取证分析

最新推荐文章于 2025-03-19 17:43:24 发布

桃子味奶茶

最新推荐文章于 2025-03-19 17:43:24 发布

阅读量2.5k

点赞数 4

分类专栏：笔记

本文链接：https://blog.youkuaiyun.com/weixin_43939527/article/details/118108070

版权

笔记专栏收录该内容

1 篇文章

订阅专栏

本文详细阐述了电子证据获取的注意事项，包括现场记录、设备处理、数据备份和完整性验证。同时，介绍了网络取证的特点，如涉及的对象、数据流分析、实时性和分布式取证。还探讨了加密数据破解、易失性数据获取、网络轨迹分析以及木马自启动方式等。强调了计算机取证的原则，如标准流程、证据完整性、人员培训和记录保存。最后，概述了数据恢复方法和网络取证的关键点。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

1、在现场有一块 500GB SATA 硬盘、一款智能手机(开机状态)，请简要描述从其获取到取证分析之间所注意的事项。

答：1）获取时记录其具体位置
2）必要时现场记算硬盘哈希值
硬盘放入证物袋，注意防磁等环境；
手机注意开关机状态，放入屏蔽袋；
3）准备一块不小于 500GB 的磁盘做目标盘
4）注意手机品牌，操作系统、密码、配件

2、在现场勘查时，发现有处于开机状态台式机，操作系统 winXP，阐述获取此证物从拍照到封存的整个操作过程，并举例列出在固定易丢失数据时应注意的数据形式。

答：1）拍照记录电脑整体状态，屏幕显示内容，主机接口连接
2）周边相关配件
3）注意易丢失数据，注意加密容器、加密文件、 QQ 等即时通讯数据的固定对一些关键数据、关键步骤应使用录像等方式记录，重要的文件计算 MD5 值
4）固定易丢失数据后，直接拔电源断电关机
5）封条注意电源及输出接口

3、在现场勘查时，主要考虑到电子数据获取的完整性和有效性，试从完整性角度描述对正在运行的打印机、复印机的处理方式。

答：采用镜像工具（如Safe，back，SnapBack，DatArret等）以字符流镜像的方式，对存储介质中的所有数据信息进行备份，在以后的分析、鉴定等取证与分析环节中只能对备份数据进行操作，必要时可将备份的数据恢复到原始状态，作为分析、鉴定数据的原始参考标准。

4、若相关信息被加密、删改、破坏、计算机病毒、黑客的袭扰等情况，该如何取证？解密、恢复等方法

答：被加密数据进行加密破解，恢复数据的原本面貌。
密码破解的方法：

穷举攻击法
统计分析攻击法：通过分析密文和明文的统计规律破译密码
数学分析攻击法：针对加解密算法的数学基础和某些密码学特性，通过数学求解的方法破译密码

被删除破坏数据进行恢复操作，数据恢复的方法手工恢复和使用工具恢复两种。

引导扇区恢复
分区表恢复
DBR恢复
零磁道损坏的修复
磁盘坏道的恢复

5．常见的易失性数据有哪些？什么情况下需要获取易失性数据？

答：易失性数据包括系统日期和时间、最近运行的进程列表，最近打开的套接字列表、在打开的套接字上进行监听的应用程序、当前登录的用户列表、当前或者最近与系统建立连接的系统列表等。
当系统收到入侵需要对系统进行取证分析，在关闭系统对硬盘按位备份作进一步分析前需要获取易失性数据。

6、简述计算机取证与司法鉴定的三大技术，它们保证了计算机取证与司法鉴定既能定性又能定量且可以随时精确重现。

答：只读、克隆和校验技术
只读技术保护电子数据不被更改，从而保证检材数据的原始性
位对位的克隆技术保证检材数据的完整复制及鉴定过程的精确重复；
校验技术既能辅助克隆技术精确重复鉴定过程，又能够用于电子证据的保全，知识产权鉴定等

7、在现场勘查时，发现有处于开机状态台式机，操作系统为 Linux。为了保护现场，第一要务为获取现场证据，保存数据，尤其是那些容易被改变的数据。试分析如何收集获取屏幕信息，内存信息、硬盘信息、进程信息和网络连接信息。

答：（1）获取屏幕信息：最优先的步骤是利用照相设备或录像设备记录屏幕信息；若没有准备好图像记录设备，当系统处于控制台模式时，只获得文件的输入采用帮助信息，直接使用管道命令，将输出的内容保存到指定的文件当中，使用setterm -dump n(1-7) -file filename获取控制台下的屏幕截图
（2）获取内存和硬盘信息：可以通过移动存储设备或者网络将系统存储器的内容保存下来

在使用移动存储设备(移动硬盘、U盘)时，用fdisk-I 或more /proc/partitions查看系统的硬盘和硬盘分区情况。
使用mount命令将设备挂载到系统上
利用dd命令读出内存信息并将该信息存储到移动硬盘上
若要将内存或硬盘信息输出到另外一台计算机，则首先要使用在数据收集计算机上设置两个监听过程，然后开始复制可疑计算机内存信息

（3）获取用户及进程信息
使用who、W、id或finger显示当前登录的用户信息
使用ps aux、Isof或top查看系统每个进程
（4）获取网络连接信息
使用ifconfig -a查看网卡信息
使用netstat -an或netstat -antlp获取打开的网络套接字信息，如开启了哪些端口、连接的IP地址

8、如果数字取证中嫌疑人经常使用浏览器访问互联网，那么以互联网行为为主线，可以从哪些方面获取相关证据信息，这些信息能证明什么？写出网络轨迹都有哪些？网站访问下拉列表、网站访问的历史记录、网站收藏夹此外，还可以从以下几个地方获取信息：

（1）cookies，cookies 一般保存在 index。Dat 里面，包括 URL 信息访问日期时间，用户
名等信息
（2）临时文件（网页缓存），会显示如“最近一次访问的时间”在 TIF 中
（3）历史记录，分成按日期、星期、月份，在 index.dat 显示访问的 URL 和时间
（4）注册表，ntuser.dat 文件中，有近期访问的 URL，键的名称按时间顺序排列。

9、以原则规范计算机取证是保证电子证据可采性的关键，试简述由加拿大、法国等八国计算机取证人员组成的 G8 小组提出的计算机取证原则。

答：（1）必须应用标准的取证与司法鉴定过程
（2）获取证据时所采用的任何方法都不能改变原始证据
（3）取证与司法鉴定人员必须经过专门培训
（4）完整地记录证据的获取、访问、存储或传输的过程，并妥善保存这些记录以备随时查阅
（5）每位保管电子证据的人员必须对其在该证据上的任何行为负责
（6）任何负责获取、访问、存储或传输电子证据的机构有责任遵循以上原则

10、和系统取证不同，网络取证通过对网络数据流的分析获取非法利用、入侵行为。试从多角度分析网络取证的特点。

答：（1）主要研究对象与数据包或网络数据流有关，而不仅仅局限于计算机。
（2）为满足证据的实时性与联系性，网络取证是动态的，并且结合入侵前后的网络环境变量，可以重建入侵过程。
（3）为保证证据的完整性，网络取证有时是分布式的，需要部署多个取证点或取证代理，而且这些取证点是相关和联动的。
（4）为实现网络取证，通常需要与网络监控相结合。

11、简述时间戳的作用及生成方法

答：作用：证明数字证据在特定的时间和日期里是存在的，并且从该时刻到出庭这段时间里不曾被修改过。
生成方法：用户首先将需要加时间戳的文件用Hash编码加密形成摘要；将该摘要发送到DTS；DTS在加入了收到文件摘要的日期和时间信息后再对该文件加密（数字签名），然后返回给用户。

12、网络取证通过对网络数据流的分析重建入侵过程，简述网络取证的要点。

答：（1）周界网络：指在本地网的防火墙以外，与外部公网连接的所有设备及其连接
（2）端到端：指攻击者的计算机到受害者的计算机的连接
（3）日志相关：指各种日志记录在时间、日期、来源、目的甚至协议上满足一致性的匹配元素
（4）环境数据：指删除后仍然存在，以及存在于交换文件和slack空间的数据
（5）攻击现场：将攻击再现、重建并按照逻辑顺序组织起来的事件

13、简述 5 种常见的木马自启动方式

答：（1）添加在Win.ini的[Windows]字段中有启动命令[load]和[run]中，一般情况下“=”后面是空白的。
（2）添加在System.ini的[boot]中，其[boot]字段的shell=Explorer.exe是易植入木马的地方。
（3）添加在注册表RUN项中。
（4）添加在启动组中。
（5）添加在文件关联中。
（6）添加在其他应用程序中。
（7）欺骗自启动。
（8）添加在系统服务中。