返回
《数字取证技术》PPT课件

《数字取证技术》PPT课件

ID:41221433

大小:220.46 KB

页数:30页

时间:2019-08-19

《数字取证技术》PPT课件_第1页
《数字取证技术》PPT课件_第2页
《数字取证技术》PPT课件_第3页
《数字取证技术》PPT课件_第4页
《数字取证技术》PPT课件_第5页
资源描述:

《《数字取证技术》PPT课件》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第8章数字取证技术8.1数字取证概述8.2电子证据8.3数字取证原则和过程8.4网络取证技术8.5数字取证常用工具8.1数字取证概述数字取证技术将计算机调查和分析技术应用于对潜在的、有法律效力的电子证据的确定与获取,同样它们都是针对黑客和入侵的,目的都是保障网络的安全。从计算机取证技术的发展来看,先后有数字取证(DigitalForensics)、电子取证(ElectricForensics)、计算机取证(ComputerForensic)、网络取证(NetworksForensics)等术语。1.电子取证

2、电子取证则主要研究除计算机和网络以外的电子产品中的数字证据获取、分析和展示,如数码相机、复印机、传真机甚至有记忆存储功能的家电产品等。2.计算机取证计算机取证的主要方法有对文件的复制、被删除文件的恢复、缓冲区内容获取、系统日志分析等等,是一种被动式的事后措施,不特定于网络环境。3.网络取证网络取证更强调对网络安全的主动防御功能,主要通过对网络数据流、审计、主机系统日志等的实时监控和分析,发现对网络系统的入侵行为,记录犯罪证据,并阻止对网络系统的进一步入侵。8.2电子证据8.2.1电子证据的概念电子证据是在计

3、算机或计算机系统运行过程中产生的以其记录的内容来证明案件事实的电磁记录物。8.2.2电子证据的特点1.表现形式的多样性2.存储介质的电子性3.准确性4.脆弱性5.数据的挥发性8.2.3常见电子设备中的电子证据电子证据几乎无所不在。如计算机中的内存、硬盘、光盘、移动存储介质、打印机、扫描仪、带有记忆存储功能的家用电器等。在这些存储介质中应检查的应用数据包括:1.用户自建的文档;2.用户保护文档;3.计算机创建的文档;4.其他数据区中的数据证据;5.ISP计算机系统创建的文档、ftp文件等。8.3数字取证原则和

4、过程8.3.1数字取证原则1.尽早搜集证据,并保证其没有受到任何破坏;2.必须保证取证过程中计算机病毒不会被引入到目标计算机;3.必须保证“证据连续性”,即在证据被正式提交给法庭时必须保证一直能跟踪证据,要能够说明用于拷贝这些证据的进程是可靠、可复验的等;4.整个检查、取证过程必须是受到监督的;5.必须保证提取出来的可能有用的证据不会受到机械或电磁损害;6.被取证的对象如果必须运行某些商务程序,只能影响一段有限的时间;7.应当尊重不小心获取的任何关于客户代理人的私人信息。8.3.2数字取证过程数字取证的过程

5、一般可划分为四个阶段:1.电子证据的确定和收集要保存计算机系统的状态,避免无意识破坏现场,同时不给犯罪者破坏证据提供机会,以供日后分析。要注意以下几个方面:(1)收集数据前首先要咨询证人使用计算机的习惯。(2)可以通过质疑来获取目标计算机网络上的相关信息。(3)咨询系统管理员和其他可能与计算机系统有关系的人员,再次确保掌握了关于备份系统的所有信息和数据可能的储存位置。(4)不要对硬盘和其他媒介进行任何操作,甚至不要启动它们。(5)必须保护所有的媒介,对所有媒介进行病毒扫描。(6)牢记“已删除”并不意味着真的

6、删除了。(7)对不同类型的计算机采取不同的策略。2.电子证据的保护这一阶段将使用原始数据的精确副本,应保证能显示存在于镜像中的所有数据,而且证据必须是安全的,有非常严格的访问控制。为此必须注意以下几点:(l)通过计算副本和原始证据的hash值来保证取证的完整性;(2)通过写保护和病毒审查文档来保证数据没有被添加、删除或修改;(3)使用的硬件和软件工具都必须满足工业上的质量和可靠性标准;(4)取证过程必须可以复验;(5)数据写入的介质在分析过程中应当写保护,以防止被破坏。3.电子证据的分析具体包括:文件属性分

7、析技术;文件数字摘要分析技术;日志分析技术;密码破译技术等。分析阶段首先要确定证据的类型,主要可分为三种:(1)使人负罪的证据,支持已知的推测;(2)辨明无罪的证据,同已知的推测相矛盾;(3)篡改证据,以证明计算机系统已被篡改而无法用来作证。4.展示阶段给出调查所得结论及相应的证据,供法庭作为公诉证据。还要解释是如何处理和分析证据的,以便说明监管链和方法的彻底性。8.4网络取证技术8.4.1网络取证概述网络流的相关性、数据的完整性和包捕获的速率是网络取证、分析首要考虑的事情。相关性是指在某些环境下,应当在捕

8、获网络流时应用过滤器去掉不相关的数据。数据的完整性要求网络取证工具应当一直监控网络流。网络取证对数据的保护和一般的数字取证过程要求相同,网络取证分析的相关技术包括人工智能、机器学习、数据挖掘、IDS技术、蜜阱技术、SVM和专家系统等。8.4.2网络取证模型根据网络攻击一般过程,网络取证模型如图所示。8.4.3IDS取证技术将计算机取证结合到入侵检测等网络安全工具和网络体系结构中进行动态取证,可使整个取证过程更加系

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。