2014电子物证大纲 下载本文

?恢复多种加密类型文件 ?支持多进程和多线程 ?增强的图形用户界面 ?丰富的报告功能 ?增强的过滤器功能 (三)X-Ways Forensics

X-Ways Forensics是德国X-ways公司为计算机取证分析人员开发提供的一个功能强大的、综合性的取证分析软件。其主要功能有:

?磁盘克隆和镜像功能

?支持对磁盘阵列JBOD、RAID 0、RAID 5和动态磁盘的重组、分析和数据恢复 ?支持FAT16、FAT32、NTFS、Ext2、Ext3、Ext4等多种文件系统 ?察看并完整获取RAM和虚拟内存中的运行进程 ?多种数据恢复功能,可对特定文件类型恢复 ?数据擦除功能,可彻底清除存储介质中残留数据

?可从磁盘或镜像文件中收集残留空间、空余空间、分区空隙中信息 ?创建证据文件中的文件和目录列表 ?能够非常简单地发现并分析ADS数据 ?支持多种哈希计算方法

?强大的物理搜索和逻辑搜索功能,可同时搜索多个关键词 (四)TCT(TheCoroner'sToolkit)

TCT(TheCoroner'sToolkit)是Earthlink网络的DanFarmer和IBM公司WietseVenema研究员为了协助计算机取证而设计的工具包,是在UNIX系统中使用最广泛的取证分析工具,它能够帮助获得和分析系统中所有文件的最后修改、访问或者改变的时间等属性信息;并能根据数据节点的值提取出文件列表,对被删除的数据进行恢复。

此外,我们国家自主研发的“取证大师电子数据分析系统”等电子物证综合检验分析软件,能自动取证,操作简单,功能强大,能够进行上网记录分析、多种即时通讯软件聊天记录自动分析、邮件调查、数据恢复、文档自动分类和快速提取等,在实际电子物证鉴定工作中也得到了广泛应用。

思考题:

1.电子物证检验常用的硬件工具有哪几种设备?

2.什么是电子数据保全备份?电子数据保全备份设备主要有哪几种? 3.硬盘克隆设备的作用是什么?

4.硬件克隆设备的主要技术指标是什么?

5.常见的存储介质只读设备有哪些?这类设备的作用是什么? 6.Windows下克隆硬盘时使用的主要软件有哪几个? 7.UNIX下克隆硬盘的主要软件工具是什么? 8.Windows系统常用的数据恢复软件有哪几个? 9.常见的密码破解软件有哪几类?

10.电子物证综合检验分析软件主要有哪些? 11. Encase主要功能有哪些?

12. X-Ways Forensics主要功能有哪些?

25

第四章 电子物证检验类型及实验条件

学习目的和要求:掌握常见电子物证检验的几种类型;了解电子物证检验的作用;掌握有关电子物证检验的原理和分析方法。了解电子物证检验的实验室条件和影响检验结果的因素。

第一节常见电子物证检验的类型

一、基本数据(不包括被删除的数据)的检验 (一)特定数据文件的检验

对计算机操作系统中特定电子数据进行查看、查找,进行特定数据文件的检验,需要用文件浏览器找出特定的文件。例如搜索送检计算机中特定的文件,并与涉案网站上相关文件的内容和时间属性进行对比,以判断网站上内容与本机数据之间的关系。

计算机中的数据文件是由计算机操作系统统一管理,数据文件可通过“命令”、“WINDOWS资源管理器”等工具查找、查看。对数据的检验,QuickViewPlus是一个比较理想的文件浏览器,它可识别200多种文件类型,可忽略文件的扩展名,并可以浏览UNIX和Macintosh格式的文件以及各种电子邮件文件格式。

(二)文件时间属性检验

文件时间属性检验是对文件的创建时间、访问时间、修改时间进行查看。通过对文件属性的检验,可为正确判断某些案件的发生、罪犯作案时间、作案过程提供重要依据。

1.Windows系统下检验

在Windows系统中访问时间不可通过资源管理器直接查看,否则有些时间信息将会改变。可通过命令获得所有文件的修改、创建和访问时间:

dir/t:a/a/s/o:d访问时间的递归目录列表 dir/t:w/a/s/o:d修改时间的递归目录列表 dir/t:c/a/s/o:d创建时间的递归目录列表 2.UNIX系统下检验

UNIX使用名为i-node的数据结构记录文件的属性,每个i-node在系统中有一个i-node号,每个文件在系统中有一个i-node,其中包含文件所有者的详细信息、文件的权限、文件的时间信息、文件的类型等。每个文件有许多时间信息,包括最近一次访问时间、最近一次改动时间和最近一次i-node改动时间。

获取UNIX系统所有文件的修改、创建和访问时间的控制台命令如下: Ls-aRu>/floppy/access获得访问时间

Ls-aRc>/floppy/modification获得修改时间 Ls-aR>/floppy/creation获得创建时间 (三)回收站中的数据文件检验

检查回收站中的文件可通过回收站检出删除但未清空的内容。通过命令行删除、第三方软件删除、共享的网路驱动器上删除的文件不能进入本地回收站或远程系统的回收站。

(四)检查注册表

从注册表中可以检出过去安装的软件(UninstallRedistry子键)、机器的安全配置、DLL、木马和启动程序以及很多不同的应用程序、最近使用的文件。

(五)检查连接文件

26

连接文件(*.lnk)是以快捷菜单或启动菜单方式,与一个应用程序或者一个文档关联起来,用于指向其他文件的一种文件,这些文件通常称为快捷方式文件。此外,如Windows系统还会为曾经打开过的文档在C:\\DocumentsandSettings\\Administrator\\Recent(或C:\\DocumentsandSettings\\Administrator\\我最近的文档)文件夹中建立连接文件。通过检验连接文件(*.lnk)可以确定曾经打开过的文档和安装过的软件。

(六)寻找隐藏文件

在NTFS文件系统中有一个在文件项目下存储文件数据的多重实例的功能,多重数据流可以隐藏数据,可用sfind工具可以检出流文件。

二、数据恢复检验

在计算机系统中,大量有证据价值的数据存在被删除、破坏、修改、伪造的可能性,这就需要用尽可能多的办法搜集证据,而恢复被删除的信息则可以作为取得电子数据证据和犯罪线索的一个重要手段。计算机存储的各种文件信息被删除后,它们所占用的硬盘空间可能并没有被新的数据覆盖或只覆盖了一部分,从取证的角度看,这些信息可能具有一定的价值,通过技术手段把残存在计算机上的信息全部或部分再现并进行分析,得出鉴定结论,作为认定事实的依据。

三、与网络有关的电子物证的检验 (一)Web浏览器使用记录的检验

检查Web浏览器(如IE、火狐、遨游等)的下拉地址栏、浏览器历史记录、浏览器收藏夹、Cookies等使用信息,查看最近访问的网站、访问时间、访问次数,一定量的最近浏览的实际文件和WEB网页的缓存,通过浏览器可以查看这些内容。

(二)网络即时通信工具使用记录的检验

利用取证工具检查和分析电脑中安装的网络即时通信工具(如QQ、MSN、新浪UC等)是什么,送检电脑上登录过的网络即时通信工具账号有哪几个,以及各自的聊天记录、联系人列表、传送和接收的文件及图片等,并从中分析出与案情有关的各种信息。

(三)上网用户账号、密码的检验

利用取证工具提取被调查电脑中用于宽带连接的用户账号及密码信息,以用来帮助确定用户上网时间及网络浏览行为。检查具体宽带上网记录需要到网络接入商的服务器上查找。

(四)电子邮件的检验

电子邮件是互联网上的一种重要的网络服务,可以传送文字、图像、声音等各种类型的文件。通常一封完整的电子邮件包括邮件正文、邮件头和附件三个部分:

1)邮件正文指邮件撰写者撰写的邮件内容; 2)附件指跟随邮件正文一起发送的独立文件;

3)邮件头是电子邮件原始信息中的一个重要组成部分,能够描述出邮件在网络中的传输情况。邮件头查看方法:以Web方式登录涉案电子邮箱,直接查看被调查邮件的电子邮件头,注意不同邮件服务器查看邮件头的方式不一样;或者用Foxmail、OutlookExpress等电子邮件客户端打开保存到被调查机器上的电子邮件,通过邮件属性查看邮件头。最后收到的服务器排在邮件头的最上方,第一个服务器列在邮件头的最下面。从邮件头中一般可分析出发件人和收件人邮箱、邮件主题、邮件编号(Message-Id)、发件人IP地址、发件时间和时区、各个中转服务器IP地址、邮件客户端、邮件编码等信息,对调查取证有着重要意义。

电子邮件的检验内容通常有: 1.特定的电子邮件的检查

在计算机中检查出与案件有关的电子邮件及内容。随着电子邮件的普及和发展,用于收发电子邮件的工具软件也是层出不穷,主要有OutlookExpress、Foxmail等。例如,用OutlookExpress收发邮件时会把邮件保存在扩展名为.dbx的文件中。

27

2.确定电子邮件IP地址和发送时间

我们可以根据电子邮件头部信息分析发送时嫌疑人使用的IP地址和邮件发送时间。电子邮件在网络上传递的时间分为两部分:一是邮件在网络上运行的时间;二是邮件送达至接受者阅读的时间。容量不大的邮件通常只需数秒即可发送完毕。

3.电子邮件真实性的检验

犯罪嫌疑人采用虚假的电子邮箱帐号或者盗用他人电子邮箱账号和密码进行各种违法犯罪活动时,都需要进行电子邮件真实性的检验。我们可以根据电子邮件头部信息分析发送时嫌疑人使用的IP地址、邮件发送时间、发送邮件服务IP地址、是否采用了邮件客户端等信息,结合邮件服务器日志,以判定电子邮件的真实性。

因为电子邮件只能传送US-ASCII格式的文字讯息,非ASCII格式的档案要经过编码后才可顺利传送,收信方再用解码程序将经过编码的信息还原。常见的邮件编码有MIME/Base64、Quoted-Printable(简称QP)、Unicode、BinHex、Uuencode、GB2312等。

(五)IP地址的检验

在检材中,以被调查网站名称、被调查网站IP地址为条件进行搜索,以确定电脑与涉案网站的关系。如果是服务器,重点调查相关日志文件,查看被调查电脑登录时的IP、用户名、登录时间,验证与已掌握的案情是否吻合。此种检验主要用于网站攻击类案件,或者用于嫌疑人自己构建网站进行诈骗、传播淫秽物品等案件中。

当然,IP地址可能被欺骗或被伪造。 四、软件功能检验 软件功能检验,是对送检软件的各项功能进行测试检验,以确认该软件是否与某种案件所用作案工具、作案过程、作案技术手段有关联。

软件功能检验包括:

(一)软件本身的功能检验。

测试检验软件是否具有某些特定的功能。 (二)软件运行结果的检验。

检验程序是否能产生预期的结果,检验这些结果的合理性。 五、软件一致性检验 软件一致性检验,是对送检检材与样本软件进行综合技术性能检测,判断两者是否同一,以确认是否构成对计算机软件的侵权。

(一)受法律保护的计算机软件内容包括

1.计算机程序和文档。计算机软件保护条例指出,计算机软件的受保护范围包括计算机程序和文档两部分,不延及开发软件所用的思想、处理过程、操作方法或者数学概念等。

计算机程序是指为了得到某种结果而可以由计算机等具有信息处理能力的装置执行的代码化指令序列,或者可以被自动转换成代码化指令序列的符号化指令序列或者符号化语句序列。同一计算机程序的源程序和目标程序为同一作品。

文档是指用来描述程序的内容、组成、设计、功能规格、开发情况、测试结果及使用方法的文字资料和图表等,如程序设计说明书、流程图、用户手册等。

2.菜单和页面设计。菜单和页面设计,单纯的菜单和页面功能是不会受到著作权法保护的,因为著作权法保护的核心是“表达形式”而不是“基本要素”,因此,著作权人应当强调的是菜单和页面的独特的组合排列形式而非本身。

3.数据库。

4.技术保护措施。

(二)软件一致性检验的内容 1.软件比对

28