黄玮
IEEE Computer
发表的文章 Computer Forensics: High-Tech Law Enforcement计算机取证是分析硬盘、光盘、软盘、Zip和Jazz磁盘、内存缓冲以及其他形似的存储介质以发现犯罪证据的过程
Judd Robbins
给出了如下的定义计算机取证是将计算机调查和分析技术应用于潜在的、有法律效力的证据的确定和获取
计算机取证包括了对以磁介质编码信息方式存储的计算机证据的保护、确认、提取和归档
计算机取证是使用软件和工具,按照一些预先定义的程序,全面地检查计算机系统,以提取和保护有关计算机犯罪的证据
计算机取证是运用计算机及其相关科学和技术的原理和方法获取与计算机相关的证据以证明某个客观事实的过程。它包括计算机证据的确定、收集、保护、分析、归档以及法庭出示。
刑事诉讼法 | 民事诉讼法 | 行政诉讼法 | |
---|---|---|---|
更新时间 | 2018-10-26 | 2012-08-31 | 2017-06-27 |
第五十条 | 第六十三条 | 第三十三条 | |
书证 | 书证 | 书证 | |
物证 | 物证 | 物证 | |
视听资料、电子数据 | 视听资料 | 视听资料 | |
证人证言 | 电子数据 | 电子数据 | |
被害人陈述 | 证人证言 | 证人证言 | |
犯罪嫌疑人、被告人供述和辩解 | 当事人的陈述 | 当事人的陈述 | |
鉴定意见 | 鉴定意见 | 鉴定意见 | |
勘验、检查、辨认、侦查实验等笔录 | 勘验笔录 | 勘验笔录、现场笔录 |
《最高人民法院关于修改<关于民事诉讼证据的若干规定>的决定》 已于2019年10月14日由最高人民法院审判委员会第1777次会议通过,自2020年5月1日起施行。现摘录其中关于 电子数据 的认定说明如下:
第十四条 电子数据包括下列信息、电子文件:
(一)网页、博客、微博客等网络平台发布的信息;
(二)手机短信、电子邮件、即时通信、通讯群组等网络应用服务的通信信息;
(三)用户注册信息、身份认证信息、电子交易记录、通信记录、登录日志等信息;
(四)文档、图片、音频、视频、数字证书、计算机程序等电子文件;
(五)其他以数字化形式存储、处理、传输的能够证明案件事实的信息。
数据来源 | 举例 |
---|---|
应用层 | 云存储、云备份、云操作系统 |
系统层 | 文件系统、结构化数据存储、访问控制 |
宿主层 | 操作系统、虚拟机、容器 |
2016 年 9 月 9 日,最高人民法院 最高人民检察院 公安部印发的 《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》
第十九条 对侵入、非法控制计算机信息系统的程序、工具以及计算机病毒等无法直接展示的电子数据,应当附电子数据属性、功能等情况的说明。对数据统计量、数据同一性等问题,侦查机关应当出具说明。
rootkit
lsof -p <pid>
strace
/ ptrace
nestat –r
/ ip route
/ route -n
netstat -i
/ ip link
sudo ss -tuap
sudo lsof -i
sudo nethogs
sudo ss -anp |grep 'tcp\|udp' | awk '{print $5}' | rev | cut -d: -f2- | rev | sort | uniq -c | sort -nr | grep -v -E "0.0.0.0|\[::\]"
分享名称:Challenge 1 of the Forensic Challenge 2010 - pcap attack trace
分享链接:https://kod.cuc.edu.cn/#s/-_AjCphw
访问密码:ZDkxB
# 1. 统计主机信息
tshark -r attack-trace.pcap -z ip_hosts,tree -qn
# 2. 谁主动发起网络连接
tshark -r attack-trace.pcap -Y "tcp.flags==0x02" -n
# 3. 推断攻击持续时间
# 攻击持续时间 < 捕获到的数据包的起止时间
# 攻击持续时间 < 16 秒
capinfos attack-trace.pcap
# 4. 自动分析攻击详情
# TODO 修改 /etc/suricata/suricata.yml 重新定义「内网」范围
# HOME_NET [192.150.11.0/24]
# 已完成第九章的 suricata 体验任务,在线更新了检测规则
# ref: https://c4pr1c3.gitee.io/cuc-ns-ppt/chap0x09.md.html#/quick-start-of-suricata
suricata -r attack-trace.pcap
# 查看报警日志
cat -n fast.log
# 4.1. 修改检测规则
# 找到包含 2003-0533 关键词且该行规则被注释的行,取消注释
grep 2003-0533 /var/lib/suricata/rules/suricata.rules | grep -E "^#"
# 4.2. 再用修改后的规则检查一次
suricata -r attack-trace.pcap
# 4.3. 再次查看报警日志,对比新产生的报警
cat -n fast.log
# 5. 查看 TCP 会话信息
# 注意输出结果默认是按照「数据帧数量」排序的
tshark -r attack-trace.pcap -qnz conv,tcp
# 猜测
# 五个TCP会话对应 3 个不同的攻击阶段
# 扫描/枚举、漏洞利用、后渗透
# 5.1 查看扫描阶段的数据包
tshark -r attack-trace.pcap -Y "tcp.stream eq 0"
# 5.2 查看漏洞利用阶段的数据包
tshark -r attack-trace.pcap -Y "tcp.stream eq 1"
# 查看该阶段 TCP 会话的应用层负载数据
tshark -r attack-trace.pcap -q -z follow,tcp,hex,1
# 把该阶段的通信数据另存为 pcap 文件
tshark -r attack-trace.pcap -q -z follow,tcp,hex,1 -w exploit.pcapng
# 使用 Wireshark 进行「应用层负载」另存为操作
# 5.3 执行攻击指令(漏洞利用之发送攻击负载)
tshark -r attack-trace.pcap -q -z follow,tcp,ascii,2
# 5.4 后渗透阶段
tshark -r attack-trace.pcap -q -z follow,tcp,ascii,3
# 5.5 后渗透阶段(下载后门程序)
tshark -r attack-trace.pcap -q -z follow,tcp,hex,4
# 把该阶段的通信数据另存为 pcap 文件
tshark -r attack-trace.pcap -q -z follow,tcp,hex,4 -w malware.pcapng
查阅课本中本章的实验一节内容,使用 Zeek
来发现 IoC: Indicator of Compromise
。
试述防火墙、入侵检测、应用程序安全加固、蜜罐和蜜网技术以及计算机取证技术之间的关系?如何综合运用这些技术来进行网络与系统安全防护与加固?