数字取证技术

王春兰

目录

  • 1 计算机犯罪与计算机犯罪侦查概述
    • 1.1 课程导入
    • 1.2 计算机犯罪、网络犯罪介绍
    • 1.3 计算机犯罪侦查的任务、原则
  • 2 电子取证概述
    • 2.1 电子证据定义、特点、法律依据、来源
    • 2.2 电子取证的定义、对象
    • 2.3 取证基本原则及应用领域
    • 2.4 电子取证的历程、困难、趋势
    • 2.5 电子数据取证装备与软件
  • 3 数据加密解密与哈希校验
    • 3.1 实操-CMOS开机密码设置与破解
    • 3.2 实操-虚拟磁盘的创建、分区与分离、附加
    • 3.3 Windows账户密码设置与破解
    • 3.4 实操-普通文件密码的设置与破解
    • 3.5 实操-加密容器的使用
    • 3.6 EFS加密与解密
    • 3.7 实操-Bitlocker加密与解密
    • 3.8 哈希校验在取证中的应用
  • 4 数据获取
    • 4.1 镜像及文件格式
    • 4.2 实操-制作内存镜像
    • 4.3 实操-对分区、磁盘进行固定
  • 5 现场勘查与远程勘查
    • 5.1 现场勘查--总述、案例导入
      • 5.1.1 现场勘查法律规范
      • 5.1.2 现场勘查之准备及安保
      • 5.1.3 现场勘查之收集证物
      • 5.1.4 现场勘查计算机
        • 5.1.4.1 应用程序提取及固定
        • 5.1.4.2 加密数据提取及固定
        • 5.1.4.3 计算机关闭及封存原则
        • 5.1.4.4 计算机硬盘固定
      • 5.1.5 现场勘验移动终端
      • 5.1.6 现场勘验报告
      • 5.1.7 询问笔录
    • 5.2 远程勘验(了解)
      • 5.2.1 远程勘验概述
      • 5.2.2 远程勘验要点
      • 5.2.3 远程勘验报告
  • 6 取证相关的计算机基础
    • 6.1 计算机中数制转换
    • 6.2 计算机硬件结构、存储介质
      • 6.2.1 内存
      • 6.2.2 外存及常见种类
    • 6.3 硬盘结构
      • 6.3.1 实操-Winhex初步
      • 6.3.2 虚拟磁盘的基本操作
      • 6.3.3 机械硬盘物理结构
      • 6.3.4 机械硬盘逻辑结构
      • 6.3.5 硬盘数据结构-分类
      • 6.3.6 磁盘分区结构-MBR
      • 6.3.7 磁盘分区结构-MBR-实操
      • 6.3.8 磁盘分区结构-MBR-EBR实操(提升)
      • 6.3.9 硬盘数据结构-GPT分区结构
      • 6.3.10 硬盘数据结构-GPT-实操
  • 7 文件系统
    • 7.1 文件系统定义、分类、簇
    • 7.2 FAT32文件系统
      • 7.2.1 FAT文件系统简介
      • 7.2.2 FAT32文件系统的DBR
      • 7.2.3 FAT32文件系统-FAT表
        • 7.2.3.1 FAT32文件系统-FAT表的excel示例
      • 7.2.4 FAT32文件系统-目录项
      • 7.2.5 FAT32文件系统如何工作
      • 7.2.6 FAT32文件系统演示
    • 7.3 NTFS文件系统
      • 7.3.1 NTFS总述及DBR
      • 7.3.2 MFT介绍及元文件
      • 7.3.3 文件记录及文件记录头
      • 7.3.4 MFT常驻属性
      • 7.3.5 MFT非常驻属性
      • 7.3.6 常见属性介绍
    • 7.4 专业术语
      • 7.4.1 未分配簇
      • 7.4.2 文件残留区
      • 7.4.3 文件签名
      • 7.4.4 散列值
      • 7.4.5 修改扩展名、文件加密
      • 7.4.6 磁盘加密
      • 7.4.7 信息隐写
      • 7.4.8 虚拟容器
      • 7.4.9 历史记录
      • 7.4.10 临时文件
      • 7.4.11 磁盘隐藏区域
  • 8 数据恢复
    • 8.1 删除至回收站-winhex
    • 8.2 用法证通查看回收站
    • 8.3 手工恢复彻底删除文件
    • 8.4 五个软件格式化恢复的效果对比
    • 8.5 格式化后重新分区的恢复效果
    • 8.6 用winhex手动恢复doc和docx的对比
    • 8.7 固态硬盘恢复与TRIM指令
  • 9 内存取证
    • 9.1 内存取证概述
    • 9.2 内存取证操作
    • 9.3 内存数据提取固定
    • 9.4 内存分析工具介绍
    • 9.5 Volotility及比赛案例实战
    • 9.6 利用内存数据完成加密磁盘破解
  • 10 Windows取证
    • 10.1 时间在取证中的作用
      • 10.1.1 UTC时间
      • 10.1.2 文件的创建、修改、访问时间
        • 10.1.2.1 NTFS的$Logfile法
          • 10.1.2.1.1 快捷方式LNK法
            • 10.1.2.1.1.1 跳转列表法
    • 10.2 Windows痕迹和常见程序痕迹
      • 10.2.1 Windows重点目录
      • 10.2.2 USN日志
      • 10.2.3 浏览器取证
      • 10.2.4 百度网盘取证
    • 10.3 注册表取证
      • 10.3.1 注册表分析概述
      • 10.3.2 系统信息分析
      • 10.3.3 最近行为分析
      • 10.3.4 USB痕迹分析
      • 10.3.5 ShellBag分析
      • 10.3.6 注册表分析实战
    • 10.4 日志取证
      • 10.4.1 日志分析概述
      • 10.4.2 登陆账户分析
      • 10.4.3 修改系统时间
      • 10.4.4 USB痕迹分析
      • 10.4.5 分区诊断
  • 11 综合取证软件使用
    • 11.1 计算机常规调查分析
      • 11.1.1 取证分析案例管理
      • 11.1.2 自动取证-系统痕迹
      • 11.1.3 自动取证-用户痕迹
      • 11.1.4 自动取证-上网记录
      • 11.1.5 自动取证-即时通讯
      • 11.1.6 自动取证-文件分析
      • 11.1.7 自动取证-日志分析
      • 11.1.8 自动取证-邮件分析
    • 11.2 取证软件中的数据恢复操作
      • 11.2.1 分区丢失恢复
      • 11.2.2 分区格式化恢复
      • 11.2.3 文件签名恢复
    • 11.3 计算机内容深度检索
      • 11.3.1 文件过滤(取证大师)
      • 11.3.2 普通关键词搜索
      • 11.3.3 正则表达式搜索
      • 11.3.4 文件签名检验
    • 11.4 取证软件中的解密
      • 11.4.1 计算机加解密技术
      • 11.4.2 bitlocker加密技术取证
      • 11.4.3 ​加密容器技术
    • 11.5 计算机综合分析应用
      • 11.5.1 计算机动态仿真
      • 11.5.2 计算机综合分析应用
  • 12 文件过滤
    • 12.1 文件过滤的必要
    • 12.2 myhex文件过滤演示(含文件签名讲解)
  • 13 手机取证
    • 13.1 手机取证相关术语
      • 13.1.1 移动设备国际识别码IMEI
      • 13.1.2 国际移动用户识别码IMSI
      • 13.1.3 集成电路识别码ICCIC
    • 13.2 手机取证数据来源
    • 13.3 手机取证常用方法
  • 14 电子数据司法鉴定
    • 14.1 电子数据司法鉴定
  • 15 实验课难点演示
    • 15.1 实验一 数据隐藏与显示
    • 15.2 浏览器取证分析专项
    • 15.3 数据恢复
    • 15.4 文件过滤
    • 15.5 硬盘结构
  • 16 特色章节——取证公司分享
    • 16.1 上海弘连——移动终端取证
    • 16.2 奇安信——移动终端取证
    • 16.3 奇安信——计算机取证
    • 16.4 北京天宇宁达
      • 16.4.1 内存取证
      • 16.4.2 raid取证
      • 16.4.3 数据库取证
      • 16.4.4 Linux取证
      • 16.4.5 流量包分析
计算机犯罪侦查的任务、原则

刑法第285条规定了侵入计算机信息系统罪;第286条规定了破坏计算机信息系统功能罪、破坏计算机数据和应用程序罪和制作传播破坏性程序罪。                                 侦查工作的任务

侦查工作的原则


侦查方法


划分作案群体

根据计算机犯罪的类型,并利用已掌握的情况分析可能作案的人员,这一点是所有侦破过程必须要做的。

查找第一现场

互联网犯罪:一旦发现网上犯罪,首先需要根据ISP系统日志追查犯罪嫌疑人的IP地址,并根据DHCP记录,核查主叫号码,对于境内号码,再根据主叫号码确定实际地址,即第一现场。

专用网络犯罪:这种犯罪主要发生在金融领域。一旦发现犯罪,首先要根据报案人提供的明细帐目,查看银行主机的日志,确定具体发案的营业部、所;然后,确认网络线缆和集线器、路由器、交换机、MODEM等设备的工作状态是否正常,以确定是否存在来自外部的入侵。根据主机日志,确定具体详尽的作案时间和终端设备。

现场勘查与证据的提取

搜查与提取步骤 在初级阶段,检查各软件日志,找出临近时使用该系统的情况;根据操作系统的文件管理办法,有条理的搜查每个目录、子目录及文件;对可疑文件的内容及属性做进一步检查;检查隐藏文件(主要是计算机信息系统提供的隐藏文件)。在高级阶段,从存储介质上搜寻相关信息,采用专用软件工具,按关键字检索。在这一步工作中,应着重注意搜查隐藏的、不可见的、加密的及已删除的证据,并将所有证据的内容和状态归档。然后,再从大量数据中抽取与被调查案件有关的那部分数据。

外部搜查与提取

勘查人员到达现场后,应先进行外部勘查。主要包括对环境、打印机、显示器及其他外部设备的搜查与提取。除按一般刑事案件进行侦查外,还应重点检查并记录现场的各种磁记录物、书面材料、显示器的内容以及打印机、系统外部设备的状态等。要对所有与案件有关的计算机信息系统的硬件、文件资料、磁盘等做标记,注意搜寻包含用户标识和密码的文件资料。收集上机记录和工作日志,封存程序备份、各种打印结果及一切相关证据,不要随意丢弃废纸。注意搜索是否有使用者的密钥等有用信息,搜索使用者的足迹、指纹等。如果计算机信息系统正在运行,显示器正在显示信息,可以用照相机拍照或摄像机录下来,并保护好与案件有关的计算机信息及其相关设备,复制与案件有关的原始电子数据,同时记录其工作状态和相关参数。如果是针式打印机,还要注意色带上是否留有痕迹。

内部搜查与提取

搜寻在存储介质上的相关信息及隐藏信息。隐藏信息包括存储在硬盘上不可(被操作系统)访问部分的信息。如果在未分配或未格式化的区域,就是用密写术隐藏的信息以及加密的信息。在存储介质上检查使用者入侵活动的证据,以确定计算机设备使用者在机上活动的时序,在损坏的存储介质上恢复数据。现场勘查中要清楚、完整地拷贝所获取的文件,并打印介质中的文件目录、属性、后缀等特征。了解并记录案发现场的计算机信息系统的型号及运行状态、操作系统以及数据库的类型和版本号、网络应用环境以及应用系统是否具有审计功能等。



注意事项


勘查过程中,勘查人员必须严格遵守计算机设备的操作规程,了解所有操作的副作用,并把采取的各种步骤及遇到的情况记录成文,以便对操作结果作出合理解释。一般情况下,不要使用被调查的计算机信息系统的任何硬件或软件工具。使用自己的工具时,要使用正版软件,防止进一步发生侵害和损失。在不具备访问涉案计算机信息系统技能的情况下,应聘请可靠的专家协助,以防止操作中的任何疏忽或错误造成的数据丢失。除搜查硬盘和软盘外,不可忽视对外部设备的检查,如系统的许多外围设备包括缓冲器和媒介、网络中的多路调制器、中继器以及一些接口设备中的存储器等,这些设备都可能存有计算机犯罪证据。