了解網絡取證的定義和特點了解網絡監控的程序了解網絡取證的數據來源掌握利用網絡取證分析工具獲取和分析網絡數據包的基本方法掌握云存儲取證的基本方法掌握利用蜜罐技術進行網絡取證的基本方法學習目標Tom通過從項目一到項目四的調查和取證分析后，發現計算機系統中安裝有“百度云管家”軟件，因此懷疑可能有相當的犯罪證據和線索通過云存儲服務存儲在云端，這時取證調查人員Tom應當怎樣獲取證據？項目說明Tom在進行取證調查過程中，發現為公司工作人員提供服務的服務器最近常受到黑客攻擊，由于公司內部網絡與Internet物理斷開，因此Tom相信攻擊源來自內部局域網。此時調查人員Tom向公司主管Alice匯報后，得到公司高層授權可以在網絡中進行適當的設置和調查，那么Tom應當怎樣去獲取證據和重要線索？項目說明項目任務被調查計算機安裝云服務客戶端軟件信息檢查；被調查計算機上網記錄分析；云存儲系統信息提取。項目任務搭建蜜罐；根據案例情況對蜜罐進行合理設置；利用蜜罐進行調查。網絡取證的特點電子主要研究對象不再僅僅局限于單個的或相互獨立的計算機，而是與網絡傳輸的數據包或網絡數據流有關。在網絡取證時，取證人員的取證時間和被調查人員（如網絡攻擊者）的作案時間常常是重疊的，或者說網絡取證是動態的。基礎知識網絡取證的特點在網絡取證時，隨著調查時的網絡不同，取證調查的目標往往是分布在相當廣闊的范圍中。在多數網絡取證實踐工作中，為滿足網絡取證的實時性要求，往往需要把網絡取證的工作與網絡監控相結合。基礎知識網絡監控的程序授權證據收集證據分析與提交報告基礎知識網絡調查的信息源終端部分（攻擊方或者受害方）數據傳輸部分基礎知識網絡取證分析工具網絡數據包嗅探網絡協議分析網絡數據流監控和解析基礎知識為了獲取有價值的證據信息，Tom決定對Adam的計算機是否安裝云存儲服務的客戶端軟件進行調查，并且分析本地網頁瀏覽記錄中相應云存儲服務網址的痕跡，從而首先確定Adam使用了哪個提供商的云存儲服務，在獲取這些基本信息的基礎上，對Adam的計算機中與云存儲服務相關的文件夾進行重點分析，獲取被調查者在進行云存儲時使用的用戶名等重要信息，在獲取這些重要信息后，根據案件取證調查的需要以及公司利益的需求，與公司高層協商是否提起訴訟并向公安機關申請，要求相應云服務提供商配合調查。項目分析Tom首先了解到被攻擊服務器僅用于公司內部網絡，與廣域網物理斷開，因此可以確定攻擊源來自于公司內部局域網，攻擊者很可能是內部員工。由于攻擊者在清除痕跡時對服務器日志等關鍵部分進行了較充分清理，而這臺服務器沒有實時在線異地備份日志等關鍵信息，因此如果僅對服務器和中間設備進行調查分析較為困難。考慮到自己是公司高層授權進行秘密調查很可能攻擊者并不知道自己的行為已引起注意，且最近一段時間服務器常受攻擊，因此Tom決定設立一個可引誘攻擊者的蜜罐，從而獲取相應的證據和重要線索的信息。項目分析任務一：云存儲取證案例分析項目實施調查云存儲痕跡安裝軟件信息的檢查項目實施調查云存儲痕跡網絡瀏覽記錄分析項目實施調查云存儲痕跡安裝路徑檢查項目實施調查云存儲痕跡注冊表檢查項目實施調查云存儲痕跡網絡連接狀態檢查項目實施調查云存儲痕跡百度云盤系統信息的提取項目實施任務二：網絡取證案例分析項目實施搭建蜜罐搭建蜜罐的準備工作環境準備軟件工具包準備項目實施搭建蜜罐安裝Honeyd及其相關組件，構建蜜罐首先安裝“libevent”安裝“libevent”成功以后，進行“libdnet”的安裝安裝“libdnet”成功以后，進行“libpcap”的安裝安裝“libpcap”成功以后，進行“zlib”的安裝安裝“honeyd”項目實施搭建蜜罐出錯信息處理進行“libpcap”安裝時的錯誤信息處理進行“Honeyd”安裝時的錯誤信息處理項目實施運用蜜罐技術進行網絡取證調查啟動Honeyd使用“sudoarpdxxx”啟動arpd啟動“arpd”成功后，查看arpd監聽的IP地址利用“sudomkdir”命令創建Honeyd蜜罐的日志目錄利用“sudotouch”的腳本程序創建Honeyd蜜罐的日志文件項目實施運用蜜罐技術進行網絡取證調查啟動Honeyd使用“sudo./start-arpd.sh”命令啟動arpd監聽運行“sudo./start-honeyd.sh”命令啟動Honeyd并加載Honeyd的配置文件項目實施網絡