数字取证技术

王春兰

目录

  • 1 计算机犯罪与计算机犯罪侦查概述
    • 1.1 课程导入
    • 1.2 计算机犯罪、网络犯罪介绍
    • 1.3 计算机犯罪侦查的任务、原则
  • 2 电子取证概述
    • 2.1 电子证据定义、特点、法律依据、来源
    • 2.2 电子取证的定义、对象
    • 2.3 取证基本原则及应用领域
    • 2.4 电子取证的历程、困难、趋势
    • 2.5 电子数据取证装备与软件
  • 3 数据加密解密与哈希校验
    • 3.1 实操-CMOS开机密码设置与破解
    • 3.2 实操-虚拟磁盘的创建、分区与分离、附加
    • 3.3 Windows账户密码设置与破解
    • 3.4 实操-普通文件密码的设置与破解
    • 3.5 实操-加密容器的使用
    • 3.6 EFS加密与解密
    • 3.7 实操-Bitlocker加密与解密
    • 3.8 哈希校验在取证中的应用
  • 4 数据获取
    • 4.1 镜像及文件格式
    • 4.2 实操-制作内存镜像
    • 4.3 实操-对分区、磁盘进行固定
  • 5 现场勘查与远程勘查
    • 5.1 现场勘查--总述、案例导入
      • 5.1.1 现场勘查法律规范
      • 5.1.2 现场勘查之准备及安保
      • 5.1.3 现场勘查之收集证物
      • 5.1.4 现场勘查计算机
        • 5.1.4.1 应用程序提取及固定
        • 5.1.4.2 加密数据提取及固定
        • 5.1.4.3 计算机关闭及封存原则
        • 5.1.4.4 计算机硬盘固定
      • 5.1.5 现场勘验移动终端
      • 5.1.6 现场勘验报告
      • 5.1.7 询问笔录
    • 5.2 远程勘验(了解)
      • 5.2.1 远程勘验概述
      • 5.2.2 远程勘验要点
      • 5.2.3 远程勘验报告
  • 6 取证相关的计算机基础
    • 6.1 计算机中数制转换
    • 6.2 计算机硬件结构、存储介质
      • 6.2.1 内存
      • 6.2.2 外存及常见种类
    • 6.3 硬盘结构
      • 6.3.1 实操-Winhex初步
      • 6.3.2 虚拟磁盘的基本操作
      • 6.3.3 机械硬盘物理结构
      • 6.3.4 机械硬盘逻辑结构
      • 6.3.5 硬盘数据结构-分类
      • 6.3.6 磁盘分区结构-MBR
      • 6.3.7 磁盘分区结构-MBR-实操
      • 6.3.8 磁盘分区结构-MBR-EBR实操(提升)
      • 6.3.9 硬盘数据结构-GPT分区结构
      • 6.3.10 硬盘数据结构-GPT-实操
  • 7 文件系统
    • 7.1 文件系统定义、分类、簇
    • 7.2 FAT32文件系统
      • 7.2.1 FAT文件系统简介
      • 7.2.2 FAT32文件系统的DBR
      • 7.2.3 FAT32文件系统-FAT表
        • 7.2.3.1 FAT32文件系统-FAT表的excel示例
      • 7.2.4 FAT32文件系统-目录项
      • 7.2.5 FAT32文件系统如何工作
      • 7.2.6 FAT32文件系统演示
    • 7.3 NTFS文件系统
      • 7.3.1 NTFS总述及DBR
      • 7.3.2 MFT介绍及元文件
      • 7.3.3 文件记录及文件记录头
      • 7.3.4 MFT常驻属性
      • 7.3.5 MFT非常驻属性
      • 7.3.6 常见属性介绍
    • 7.4 专业术语
      • 7.4.1 未分配簇
      • 7.4.2 文件残留区
      • 7.4.3 文件签名
      • 7.4.4 散列值
      • 7.4.5 修改扩展名、文件加密
      • 7.4.6 磁盘加密
      • 7.4.7 信息隐写
      • 7.4.8 虚拟容器
      • 7.4.9 历史记录
      • 7.4.10 临时文件
      • 7.4.11 磁盘隐藏区域
  • 8 数据恢复
    • 8.1 删除至回收站-winhex
    • 8.2 用法证通查看回收站
    • 8.3 手工恢复彻底删除文件
    • 8.4 五个软件格式化恢复的效果对比
    • 8.5 格式化后重新分区的恢复效果
    • 8.6 用winhex手动恢复doc和docx的对比
    • 8.7 固态硬盘恢复与TRIM指令
  • 9 内存取证
    • 9.1 内存取证概述
    • 9.2 内存取证操作
    • 9.3 内存数据提取固定
    • 9.4 内存分析工具介绍
    • 9.5 Volotility及比赛案例实战
    • 9.6 利用内存数据完成加密磁盘破解
  • 10 Windows取证
    • 10.1 时间在取证中的作用
      • 10.1.1 UTC时间
      • 10.1.2 文件的创建、修改、访问时间
        • 10.1.2.1 NTFS的$Logfile法
          • 10.1.2.1.1 快捷方式LNK法
            • 10.1.2.1.1.1 跳转列表法
    • 10.2 Windows痕迹和常见程序痕迹
      • 10.2.1 Windows重点目录
      • 10.2.2 USN日志
      • 10.2.3 浏览器取证
      • 10.2.4 百度网盘取证
    • 10.3 注册表取证
      • 10.3.1 注册表分析概述
      • 10.3.2 系统信息分析
      • 10.3.3 最近行为分析
      • 10.3.4 USB痕迹分析
      • 10.3.5 ShellBag分析
      • 10.3.6 注册表分析实战
    • 10.4 日志取证
      • 10.4.1 日志分析概述
      • 10.4.2 登陆账户分析
      • 10.4.3 修改系统时间
      • 10.4.4 USB痕迹分析
      • 10.4.5 分区诊断
  • 11 综合取证软件使用
    • 11.1 计算机常规调查分析
      • 11.1.1 取证分析案例管理
      • 11.1.2 自动取证-系统痕迹
      • 11.1.3 自动取证-用户痕迹
      • 11.1.4 自动取证-上网记录
      • 11.1.5 自动取证-即时通讯
      • 11.1.6 自动取证-文件分析
      • 11.1.7 自动取证-日志分析
      • 11.1.8 自动取证-邮件分析
    • 11.2 取证软件中的数据恢复操作
      • 11.2.1 分区丢失恢复
      • 11.2.2 分区格式化恢复
      • 11.2.3 文件签名恢复
    • 11.3 计算机内容深度检索
      • 11.3.1 文件过滤(取证大师)
      • 11.3.2 普通关键词搜索
      • 11.3.3 正则表达式搜索
      • 11.3.4 文件签名检验
    • 11.4 取证软件中的解密
      • 11.4.1 计算机加解密技术
      • 11.4.2 bitlocker加密技术取证
      • 11.4.3 ​加密容器技术
    • 11.5 计算机综合分析应用
      • 11.5.1 计算机动态仿真
      • 11.5.2 计算机综合分析应用
  • 12 文件过滤
    • 12.1 文件过滤的必要
    • 12.2 myhex文件过滤演示(含文件签名讲解)
  • 13 手机取证
    • 13.1 手机取证相关术语
      • 13.1.1 移动设备国际识别码IMEI
      • 13.1.2 国际移动用户识别码IMSI
      • 13.1.3 集成电路识别码ICCIC
    • 13.2 手机取证数据来源
    • 13.3 手机取证常用方法
  • 14 电子数据司法鉴定
    • 14.1 电子数据司法鉴定
  • 15 实验课难点演示
    • 15.1 实验一 数据隐藏与显示
    • 15.2 浏览器取证分析专项
    • 15.3 数据恢复
    • 15.4 文件过滤
    • 15.5 硬盘结构
  • 16 特色章节——取证公司分享
    • 16.1 上海弘连——移动终端取证
    • 16.2 奇安信——移动终端取证
    • 16.3 奇安信——计算机取证
    • 16.4 北京天宇宁达
      • 16.4.1 内存取证
      • 16.4.2 raid取证
      • 16.4.3 数据库取证
      • 16.4.4 Linux取证
      • 16.4.5 流量包分析
电子证据定义、特点、法律依据、来源

本节知识简单,主线是四个主题讨论。

【主题讨论】1

一、电子证据概念

名词:

Computer Forensics / Computer Evidnece

Digital Forensics / Digital Evidence

Electronic Evidence

Network Forensics / Network Evidence

●计算机证据

●电子证据(公安网安)

●电子物证 (公安刑侦)

●数字证据(新闻报导和自动翻译文章)

二、首次在法律上界定

2013年1月1日施行的《中华人民共和国刑事诉讼法》第四十八条规定了证据的八种类型:

(1)物证;

(2)书证;

(3) 证人证言;

(4)被害人陈述;

(5)犯罪嫌疑人、被告人供述和辩解;

(6)鉴定意见;

(7)勘验、检查、辨认、侦查实验等笔录;

(8)视听资料、电子证据。

这是我国法律首次将“电子数据”列人证据类型之中。继而《民事诉讼法》、《行政诉讼法》都将“电子数据”列为证据类型,从而在国家法律上对“电子数据"这一名称进行了统一的界定。

三、电子证据的定义

信息数字化过程中形成的以数字形式存在的能够证明案件事实情况的数据。

四、电子证据的物理储存

电脑系统、移动终端、硬盘、网络设备、盘片、存储卡和U盘、数码设备、智能卡、磁带

五、电子证据的逻辑存储

电子数据在逻辑状态下,是不同的操作系统,将电子数据以一定编码保存。这些电子数据逻辑存储包括:

(1)用户文件(电子文档、电子邮件、音/视频文件、日程表、网络访问记录/收藏夹、数据库文件、文本文件等);

(2)操作系统文件(配置文件、备份文档、cookies、交换文件、系统文件、隐藏文件、临时文件等) ;

(3)保护的文件(压缩文件、加密文件、隐藏文件等)

(4)日志,包括系统日志、IDS火墙、FTPWwW和毒软日志

(5)其他数据区中可能存在的电子数据,如隐藏分区、未分配空间(Una llocated Space) 、松弛空间(Slack Space)

六、电子证据的特点

1、记录方式的虚拟性

与其他传统证据相比较,电子证据不具有物理形态,而是以虚拟形态存的。传统证据的内容和形态可以直接感知,而电子证据则是将信息按一定方法化为磁、电或者光的方式记录下来。

2、电子证据的易破坏性

环境的影响,例如断电、硬件故障、病毒;人为操作,例如删除、覆盖、操作失误,都会导致电子数据改变和灭失,从而影响到电子数据的真实性和完整性。

3、电子证据的客观性

电子证据需要借助专用设备和科学方法才能显现,电子证据中的些信息隐藏在它的元数据或者本身之外,同时对于电子证据的影响会留下痕迹。

【主题讨论】2

【主题讨论】3      记录形式的隐蔽性、客观性、易破坏性。


七、电子证据在计算机中的存在形式