計(jì)算機(jī)取證與司法鑒定課件項(xiàng)目五VIP

了解網(wǎng)絡(luò)取證的定義和特點(diǎn)了解網(wǎng)絡(luò)監(jiān)控的程序了解網(wǎng)絡(luò)取證的數(shù)據(jù)來源掌握利用網(wǎng)絡(luò)取證分析工具獲取和分析網(wǎng)絡(luò)數(shù)據(jù)包的基本方法掌握云存儲(chǔ)取證的基本方法掌握利用蜜罐技術(shù)進(jìn)行網(wǎng)絡(luò)取證的基本方法學(xué)習(xí)目標(biāo)Tom通過從項(xiàng)目一到項(xiàng)目四的調(diào)查和取證分析后，發(fā)現(xiàn)計(jì)算機(jī)系統(tǒng)中安裝有“百度云管家”軟件，因此懷疑可能有相當(dāng)?shù)姆缸镒C據(jù)和線索通過云存儲(chǔ)服務(wù)存儲(chǔ)在云端，這時(shí)取證調(diào)查人員Tom應(yīng)當(dāng)怎樣獲取證據(jù)？項(xiàng)目說明Tom在進(jìn)行取證調(diào)查過程中，發(fā)現(xiàn)為公司工作人員提供服務(wù)的服務(wù)器最近常受到黑客攻擊，由于公司內(nèi)部網(wǎng)絡(luò)與Internet物理斷開，因此Tom相信攻擊源來自內(nèi)部局域網(wǎng)。此時(shí)調(diào)查人員Tom向公司主管Alice匯報(bào)后，得到公司高層授權(quán)可以在網(wǎng)絡(luò)中進(jìn)行適當(dāng)?shù)脑O(shè)置和調(diào)查，那么Tom應(yīng)當(dāng)怎樣去獲取證據(jù)和重要線索？項(xiàng)目說明項(xiàng)目任務(wù)被調(diào)查計(jì)算機(jī)安裝云服務(wù)客戶端軟件信息檢查；被調(diào)查計(jì)算機(jī)上網(wǎng)記錄分析；云存儲(chǔ)系統(tǒng)信息提取。項(xiàng)目任務(wù)搭建蜜罐；根據(jù)案例情況對(duì)蜜罐進(jìn)行合理設(shè)置；利用蜜罐進(jìn)行調(diào)查。網(wǎng)絡(luò)取證的特點(diǎn)電子主要研究對(duì)象不再僅僅局限于單個(gè)的或相互獨(dú)立的計(jì)算機(jī)，而是與網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包或網(wǎng)絡(luò)數(shù)據(jù)流有關(guān)。在網(wǎng)絡(luò)取證時(shí)，取證人員的取證時(shí)間和被調(diào)查人員（如網(wǎng)絡(luò)攻擊者）的作案時(shí)間常常是重疊的，或者說網(wǎng)絡(luò)取證是動(dòng)態(tài)的?；A(chǔ)知識(shí)網(wǎng)絡(luò)取證的特點(diǎn)在網(wǎng)絡(luò)取證時(shí)，隨著調(diào)查時(shí)的網(wǎng)絡(luò)不同，取證調(diào)查的目標(biāo)往往是分布在相當(dāng)廣闊的范圍中。在多數(shù)網(wǎng)絡(luò)取證實(shí)踐工作中，為滿足網(wǎng)絡(luò)取證的實(shí)時(shí)性要求，往往需要把網(wǎng)絡(luò)取證的工作與網(wǎng)絡(luò)監(jiān)控相結(jié)合。基礎(chǔ)知識(shí)網(wǎng)絡(luò)監(jiān)控的程序授權(quán)證據(jù)收集證據(jù)分析與提交報(bào)告基礎(chǔ)知識(shí)網(wǎng)絡(luò)調(diào)查的信息源終端部分（攻擊方或者受害方）數(shù)據(jù)傳輸部分基礎(chǔ)知識(shí)網(wǎng)絡(luò)取證分析工具網(wǎng)絡(luò)數(shù)據(jù)包嗅探網(wǎng)絡(luò)協(xié)議分析網(wǎng)絡(luò)數(shù)據(jù)流監(jiān)控和解析基礎(chǔ)知識(shí)為了獲取有價(jià)值的證據(jù)信息，Tom決定對(duì)Adam的計(jì)算機(jī)是否安裝云存儲(chǔ)服務(wù)的客戶端軟件進(jìn)行調(diào)查，并且分析本地網(wǎng)頁瀏覽記錄中相應(yīng)云存儲(chǔ)服務(wù)網(wǎng)址的痕跡，從而首先確定Adam使用了哪個(gè)提供商的云存儲(chǔ)服務(wù)，在獲取這些基本信息的基礎(chǔ)上，對(duì)Adam的計(jì)算機(jī)中與云存儲(chǔ)服務(wù)相關(guān)的文件夾進(jìn)行重點(diǎn)分析，獲取被調(diào)查者在進(jìn)行云存儲(chǔ)時(shí)使用的用戶名等重要信息，在獲取這些重要信息后，根據(jù)案件取證調(diào)查的需要以及公司利益的需求，與公司高層協(xié)商是否提起訴訟并向公安機(jī)關(guān)申請(qǐng)，要求相應(yīng)云服務(wù)提供商配合調(diào)查。項(xiàng)目分析Tom首先了解到被攻擊服務(wù)器僅用于公司內(nèi)部網(wǎng)絡(luò)，與廣域網(wǎng)物理斷開，因此可以確定攻擊源來自于公司內(nèi)部局域網(wǎng)，攻擊者很可能是內(nèi)部員工。由于攻擊者在清除痕跡時(shí)對(duì)服務(wù)器日志等關(guān)鍵部分進(jìn)行了較充分清理，而這臺(tái)服務(wù)器沒有實(shí)時(shí)在線異地備份日志等關(guān)鍵信息，因此如果僅對(duì)服務(wù)器和中間設(shè)備進(jìn)行調(diào)查分析較為困難?？紤]到自己是公司高層授權(quán)進(jìn)行秘密調(diào)查很可能攻擊者并不知道自己的行為已引起注意，且最近一段時(shí)間服務(wù)器常受攻擊，因此Tom決定設(shè)立一個(gè)可引誘攻擊者的蜜罐，從而獲取相應(yīng)的證據(jù)和重要線索的信息。項(xiàng)目分析任務(wù)一：云存儲(chǔ)取證案例分析項(xiàng)目實(shí)施調(diào)查云存儲(chǔ)痕跡安裝軟件信息的檢查項(xiàng)目實(shí)施調(diào)查云存儲(chǔ)痕跡網(wǎng)絡(luò)瀏覽記錄分析項(xiàng)目實(shí)施調(diào)查云存儲(chǔ)痕跡安裝路徑檢查項(xiàng)目實(shí)施調(diào)查云存儲(chǔ)痕跡注冊(cè)表檢查項(xiàng)目實(shí)施調(diào)查云存儲(chǔ)痕跡網(wǎng)絡(luò)連接狀態(tài)檢查項(xiàng)目實(shí)施調(diào)查云存儲(chǔ)痕跡百度云盤系統(tǒng)信息的提取項(xiàng)目實(shí)施任務(wù)二：網(wǎng)絡(luò)取證案例分析項(xiàng)目實(shí)施搭建蜜罐搭建蜜罐的準(zhǔn)備工作環(huán)境準(zhǔn)備軟件工具包準(zhǔn)備項(xiàng)目實(shí)施搭建蜜罐安裝Honeyd及其相關(guān)組件，構(gòu)建蜜罐首先安裝“l(fā)ibevent”安裝“l(fā)ibevent”成功以后，進(jìn)行“l(fā)ibdnet”的安裝安裝“l(fā)ibdnet”成功以后，進(jìn)行“l(fā)ibpcap”的安裝安裝“l(fā)ibpcap”成功以后，進(jìn)行“zlib”的安裝安裝“honeyd”項(xiàng)目實(shí)施搭建蜜罐出錯(cuò)信息處理進(jìn)行“l(fā)ibpcap”安裝時(shí)的錯(cuò)誤信息處理進(jìn)行“Honeyd”安裝時(shí)的錯(cuò)誤信息處理項(xiàng)目實(shí)施運(yùn)用蜜罐技術(shù)進(jìn)行網(wǎng)絡(luò)取證調(diào)查啟動(dòng)Honeyd使用“sudoarpdxxx”啟動(dòng)arpd啟動(dòng)“arpd”成功后，查看arpd監(jiān)聽的IP地址利用“sudomkdir”命令創(chuàng)建Honeyd蜜罐的日志目錄利用“sudotouch”的腳本程序創(chuàng)建Honeyd蜜罐的日志文件項(xiàng)目實(shí)施運(yùn)用蜜罐技術(shù)進(jìn)行網(wǎng)絡(luò)取證調(diào)查啟動(dòng)Honeyd使用“sudo./start-arpd.sh”命令啟動(dòng)arpd監(jiān)聽運(yùn)行“sudo./start-honeyd.sh”命令啟動(dòng)Honeyd并加載Honeyd的配置文件項(xiàng)目實(shí)施網(wǎng)絡(luò)