计算机取证与司法鉴定实践
小组成员:20145203盖泽双、20145210姚思羽、20145231熊梓宏
计算机取证程序
计算机取证就是对于存在于计算机及其相关设备中的证据进行获取、保存、分析、出示。用于计算机取证的工具必须在计算机取证的任意一个步骤中具有特殊的功能,使得由于这一工具的使用保证了计算机取证工作能够顺利进行并获取到可以被作为证据使用的数据资料。
(1)国际上计算机取证的研究方向主要是结合防火墙、网络侦听、入侵检测等网络安全工具,进行的动态取证,而计算机取证的分析就是从海量的数据中获取与计算机犯罪相关的有力证据的过程。
(2)计算机证据的特点:脆弱性、易删改性、隐蔽性和分散性等特点。
具体步骤:
·保护现场和现场勘察
·获取证据
·鉴定证据
·分析证据
·进行追踪
·提交结果
计算机取证工具
一般工具软件
用于检测分区的工具软件、杀毒软件、各种压缩工具软件等。
取证专用工具软件
pslist:
pslist是一个查看进程的程序。 它的使用格式为: pslist [-d] [-m] [-x][-t][-s [n] [-r n] [远程机器ip [-u username] [-p password]] [name | pid]
参数包含:
-u:后面跟用户名
-p:后面是跟密码的,如果建立ipc$连接后这两个参数则不需要。(如果没有-p参数,则输入命令后会要求你输入密码)
-s:是使用任务管理器模式实时查看进程,可以按ESC键退出。
-r <秒数>:是和-s连用的一个参数,它用来指定任务管理器模式是的刷新间隔。(默认的刷新间隔为1秒)
-d:示各个进程的cpu使用信息。
-m:显示各个进程的存储器使用信息。
-x:非常详细显示进程的所有信息。
-t:以树型方式显示进程。
Autoruns
autoruns具有全面的自启动程序检测功能,找出那些被设定在系统启动和登录期间自动运行的程序,并显示Windows加载它们的顺序。Autoruns不仅可以检测出“开始”菜单“启动”组和注册表中加载的自启动程序,而且还能显示出浏览器的加载项以及自动启动的服务。
Fport
Fport是查看系统进程与端口关联的命令,使用方法是在命令行方式下输入Fport后回车。Port代表的是系统当前开放的端口,而path列出的是与该端口关联的程序及其所在位置。从上面结果看,系统的135,135(UDP)端口是与C:winntsystem32svchost.exe程序关联的,1026,1963(UDP)端口与C:winntsystem32mstask.exe程序关联的,2967(UDP)端口是与C:ProgramFileNavNTstvscan.exe程序关联的。通过fport结果可以很容易的分析出风险进程。当一个进程名既不是系统进程,也不是用户安装的应用程序(例MS SQL),却开端口监听,它很有可能是木马程序的服务端。
netstat
·netstat -s–本选项能够按照各个协议分别显示其统计数据
·netstat -e–本选项用于显示关于以太网的统计数据
·netstat -r–本选项可以显示关于路由表的信息
·netstat -a–本选项显示一个所有的有效连接信息列表
·netstat -n–显示所有已建立的有效连接
psservice
psservice是一个服务管理程序。它的使用方法是:psservice [远程机器ip [-u username] [-p password]]
·它的参数有:
-u 后面跟用户名
-p后面是跟密码的
如果建立ipc连接后这两个参数则不需要
·它的命令有以下几项:
(1) query[服务名]:显示某一服务的状态,如不填报服务名则显示所有服务的状态。
(2) config<服务名>:显示某一服务的配置。
(3) start<服务名>:启动某一服务。
(4) stop<服务名>:停止某一服务。
(5) restart<服务名>:停止某一服务并重新启动它。
(6) pause<服务名>:暂停某一服务。
(7) continue<服务名>:恢复暂停的服务。
(8) depend<服务名>:显示某一服务依存关系。
(9) find<服务名>:在网络中搜寻指定的服务。
(10)查看在远程机器上的Telnet服务的状态:Psservice远程机器 IP query tlntsvr,tlntsvr为telnet服务的服务台
(11)查看远程机器上的Telnet服务的配置:Psservice 远程机器IP config tlntsvr
(12)启动远程机器上的Telnet服务:Psservice远程机器IP start tlntsvr
计算机取证法律和规范
证据是诉讼的关键,取证与司法鉴定是必经的司法过程,获取具有可采性的证据是取证与司法鉴定的主要目的,通过调查取证与司法鉴定人员进行具体的取证与司法鉴定行为来实现这一目的。以原则规范计算机取证与司法鉴定,是保证电子证据可采性的关键,目前,由加拿大,法国,德国,英国,意大利,日本,俄罗斯和美国的计算机取证与司法鉴定研究人员组成的G8小组提出的六条原则是国际上最权威的计算机取证与司法鉴定原则:
必须应用标准的取证与司法鉴定过程;
获取证据时所采用的任何方法都不能改变原始证据;
取证与司法鉴定人员必须经过专门培训;
完整地记录证据的获取,访问,存储或传输的过程,并妥善保存这些记录以备随时查阅;
每位保管电子证据的人员必须对其在该证据上的任何行为负责;
任何负责获取,访问,存储或传输电子证据的机构有责任遵循以上原则.
由于网络的无国界性,不同国家在法律,道德和意识形态上存在差异,取证与司法鉴定原则取决于不同的证据使用原则。不同的国家,组织根据各自的出发点,制定的取证与司法鉴定原则虽然不完全相同,但大体都是为保证获取的证据的合法性,客观性和关联性。因此,计算机取证与司法鉴定的原则应该包括以下几个方面:
1.依法取证与司法鉴定原则
(1)主体合法
(2)对象合法
(3)手段合法
(4)过程合法
2.无损取证与司法鉴定原则
3.全面取证与司法鉴定原则
4.及时取证与司法鉴定原则
对典型对象的调查取证
应用场景一
·对可疑主机的行为进行监测、扫描、取证:如进程活动、运行的服务、开放的端口、注册表情况、网络使用情况,如:对其路由转发、IP连接等相关信息进行定位、追踪。
·使用工具:autoruns、psservise、Pslist、Fport、Netstat等。
·具体设计方案:
1、首先,当我们对病毒程序毫无所知时,我们可以使用autoruns软件和pslist软件、取证大师软件、Fport软件来对我们的计算机进行检测与扫描。
(1)autoruns软件具有自启动程序检测功能,能找出系统启动和登录期间自动运行的的自启动程序,而且还能显示出浏览器的加载项以及自动启动的服务,并显示Windows加载它们的顺序。还会对服务程序(Services)、驱动程序(Drivers)、普通启动程序(Logon)的文件一一进行排查,根据文件的数字签名提示我们当前文件是否已经通过验证,从而帮助我们对正常文件进行识别。对于未通过数字签名验证的文件,可能是正常的文件,也可能是木马文件。我们可以查看可疑文件所在的文件目录、看一下它是属于哪个服务或者进程下的,然后再单独对该进程或者服务进行排查。
(2)对于服务,我们可以使用psservice软件,psservice软件是一个服务管理程序,它可以显示当前服务的状态、配置以及服务依存关系等详细信息。
(3)对于进程,我们可以利用pslist软件查看我们各个进程的cpu使用信息和各个进程的存储器使用信息。如果有个别程序的CPU占有率非常的高,我们就要小心了。需要利用pslist -x命令来查看进程的所有信息,找到相关的线索。
(4)当我们找到可疑进程后,利用Fport查看与该进程相关联的端口情况。
①Fport使用方法:是在命令行方式下输入Fport后回车。Fport的结果可以很容易的分析出风险进程。当一个进程名既不是系统进程,也不是用户安装的应用程序,却开端口监听,它很有可能是木马程序的服务端。
(5)通过Fport找到可疑程序的端口号之后,我们可以使用Netstat查看计算机的端口占用信息。
①Netstat是在内核中访问网络及相关信息的程序,它能提供TCP连接,TCP和UDP监听,进程内存管理的相关报告。
②使用Netstat找到与可疑端口号相关的网络连接、路由表情况。然后在网络上搜查该网络连接的IP地址,查看一下该ip的源地址与详细信息。对攻击者进行
追踪。
2.当最终确定了木马文件之后,我们可以使用psservice软件停止该木马文件所创建的服务,也可以使用autoruns软件取消木马文件的自动运行,还可以将它从我们的电脑上删除。
应用场景二
对已被植入相应病毒、恶意程序的计算机进行取证分析:
1.用sysmonitor、取证大师等软件查看注册表、文件信息,可以通过快照对比等方式找到有问题的文件或.exe程序,运行一下,通过wireshark等软件进行抓包数据分析,保存相关证据。
2.用sysanalyzer对相关文件中的恶意代码进行分析、取证。
3.还可将确定有问题的病毒软件放到virustotal等网页上查看是否有相同或类似病毒出现,采取一定解决措施。
应用场景三
若想调查了解可疑主机的上网操作记录,可以用Encase查看其上网痕迹,分析其动机、目的等。