数字取证-计算机取证基础篇
字数 3619 2025-08-10 19:49:13

数字取证与计算机取证基础教学文档

一、数字取证概述

数字取证学描述了电子证据的收集、分析和报告全过程,从识别数字证据到完成分析并呈现于法庭诉讼。几乎所有犯罪活动都会留下"数字签名",这些数字痕迹可作为有效的诉讼证据。

应用领域

  • 执法调查
  • 企业调查
  • 网络入侵分析
  • 恶意软件分析
  • 事件响应

NIST建议的七步调查流程

收集阶段

  1. 保护现场和证据
  2. 获取证据
  3. 保全证据

解释阶段
4. 恢复数据
5. 导航数据
6. 识别/提取关键证据
7. 分析证据

二、计算机取证基本原则

  1. 证据备份:取证前必须对证据载体进行位级别备份(非文件级备份)
  2. 哈希校验:使用MD5、SHA等算法计算备份哈希值用于完整性校验
  3. 原始数据保护:所有分析在备份数据上进行,保留原始数据
  4. 无损取证:取证手段不得破坏被取证对象
  5. 详细记录:对获取的数据做完整记录并存档核查
  6. 保密性:保护证据免受未经授权的访问和披露

三、硬盘克隆与镜像技术

硬盘克隆

  • 定义:硬盘到硬盘的物理级精确复制(逐磁道、逐扇区)
  • 获取内容:包括所有文件、已删除文件、隐藏文件、未分配区域、磁盘闲散空间
  • 意义
    • 保存原始证据
    • 制作检验用精确拷贝
    • 镜像数据法律上与原始证据等同
    • 降低原证据盘检验风险
    • 通过哈希值对比验证数据完整性

硬盘镜像

  • 定义:硬盘到文件的精确复制
  • 常见格式:DD、E01、AFF、BIN、ISO等
  • 镜像类型比较
类型 特点 优点 缺点 容量示例
DD镜像(*.001) 无压缩 兼容性强,制作速度快 占用空间大 1T硬盘→1T镜像
E01镜像(*.e01) 可压缩分段 节省空间,含元数据,CRC校验 需专业工具计算Hash 1T硬盘(100G使用)→100G镜像
  • E01元数据:可记录调查人员、地点、机构、备注等信息
  • E01完整性:32位CRC校验,防篡改

四、数据擦除标准

BMB 21-2007标准(国家保密局):

  1. 零覆盖所有可寻址位置
  2. 用二进制0x01覆盖
  3. 随机数覆盖
  4. 随机数覆盖
  5. 随机数覆盖
  6. 零覆盖所有可寻址位置

注意:使用旧盘进行硬盘克隆前需进行整体数据擦除

五、哈希(HASH)算法

基本概念

  • 将任意长度输入转换为固定长度输出
  • 用于校验数据完整性

常见算法

  • MD5
  • SHA-1
  • SHA-256
  • SHA-512

特性

  1. 相同内容→相同HASH
  2. 内容差异→不同HASH
  3. 不可逆性(无法从HASH恢复源文件)

应用场景

  • 电子签名
  • 数据安全
  • 文件一致性检验

六、Windows文件系统

主要类型

  1. FAT32

    • 32位文件分配表
    • 簇大小:512B-32KB
    • 分区最大2TB(理论)
    • 单个文件限制4GB
    • 无安全机制(无EFS加密)

  2. exFAT

    • 专为闪存设计(U盘等)
    • 支持>4GB文件
    • 解决FAT32限制

  3. NTFS

    • 64位文件分配表(更快读写搜索)
    • 安全机制(支持EFS加密)
    • 分区支持最大2TB
    • 主文件表(MFT)作为文件索引

七、时区与时间戳

关键概念

  • 时区:基于UTC的时间偏移(全球24个时区)
  • Unix时间戳:自1970年1月1日00:00:00 UTC以来的毫秒数(通常精确到秒)

取证注意事项

  1. 记录设备和服务器的时区设置
  2. 跨时区调查需协调时间差异
  3. 时间戳是电子证据的重要组成部分
  4. 需考虑系统时钟设置对时间戳的影响

八、Windows注册表取证

注册表结构

  • 五大根键

    1. HKEY_USERS:所有加载的用户配置文件
    2. HKEY_CURRENT_USER:当前登录用户配置
    3. HKEY_CLASSES_ROOT:文件关联应用程序配置
    4. HKEY_CURRENT_CONFIG:启动时的硬件配置
    5. HKEY_LOCAL_MACHINE:硬件和软件设置

  • 物理文件位置

    • Win95/98:USER.DAT, SYSTEM.DAT
    • WinNT/2000/XP/7/8/10:%SystemRoot%\System32\Config\
      • SAM:安全账户管理
      • SECURITY:安全性设置
      • SYSTEM:硬件和系统信息
      • SOFTWARE:安装软件信息
      • DEFAULT:用户配置

关键取证信息位置

  1. 系统信息

    • \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion

  2. 用户信息

    • \HKEY_USERS\
    • 管理员权限用户ID最后为500

  3. USB使用记录

    • 泄密案件关键证据
    • 可查看连接设备型号、序列号、名称
    • 关键路径:
      • SYSTEM\CurrentControlSet\Enum\USBSTOR
      • SYSTEM\CurrentControlSet\Enum\USB
      • SYSTEM\MountedDevices
      • NTUSER.dat\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2

  4. 无线网络信息

    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Profiles
    • 包含SSID名称和最后连接时间(十六进制)

  5. 近期文档

    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs
    • 按文件扩展名跟踪最近打开的文档

  6. 浏览器历史

    • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedURLs
    • 记录IE浏览器访问的URL

  7. IP地址信息

    • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces
    • 包含接口IP、子网掩码和DHCP信息

  8. 系统启动项

    • 常规启动:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    • 仅启动一次:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
    • 自启动服务:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services
      • 2=自动启动,3=手动启动,4=禁用

  9. 硬件设备信息

    • HKEY_LOCAL_MACHINE\System\MountedDevices
    • 记录挂载的CD-ROM、DVD、硬盘、闪存等设备

  10. 关机时间

    • \HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Windows\ShutdownTime
    • 需使用时间转换工具转换为本地时间

九、Windows预读取文件分析

预读取系统特点

  • 目的:提高Windows性能(预测并预加载文件)
  • 版本:自XP起内置,Win10默认启用
  • 取证价值:即使删除应用程序,仍保留使用痕迹

关键信息

  • 位置:C:\windows\prefetch(.pf文件)
  • 包含内容:
    • 应用程序最后使用日期
    • 应用程序文件位置
    • 应用程序使用次数
    • 程序使用的文件列表

分析工具

  • WinPrefetchView(Nirsoft)等

十、浏览器取证

Firefox浏览器取证

  • 数据位置:C:\Users<user>\AppData\Roaming\Mozilla\Firefox\Profiles\eyksgzjn.default-release
  • 关键数据库:SQLite格式
  • 重要表:
    • moz_places:浏览历史记录
    • moz_inputhistory:输入内容
    • moz_cookies:Cookie信息

分析工具

  • Navicat等SQLite数据库查看工具

十一、取证工具与技巧

  1. 注册表编辑器:win+R → regedit
  2. 时间转换工具:用于转换注册表中的时间戳
  3. 哈希计算工具:确保数据完整性
  4. 镜像工具:DD、E01等格式创建工具
  5. 预读取分析工具:如WinPrefetchView
  6. SQLite查看工具:分析浏览器数据

十二、取证注意事项

  1. 始终保持证据链完整
  2. 任何操作前先创建备份
  3. 记录所有取证步骤和工具使用
  4. 注意时区对时间戳的影响
  5. 关注系统隐藏文件和注册表项
  6. 跨多个数据源验证取证结果
  7. 遵守法律程序和相关规定

通过系统性地应用这些技术和方法,取证调查员能够有效地收集、分析和呈现数字证据,为案件调查提供有力支持。

数字取证与计算机取证基础教学文档 一、数字取证概述 数字取证学描述了电子证据的收集、分析和报告全过程,从识别数字证据到完成分析并呈现于法庭诉讼。几乎所有犯罪活动都会留下"数字签名",这些数字痕迹可作为有效的诉讼证据。 应用领域 执法调查 企业调查 网络入侵分析 恶意软件分析 事件响应 NIST建议的七步调查流程 收集阶段 : 保护现场和证据 获取证据 保全证据 解释阶段 : 4. 恢复数据 5. 导航数据 6. 识别/提取关键证据 7. 分析证据 二、计算机取证基本原则 证据备份 :取证前必须对证据载体进行位级别备份(非文件级备份) 哈希校验 :使用MD5、SHA等算法计算备份哈希值用于完整性校验 原始数据保护 :所有分析在备份数据上进行,保留原始数据 无损取证 :取证手段不得破坏被取证对象 详细记录 :对获取的数据做完整记录并存档核查 保密性 :保护证据免受未经授权的访问和披露 三、硬盘克隆与镜像技术 硬盘克隆 定义 :硬盘到硬盘的物理级精确复制(逐磁道、逐扇区) 获取内容 :包括所有文件、已删除文件、隐藏文件、未分配区域、磁盘闲散空间 意义 : 保存原始证据 制作检验用精确拷贝 镜像数据法律上与原始证据等同 降低原证据盘检验风险 通过哈希值对比验证数据完整性 硬盘镜像 定义 :硬盘到文件的精确复制 常见格式 :DD、E01、AFF、BIN、ISO等 镜像类型比较 : | 类型 | 特点 | 优点 | 缺点 | 容量示例 | |------|------|------|------|----------| | DD镜像( .001) | 无压缩 | 兼容性强,制作速度快 | 占用空间大 | 1T硬盘→1T镜像 | | E01镜像( .e01) | 可压缩分段 | 节省空间,含元数据,CRC校验 | 需专业工具计算Hash | 1T硬盘(100G使用)→100G镜像 | E01元数据 :可记录调查人员、地点、机构、备注等信息 E01完整性 :32位CRC校验,防篡改 四、数据擦除标准 BMB 21-2007标准 (国家保密局): 零覆盖所有可寻址位置 用二进制0x01覆盖 随机数覆盖 随机数覆盖 随机数覆盖 零覆盖所有可寻址位置 注意 :使用旧盘进行硬盘克隆前需进行整体数据擦除 五、哈希(HASH)算法 基本概念 将任意长度输入转换为固定长度输出 用于校验数据完整性 常见算法 MD5 SHA-1 SHA-256 SHA-512 特性 相同内容→相同HASH 内容差异→不同HASH 不可逆性(无法从HASH恢复源文件) 应用场景 电子签名 数据安全 文件一致性检验 六、Windows文件系统 主要类型 FAT32 32位文件分配表 簇大小:512B-32KB 分区最大2TB(理论) 单个文件限制4GB 无安全机制(无EFS加密) exFAT 专为闪存设计(U盘等) 支持>4GB文件 解决FAT32限制 NTFS 64位文件分配表(更快读写搜索) 安全机制(支持EFS加密) 分区支持最大2TB 主文件表(MFT)作为文件索引 七、时区与时间戳 关键概念 时区 :基于UTC的时间偏移(全球24个时区) Unix时间戳 :自1970年1月1日00:00:00 UTC以来的毫秒数(通常精确到秒) 取证注意事项 记录设备和服务器的时区设置 跨时区调查需协调时间差异 时间戳是电子证据的重要组成部分 需考虑系统时钟设置对时间戳的影响 八、Windows注册表取证 注册表结构 五大根键 : HKEY_ USERS:所有加载的用户配置文件 HKEY_ CURRENT_ USER:当前登录用户配置 HKEY_ CLASSES_ ROOT:文件关联应用程序配置 HKEY_ CURRENT_ CONFIG:启动时的硬件配置 HKEY_ LOCAL_ MACHINE:硬件和软件设置 物理文件位置 : Win95/98:USER.DAT, SYSTEM.DAT WinNT/2000/XP/7/8/10:%SystemRoot%\System32\Config\ SAM:安全账户管理 SECURITY:安全性设置 SYSTEM:硬件和系统信息 SOFTWARE:安装软件信息 DEFAULT:用户配置 关键取证信息位置 系统信息 \HKEY_ LOCAL_ MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion 用户信息 \HKEY_ USERS\ 管理员权限用户ID最后为500 USB使用记录 泄密案件关键证据 可查看连接设备型号、序列号、名称 关键路径: SYSTEM\CurrentControlSet\Enum\USBSTOR SYSTEM\CurrentControlSet\Enum\USB SYSTEM\MountedDevices NTUSER.dat\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 无线网络信息 HKEY_ LOCAL_ MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Profiles 包含SSID名称和最后连接时间(十六进制) 近期文档 HKEY_ CURRENT_ USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs 按文件扩展名跟踪最近打开的文档 浏览器历史 HKEY_ CURRENT_ USER\Software\Microsoft\Internet Explorer\TypedURLs 记录IE浏览器访问的URL IP地址信息 HKEY_ LOCAL_ MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces 包含接口IP、子网掩码和DHCP信息 系统启动项 常规启动:HKEY_ LOCAL_ MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 仅启动一次:HKEY_ LOCAL_ MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce 自启动服务:HKEY_ LOCAL_ MACHINE\System\CurrentControlSet\Services 2=自动启动,3=手动启动,4=禁用 硬件设备信息 HKEY_ LOCAL_ MACHINE\System\MountedDevices 记录挂载的CD-ROM、DVD、硬盘、闪存等设备 关机时间 \HKEY_ LOCAL_ MACHINE\SYSTEM\ControlSet001\Control\Windows\ShutdownTime 需使用时间转换工具转换为本地时间 九、Windows预读取文件分析 预读取系统特点 目的:提高Windows性能(预测并预加载文件) 版本:自XP起内置,Win10默认启用 取证价值:即使删除应用程序,仍保留使用痕迹 关键信息 位置:C:\windows\prefetch(.pf文件) 包含内容: 应用程序最后使用日期 应用程序文件位置 应用程序使用次数 程序使用的文件列表 分析工具 WinPrefetchView(Nirsoft)等 十、浏览器取证 Firefox浏览器取证 数据位置:C:\Users\<user>\AppData\Roaming\Mozilla\Firefox\Profiles\eyksgzjn.default-release 关键数据库:SQLite格式 重要表: moz_ places:浏览历史记录 moz_ inputhistory:输入内容 moz_ cookies:Cookie信息 分析工具 Navicat等SQLite数据库查看工具 十一、取证工具与技巧 注册表编辑器 :win+R → regedit 时间转换工具 :用于转换注册表中的时间戳 哈希计算工具 :确保数据完整性 镜像工具 :DD、E01等格式创建工具 预读取分析工具 :如WinPrefetchView SQLite查看工具 :分析浏览器数据 十二、取证注意事项 始终保持证据链完整 任何操作前先创建备份 记录所有取证步骤和工具使用 注意时区对时间戳的影响 关注系统隐藏文件和注册表项 跨多个数据源验证取证结果 遵守法律程序和相关规定 通过系统性地应用这些技术和方法,取证调查员能够有效地收集、分析和呈现数字证据,为案件调查提供有力支持。