电子数据取证技术PPT课件（共12章）第12章电子数据取证综合案例分析.pptxVIP

第12章 电子数据取证综合案例分析12.1 案情简介12.2 案件的证据固定12.3 数据分析过程12.4 分析漏洞原因12.5 调查结果与评价12.1 案 情 简 介12.1.1 主要案情　2015年6月9日，P2P金融网站的网站管理人员接到用户投诉，称其账户中的资金不翼而飞。管理员开始误以为是系统错误，经尝试排查后未发现明显异常，在排查过程中又接到多名用户投诉，同样声称其账户中的资金不知去向。管理员此刻才意识到系统可能被黑客入侵，于是立即停止运行服务器中的Web服务和数据库服务，向警方报案以确定攻击者、攻击方法、攻击来源、攻击时间等。12.1.2 取证要求　委托方提取委托要求如下：　(1) 对被攻击服务器中的网站、数据库、日志等涉案相关数据进行证据固定。　(2) 对上述证据固定结果进行分析，提取攻击者IP、攻击时间、攻击方法。　(3) 提取攻击者使用的银行卡、身份证等信息并分析攻击者转移资金的方法。　(4) 对攻击者的攻击行为进行分析，找出攻击者使用的漏洞，并分析漏洞形成原因。12.1.3 主要难点问题　近年来，随着司法机关对黑客类案件打击力度的不断增强，恶意的网站攻击者对打击手段也有所了解，具有了一定的反侦察意识。黑客在作案时经常使用代理服务器进行过渡，以隐藏自己的真实IP地址。同时，在进行这类金融类犯罪时，会有一个长期潜伏和准备的过程，尽可能地隐藏自己在被入侵系统中的存在感，减少对系统环境的破坏或修改，从而避免引起系统管理员的察觉。这种作案方式往往会导致更大的损失，与以破坏系统为目的的入侵类案件的手法有明显区别。 12.2 案件的证据固定　根据委托人的要求、案件类型及与委托方详细的沟通后，初步达成以下取证与分析步骤：　(1) 了解被入侵服务器的相关参数及运行状态。　(2) 根据服务器的具体状况选择合适的证据固定工具，制订证据固定计划。　　(3) 根据证据固定计划对被入侵服务器中所有涉案数据进行证据固定操作。　(4) 对证据固定结果进行分析，提取入侵时间、地点、IP、工具、方法等相关信息。　(5) 出具应急响应报告、计算机司法鉴定报告，对可能存在的系统漏洞提供合理修补建议。12.2.1 了解被入侵服务器的相关参数及运行状态　在正式取证之前，需要对目标服务器进行一个大概了解，并根据目标服务器的情况制订证据固定计划。对被入侵服务器情况介绍如下：　(1) 被入侵服务器属于阿里云服务器，委托方提供了该服务器的IP 地址、连接用户名及密码。　(2) 被入侵服务器操作系统是Linux，可直接使用SSH客户端远程登录。　(3) 被入侵服务器Web服务是Apache，使用的编程语言为PHP。　(4) 被入侵服务器后端数据库是MySQL。12.2.2 制订证据固定计划　对服务器的远程证据固定大致包括以下3个步骤：　(1) 收集被入侵服务器的系统信息，包括进程、端口、历史命令执行记录、系统日志、磁盘、内存等信息。　(2) 提取被入侵服务器 Web应用配置和相关数据。　(3) 提取被入侵服务器数据库配置和相关数据。12.2.3 选择证据固定工具　本案涉及Linux服务器的远程数据固定，选择的工具包括屏幕录像工具、远程SSH连接工具、远程文件下载工具、服务器系统信息提取工具等。　选择使用系统提供的工具来完成对Linux操作系统基本信息、进程、网络、端口等信息的提取，包括登录日志提取工具last、网络配置管理工具ifconfig、网络数据抓包工具tcpdump、网络端口信息工具netstat等。此外，用到的工具还包括以下几种：　　(1) 屏幕录像软件FSCapture。屏幕录像的好处是交互性更好，后续屏幕展示的清晰度要远高于数码摄像机。　(2) 远程连接工具或软件PuTTY。PuTTY是Windows桌面环境中连接类Linux终端服务的首选工具之一。　(3) 远程文件下载工具WinScp。使用WinScp可通过SSH协议直接操作远程Linux服务器中的文件，进行上传、下载、增加、删除等操作，使用方便、直观，易操作。　(4) ?MySQL数据库的固定工具MySqldump。MySqldump是MySQL数据库系统中自带的数据库转储工具。12.2.4 连接到远程服务器　此处选择的连接工具是PuTTY，从上下载程序安装包，安装包MD5值为983d8c71dd6eee85734318。　运行安装完成的PuTTY工具，弹出的配置对话框如图12-1所示。图12-1 配置对话框　　设置远程服务器的IP地址，单击“Open”按钮进入登录界面，输入用户名及对应的密码，即可进入系统。　启动屏幕录像软件FSCapture，勾选“Full Screen”单选按钮，再单击“Record”按钮，如图12-2所示。图12-2