计算机取证技7.pptVIP

7.3.2 本地邮箱 如何判断一封邮件是否经过伪造 邮件每经过一台服务器，服务器都会相应在邮件头的顶端加入一行recieved的信息。按照邮件经过的先后顺序，由下向上，后经过的邮件服务器添加的信息在上面。 7.3.2 本地邮箱 4、邮件内容分析 已阅读消息的可能指示 通过对比来判断邮件的作者 7.3.2 本地邮箱 5、邮件地址簿 用过地址簿可以找到嫌疑人的通信网络，里面可能有丰富的社会关系信息。数据在\Adress目录下的.BOX文件里。 和嫌疑人相关的IP地址并非总是意味着嫌疑人自愿地发送消息。 7.4 即时通信 7.4.1 即时通信技术概述 即时通信的主要功能 即时通信技术相关协议 即时通信的工作原理 7.4.2 即时通信的取证 腾讯QQ QQ主程序下的重要文件 QQ号码文件夹 7.4.3 其它信息 7.4.1 即时通信技术概述 1、即时通信的主要功能 也称实时通信，是一个终端连网即时通信网络的服务，允许两人或者多人使用网络即时地传递文字信息、文件、语音与视频的交流方式。 主要功能有：即时通信，聊天，文件传输，图片、音频、视频、交流 7.4.1 即时通信技术概述 2、即时通信技术相关协议 即时通信系统使用的底层协议基本相同，主要使用TCP和UDP。 一般的模式是服务器端和客户端之间采用UDP，以便增加容量，减少服务器资源开销；客服端之间采用TCP协议，而公共信息发布则采用HTTP协议 7.4.1 即时通信技术概述 3、即时通信的工作原理 分为四步 由于防火墙、网络速度等原因难以实现直接通信，那么还必须依靠IM服务器提供消息的中转服务 7.4.2 即时通信的取证 即时通信的取证分析相关工作包括很多，主要来说有两个方面：本地取证和服务器取证，分别都包括对个人用户的配置文档，聊天参与者信息，浏览聊天日志和各种IM软件配置信息和日志的分析识别等。 即时通信时基于客户机/服务器模式的，因此本地客户机和服务器端都存有相关取证价值的信息。 基于服务器的信息不容易得到；存储在本地客户机的服务少有限制，相对比较容易获取；敏感数据往往被加密。 QQ主程序下的重要文件 首先，取证可以从注册表中得到的安装位置下查找和分析有价值的文件 QQ号码文件夹 直接说明了已经在本地登录过的QQ号，也可以查看loginuinlist.dat得到相同的结果 与QQ号码相关的取证 QQ号码文件夹下的重要文件分析 和其它的即时通信软件有所不同，在默认的情况下QQ也会存储聊天日志，关于聊天记录的相关信息都存储在msgex.db和user.db这两个文件里 user.db：这个数据文件保存了用户的好友分组列表和用户加入的所有QQ群号 msgex.db：这个数据文件保存了用户从软件安装时到目前为止的个人聊天记录 使用QQ记录聊天查看软件可以方便地查看本地记录的实际聊天信息 计算机系统休眠时生成的与主存对应的文件和虚拟内存文件也可能包含关于用户信息和聊天会话记录的详细细节 7.4.3 其他信息 QQ允许通过客户端发送和接收文件。默认情况下，文件会存储在C盘的相应目录下。 在通过QQ进行视频聊天的时候，默认的情况下，都会定时截图并保存在C盘相应位置。 网络现场“目击者”到同一聊天室聊天，其他聊天者的计算机里可能会记录下有关证据。 7.5 对等网络应用 对等网络，简称P2P。基于P2P应用进行资料存储和交换正变得普遍。 对等网络应用软件有多重，如bittorrent，简称“BT”,eMule等。 BT是目前国内最热门的下载方式之一，中文全称“比特共流”，是一个多点下载的源码公开的P2P软件 P2P上传者把一个文件分成了若干个部分，使用种子文件描述有关信息，在服务器上发布。某用户可以在某服务器或上传者的计算机上下载其中若干部分，而到其他其他已经下载了某部分内容的计算机上下载其它的部分。 7.5.1 P2P取证 就P2P取证来说，从以下几个方面可以取得相关证据： BT使用者在网络上公开的种子文档（扩展名为torrent） P2P使用者客户端计算机系统上残留的下载及分享记录 P2P客户端程序使用特定连接端口在网络设备中留下的连结等信息。 基于网络的信息流也可以提供信息帮助调查 对于调查人员，较直接的方式可在分析/实验用计算机上安装与嫌疑人计算机相同的客户端软件，以获取嫌疑人可能共享的软件（资料）清单。 取证工作的两个阶段： 软件操作阶段 检验管理机制阶段 软件操作阶段 了解软件的操作 执行P2P程序 观察联机主机清单 检验管理机制阶段 调查服务器扮演的角色 封锁服务器的联机 判断P2P程序的功能与会员制的关系 一些盈利性的P2P应用服务公司应对分享主机离线的行动 7.5.2 P2P客户端存在信息 BitTorrent安装了之后，会在注册表里留下痕迹 整体性下载、上传信息 用