第5章_Windows系统取证.pptVIP

计算机取证技术 第5章课件 第5章 Windows系统取证 5.1 Windows系统现场证据获取 5.2 Windows系统中计算机证据的获取 5.3 简单的取证推理分析 5.4 Windows系统反取证技术 5.5 Windows取证工具 5.6 小结 习题 5.1 Windows系统现场证据获取 计算机调查人员通常为了防止可疑计算机上潜在证据被破坏，通常都是关闭电源并妥善保管可疑计算机。关闭电源后，表明案发现场的已存储数据可以维持不变。但是，关闭电源阻止了易失性数据（正在运行还未写入硬盘的数据）的收集。需要说明的是这里没有绝对的标准可供遵循，这需要结合具体情况判断是否立即拔掉电源。 为了收集易失性数据，调查人员必须在运行的计算机上提取，计算机系统现场证据获取就是这个含义。 现在有很多开放源码的工具可以帮助调查人员从运行的计算机中提取易失性数据。 然而，大多数的开放源码工具都是专门提取某一方面的易挥发数据。调查人员应该熟悉并准备一套工具（包括，本机命令）用来收集易失性数据。然后可以用脚本语言将这些命令和工具自动运行收集数据。 5.1 Windows系统现场证据获取 5.1.1 易失性数据的等级 5.1.2 易失性数据收集 5.1.1 易失性数据的等级 存储在ＲＡＭ中的易失性数据可以显示当前计算机的状态，这些数据包括登录用户、运行中的进程以及打开的连接。这些数据可以帮助调查人员判断计算机入侵的活动时间表。当调查人员收集到足够多的数据后，便可以判断下一步的行动。 当从运行的计算机中收集可疑证据的时候，要考虑易失性数据的等级。如不及时处理，等级越高的数据意味着这些数据被修改、丢失的可能性越大。易失性数据的等级如图所示。 5.1.2 易失性数据收集 易失性数据收集步骤 步骤1 取证准备 取证工具准备（软件、硬件） 数字调查小组建立 建立收集策略 步骤2 建立概要文档 建立取证概要文档（包括涉及到的软硬件等） 证据收集日志（取证人、取证工具、取证时间等） 步骤3 决策核实 确定证据收集过程中的权力范围 确定证据收集的方式 步骤4易失性数据收集策略 确定收集的易失性数据的类型 确定可以有助于证据收集的工具和技术 取证工具收集到信息的输出位置 步骤5 易失性数据收集工具 建立一个可信的命令解释程序 建立传输和存储程序的途径 确保取证工具有完整的输出 步骤6 易失性数据收集 1. 收集更新时间，日期，时间，命令记录。 2. 执行取证工具或命令的时候，将产生的数据和时间建立审计追踪。 3. 建立命令历史记录，将所有的取证活动记录下来。 4. 收集涉及系统和网络的易失性信息。 易失性系统信息包括： 系统概要文件 当前系统时间、日期、命令历史记录 当前系统运行时间 当前运行进程 打开文件、启动文件和剪贴板数据 登录用户 Dll和共享的程序库 现场取证小工具及应用实例 （1）date/time/netstat 如图显示如何在执行netstat命令的时候使用本地时间、日期命令显示命令执行时间。 （2）PsInfo.exe Sysinternals 推出的PsInfo可以建立一个系统概要文件包括所有安装的软件包和补丁。这些信息通过Systeminfo.exe命令无法获得。缺省条件下，PSInfo建立本地系统的概要文件。可以通过指定具体的用户名和密码后远程访问可以计算机。 PsInfo有多种功能。图中的结果是使用Psinfo列出的计算机上安装的应用程序。 （3）Systeminfo.exe 本地命令Systeminfo.exe可以建立一个系统概要文件包括（已注册用户、初始安装时间、系统运行时间、BIOS版本、系统目录、登录服务器、网卡的数量），运行例子见图。 (4) Net Statistics 本地的 net statistics 命令也可以收集系统运行时间，示例结果如图: （5）评价当前运行的进程实用工具 目前，没有单个的实用工具可以完整的评价当前运行的进程。因此下面的例子将展示如何使用命令的集合来获得进程的信息。结果见图 （6）信息转储 要更好的了解可疑进程，可以使用pumdump.exe对进程进行转储，然后在文件中进行字符串有哪些信誉好的足球投注网站（例如使用 Ctrl+F命令查找字符串）。图展示了如何使用命令对winlongin进程进程转储。 转储前可以先使用pmdump –list命令列出应用程序所对应的PID。 （7）Afind： 下图展示如何有哪些信誉好的足球投注网站某一位置文件的访问时间。 （8）登录用户 调查人员需要辨别登录到系统的用户的身份。当接近可疑计算机的时候，至少有一个用户登录到计算机，也可能有其他用户远程登录到此机器。在检查登录用户的时候要注意以下几点： 最近新增加的帐户 对增加授权的已存在帐户 远程访问帐户（远程用户通过共享磁盘，共