shí)必須保證一直能跟蹤證據(jù)；整個(gè)檢查、取證過(guò)程必須是受到監(jiān)督的；必須保證提取出來(lái)的可能有用的證據(jù)不會(huì)受到機(jī)械或電磁損害；被取證的對(duì)象如果必須運(yùn)行某些商務(wù)程序，要確保該程序的運(yùn)行只能影響一段有限的時(shí)間；在取證過(guò)程中，應(yīng)當(dāng)尊重不小心獲取的任何關(guān)于客戶代理人的私人信息，不能把這些信息泄露出去。

2023/5/13網(wǎng)絡(luò)入侵與防范講義442023/5/13計(jì)算機(jī)取證的一般步驟計(jì)算機(jī)取證的過(guò)程一般可劃分為3個(gè)階段：獲取、分析和陳述。

2023/5/13網(wǎng)絡(luò)入侵與防范講義452023/5/13獲取階段獲取階段保存計(jì)算機(jī)系統(tǒng)的狀態(tài)，以供日后分析。這與從犯罪現(xiàn)場(chǎng)拍攝照片、采集指紋、提取血樣或輪胎相類似。和自然界里一樣，并不知道哪些數(shù)據(jù)將作為證據(jù)，所以這一階段的任務(wù)就是保存所有的電子數(shù)據(jù)，至少要復(fù)制到硬盤上所有已分配和未分配的數(shù)據(jù)，這就是通常所說(shuō)的映像。2023/5/13網(wǎng)絡(luò)入侵與防范講義462023/5/13分析階段分析階段取得已獲得的數(shù)據(jù)，然后分析這些數(shù)據(jù)確定證據(jù)的類型。尋找的證據(jù)主要有3種:(1)使人負(fù)罪的證據(jù)，支持已知的推測(cè)；(2)辯明無(wú)罪的證據(jù)，同已知的相矛盾；(3)篡改證據(jù)，此證據(jù)本身和任何推測(cè)并沒(méi)有聯(lián)系，但是可以證明計(jì)算機(jī)系統(tǒng)已被篡改而無(wú)法用來(lái)作證。此階段包括檢查文件和目錄內(nèi)容以及恢復(fù)已刪除的內(nèi)容。在這一階段應(yīng)該用科學(xué)的方法根據(jù)已發(fā)現(xiàn)的證據(jù)推出結(jié)論。2023/5/13網(wǎng)絡(luò)入侵與防范講義472023/5/13陳述階段陳述階段將給出調(diào)查所得結(jié)論及相應(yīng)的證據(jù)，這一階段應(yīng)依據(jù)政策法規(guī)行事，對(duì)不同的機(jī)構(gòu)來(lái)采取不同的方式。比如，在一個(gè)企業(yè)調(diào)查中，聽(tīng)眾往往包括普通辯護(hù)律師、智囊團(tuán)和主管人員，可以根據(jù)企業(yè)的保密法規(guī)和公司政策來(lái)進(jìn)行陳述。而在法律機(jī)構(gòu)中，聽(tīng)眾往往是法官和陪審團(tuán)，所以往往需要律師事先評(píng)估證據(jù)。2023/5/13網(wǎng)絡(luò)入侵與防范講義482023/5/13八個(gè)具體步驟第1步，在取證檢查中，保護(hù)目標(biāo)計(jì)算機(jī)系統(tǒng)，避免發(fā)生任何的改變、傷害、數(shù)據(jù)破壞或病毒感染。第2步，搜索目標(biāo)系統(tǒng)中所有的文件。包括現(xiàn)存的正常文件，已經(jīng)被刪除但仍存在于磁盤上（即還沒(méi)有被新文件覆蓋）的文件，隱藏文件，受到密碼保護(hù)的文件和加密文件。第3步，全部（或盡可能）恢復(fù)所發(fā)現(xiàn)的已刪除文件。第4步，最大程度顯示操作系統(tǒng)或應(yīng)用程序使用的隱藏文件、臨時(shí)文件和交換文件的內(nèi)容。2023/5/13網(wǎng)絡(luò)入侵與防范講義492023/5/13八個(gè)具體步驟第5步，如果可能且法律允許，訪問(wèn)被保護(hù)或加密文件的內(nèi)容。第6步，分析在磁盤的特殊區(qū)域（最典型的是難以訪問(wèn)的區(qū)域）中發(fā)現(xiàn)的所有相關(guān)數(shù)據(jù)。第7步，打印對(duì)目標(biāo)計(jì)算機(jī)系統(tǒng)的全面分析結(jié)果，以及所有可能有用的文件和被挖掘出來(lái)的文件數(shù)據(jù)的清單。給出詳細(xì)的分析結(jié)論。第8步，給出必需的專家證明和/或在法庭上的證詞。2023/5/13網(wǎng)絡(luò)入侵與防范講義502023/5/13計(jì)算機(jī)取證的常見(jiàn)工具好的取證工具可以使取證過(guò)程更容易。本節(jié)對(duì)一些常用的計(jì)算機(jī)取證工具作簡(jiǎn)單介紹。EncaseSafeBackNetMonitor2023/5/13網(wǎng)絡(luò)入侵與防范講義512023/5/13EncaseGuidanceSoftware是計(jì)算機(jī)取證工