2014电子物证大纲 下载本文

192.83.192.32,那么子网掩码255.255.255.0分别对两个IP地址进行与(and)运算后,得出网络号和主机号,并且结果一致,可以判断这两个IP地址属于同一个网络。

(四)网关地址

网关的作用是将两个完全不同的网络(异构网)连接在一起。在Internet中两个网络也要通过一台称为网关的计算机实现互联。这台计算机能根据用户通信目标计算机的IP地址,决定是否将用户发出的信息送出本地网络,同时,它还将外界发送给属于本地网络计算机的信息接收过来,它是一个网络与另一个网络相联的通道。为了使TCP/IP协议能够寻址,该通道被赋予一个IP地址,这个IP地址称为网关地址。

(五)端口

在网络上,一个IP地址代表了一个网络节点,这个节点通常情况下是计算机,所以IP地址和主机联系,与IP地址不同的是,端口是和协议联系的。当数据包到达目的主机后,还需要知道目的端口,以便将数据包送到正确的应用程序。

五、常用的网络命令

1.Ipconfig/all:Ipconfig/all可以查看本机的MAC地址和IP地址。

2.Ping:Ping指命可以检查某系统是否存在,测试你自己的网卡,测试某一域名的IP地址。

3.Tracert(traceroute):Tracert指令可以检查由我们的电脑去目的地的路线间的每一个节点(通常是路由器)信息。

4.Nslookup:nslookup最简单的用法就是查询某域名对应的IP地址。 六、网络服务器日志

任何网站都会有自己的服务器,服务器日志是指网站服务器所记录的、关于网站系统运行的情况以及网页内容访问情况的日志记录。

网络服务器日志可以记录系统运行的情况以及网站的访问情况,有用户的IP地址、浏览器的类型、所访问的URL、访问的日期和时间、访问的方法(get或者post)、访问的结果(成功/失败/错误)等各种信息。

在涉及到互联网网站的各类案件的鉴定中,常见的网络服务器日志有WEB服务器日志、FTP服务器日志、SMTP服务器日志等。

第四节计算机操作系统概述

一、操作系统的功能

操作系统(OS,OperatingSystem)是系统硬件平台上设置的第一层软件,是系统软件的核心,其他软件在操作系统的控制下才能运行。操作系统功能通常包括处理器管理、存储器管理、设备管理、文件系统管理以及用户接口环境下的通信、资源管理、应用等特定功能。

二、常见的操作系统

1.UNIX。UNIX是为多用户环境设计、支持TCP/IP,具有良好的稳定性和安全性。 2.Linux。Linux完全遵循POSLX标准,是多任务、多用户系统,可运行于多种硬件平台,对硬件要求较低。

3.NetWare。NetWare是一个出色的网络操作系统。

4.MacOSX操作系统。MacOSX操作系统为苹果电脑的专用操作系统。

5.微软公司操作系统。微软公司操作系统包括MSDOS、Windows95/98/ME、WindowsNT/2000、WindowsXP、WindowsServer2003、WindowsVista等。

三、Windows操作系统注册表

注册表是Windows操作系统的一个巨大的树状分层的内部数据库,容纳了应用程序和计算机系统的全部配置信息、系统和应用程序的初始化信息、应用程序和文档文件的关联关

17

系、硬件设备的说明、状态和属性以及各种状态信息和数据。

注册表的结构为:外部形式是Windows目录下的两个二进制文件System.dat和User.dat;内部组织结构是一个类似于目录管理的树状分层的结构。注册表被组织成子目录树及其项、子项和值项的分层结构,具体内容取决于安装在每台计算机上的设备、服务和程序。一台计算机上的注册表内容可能与另一台有很大不同。

注册表在Windows操作系统中负责系统同软件、硬件、用户之间的沟通。在Windows中运行一个应用程序的时候,系统会从注册表取得相关信息,同时注册表也会自动记录用户操作的结果。运行注册表的命令是“regedit.exe”。

注册表中的信息,例如:

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\RecentDocs下以二进制形式、按文件类型分类保存着被调查机器最近打开的文件名称;

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\RunMRU下保存着被调查机器最近曾经运行过的命令;

HKEY_CURRENT_USER\\Software\\Microsoft\\InternetExplorer\\TypedUrls下保存着被调查机器在IE浏览器中完整键入过的网址或磁盘路径信息;

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run下保存着被调查机器开机自动运行的程序名称及路径;

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Enum\\USBSTOR下保存着被调查机器曾经连接过的USB存储设备的硬盘ID号、FriendlyName等信息;

HKEY_USERS\\S-1-5-21-3197505189-1836829961-1555705410-500\\Software\\Microsoft\\Office\\11.0\\PowerPoint\\RecentFileList下保存着被调查机器最近打开的\\PowerPoint文件名称及保存路径;

HKEY_USERS\\S-1-5-21-3197505189-1836829961-1555705410-500\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ComDlg32\\OpenSaveMRU下按文件类型分类保存着被调查机器曾经打开并保存的文件名称;

四、Windows操作系统的日志文件

Windows操作系统的日志文件通常有应用程序日志、安全性日志、系统日志三种类型的日志,来记录Windows操作系统有关日常事件或者误操作警报的日期及时间戳等信息。

第五节数据库基础

一、数据库常用的数据模型

数据库常用的数据模型有层次模型、网状模型和关系模型三种。 1.层次模型(HierarchicalModel) 层次模型表示数据间的从属关系结构,是一种以记录某一事物的类型为根结点的有向树结构。

2.网状模型(NetworkModel) 网状模型是层次模型的扩展,表示多个从属关系的层次结构,呈现一种交叉关系的网络结构。

3.关系模型(RelationalModel)

关系模型是常用的模型,主要特点有:关系中每一数据项不可再分,是最基本的单位;每一竖列数据项是同属性的,称为字段。列数根据需要而设,且各列的顺序是任意的;每一横行记录由一个事物的诸多属性项构成。记录的顺序可以是任意的;一个关系是一张二维表,不允许有相同的字段名。

二、SQL语言

18

SQL是英文StructuredQueryLanguage的缩写,中文意思是结构化查询语言,其功能强大,可查询数据库,还能定义、修改、插入、管理数据库及规定数据库的安全性能等,已逐步成为关系数据库的标准语言。

三、数据库类型

常见主流数据库主要有:DB2、SQL Server 、Informix、Sybase和Oracle,除此之外常用的数据库还有SQLServer、Access、MySQL、VisualFoxPro等。

四、数据库日志

数据库日志是数据库系统中所有更新活动的操作序列。

在数据库系统中,数据库日志按照时间的顺序记录对数据进行的任何更新等操作(如:增加、修改、删除),并保存相关操作的命令、执行时间、数据的更新等各种信息。

在对涉及到使用数据库的案件进行检验分析时,我们要重点查看数据库中存储的内容以及数据库日志,从中发现相关案件线索。

第六节加密解密技术基础

密码技术包括两个方面的内容:加密和解密,两个方面相互联系。 一、加密对象

1.计算机系统:包括整个计算机硬件、软件系统。

2.存储系统:指所有计算机数据的存储载体,比如常见的硬盘、光盘、软盘、U盘等。 3.操作系统:操作系统的安全加密保护,在一定意义也间接地对数据进行保护。 4.驱动器盘、文件夹:对保护我们的数据起到至关重要的作用。 5.数据文件:计算机中的各种文件都在这个范畴之内。 二、常见的加密方法

1.系统设置法:可通过对计算机系统BIOS设置密码等来保护整个计算机资源,达到软件保护。

2.硬件加密法:利用一些特殊专业硬件设备对计算机局部或整体资源进行保护。 3.软件加密法:很多方法都可以笼统地归纳为软件加密法,如通过对电子邮件客户端软件、Office办公自动组件等自带的密码管理功能进行设置,保护相应的数据文件;利用第三方软件对数据进行特殊的编码,让数据改变其原貌的方法或进行加壳。

4.手工改造法:通过一些特殊的技巧来对数据进行隐藏保护措施,例如修改文件的扩展名。

5.实时保护法:根据指定的设置,禁止用户对各种资源、数据的访问,从而达到实时的保护效果。

三、常见的解密方法

1.软件解密法:对于各种加密的数据文件,我们常常用专用的密码破解软件进行解密。 2.网络监听法:通过监听网络传输的数据包,捕获其中存在的密码。

3.暴力破解法:对文件加密尝试每一种可能性,直到找出密码。依据构成密码字符、数字的组合及密码长度有限位数进行穷举;制作字典文件(一般是单词表),用穷举程序结合字典进行穷举运算。

4.社会工程学:通过获取口令文件或姓名、生日、电话等信息,找到设置的密码。

第七节数据完整性校验基础

数据完整性校验,是用某种校验算法对被检验的原始存储介质或文件进行计算,得到一个校验值。然后,再对鉴定人员进行保全备份和检验分析的存储介质或文件用同一种算法计

19

算出另一个校验值。如果这两个校验值完全相同,说明在鉴定过程中保持了原始数据的完整性。为了验证鉴定人员在对被检验的存储介质或文件进行保全备份和检验分析的过程中对原始检材是否进行过修改时,需要进行数据完整性校验。

Hash(散列,音译为哈希),把任意长度的输入通过散列算法,变换成固定长度的摘要输出,其结果就是散列值。散列函数将一些不同长度的信息转化为128位编码,称为Hash值(哈希值)。按照Hash算法,Hash具有单向性,不可逆性,常用来检验数据的完整性。

常见的Hash算法有MD4、MD5、SHA-1、SHA-2等。 MD(Message Digest),又称信息摘要算法。MD5从MD2/3/4演化而来,MD5散列长度通常是128位,是目前被大量广泛使用的散列算法之一,主要用于密码加密和文件校验等。

SHA(Secure Hash Algorithm),又称安全散列算法。SHA家族算法有SHA-1、SHA-224、SHA-256、SHA-384和SHA-512(后四者通常并称SHA-2)。SHA是由美国国家安全局(NSA)所设计,由美国国家标准与技术研究院(NIST)发布。SHA可将一个最大2^64位信息,转换成一串160位的散列值(摘要信息),目前也是应用最广泛的HASH算法。

思考题:

1.计算机主要的硬件设备有哪些?

2.常见的硬盘接口类型有哪几种?各有什么特点?

3.计算机中表示存储信息容量的单位有哪些?不同存储容量单位之间如何进行换算? 4.常用的字符编码有哪些?

5.常见的硬盘分区格式有哪几种?硬盘分区的功能是什么? 6.常见的文件系统有哪些?

7.在Windows系统下,一个完整的硬盘管理包括哪几部分? 8.什么是页面文件?页面文件的作用是什么? 9.什么是RAID技术?

10.Windows操作系统中的文件删除分为哪两种?二者有何区别?

11.目前大多数LAN使用的最基本网络拓扑结构有哪几种?各有何优缺点? 12.什么是MAC地址?如何获取系统的MAC地址?

13.如果查到的IP地址为192.168.8.23,请说明这是个什么地址? 14.查看本机IP地址的命令是什么?

15.什么是网络服务器日志?网络服务器日志可以提供哪些信息? 16.Windows操作系统的日志文件通常有哪几个?

17.什么是数据库日志?数据库日志可以提供哪些信息? 18.常见的加密方法有哪几种?

19.什么是数据完整性校验?数据完整性校验常用算法有哪些?

20