计算机取证与司法鉴定完整版课件(全).pptx
《计算机取证与司法鉴定完整版课件(全).pptx》由会员分享,可在线阅读,更多相关《计算机取证与司法鉴定完整版课件(全).pptx(458页珍藏版)》请在咨信网上搜索。
1、,计算机取证与司法鉴定,项目一计算机取证准备和现场处理,理解计算机取证的概念和计算机取证的原则了解计算机取证的法律程序了解企业内部取证和司法取证的异同掌握计算机取证前的程序准备和文档准备的方法掌握计算机取证前的取证启动盘和取证工具箱的准备方法掌握计算机取证现场的处理方法,学习目标,公司主管Alice怀疑Adam和Bob在原公司工作期间就利用上班时间发展自己的私人业务,并窃取公司机密资料为新创办公司做准备因此授权企业IT部门的调查人员Tom来调查这两名雇员的办公电脑和所有公司给予他们的存储介质,以便找到相关证据。,项目说明,项目任务,在进入计算机取证现场之前分析案例性质,并根据案例性质进行计算机
2、取证的程序和文档准备;进行进入取证现场前的外围调查,并根据案例特点进行计算机取证的设备和工具准备;在进入取证现场的时候对原始证据进行妥善处理。,计算机取证(Computer Forensics),研究如何对计算机犯罪的证据进行获取、保存、分析和出示的法律规范和科学技术。,基础知识,司法鉴定,指在诉讼活动中鉴定人运用科学技术或者专门知识对诉讼涉及的专门性问题进行鉴别和判断并提供鉴定意见的活动。,计算机取证与司法鉴定的业务类型,存在性认定信息量认定同一性认定来源认定功能认定事件重构,基础知识,申领搜查令状的计算机搜查应当至少满足三项基本条件,建立在正当理由的基础上,即申请令状的计算机取证调查人员必
3、须有相当的证据表明,将能够从计算机硬盘等介质中寻找到涉案证据;由合格的司法人员签发,目前我国的搜查证是由侦查机关的负责人进行审查签发;详细描述搜查的地点和扣押的项目,这些都直接关系到搜查范围的确定。,基础知识,取证调查人员根据取证时的具体情况判断计算机搜查过程中有无扣押他人电子信息的必要性。而对于必要性的判断通常结合以下要素,被调查者涉及案件的性质;该电子数据作为证据的证明价值;该电子数据受到篡改、删除的可能性;该电子数据所有人的隐私和商业秘密的保护性质。,基础知识,计算机取证和鉴定的原则应包括,合法原则主体合法对象合法手段合法过程合法无损原则全面原则及时原则,基础知识,计算机取证的实施过程,
4、案件受理取证准备处理现场搜集和固定证据证据保存证据分析报告生成证据归档证据显示与质证,基础知识,鉴定人的职业资格证书,具备下列条件之一的人员,可以申请登记从事司法鉴定业务:具有与所申请从事的司法鉴定业务相关的高级专业技术职称;具有与所申请从事的司法鉴定业务相关的专业执业资格或者高等院校相关专业本科以上学历,从事相关工作五年以上;具有与所申请从事的司法鉴定业务相关工作十年以上经历,具有较强的专业技能。因故意犯罪或者职务过失犯罪受过刑事处罚的,受过开除公职处分的,以及被撤销鉴定人登记的人员,不得从事司法鉴定业务。,基础知识,司法鉴定人的法律责任,刑事责任民事责任行政责任,基础知识,电子取证相关工作
5、基本程序,电子取证的基本程序计算机调查的程序计算机现场勘验的程序,基础知识,这样的取证调查应当是针对企业内部的调查当Alice 决定对Adam 和Bob 的侵权嫌疑进行调查时,必须首先明确这样的调查是否合法,是否会侵犯Adam 和Bob 的隐私权。当Alice 主管的公司具有相应规章制度和明确的警示标语,同时Alice 咨询公司法务部门,确定可以在这个必要的时候行使这样的权利,即确定对于Adam 和Bob 的侵权嫌疑进行调查是合法的时,可以进行调查,项目分析,任务一:计算机取证的程序和文档准备,计算机取证调查授权书必须至少明确以下内容:委托人(法人)(签章) 委托人代表(签字) 受托人(法人或
6、个人)(签章) 调查对象(范围) 调查目的 调查时间,项目实施,任务一:计算机取证的程序和文档准备,评估案件的性质案情:雇员利用公司计算机和其他资源开办个人公司;案件性质:雇员滥用公司资源侵权案件;详细的案件描述证据类型操作系统已知磁盘存储格式证据所在位置,项目实施,任务一:计算机取证的程序和文档准备,确定计算机取证调查的边界这次攻击的目标机是哪一台? 发动这次攻击或做坏事的嫌疑人在哪里? 访问数据存放在哪里? 嫌疑人访问过哪些路由器防火墙交换机? 嫌疑人使用过哪些打印机? 嫌疑人使用过哪些文件服务器?,项目实施,任务一:计算机取证的程序和文档准备,确定计算机取证调查的边界 嫌疑人使用过哪些F
7、TP 服务器? 嫌疑人有一台以上的计算机吗?它们都放在哪里? 嫌疑人是否使用了代理服务器? 嫌疑人是否使用了DHCP 服务器? 嫌疑人是否还有外围设备(PDA、ipad、手机、数码相机或者USB 盘等)?,项目实施,任务一:计算机取证的程序和文档准备,计算机取证的证据管理表单至少应当包含以下内容表题;案件编号;调查机构;调查员(签字);案件性质;每个证据的获取细节;证据调查取用处理细节;,项目实施,任务二:计算机取证的硬软件准备,了解取证案件的需求受托案件的性质;受托案件的取证范围;调查的目的;被调查者的个人信息、专业方向、技术程度、工作甚至生活习惯;取证对象是主机取证还是网络取证;被取证计算
8、机的操作系统环境;被取证存储设备的文件格式;,项目实施,任务二:计算机取证的硬软件准备,规划取证调查当Tom 明确了对受托案件的需求后,就可以对整个取证调查进行规划,并制订调查计划了。Tom 还确定出了所需证据的类型,现在可以明确一下收集证据、建立证据链以及展开取证分析的详细步骤了。这些步骤是为调查而制订的最基本的计划,它们说明Tom 在什么时候应该干什么。,项目实施,WinFE的作用,计算机证据必须满足关联性、合法性和客观性如何保证客观性?正常启动Windows能否保证证据的客观性?WinFE是什么?,WIN FE启动盘的制作,WinFE是什么?,WinPE:Windows Pre-Inst
9、alled Environment WinFE:Windows Forensics Environment,WIN FE启动盘的制作,如何制作WinFE启动光盘?,制作WinFE前的准备硬件:CD/DVD刻录机、空白CD/DVD软件:Windows Automated Installation Kit (AIK)取证工具软件,WIN FE启动盘的制作,如何制作WinFE启动光盘?,第一步:拷贝启动文件从下载安装 Windows Automated Installation Kit (AIK)以管理员身份运行 AIK command line 拷贝WinPE 文件到WinFE文件夹:copype
10、.cmd x86 C:WinFE也可使用amd64或ia64替换 x86,WIN FE启动盘的制作,如何制作WinFE启动光盘?,第二步:boot.wim 镜像制作在制作 ISO镜像之前,首先需要修改 .wim镜像,因此需要两个.wim镜像文件WinFEISOsourcesboot.wim WinFEwinpe.wim boot.wim是最终制作ISO的资源,winpe.wim和boot.wim均可以作为最终的ISO资源,但是如果要使用winpe.wim或者没有boot.wim ,那么需要拷贝winpe.wim到WinFEISOsources目录并重命名为boot.wim,WIN FE启动盘的
11、制作,如何制作WinFE启动光盘?,第二步:boot.wim 镜像制作通过AIK 命令行制作WinFE安装镜像imagex /mountrw C:winFEISOsourcesboot.wim 1 C:winFEmount,WIN FE启动盘的制作,如何制作WinFE启动光盘?,第三步:修改镜像安装文件:使用RegEdit修改WinFE启动方式使用RegEdit加载WinFE的SYSTEM文件C:winfemountWindowsSystem32configSYSTEM 加载位置:HKEY_LOCAL_MACHINE命名为WinFE HKEY_LOCAL_MACHINEWinFEControl
12、Set001servicesmountmgr下创建DWORD(32)项,命名为NoAutoMount修改值为1,WIN FE启动盘的制作,如何制作WinFE启动光盘?,第三步:修改镜像安装文件:使用RegEdit修改WinFE启动方式HKEY_LOCAL_MACHINEWinFEControlSet001servicespartmgrParameters 修改Sans Policy 项的DWORD值为3 从注册表中卸载WinFE项,WIN FE启动盘的制作,如何制作WinFE启动光盘?,第四步:加载取证工具将取证所需工具拷贝到winfemountProgram Files,WIN FE启动盘的
13、制作,如何制作WinFE启动光盘?,第五步:加载特殊驱动程序通用设备的驱动在WinFE中已经加载,如果需要特殊的取证硬件设备,按照以下方式加载到WinFE的启动光盘镜像中 AIK命令行的当前目录位置修改为WinFE,执行以下命令peimg.exe /inf=C:drivers*.inf C:winFEmountWindows,WIN FE启动盘的制作,如何制作WinFE启动光盘?,第六步:以上修改加载入WinFE的启动镜像boot.wimimagex.exe /unmount /commit C:winFEmount,WIN FE启动盘的制作,如何制作WinFE启动光盘?,第七步:在C:Win
14、FEISOboot目录中删除bootfix.bin 目的是防止启动时发出警告信息press any key to boot from cd,WIN FE启动盘的制作,如何制作WinFE启动光盘?,第八步:利用AIK命令行创建ISO镜像 oscdimg -n -m -o bC:WinFE C:WinFEISO C:WinFEWinFE.iso,WIN FE启动盘的制作,如何制作WinFE启动光盘?,第九步:刻录WinFE启动光盘,WIN FE启动盘的制作,Paladin是什么?,Paladin是SUMURI公司基于Ubuntu操作系统为计算机取证开发的一个现场取证平台,目前的版本为Paladin
15、4,Paladin启动盘的制作,如何制作Paladin启动U盘?,制作前的准备硬件:计算机、2GB以上的U盘软件:Paladin4,Paladin启动盘的制作,如何制作Paladin启动U盘?,第一步:工作准备在http:/,Paladin启动盘的制作,如何制作Paladin启动U盘?,第二步:将计算机设置为光驱引导的模式,并利用Paladin4的DVD引导系统,系统引导成功后进入Paladin平台环境 ;,Paladin启动盘的制作,如何制作Paladin启动U盘?,第三步:插入准备好的U盘,打开桌面上的Paladin Toolbox选择Disk Manager栏,并选择准备好的U盘,Pal
16、adin启动盘的制作,如何制作Paladin启动U盘?,第三步:选择带格式化U盘的文件系统格式为vFat或者NTFS,并输入卷标“PALADIN”,格式化完成后暂时移除U盘,Paladin启动盘的制作,如何制作Paladin启动U盘?,第四步:打开终端(在桌面的底部可以找到快捷图标)输入shell命令“sudo rm /etc/udev/rules.d/50-writeblocker.rules” ,执行后关闭终端窗口,Paladin启动盘的制作,如何制作Paladin启动U盘?,第五步:插入刚才格式化后的U盘 在Paladin平台环境的菜单中打开“System- Startup Disk C
17、reator”,Paladin启动盘的制作,如何制作Paladin启动U盘?,第五步:在随之打开的界面中确认制作时的“源”为我们用来启动计算机的Paladin DVD,“目的”为我们刚刚格式化的,卷标为“PALADIN”的U盘,Paladin启动盘的制作,如何制作Paladin启动U盘?,第五步:在目的U盘栏的下面选择“Erase Disk”,操作完成后在界面下部选择“Discarded on shutdown, unless you save them elsewhere”,Paladin启动盘的制作,如何制作Paladin启动U盘?,第五步:点击“Make Startup Disk”开始制
18、作取证的Paladin U盘,制作完成后就得到了一张取证使用的Paladin 启动U盘,取证调查人员可以根据需调查的案件情况,在该U盘中准备一些有针对性的取证和分析工具,Paladin启动盘的制作,如何制作Paladin启动U盘?,第六步:验证刚刚制作的Paladin取证启动U盘 将计算机设置为U盘引导,并插入Paladin取证启动U盘,启动计算机在启动的过程中可以设置工作语言,Paladin启动盘的制作,如何制作Paladin启动U盘?,第六步:验证刚刚制作的Paladin取证启动U盘 在启动时的询问界面中选择“Sumuri Paladin Live Session” 启动成功后,进入了由取
19、证启动U盘引导的Paladin4的工作环境平台,界面和利用Paladin DVD引导系统的界面相同,Paladin启动盘的制作,如何制作Paladin启动U盘?,第六步:验证刚刚制作的Paladin取证启动U盘 在现场取证时,可以利用Paladin4桌面上的“Paladin Toolbox”,针对被启动的计算机硬盘等设备,制作取证镜像 也可以使用其他在取证准备时针对案件特性,由调查人员拷贝到Paladin 取证启动U盘中工具进行取证调查,Paladin启动盘的制作,任务三:进入取证现场,处理一个主要的取证现场保护现场的数字证据分类数字证据处理和管理数字证据存储数字证据,项目实施,计算机取证与司
20、法鉴定,项目二Windows 环境单机取证,学习目标,理解电子证据的概念和特点 掌握Windows 环境下易失性证据的固定方法和磁盘取证镜像的制作方法 掌握Windows 环境注册表取证调查方法 掌握Windows 环境重要文件目录和日志调查方法 掌握Windows 环境常用进程和网络痕迹调查方法,在项目一的案例中,某公司主管Alice 怀疑部门经理Adam 对公司有侵权行为,因此委托计算机取证调查人员Tom 进行调查。Tom 通过对案件的了解和取证的准备以及现场的勘察,了解到被调查者Adam 使用的办公计算机采用Windows XP 的操作系统,且其USB 盘和存储卡等也采用Microsof
21、t 的文件结构。那么Tom如何针对Adam的计算机进行计算机取证调查呢?,项目说明,项目任务,在计算机取证现场固定原始证据;对取证目标系统的注册表进行分析;分析取证目标系统的重要文件和目录;调查取证目标系统的重要日志;调查取证目标系统的常用进程和网络痕迹。,电子证据,一切由信息技术形成的,用以证明案件事实的数据信息。,基础知识,电子证据的特点,物理特性技术特征,基础知识,电子证据的可采性问题,电子证据的关联性电子证据的合法性电子证据的客观性,基础知识,Windows/DOS 取证基础,主引导记录MBRFAT 文件结构NTFS 文件结构,基础知识,Tom 明确针对Adam 的办公计算机进行调查时
22、需获取和固定原始证据,即对Adam 的办公计算机硬盘和所有公司配给其使用的USB 盘和存储卡制作取证镜像备份。 考虑到如果进入取证现场时取证目标处于开机并正常运行,需在关机前对易失性证据进行获取和固定,因此需要准备易失性证据获取工具包,以便快速获取和固定易失性证据。 准备在取证实验室深入分析原始证据镜像备份前,首先对取证目标系统的注册表、重要文件和目录、重要日志、常用进程和网络痕迹等这些最容易获取证据和线索的方便进行初步的调查。,项目分析,任务一:原始证据取证复制,易失性证据的获取,项目实施,初始响应工具包,初始响应工具包的作用固定易失性证据在计算机取证中,一般需要对系统进行取证分析时,首先需
23、要关闭系统,然后对硬盘进行取证精确备份以做深入分析。但一旦关机,有些重要的易失性证据信息就会消失。所谓易失性证据,通常指存在于被取证计算机的寄存器、缓存或内存中,主要包括网络连接情况、正运行进程状态等关机后就会全部丢失且不可能恢复的证据信息。,项目实施,初始响应工具包,初始响应工具包的作用易失性证据主要包括:系统日期和时间:最近运行的进程列表;最近打开的套接字列表;在打开的套接字上进行监听的应用程序;当前登录的用户列表;当前或最近与本系统建立连接的其他系统列表。,项目实施,初始响应工具包,初始响应工具包的作用对Windows系统进行初始响应前,取证调查人员首先应创建初始响应工具包,目前在Win
24、dows环境下常用的初始响应工具有以下几种:cmd.exe:Win NT/2000等的命令行工具;systeminfo:列出被取证系统环境信息;ipconfig:列出被取证系统网络配置;psgetsid:列出被取证系统当前的SID信息;psinfo:列出被取证系统基本信息;,项目实施,初始响应工具包,初始响应工具包的作用对Windows系统进行初始响应前,取证调查人员首先应创建初始响应工具包,目前在Windows环境下常用的初始响应工具有以下几种:psloggedon:显示所有本地和远程连接用户;pslist:列出被取证系统上正运行的所有进程;netstat:列出监听端口和对应的当前连接;ar
25、p:显示最后一分钟内与被取证系统进行通信的其他系统MAC地址;psservice:列出系统当前的服务信息;psloglist:列出系统日志;,项目实施,初始响应工具包,初始响应工具包的作用对Windows系统进行初始响应前,取证调查人员首先应创建初始响应工具包,目前在Windows环境下常用的初始响应工具有以下几种:nbtstat:列出最近十分钟内的NetBios连接;fport:列出打开TCP/IP端口的所有进程;MD5sum:为一个给定的文件创建MD5的Hash码;doskey:为打开的cmd.exe命令行程序显示其历史命令的列表;netcat:在取证工作计算机和被取证计算机之间创建通信信
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 计算机 取证 司法鉴定 完整版 课件
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【胜****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【胜****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。