計算機取證技術第七章網絡環境下的計算機取證7.1概述7.1.1網絡證據及來源7.1.2網絡環境用戶身份認證7.1.1網絡證據及來源與網絡通信活動有關的證據都可以稱為網絡證據。（網絡交換機、路由器等）網絡證據來源來自于網絡服務器、網絡應用主機的證據來自于網絡通信數據的證據來自于網絡安全產品、網絡設施的證據專門的網絡取證分析系統產生的包括日志信息在內的結果7.1.2網絡環境用戶身份認證域名解析ip地址MAC地址用戶名、密碼與身份注冊信息域名解析nslookup就是查詢域名的一個有力工具命令格式nslookup[-option][host][-nameserver]option:設置查詢信息的類型、查詢方式、超時間隔等host:待查詢的IP地址或主機名nameserver:指定要查詢的域名服務器ip地址ip地址獲取技術使用ping或traceroute命令使用ip掃面工具程序由DNS獲取ip地址在ISP的支持下獲取ip地址ISP(InternetServiceProvider)，互聯網服務提供商，即向廣大用戶綜合提供互聯網接入業務、信息業務、和增值業務的電信運營商。目前按照主營的業務劃分，中國ISP主要有以下幾類：1.搜索引擎ISP

2.即時通信ISP

3.移動互聯網業務ISP

4.門戶ISP提供新聞信息、文化信息等信息服務。（在郵件營銷領域，ISP主要指電子郵箱服務商。）7.2www瀏覽活動從應用的廣泛性和學習、驗證的方便性考慮，該部分以微軟的內置網絡服務器，互聯網通信服務器和微軟的IE瀏覽器為例。7.2.1服務器日志7.2.2本地瀏覽活動7.2.1服務器日志在取證調查過程中我們感興趣的關鍵字段有：日期和時間IP地址用戶名服務器IP端口方法URL查詢字符串用戶代理請求狀態參閱信息HTTP日志的簡單分析說明第一條日志記錄表明請求來源于baidu搜索引擎第二、三條記錄是正常訪問，末尾的cs（user-agent）欄信息說明瀏覽器信息第四條記錄表明是一個攻擊行為，想查看文件列表，沒有成功第五條記錄表明掃描軟件對該網站進行掃描，直接針對管理入口一類的目標，結果目標不對。第六條記錄也屬于掃描的情況。7.2.2本地瀏覽活動IE瀏覽器瀏覽歷史緩存cookies收藏夾其它有價值信息欺騙手段IE瀏覽器絕大多數信息都可以在具體的用戶配置文件夾下面找到網頁瀏覽活動需要調查的內容主要有瀏覽歷史、瀏覽緩存內容、cookie、收藏站點等信息對網頁瀏覽活動進行調查取證，除了檢查當前用戶的有關信息外，還必須檢查系統上的其它賬戶（如管理員賬戶）。瀏覽歷史index.dat的索引文件cookies目錄、cache目錄下都各自有針對性的索引文件。該文件用于記憶式鍵入地址欄顯示和對訪問過的連接的高亮標注。每個index.dat有三個部分組成：文件頭哈希表活動記錄項緩存為了加快瀏覽速度，IE將最近瀏覽過的網站內容保存在本地緩存中。這些信息保存在因特網臨時文件夾中。URL歷史文檔目錄下的index.dat文件記錄了每個文件的文件名以及與其對應的URL鏈接。index.dat文件可以用前面歷史文檔部分所提到的工具進行分析。一些調查者習慣一次性分析所有的因特網活動，而另一些人則愿意對幾個方面的活動分別進行分析。分別分析的好處是：歷史文檔包含了特定時間內訪問過的URL，而因特網的臨時文件夾則含有我們關注的問題-用戶瀏覽過的真實內容。分析人員可以通過檢查index,dat文件，找出與給定URL相關聯的文件以及這些文件在高速緩存中的位置，這樣便于實現頁面的重建?？梢詫⑦@些文件拷貝到一個臨時目錄下，用與因特網斷開連接的瀏覽器查看。證明某個人有意訪問過某站點首先，要盡可能證明鏈接到該圖像或者網頁的既不是frame標識的一部分也不是來自另一個站點的img鏈接其次，還必須確信該站點不是彈出式窗口或者重定向的另外，該頁面、網站不含有用戶正常需要的內容。時間特性分析可以證明不少問題，對訪問這些有疑問的站點之前訪問的站點進行核查，看他有沒有自動加載、是否正常的搜索內容得到的網址、是否重定向站點等。cookies當嫌疑人瀏覽因特網中一個用cookies做跟蹤站點的時候，所有的cookies都保存在計算機中。cookies有兩種類型：會話型和永久型。會話型cookies：通常跟蹤用戶的瀏覽會話并存儲在內存中。永久型cookies：都被寫入硬盤并以文本文件的形式存儲在cookies目錄下cookies不僅能幫助我們識別出訪問過的網址，而且可以指出在該網址進行的操作，又是還能向分析人員提供用戶名、密碼等用戶信息。cookies限用于一臺主機并且設有有效期限，但是并沒有對web站點寫入cookies的文本做任何限制。每個cookies對應一個username@sitename.txt，包含一系類記錄。每一條記錄的內容該文本每一條記錄的內容：關鍵字值主機安全性修改時間有效期缺省情況下真實信息都是編了碼的，因此需要使用cookies查看器查看。cookies文件中的信息常常被用來進行偽裝性攻擊。cookies文件的這一特點有利于取證調查人員在特定的站點上查找嫌疑人所擁有的東西（如購物清單），其具體步驟如下：刪除取證機器上所有的cookies、歷史文件以及因特網臨時文件。找出嫌疑人機器上那些可疑的cookies。將這些cookies拷貝到取證調查機器的cookies目錄下訪問那些有疑問的站點。收藏夾用戶把經常訪問的網頁的鏈接保存在收藏夾中，這些鏈接通常能夠體現用戶的傾向或意圖。對于使用不同計算機的用戶來說，這些文件夾通常會拷貝在磁盤的其它地方，傾向于掩飾行蹤的用戶會頻繁刪除收藏夾。檢查收藏夾的時候，可以連接上因特網，單獨查看每一個url連結。文件夾包含了鏈接的名稱、修改日期。其中修改日期反應了該鏈接何時被添加到收藏夾的。收藏夾中顯示的具體鏈接的名稱無法準確地反映出文件夾的內容。鏈接名稱和站點及實際內容可能完全不同。如要查看真正的鏈接，單擊右鍵，查看屬性選項的web文檔。檢查這些屬性的時候要尤其注意檢查標有“該頁面允許脫機使用”的站點。硬盤驅動器上可能含有這些站點的全部備份信息供脫機瀏覽使用，這對取證分析十分有用。其它有價值信息注冊表就可能記錄一些與網絡訪問有關的有價值信息。用戶往表單域輸入信息時，默認情況下IE將記錄下這些輸入的信息以加快今后的輸入速度。該信息時加密的，使用專門工具可得到姓名、地址、電子郵件、密碼等信息。欺騙手段利用本地域名機制URL表示欺騙欺騙手段利用本地域名機制windows在檢查DNS之前用Hosts文檔來解析網絡上的主機名稱。該文件是很容易被修改的，不懷好意的人可借用這種機制來隱藏一些非法的網絡活動。URL表示欺騙URL表示欺騙法相似域名地址法7.3電子郵件通信7.3.1服務器日志7.3.2本地郵箱獲取郵件數據查找郵件郵件頭分析郵件內容分析郵件地址簿7.3.1服務器日志所有的郵件服務器都可以保存日志記錄信息，保留有發送的時間等信息。郵件服務器上通常還有郵件的備份，并保留一段時間。在必要和可能的情況下，可以把發件人的郵件或最后的收件人的郵件和服務器上的郵件進行對比。7.3.2本地郵箱1、獲取郵件數據foxmail一般把郵件存放在安裝、建立賬戶時選定的目錄下，也可選擇其他目錄。每個郵箱都對應一個box文件和一個ind文件。前者是數據文件，保留了郵箱中所有郵件的信息，ind文件時索引文件。五個郵箱分別對應的數據存儲文件郵箱導入功能。如果導入的box文件中沒有相應的ind文件，foxmail將自動重新創建ind文件。在嫌疑人硬盤的映像上找到上述郵箱的文件，復制對應賬戶所有的box/ind文件到取證分析計算機的foxmail安裝目錄/mail之下或導入該賬戶。7.3.2本地郵箱2、查找郵件郵件存儲的默認文件夾使用查找功能可以方便搜索要找的郵件搜索有附件的消息可以引人注目地縮小在某些情況下需要閱讀消息的數量。foxmail具有較強的郵件查找功能，它能在某個郵箱中查找出包含用戶指定信息的所有郵件，也可以在一個郵件中查找指定的文本。7.3.2本地郵箱3、郵件頭分析具體方法取決于所使用的郵件應用程序。以foxmail為例選中郵件，鼠標右擊郵件的主題，在下拉菜單中選擇原始信息。查看郵件菜單下的“原始信息”選項可以得到整個郵件頭信息，點擊“全部”可看到整個郵件的內容?？梢栽俦匾臅r候想辦法驗證每個IP地址或域名，看相關信息是否真實。7.3.2本地郵箱如何判斷一封郵件是否經過偽造郵件每經過一臺服務器，服務器都會相應在郵件頭的頂端加入一行recieved的信息。按照郵件經過的先后順序，由下向上，后經過的郵件服務器添加的信息在上面。7.3.2本地郵箱4、郵件內容分析已閱讀消息的可能指示通過對比來判斷郵件的作者7.3.2本地郵箱5、郵件地址簿用過地址簿可以找到嫌疑人的通信網絡，里面可能有豐富的社會關系信息。數據在\Adress目錄下的.BOX文件里。和嫌疑人相關的IP地址并非總是意味著嫌疑人自愿地發送消息。7.4即時通信7.4.1即時通信技術概述即時通信的主要功能即時通信技術相關協議即時通信的工作原理7.4.2即時通信的取證騰訊QQQQ主程序下的重要文件QQ號碼文件夾7.4.3其它信息7.4.1即時通信技術概述1、即時通信的主要功能也稱實時通信，是一個終端連網即時通信網絡的服務，允許兩人或者多人使用網絡即時地傳遞文字信息、文件、語音與視頻的交流方式。主要功能有：即時通信，聊天，文件傳輸，圖片、音頻、視頻、交流7.4.1即時通信技術概述2、即時通信技術相關協議即時通信系統使用的底層協議基本相同，主要使用TCP和UDP。一般的模式是服務器端和客戶端之間采用UDP，以便增加容量，減少服務器資源開銷；客服端之間采用TCP協議，而公共信息發布則采用HTTP協議7.4.1即時通信技術概述3、即時通信的工作原理分為四步由于防火墻、網絡速度等原因難以實現直接通信，那么還必須依靠IM服務器提供消息的中轉服務7.4.2即時通信的取證即時通信的取證分析相關工作包括很多，主要來說有兩個方面：本地取證和服務器取證，分別都包括對個人用戶的配置文檔，聊天參與者信息，瀏覽聊天日志和各種IM軟件配置信息和日志的分析識別等。即時通信時基于客戶機/服務器模式的，因此本地客戶機和服務器端都存有相關取證價值的信息?；诜掌鞯男畔⒉蝗菀椎玫?；存儲在本地客戶機的服務少有限制，相對比較容易獲??；敏感數據往往被加密。QQ主程序下的重要文件首先，取證可以從注冊表中得到的安裝位置下查找和分析有價值的文件QQ號碼文件夾直接說明了已經在本地登錄過的QQ號，也可以查看loginuinlist.dat得到相同的結果與QQ號碼相關的取證QQ號碼文件夾下的重要文件分析和其它的即時通信軟件有所不同，在默認的情況下QQ也會存儲聊天日志，關于聊天記錄的相關信息都存儲在msgex.db和user.db這兩個文件里user.db：這個數據文件保存了用戶的好友分組列表和用戶加入的所有QQ群號msgex.db：這個數據文件保存了用戶從軟件安裝時到目前為止的個人聊天記錄使用QQ記錄聊天查看軟件可以方便地查看本地記錄的實際聊天信息計算機系統休眠時生成的與主存對應的文件和虛擬內存文件也可能包含關于用戶信息和聊天會話記錄的詳細細節7.4.3其他信息QQ允許通過客戶端發送和接收文件。默認情況下，文件會存儲在C盤的相應目錄下。在通過QQ進行視頻聊天的時候，默認的情況下，都會定時截圖并保存在C盤相應位置。網絡現場“目擊者”到同一聊天室聊天，其他聊天者的計算機里可能會記錄下有關證據。7.5對等網絡應用對等網絡，簡稱P2P?；赑2P應用進行資料存儲和交換正變得普遍。對等網絡應用軟件有多重，如bittorrent，簡稱“BT”,eMule等。BT是目前國內最熱門的下載方式之一，中文全稱“比特共流”，是一個多點下載的源碼公開的P2P軟件P2P上傳者把一個文件分成了若干個部分，使用種子文件描述有關信息，在服務器上發布。某用戶可以在某服務器或上傳者的計算機上下載其中若干部分，而到其他其他已經下載了某部分內容的計算機上下載其它的部分。7.5.1P2P取證就P2P取證來說，從以下幾個方面可以取得相關證據：BT使用者在網絡上公開的種子文檔（擴展名為torrent）P2P使用者客戶端計算機系統上殘留的下載及分享記錄P2P客戶端程序使用特定連接端口在網絡設備中留下的連結等信息?；诰W絡的信息流也可以提供信息幫助調查對于調查人員，較直接的方式可在分析/實驗用計算機上安裝與嫌疑人計算機相同的客戶端軟件，以獲取嫌疑人可能共享的軟件（資料）清單。取證工作的兩個階段：軟件操作階段檢驗管理機制階段軟件操作階段了解軟件的操作執行P2P程序觀察聯機主機清單檢驗管理機制階段調查服務器扮演的角色封鎖服務器的聯機判斷P2P程序的功能與會員制的關系一些盈利性的P2P應用服務公司應對分享主機離線的行動7.5.2P2P客戶端存在信息BitTorrent安裝了之后，會在注冊表里留下痕跡整體性下載、上傳信息用xml描述的每個任務的工作整體情況.\torrent每個下載任務的種子描述文件.\torrent實際的下載文件或文件夾.\downloads文件共享目錄與下載目錄相同7.5.3BT種子文件查看某個下載任務的xml文件比較直觀，理解BT種子文件對整體分析很有幫助BT種子文件bencoding編碼1、編碼規則bencoding現有四種類型的數據：字符串、整數、列表、字典2、種子文件結構全部內容必須都為bencoding編碼類型整個文件為一個字典結構，包含如下關鍵字announce、announce-list、creationdate、comment、createdby、info7.6網絡實時通信取證如果系統正在遭到攻擊，或內部人員可能將（正在）利用網絡把有關重要資料傳遞出去，就有必要采取措施專門收集有關網絡通信信息調查嫌疑犯與網絡有關的犯罪或詆毀行為時，監視是一個關鍵的步驟，網絡監視不是為了阻止攻擊，而是為了讓調查人員能夠完成一些任務。網絡監視要完成的任務在判斷該事件是計算機安全事件的前提下，確定或排除那些圍繞在事件周圍的疑點收集補充的證據和信息核查危機的范圍識別其他相關的當事人確定網絡上突發事件發生的時間表確保與預期行動一致執行網絡監視所需的步驟捕獲相關的網絡流量重放或重建可能的會話解釋所發生的事情使用工具軟件獲取與網絡行為有關的證據比較容易掌握，分析有關結果需要用到相關的網絡協議知識以及工具軟件表達的方式實施網絡監視可以分為以下幾種類型1、事件監視2、收集、獲取代表特定事件的數據包、事件3、陷阱跟蹤無內容監視，收集、獲取整個通信過程，不涉及通信內容。