数字取证技术

王春兰

目录

  • 1 计算机犯罪与计算机犯罪侦查概述
    • 1.1 课程导入
    • 1.2 计算机犯罪、网络犯罪介绍
    • 1.3 计算机犯罪侦查的任务、原则
  • 2 电子取证概述
    • 2.1 电子证据定义、特点、法律依据、来源
    • 2.2 电子取证的定义、对象
    • 2.3 取证基本原则及应用领域
    • 2.4 电子取证的历程、困难、趋势
    • 2.5 电子数据取证装备与软件
  • 3 数据加密解密与哈希校验
    • 3.1 实操-CMOS开机密码设置与破解
    • 3.2 实操-虚拟磁盘的创建、分区与分离、附加
    • 3.3 Windows账户密码设置与破解
    • 3.4 实操-普通文件密码的设置与破解
    • 3.5 实操-加密容器的使用
    • 3.6 EFS加密与解密
    • 3.7 实操-Bitlocker加密与解密
    • 3.8 哈希校验在取证中的应用
  • 4 数据获取
    • 4.1 镜像及文件格式
    • 4.2 实操-制作内存镜像
    • 4.3 实操-对分区、磁盘进行固定
  • 5 现场勘查与远程勘查
    • 5.1 现场勘查--总述、案例导入
      • 5.1.1 现场勘查法律规范
      • 5.1.2 现场勘查之准备及安保
      • 5.1.3 现场勘查之收集证物
      • 5.1.4 现场勘查计算机
        • 5.1.4.1 应用程序提取及固定
        • 5.1.4.2 加密数据提取及固定
        • 5.1.4.3 计算机关闭及封存原则
        • 5.1.4.4 计算机硬盘固定
      • 5.1.5 现场勘验移动终端
      • 5.1.6 现场勘验报告
      • 5.1.7 询问笔录
    • 5.2 远程勘验(了解)
      • 5.2.1 远程勘验概述
      • 5.2.2 远程勘验要点
      • 5.2.3 远程勘验报告
  • 6 取证相关的计算机基础
    • 6.1 计算机中数制转换
    • 6.2 计算机硬件结构、存储介质
      • 6.2.1 内存
      • 6.2.2 外存及常见种类
    • 6.3 硬盘结构
      • 6.3.1 实操-Winhex初步
      • 6.3.2 虚拟磁盘的基本操作
      • 6.3.3 机械硬盘物理结构
      • 6.3.4 机械硬盘逻辑结构
      • 6.3.5 硬盘数据结构-分类
      • 6.3.6 磁盘分区结构-MBR
      • 6.3.7 磁盘分区结构-MBR-实操
      • 6.3.8 磁盘分区结构-MBR-EBR实操(提升)
      • 6.3.9 硬盘数据结构-GPT分区结构
      • 6.3.10 硬盘数据结构-GPT-实操
  • 7 文件系统
    • 7.1 文件系统定义、分类、簇
    • 7.2 FAT32文件系统
      • 7.2.1 FAT文件系统简介
      • 7.2.2 FAT32文件系统的DBR
      • 7.2.3 FAT32文件系统-FAT表
        • 7.2.3.1 FAT32文件系统-FAT表的excel示例
      • 7.2.4 FAT32文件系统-目录项
      • 7.2.5 FAT32文件系统如何工作
      • 7.2.6 FAT32文件系统演示
    • 7.3 NTFS文件系统
      • 7.3.1 NTFS总述及DBR
      • 7.3.2 MFT介绍及元文件
      • 7.3.3 文件记录及文件记录头
      • 7.3.4 MFT常驻属性
      • 7.3.5 MFT非常驻属性
      • 7.3.6 常见属性介绍
    • 7.4 专业术语
      • 7.4.1 未分配簇
      • 7.4.2 文件残留区
      • 7.4.3 文件签名
      • 7.4.4 散列值
      • 7.4.5 修改扩展名、文件加密
      • 7.4.6 磁盘加密
      • 7.4.7 信息隐写
      • 7.4.8 虚拟容器
      • 7.4.9 历史记录
      • 7.4.10 临时文件
      • 7.4.11 磁盘隐藏区域
  • 8 数据恢复
    • 8.1 删除至回收站-winhex
    • 8.2 用法证通查看回收站
    • 8.3 手工恢复彻底删除文件
    • 8.4 五个软件格式化恢复的效果对比
    • 8.5 格式化后重新分区的恢复效果
    • 8.6 用winhex手动恢复doc和docx的对比
    • 8.7 固态硬盘恢复与TRIM指令
  • 9 内存取证
    • 9.1 内存取证概述
    • 9.2 内存取证操作
    • 9.3 内存数据提取固定
    • 9.4 内存分析工具介绍
    • 9.5 Volotility及比赛案例实战
    • 9.6 利用内存数据完成加密磁盘破解
  • 10 Windows取证
    • 10.1 时间在取证中的作用
      • 10.1.1 UTC时间
      • 10.1.2 文件的创建、修改、访问时间
        • 10.1.2.1 NTFS的$Logfile法
          • 10.1.2.1.1 快捷方式LNK法
            • 10.1.2.1.1.1 跳转列表法
    • 10.2 Windows痕迹和常见程序痕迹
      • 10.2.1 Windows重点目录
      • 10.2.2 USN日志
      • 10.2.3 浏览器取证
      • 10.2.4 百度网盘取证
    • 10.3 注册表取证
      • 10.3.1 注册表分析概述
      • 10.3.2 系统信息分析
      • 10.3.3 最近行为分析
      • 10.3.4 USB痕迹分析
      • 10.3.5 ShellBag分析
      • 10.3.6 注册表分析实战
    • 10.4 日志取证
      • 10.4.1 日志分析概述
      • 10.4.2 登陆账户分析
      • 10.4.3 修改系统时间
      • 10.4.4 USB痕迹分析
      • 10.4.5 分区诊断
  • 11 综合取证软件使用
    • 11.1 计算机常规调查分析
      • 11.1.1 取证分析案例管理
      • 11.1.2 自动取证-系统痕迹
      • 11.1.3 自动取证-用户痕迹
      • 11.1.4 自动取证-上网记录
      • 11.1.5 自动取证-即时通讯
      • 11.1.6 自动取证-文件分析
      • 11.1.7 自动取证-日志分析
      • 11.1.8 自动取证-邮件分析
    • 11.2 取证软件中的数据恢复操作
      • 11.2.1 分区丢失恢复
      • 11.2.2 分区格式化恢复
      • 11.2.3 文件签名恢复
    • 11.3 计算机内容深度检索
      • 11.3.1 文件过滤(取证大师)
      • 11.3.2 普通关键词搜索
      • 11.3.3 正则表达式搜索
      • 11.3.4 文件签名检验
    • 11.4 取证软件中的解密
      • 11.4.1 计算机加解密技术
      • 11.4.2 bitlocker加密技术取证
      • 11.4.3 ​加密容器技术
    • 11.5 计算机综合分析应用
      • 11.5.1 计算机动态仿真
      • 11.5.2 计算机综合分析应用
  • 12 文件过滤
    • 12.1 文件过滤的必要
    • 12.2 myhex文件过滤演示(含文件签名讲解)
  • 13 手机取证
    • 13.1 手机取证相关术语
      • 13.1.1 移动设备国际识别码IMEI
      • 13.1.2 国际移动用户识别码IMSI
      • 13.1.3 集成电路识别码ICCIC
    • 13.2 手机取证数据来源
    • 13.3 手机取证常用方法
  • 14 电子数据司法鉴定
    • 14.1 电子数据司法鉴定
  • 15 实验课难点演示
    • 15.1 实验一 数据隐藏与显示
    • 15.2 浏览器取证分析专项
    • 15.3 数据恢复
    • 15.4 文件过滤
    • 15.5 硬盘结构
  • 16 特色章节——取证公司分享
    • 16.1 上海弘连——移动终端取证
    • 16.2 奇安信——移动终端取证
    • 16.3 奇安信——计算机取证
    • 16.4 北京天宇宁达
      • 16.4.1 内存取证
      • 16.4.2 raid取证
      • 16.4.3 数据库取证
      • 16.4.4 Linux取证
      • 16.4.5 流量包分析
电子取证的历程、困难、趋势


一、电子数据取证国内外发展现状

国外:

电子数据取证最早设立专门机构的是英国和美国,一-直位于领先水平互联网普及越早越发达的国家,电子取证的发展也越规范和完善。

国外成熟的取证软件:

  • 美国: EncaseFTKPaladin

  • 英国: MD5 (VFC)

  • 德国: X-WaysWinHex

  • 澳大利亚: Nuix Desktop

  • 加拿大: Magnet Forensic

  • 韩国:FinalData, Final Forensic

  • 以色列: UFED

  • 俄罗斯: 0xygenPassware E lcomsoft Be Ikasoft

  • ACE-数据恢复工具PC3000

国内:

起步较晚,经历了漫长的认识过程,在2000年后进入百家争鸣阶段,电子证据开始以其普及度和独特的存在形式改变立法规则。

中国在电子数据取证领域的研发实力和技术积累已经走在国际前列。

二、电子数据取证面临的困难

1、信息安全观念落后,目前在逐步改观。

我国的信息安全观念立足于被动防护的层面,倾向采用密码、防火墙、杀毒软件等防御来保证信息安全,更多的关注正常提供服务,这在目前复杂的网络安全形势面前已经过时。我们只有将信息安全提高到主动防护的高度,以系统化的观念来保障信息全,一旦发生安全事故或者犯罪活动,应当将保护电子数据作为首要条件,才能做到有效防范和惩治网络犯罪。

2、法律法规滞后,目前已经有很大的进展,各方面的法律法规在陆续制定。

目前,尽管刑诉法、民诉法和相关司法解释已经统一规范了电子数据的范围,但是其使用标准和操作方法还缺乏权威的法律法规来界定,电子数据的公信力的认可还需要一个过程。同时电子数据的虚拟性海量性,其犯罪行为不同、表现形式多样,产生的电子数据也具备不同格式,这些都难以直接判断网络犯罪后果,案件客观事实需要专业部门来展示。

3、取证机构和人才的匮乏。

由于电子数据取证的高科技性,需要有专门的调查取证机构,目前,我国的公安、检查院、司法等部门和社会科研所机构都在从事电子数据取证工作。但是大多数的电子数据取证工作由执法部门进行,社会服务性的电子数据取证服务发展还很薄弱。面对着数据量巨大的电子数据取证需求,造成执法部门的电子数据取证工作量大,而社会服务性的电子数据取证服务无法形成良好补充。目前涌现出了很多取证公司,但是合格的专业人才还是供不应求。

4、产业发展不均衡

与发达国家相比,我国的电子数据取证行业起步较晚,与国外发展有较大差距。尽管国内的取证行业部门和专业工作进行了努力的探索和研究,但是整体行业发展较慢,产业规模小,技术水平有一定差距,同时行业内部发展不均衡,核心技术多依赖国外,缺乏自主知识的产权的产品。

三、取证人才素质要求

1、法律素养:取证过程遵守法律法规、规范严谨。需要对相关的法律法规等有所了解,这样才能在案件定性上符合法律的要求。同时在取证过程中,还要遵守相关法律法规的规定,做到秉公执法,确保取证结果的公正性。

2、取证技术和意识:各种类型技术均要了解,综合采用。思路逻辑清晰、证据链"完整、目标明确。

3、职业道德:取证过程中往往会涉及虚拟物品甚至网络交易帐号的提取,取证人员要能抵御利益的诱惑,恪守职业操守,同时能够抵御内部和外部的压力,不能徇私舞弊、贪赃枉法。客观公正,不能徇私舞弊、不能有个人倾向性。

现状:人才急缺、需求不断上升、多行业需要.

四、电子数据取证的发展趋势

1、新型介质的取证分析。

利用手机、平板电脑等无线终端设备进行犯罪的案件逐年,上升,无线网络的发展,可穿戴装备、智能交通工具的飞速发展,也开拓了取证的领域。未来电子取证的范围将大大增大,数据被存储于更小、集成度更高的电存储介质,这将使电子数据取证从逻辑取证阶段跨越到物理取证阶段。

2、执业主体的延伸

除了作为打击网络犯罪主体的执法部门,面向社会的司法局的机构也根据需要,开展了电子取证服务。

企业内部审计部门、律师、安全公司、高校、研究机构都根据自身需要开展了电子数据取证的培训和研究。

电子数据取证的主体已经从单纯的执法部门扩展到社会电子数据应用的各个行业,针对已经融合到社会方方面面的信息技术,电子数据取证能够在,上述领域中发挥更多作用。

3、系统化的取证方向

未来单机版的取证工具将被分布式的综合取证系统替代,辅以大数据挖掘技术进行深度同步挖掘,结合人工智能、机器学习、神经网络进行智能化的自动关联、碰撞、比对,获取各数据源之间的关联性,来反映网络犯罪真实的犯罪过程。

【主题讨论】1

       这个难题分为三个方面。让大家讨论对以后的就业的影响。

【主题讨论】2

      需要有三方面:法律意识,技能、职业道德。