网络与信息安全-计算机取证技术.ppt

《网络与信息安全-计算机取证技术.ppt》由会员分享，可在线阅读，更多相关《网络与信息安全-计算机取证技术.ppt（111页珍藏版）》请在装配图网上搜索。

1、 计算机取证技术 北京大学计算机系 刘欣 课程内容 课题背景 计算机犯罪简述 计算机取证概念、原则与步骤 国外计算机取证应用现状 国内计算机取证应用现状 取证过程与方法 展望 - 课题背景 随着社会信息化、网络化大潮的推进， 社会生活中的计算机犯罪由最初的 “ 小 荷才露尖尖角 ” 到目前的层出不穷，举 不胜举，因此，电子数据证据的法律效 力正在成为学界关注的焦点。 - 社会信息化发展步伐 硬件方面： Moore定律：每 18个月相同价格的集成电路 的处理能力就会加倍。 Intel研制出 纳米 晶体管 摩尔定律 将被推翻 硅芯片晶体密度提百倍 摩尔定律 再用 20年 CSDN - 英特尔即将启

2、用远紫外技术 摩尔定律 再 获新发展 - 社会信息化发展步伐 软件方面： 由最初的手动编制二进制代码到汇编语言、 高级语言、面向对象的概念、软件工程 到 UML建模技术，软件开发日益呈现工程 化、自动化趋势，软件的应用范围日益 拓展，已成为社会生活重要组成部分。 - 社会信息化发展步伐 网络与通信 ： 互联网在中国的发展 CNNIC的统计 :我们的网民总量截至 2002 年 7月为 4580万，上网计算机数量为 1613 万台， CN下注册的域名数量是 126146个。 WWW站点数（包 括 .CN、 .COM、 .NET、 .ORG下的网站）大 约 293213个。 - 计算机犯罪概念 Co

3、mputer related crime or computer aimed crime？ 广义说：计算机犯罪 通常是指所有涉及 计算机的犯罪。如： 欧洲经济合作与发展组织的专家认为 :“ 在自 动数据处理过程中任何非法的、违反职业道德 的、未经过批准的行为都是计算机犯罪。 ” 我国刑法学者有人认为 :“ 凡是故意或过失不 当使用计算机致使他人受损失或有受损失危险 的行为 ,都是计算机犯罪。 ” - 计算机犯罪概念 狭义说：计算机犯罪 通常是对计算机资产本身 进行侵犯的犯罪。例如： 瑞典的私人保密权法规定 :“ 未经过批准建立和保存 计算机私人文件 ,非法窃取电子数据处理记录或非法篡 改、删除

4、记录侵犯个人隐私的行为都是计算机犯罪。 ” 我国有学者认为 ,“ 计算机犯罪是指利用计算机操作 所实施的危害计算机信息系统 (包括内存数据及程序 ) 安全的犯罪行为 ” - 计算机犯罪概念 折衷说：计算机本身在计算机犯罪中以 “ 犯罪工具 ” 或 “ 犯罪对象 ” 的方式出现 ,这一概念注重的是计算机 本身在犯罪中的作用。如： 德国学者施奈德认为 :“ 计算机犯罪指的是利用电子 数据处理设备作为作案工具的犯罪行为或者把数据处 理设备当作作案对象的犯罪行为。 ” 我国学者认为 :“ 计算机犯罪是以计算机为工具或以 计算机资产为对象的犯罪行为。 ” - 计算机犯罪的特点 犯罪形式的隐蔽性 计算机犯

5、罪一般不受时间和地点限制 ,可以通 过网络大幅度跨地域远程实现 ,其罪源可来自 全球的任何一个终端 ,随机性很强。 计算机犯罪黑数高。 - 计算机犯罪的特点 犯罪主体和手段的智能性 计算机犯罪的各种手段中 ,无论是 “ 特洛依 木马术 ” ,还是 “ 逻辑炸弹 ” ,无一不是凭借高 科技手段实施的 ,而熟练运用这些手段并实现 犯罪目的的则是具有相当丰富的计算机技术知 识和娴熟的计算机操作技能的专业人员。 - 计算机犯罪的特点 复杂性 犯罪主体的复杂性。 犯罪对象的复杂性。 - 计算机犯罪的特点 跨国性 网络冲破了地域限制，计算机犯罪呈国际化趋势。因特网 络具有 “ 时空压缩化 ” 的特点，当各

6、式各样的信息通过因 特网络传送时，国界和地理距离的暂时消失就是空间压缩 的具体表现。这为犯罪分了跨地域、跨国界作案提供了可 能。犯罪分子只要拥有一台联网的终端机，就可以通过因 特网到网络上任何一个站点实施犯罪活动。而且，可以甲 地作案，通过中间结点，使其他联网地受害。由于这种跨 国界、跨地区的作案隐蔽性强、不易侦破，危害也就更大。 - 计算机犯罪的特点 匿名性 罪犯在接受网络中的文字或图像信息 的过程是不需要任何登记，完全匿名， 因而对其实施的犯罪行为也就很难控制。 罪犯可以通过反复匿名登录，几经周折， 最后直奔犯罪目标，而作为对计算机犯 罪的侦查，就得按部就班地调查取证， 等到接近犯罪的目标

7、时，犯罪分子早已 逃之夭夭了。 - 计算机犯罪的特点 损失大，对象广泛，发展迅速，涉及面广 计算机犯罪始于六十年代，七十年代迅速增 长，八十年代形成威胁。美国因计算机犯罪造 成的损失已在千亿美元以上，年损失达几十亿， 甚至上百亿美元，英、德的年损失也达几十亿 美元。 我国从 1986年开始每年出现至少几起或几十 起计算机犯罪，到 1993年一年就发生了上百起， 近几年利用计算机计算机犯罪的案件以每年 30%的速度递增，其中金融行业发案比例占 61%， 平均每起金额都在几十万元以上，单起犯罪案 件的最大金额高达 1400余万元，每年造成的直 接经济损失近亿元。 - 计算机犯罪的特点 持获利和探秘

8、动机居多 全世界每年被计算机犯罪直接盗走的资金达 20 亿美元。我国 2001年发现的计算机作案的经济 犯罪已达 100余件，涉及金额达 1700万元，在 整个计算机犯罪中占有相当的比例。 各种各样的个人隐私、商业秘密、军事秘密等 等都成为计算机犯罪的攻击对象。侵害计算机 信息系统的更是层出不穷。 - 计算机犯罪的特点 低龄化和内部人员多 我国对某地的金融犯罪情况的调查，犯罪的年龄在 35岁 以下的人占整个犯罪人数的比例： 1989年是 69.9%， 1990年是 73.2%， 1991年是 75.8%。其中年龄最小的只 有 18岁。 此外，在计算机犯罪中犯罪主体中内部人员也占有相当 的比例。

9、据有关统计，计算机犯罪的犯罪主体集中为 金融、证券业的 “ 白领阶层 ” ，身为银行或证券公司 职员而犯罪的占 78%，并且绝大多数为单位内部的计算 机操作管理人员；从年龄和文化程度看，集中表现为 具有一定专业技术知识、能独立工作的大、中专文化 程度的年轻人，这类人员占 83%，案发时最大年龄为 34 岁。 - 计算机犯罪的特点 巨大的社会危害性 网络的普及程度越高，计算机犯罪的危害也就 越大，而且计算机犯罪的危害性远非一般传统 犯罪所能比拟，不仅会造成财产损失，而且可 能危及公共安全和国家安全。据美国联邦调查 局统计测算，一起刑事案件的平均损失仅为 2000美元，而一起计算机犯罪案件的平均损

10、失 高达 50万美元。据计算机安全专家估算，近年 因计算机犯罪给总部在美国的公司带来的损失 为 2500亿美元 。 - 计算机犯罪的类型举例 非法侵入计算机信息系统罪。 刑法第 285条规定 ,违反国家规定 ,侵入国 有事务、国防建设、尖端科学技术领域的计算 机信息系统的 ,处三年以下有期徒刑或者拘役。 - 计算机犯罪的类型举例 破坏计算机信息系统罪。 这一行为刑法第 286条概括为破坏计算机信息系 统罪。主要表现为 : 故意对计算机信息系统功能进行删除、修改、增加、 干扰 ,造成计算机信息系统不能正常运行 ,后果严重的 行为 ; 故意对计算机信息系统中存储处理或者传输的数据 和应用程序进行删

11、除、修改、增加的操作 ,后果严重 的行为 ; 故意制作、传播计算机病毒等破坏性程序 ,影响计 算机系统正常运行 ,后果严重的行为。 - 计算机犯罪的类型举例 刑法第 287条规定了利用计算机实施金融 诈骗、盗窃、贪污、挪用公款、窃取国家秘密 罪。利用计算机实施盗窃的行为纳入盗窃罪定 罪处罚的范围 ,从而使盗窃罪更具信息时代的 特征。 如盗窃电子资金 ,不法分子往往利用电子资金 过户系统 ,例如定点销售系统 ( )、自 动存取款机 ( )自动化票据交换所 ( )、电子身份证系统等提供的便利 ,使用 计算机技术通过网络修改电子资金帐目 ,窃取 电子资金。 - 计算机犯罪的形式 数据欺骗 非法篡改输

12、入 /输出数据获取个人利益 ,是最普 通最常见的计算机犯罪活动。发生在金融系统 的此种计算机犯罪多为内外勾结 ,串通作案 ,由 内部人员修改数据 ,外部人员提取钱款。 - 计算机犯罪的形式 意大利香肠术 侵吞存款利息余额 ,积少成多的一种作案手段 , 是金融系统计算机犯罪的典型类型。这种方法 很像偷吃香肠一样 ,每次偷吃一小片并不引起 人们的注意 ,但是日积月累的数目也是相当可 观。此类案件在国内外均有发现 ,因为只有修 改计算机程序才能达到其犯罪目的 ,故多为直 接接触程序的工作人员所为。目前国内多数为 局域网管理银行帐目而产生此类犯罪 ,因此 ,要 警惕采用此手段作案的罪犯。 - 计算机犯

13、罪的形式 特洛依木马 “ 特洛依木马 ” 来源于古希腊传说 ,相传希 腊人为了攻陷特洛依城 ,在城外故意抛下一个 木马并假装撤退 ,特洛依人将木马拖回城内后 , 埋伏在木马内的希腊士兵就打开城门 ,里应外 合而将特洛依城攻陷。它是表面上来看是正常 合适的 ,但在内部却隐藏秘密指令和非法程序 段的程序的代名词。 “ 特洛依木马 ” 就是用来 表示以软件程序为基础进行欺骗和破坏的方法。 - 计算机犯罪的形式 冒名顶替 利用别人口令 ,窃用计算机谋取个人私利的做 法。在机密信息系统和金融系统中 ,罪犯常以 此手法作案。单用户环境多为内部人员所为 , 网络系统则可能为非法渗透。由于人们普遍存 在猎奇心

14、理 ,对别人加密程序 ,总想解密一睹 , 因此用户口令应注意保密和更新 ,且最好不用 容易破译的口令密码 ,如电话号码、出生日期、 人名缩写等。 - 计算机犯罪的形式 清理垃圾 从计算机系统周围废弃物中获取信息的一种 方法。由此带来损失的例子并不罕见 ,提醒计 算机用户不要随便处理所谓废弃物 ,因为其中 可能含有不愿泄漏的信息资料。 - 计算机犯罪的形式 逻辑炸弹 指插入用户程序中的一些异常指令编码 ,该代 码在特定时刻或特定条件下执行破坏作用 ,所 以称为逻辑炸弹或定时炸弹。 - 有关电子数据证据 任何材料要成为证据，均需具备三性： 客观性 关联性 合法性 - 计算机取证（电子取证）定义 计

15、算机取证专业资深人士 Judd Robins: 计算机取证不过是简单地将计算机调查和分析 技术应用于对潜在的、有法律效力的证据的确 定与获取上。 - 计算机取证（电子取证）定义 一家专业的计算机紧急事件响应和计 算机取证咨询公司： 计算机取证包括了对以磁介质编码信息方式 存储的计算机证据的保护、确认、提取和归档 。 - 计算机取证（电子取证）定义 一篇综述文章给出了如下的定义： 计算机取证是使用软件和工具，按照一些预 先定义的程序全面地检查计算机系统，以提取 和保护有关计算机犯罪的证据。 - 计算机取证（电子取证）定义 综合： 计算机取证是指对能够为法庭接受的、足 够可靠和有说服性的，存在于计

16、算机和相关外 设中的电子证据的确认、保护、提取和归档的 过程。 - 电子证据与传统证据的区别 计算机数据无时无刻不在改变； 计算机数据不是肉眼直接可见的，必须借助适 当的工具； 搜集计算机数据的过程，可能会对原始数据造 成很严重的修改，因为打开文件、打印文件等 一般都不是原子操作； 电子证据问题是由于技术发展引起的，因为计 算机和电信技术的发展非常迅猛，所以取证步 骤和程序也必须不断调整以适应技术的进步。 - 国外计算机取证历史及现状 法律的制定： 自 1976年的 Federal Rules of Evidence起，美 国出现了如下一些法律解决由电子证据带来的问题： The Economi

17、c Espionage Act of 1996:处理商业机密 窃取问题 The Electronic Communications Privacy Act of 1986:处理电子通信的窃听问题 The Computer Security Act of 1987(Public Law 100-235):处理政府计算机系统的安全问题 - 国外计算机取证历史及现状 取证技术： 逐渐走向自动化、智能化，政府与各专业 机构均投入巨大人力、物力开发计算机取证专 用工具。 - 国外计算机取证历史及现状 用于电子数据证据获取的工具： 如 Higher Ground Software Inc. 的软件 Har

18、d Drive Mechanic 可用于从被删除的 、 被格式 化的和已被重新分区的硬盘中获取数据 。 NTI 公司的 GetFree可从活动的 Windows Swap分区 中恢复数据 ， 该公司的软件 GetSlack可自动搜 集系统中的文件碎片并将其写入一个统一的文 件 。 - 国外计算机取证历史及现状 用于电子数据证据保全的工具： Guidance Software公司生产的硬件设备 Fastbloc可用 于 Windows操作系统下计算机媒质内容的快速镜像 ， NTI的软件系统 CRCMd5可用于在计算机犯罪调查过程中 保护已搜集来的电子证据 ， 保证其不被改变 ， 也可以 用于将系

19、统从一台计算机迁移到另一台计算机时保障 系统的完整性 。 该公司的软件 SEIZED可用于保证用户 无法对正在被调查的计算机或系统进行操作 。 - 国外计算机取证历史及现状 用于电子数据证据分析的工具： 这类工具中最著名的是 NTI公司的软件系统 Net Threat Analyzer。 该软件使用人工智能中的 模式识别技术 ， 分析 Slack磁盘空间 、 未分配 磁盘空间 、 自由空间中所包含的信息 ， 研究交 换文件 、 缓存文件 、 临时文件及网络流动数据 ， 从而发现系统中曾发生过的 Email交流 、 Internet浏览及文件上传下载等活动 ， 提取出 与生物 、 化学 、 核武

20、器等恐怖袭击 、 炸弹制造 及性犯罪等相关的内容 。 该软件在美国 9.11事 件的调查中起到了很大的作用 。 - 国外计算机取证历史及现状 用于电子数据证据归档的工具： 如 NTI公司的软件 NTI-DOC可用于自动记录电子数 据产生的时间 、 日期及文件属性 。 - 国外计算机取证历史及现状 结论： 针对计算机取证的全部活动而言 ， 美国的各研究 机构与公司所开发的工具主要覆盖了电子数据 证据的获取 、 保全 、 分析和归档的过程 ， 各研 究机构与公司也都在进一步优化现有的各种工 具 ， 提高利用工具进行电子证据搜集 、 保全 、 鉴定 、 分析的可靠性和准确度 ， 进一步提高计 算机取

21、证的自动化和智能化 。 但目前还没有能 够全面鉴定电子数据证据设备来源 、 地址来源 、 软件来源的工具 。 - 国内计算机取证历史及现状 我国的计算机普及与应用起步较晚 ， 有关计算机取证的 研究与实践工作也仅有 10年的历史 ， 相关的法律法规 仍很不完善 ， 学界对计算机犯罪的研究也主要集中于 计算机犯罪的特点 、 预防对策及其给人类带来的影响 。 目前法庭案例中出现的计算机证据都比较简单 ， 多 是文档 、 电子邮件 、 程序源代码等不需特殊工具就可 以取得的信息 。 但随着技术的进步 ， 计算机犯罪的水 平也在不断提高 ， 目前的计算机取证技术己不能满足 打击计算机犯罪 、 保护网络

22、与信息安全的要求 ， 自主 开发适合我国国情的 、 能够全面检查计算机与网络系 统的计算机取证的工具与软件已经迫在眉睫 。 - 计算机取证的主要原则 尽早搜集证据 ， 并保证其没有受到任何破坏 必须保证 “ 证据连续性 ” （ 有时也被称为 “ chain of custody ） ， 即在证据被正式提交给法庭时 ， 必须能够说明在证据从 最初的获取状态到在法庭上出现状态之间的任何变化 ， 当然 最好是没有任何变化 。 整个检查 、 取证过程必须是受到监督的 ， 也就是说 ， 由原告委派 的专家所作的所有调查取证工作 ， 都应该受到由其它方委派 的 专 家 的 监 督 。 - 计算机取证的基本

23、步骤 在取证检查中，保护目标计算机系统，避免发生任何 的改变、伤害、数据破坏或病毒感染。 搜索目标系统中的所有文件。包括现存的正常文件， 已经被删除但仍存在于磁盘上（即还没有被新文件覆 盖）的文件，隐藏文件，受到密码保护的文件和加密 文件。 全部（或尽可能）恢复发现的已删除文件。 - 计算机取证的基本步骤 最大程度地显示操作系统或应用程序使用的隐藏文 件、临时文件和交换文件的内容。 如果可能并且如果法律允许，访问被保护或加密文件 的内容。 - 计算机取证的基本步骤 分析在磁盘的特殊区域中发现的所有相 关数据。特殊区域至少包括下面两类： 所谓的未分配磁盘空间 虽然目前没有被使用，但 可能包含有先

24、前的数据残留。 文件中的 “ slack空间 如果文件的长度不是簇长 度的整数倍，那么分配给文件的最后一簇中，会有未 被当前文件使用的剩余空间，其中可能包含了先前文 件遗留下来的信息，可能是有用的证据。 - 计算机取证的基本步骤 打印对目标计算机系统的全面分析结果，然后给出分 析结论：系统的整体情况，发现的文件结构、数据、 和作者的信息，对信息的任何隐藏、删除、保护、加 密企图，以及在调查中发现的其它的相关信息。 给出必需的专家证明。 - 计算机取证的基本步骤 注： 如上计算机取证原则及步骤都是基于一种静态的视点， 即事件发生后对目标系统的静态分析。随着计算机犯 罪技术手段的提高，这种静态的视

25、点已经无法满足要 求，发展趋势是将计算机取证结合到入侵检测等网络 安全工具和网络体系结构中，进行动态取证。整个取 证过程将更加系统并具有智能性，也将更加灵活多样 。 - 数据获取技术包括： 对计算机系统和文件的安全获取技术，避免对原始介 质进行任何破坏和干扰； 对数据和软件的安全搜集技术；对磁盘或其它存储介 质的安全无损伤备份技术； 对已删除文件的恢复、重建技术； - 计算机取证相关技术 数据获取技术包括： 对磁盘空间、未分配空间和自由空间中包含的信息的 发掘技术； 对交换文件、缓存文件、临时文件中包含的信息的复 原技术； 计算机在某一特定时刻活动内存中的数据的搜集技术 ； 网络流动数据的获取

26、技术等。 - 计算机取证相关技术 数据分析技术：在已经获取的数据流或信息流中 寻找、匹配关键词或关键短语是目前的主要数 据分析技术，具体包括： 文件属性分析技术； 文件数字摘要分析技术； 日志分析技术； - 计算机取证相关技术 数据分析技术： 根据已经获得的文件或数据的用词、语法和写作（编 程）风格，推断出其可能的作者的分析技术； 发掘同一事件的不同证据间的联系的分析技术； 数据解密技术； 密码破译技术； 对电子介质中的被保护信息的强行访问技术等。 - 计算机取证技术发展趋势 计算机取证技术进一步与信息安全技术相结合。 在网络协议设计过程中考虑到未来取证的需要，为潜 在的取证活动保留充足信息。

27、（如 Recursive session token protocol used in computer forensics and TCP traceback） 取证工具的开发往往结合人工智能、机器学习、神经 网络和数据挖掘技术。 - 电子数据证据的获取技术性采集 关于数据恢复原理： 微机系统，大多采用 FAT、 FAT32或者 NTFS三种文件系统。以 FAT 文件系统为例，数据文件写到基于该系统的磁盘上以后，会 在目录入口和 FAT表中记录相应信息。目录入口保留我们通常 通过资源管理器等工具能看到的文件信息，如文件名称、大 小、类型等，它还保留了该文件在 FAT表（ File Alloc

28、ation Table 文件分配表）中相应记录项的地址；而 FAT表记录了该 文件在磁盘上所占用的各个实际扇区的位臵。当我们从磁盘 上删除一个文件（并从 Windows提供的回收站中清除，下同） 后，该文件在目录入口中的信息就被清除了，在 FAT表中记录 的该文件所占用的扇区也被标识为空闲，但其实这时保存在 磁盘上的实际数据并未被真正清除；只有当其他文件写入， 有可能使用该文件占用的扇区时（因为它们已被标识为空闲 ），该文件才会被真正覆盖掉。 - 电子数据证据的获取技术性采集 文件被删除或系统被格式化时的恢复： 一般的来说，文件删除仅仅是把文件的首字节，改为 E5H， 而 并 不破坏本身，因此

29、可以恢复。但由于对不连续文件要恢复 文件 链，由于手工交叉恢复对一般计算机用户来说并不容易 ，用工具处理，如可用 Norton Utilities， 可以用他来查找 。另外， RECOVERNT 等工具，都是 恢复的利器。特别注意的 是，千万不要在发现文件丢失后，在 本机安装什么恢复工具 ，你可能恰恰把文件覆盖掉了。特别是 你的文件在 C盘的情 况下，如果你发现主要文件被你失手清掉了 ，（比如你按 SHIFT删除），你应该马上直接关闭电源，用软盘 启动进行 恢复或把硬盘串接到其他有恢复工具的机器处理。误格 式化 的情况可以用等工具处理。 - 电子数据证据的获取技术性采集 文件损坏时的恢复 :

30、一般的说，恢复文件损坏需要清楚的了解文件的结构，不是 很 容易的事情，而这方面的工具也不多。不过一般的说，文 件如果 字节正常，不能正常打开往往是文件头损坏。就文件 恢复举几个 简单例子。 类型 特征 处理 ZIP、 TGZ等压缩包无法解压 ZIP文件损坏的情况下可以用一个名为 ZIPFIX的工具 处理。 - 电子数据证据的获取技术性采集 文件损坏时的恢复 : 自解压文件无法解压 可能是可执行文件头损坏，可以用对应压缩工具按一 般 压缩文件解压。 DBF文件死机后无法打开 典型的文件头中的记录数与实际不匹配了，把文件头 中 的记录数向下调整。 - 电子数据证据的获取技术性采集 硬盘被加密或变换

31、时的恢复： 一定要反解加密算法，或找到被移走的重要扇区。 对于那些加密硬盘数据的病毒，清除时一定要选择能 恢复加密数据的可靠杀毒软件。 - 电子数据证据的获取技术性采集 加密文件后密码破解： 采用口令破解软件，如 zipcrack等，其原理是字典攻 击。 有些软件是有后门的，比 如 DOS 下的 WPS， Ctrl+qiubojun就是通用密码。 - 电子数据证据的获取技术性采集 缺乏用户口令进入文件系统方法： 用软盘启动（也可以把盘挂接在其他 NT上），找到支持 该文件系统结构的软件（比如针对 NT的 NTFSDOS）， 利用他把密码文件清掉、或者是 COPY出密码档案，用 破解 软件套字典

32、来处理。 - 电子数据证据的获取技术性采集 其余数据恢复策略： 系统不认硬盘 系统从硬盘无法启动，从 A盘启动也无法进入 C盘， 使用 CMOS中的自动监测功能也无法发现硬盘的存在。 这种故障大都出现在连接电缆或 IDE端口上，硬盘本 身故障的可能性不大，可通过重新插接硬盘电缆或者 改换 IDE口及电缆等进行替换试验，就会很快发现故 障的所在。如果新接上的硬盘也不被接受，一个常见 的原因就是硬盘上的主从跳线，如果一条 IDE硬盘线 上接两个硬盘设备，就要分清楚主从关系。 - 电子数据证据的获取技术性采集 其余数据恢复策略： CMOS引起的故障 CMOS中的硬盘类型正确与否直接影响硬盘的正常使用

33、。现在 的机器都支持 “ IDE Auto Detect的功能，可自动检测硬盘 的类型。当硬盘类型错误时，有时干脆无法启动系统，有时 能够启动，但会发生读写错误。比如 CMOS中的硬盘类型小于 实际的硬盘容量，则硬盘后面的扇区将无法读写，如果是多 分区状态则个别分区将丢失。还有一个重要的故障原因，由 于目前的 IDE都支持逻辑参数类型，硬盘可采用 “ Normal,LBA,Large等，如果在一般的模式下安装了数据 , 而又在 CMOS中改为其它的模式，则会发生硬盘的读写错误故 障，因为其映射关系已经改变，将无法读取原来的正确硬盘 位臵。 - 电子数据证据的获取技术性采集 其余数据恢复策略：

34、主引导程序引起的启动故障 主引导程序位于硬盘的主引导扇区，主要用于检测硬盘分区的正 确性，并确定活动分区，负责把引导权移交给活动分区的 DOS 或其他操作系统。此段程序损坏将无法从硬盘引导，但从软 驱或光驱启动之后可对硬盘进行读写。修复此故障的方法较 为简单，使用高版本 DOS的 FDISK最为方便，当带参数 /mbr运 行时，将直接更换 (重写 )硬盘的主引导程序。实际上硬盘的 主引导扇区正是此程序建立的， FDISK.EXE之中包含有完整的 硬盘主引导程序。虽然 DOS版本不断更新，但硬盘的主引导程 序一直没有变化，从 DOS 3.x到 Windos 95的 DOS， 只要找到一 种 DO

35、S引导盘启动系统并运行此程序即可修复。 - 电子数据证据的获取技术性采集 其余数据恢复策略： 分区表错误引发的启动故障 分区表错误是硬盘的严重错误，不同的错误程度会造成不同 的损失。如果是没有活动分区标志，则计算机无法启动。但 从软驱或光驱引导系统后可对硬盘读写，可通过 FDISK重臵活 动分区进行修复。 如果是某一分区类型错误，可造成某一分区的丢失。分区表 的第四个字节为分区类型值，正常的可引导的大于 32MB的基 本 DOS分区值为 06，而扩展的 DOS分区值是 05。很多人利用此 类型值实现单个分区的加密技术，恢复原来的正确类型值即 可使该分区恢复正常。 - 电子数据证据的获取技术性采

36、集 其余数据恢复策略： 分区表错误引发的启动故障 分区表中还有其它数据用于记录分区的起始或终止地址。这 些数据的损坏将造成该分区的混乱或丢失，可用的方法是用 备份的分区表数据重新写回，或者从其它的相同类型的并且 分区状况相同的硬盘上获取分区表数据。 恢复的工具可采用 NU等工具软件，操作非常方便。当然也 可采用 DEBUG进行操作，但操作繁琐并且具有一定的风险。 - 电子数据证据的获取技术性采集 其余数据恢复策略： 分区有效标志错误的故障 在硬盘主引导扇区中还存在一个重要的部分，那就是其最后 的两个字节： “ 55aa， 此字节为扇区的有效标志。当从硬盘 、软盘或光盘启动时，将检测这两个字节，

37、如果存在则认为 有硬盘存在，否则将不承认硬盘。此处可用于整个硬盘的加 密技术，可采用 DEBUG方法进行恢复处理。另外，当 DOS引导 扇区无引导标志时，系统启动将显示为： “ Mmissing Operating System。 可使用 DOS系统通用的修复方法。 - 电子数据证据的获取技术性采集 其余数据恢复策略： DOS引导系统引起的启动故障 DOS引导系统主要由 DOS引导扇区和 DOS系统文件组成。系统 文件主要包括 IO.SYS、 MSDOS.SYS、 COMMAND.COM， 其中 COMMAND.COM是 DOS的外壳文件，可用其它的同类文件替换， 但缺省状态下是 DOS启动的

38、必备文件。在 Windows 95携带的 DOS系统中， MSDOS.SYS是一个文本文件，是启动 Windows必须 的文件，但只启动 DOS时可不用此文件。 DOS引导出错时，可 从软盘或光盘引导系统后使用 SYS C:命令传送系统，即可修 复故障，包括引导扇区及系统文件都可自动修复到正常状态 。 - 电子数据证据的获取技术性采集 其余数据恢复策略： FAT表引起的读写故障 FAT表记录着硬盘数据的存储地址，每一个文件都有一组 FAT链指定其存放 的簇地址。 FAT表的损坏意味着文件内容的丢失。庆幸的是 DOS系统本身提 供了两个 FAT表，如果目前使用的 FAT表损坏，可用第二个进行覆盖

39、修复。 但由于不同规格的磁盘其 FAT表的长度及第二个 FAT表的地址也是不固定的 ，所以修复时必须正确查找其正确位臵，一些工具软件如 NU等本身具有这 样的修复功能，使用也非常的方便。采用 DEBUG也可实现这种操作，即采 用其 m命令把第二个 FAT表移到第一个表处即可。如果第二个 FAT表也损坏 了，则也无法把硬盘恢复到原来的状态，但文件的数据仍然存放在硬盘的 数据区中，可采用 CHKDSK或 SCANDISK命令进行修复，最终得到 *.CHK文件 ，这便是丢失 FAT链的扇区数据。如果是文本文件则可从中提取出完整的 或部分的文件内容。 - 电子数据证据的获取技术性采集 其余数据恢复策略

40、： 目录表损坏引起的引导故障 目录表记录着硬盘中文件的文件名等数据，其中最重要的一 项是该文件的起始簇号。目录表由于没有自动备份功能，所 以如果目录损坏将丢失大量的文件。一种减少损失的方法也 是采用 CHKDSK或 SCANDISK程序恢复的方法，从硬盘中搜索出 *.CHK文件，由于目录表损坏时仅是首簇号丢失，每一个 *.CHK文件即是一个完整的文件，把其改为原来的名字即可恢 复大多数文件。 - 电子数据证据的获取技术性采集 其余数据恢复策略： 格式化后硬盘数据的恢复 在 DOS高版本状态下， FORMAT格式化操作在缺省状态下都建 立了用于恢复格式化的磁盘信息，实际上是把磁盘的 DOS引导

41、扇区、 FAT分区表及目录表的所有内容复制到了磁盘的最后几 个扇区中 (因为后面的扇区很少使用 )，而数据区中的内容根 本没有改变。这样通过运行 UNFORMAT命令即可恢复。另外 DOS 还提供了一个 MIROR命令用于记录当前磁盘的信息，供格式化 或删除之后的恢复使用，此方法也比较有效。 - 电子数据证据的获取技术性采集 网络数据获取方法： Sniffer: 如： windows平台上的 sniffer工具： netxray和 sniffer pro软 件等 Linux平台下的 TCPDump： dump the traffice on a network.， 根据使用者的定义对网络上的数

42、据包进行截获的包分析工具 。 - 电子数据证据保全技术 数据加密技术： 加密就是把数据和信息转换为不可辩识的密文的过程 ，使不应了解该数据和信息的人不能够识别，欲知密 文的内容，需将其转换为明文，这就是解密过程。加 密系统的组成 。 加密是在不安全的环境中实现信息安全传输的重要方 法。 - 电子数据证据保全技术 数据加密技术： 称为报文，任何加密系统，不管形式多么复杂，至少 包括以下 4个组成部分： 1 2 3、加密、解密装臵或算法； 4、用于加密和解密的钥匙，它可以是数字、词 汇或语句 - 电子数据证据保全技术 传统加密方法： 代码加密 预先设定的一组代码，它简单而有效，得到了广泛的 应用。

43、例如： - 电子数据证据保全技术 传统加密方法： 替换加密 一组字母，例如下面的一组字母之间的对应关系就构 成了一个替换加密器。 A B C D 密文字母： L K J L - 电子数据证据保全技术 传统加密方法： 排列。例如： 3 1 4 5 2 6 0 - 电子数据证据保全技术 传统加密方法： 密器的灵活性，可采用一次性密码簿进行加密。密码 簿的每一页都是不同的代码表，可以用一页上的代码 来加密一些词，用后毁掉；再用另一页的代码加密另 一些词，直到全部的明文都被加密，破译密文的惟一 方法就是获得一份相同的密码簿。 - 电子数据证据保全技术 基于公钥的加密算法： RSA PHP - 电子数据

44、证据保全技术 数字摘要技术： 数字摘要技术（ Digital Digest） 也称作为安全 HASH 编码法（ SHA： Secure Hash Algorithm）。 数字摘要 技术用于对所要传输的数据进行运算生成信息摘要， 它并不是一种加密机制，但却能产生信息的数字 指 纹 ，它的目的是为了确保数据没有被修改或变化， 保证信息的完整性不被破坏。 - 电子数据证据保全技术 数字摘要技术的特点 ： 它能处理任意大小的信息，并对其生成固定大小 的数据摘要，数据摘要的内容不可预见 对于相同的数据信息进行 HASH后，总是能得到同样 的摘要；如果数据信息被修改，进行 Hash后，其摘要 必定与先前不

45、同 HASH函数是不可逆的，无法通过生成的数据摘要恢 复出源数据 - 电子数据证据保全技术 数字签名技术 数字签名（ Digital Signature） 用来保证信息传输 过程中完整性、提供信息发送者的身份认证和不可抵 赖性。使用公开密钥算法是实现数字签名的主要技术 。 由于公开密钥算法的运算速度比较慢，因此可使 用 HASH函数对要签名的信息进行摘要处理，减小使用 公开密钥算法的运算量。因此，数字签名一般是结合 了数字摘要技术和公开密钥算法共同使用 - 电子数据证据保全技术 实现数学签名的过程： 签名信息 1. 对信息 M进行 HASH函数处理，生成摘要 H 2. 用你的（发送者的）私钥加密 H来获取数字签名 S 3. 发送 M, S 验证签名信息 1. 接受 M, S 并区分开它们 2. 对接收到的信息 M进行 HASH函数处理，生成摘要 H* 3. 取得发送者的公钥 4. 用公钥解密 S， 来获取 H 5. 比较 H和 H*， 如果 H和 H*是一样的，即说明信息在发送过程中没有被 篡改。 由于对信息进行数字签名后，明文信息也通过网络进行传递，因此，在做 完数字签名后，还要对整个信息（包括明文信息 M和数字签名的密文信息 S