网警分析数据常用手段
(1)用搜索工具搜索所有的逻辑文件Slack磁盘空间、自由空间、未分配的空间中所有特定的数据。打个比方说:在上午10点的时候发生了犯罪事件,那么在使用搜索工具时肯定是首先搜索记录时间为10点左右的文件。
(2)由于黑客在犯罪时会删除数据,所以我们还要用数据恢复工具对没有覆盖的文件进行恢复。
(3)对系统中所有加密的文件进行解密。
(4)用MD5对原始证据上的数据进行摘要,然后把原始证据和摘要信息保存。
上面就是
网警
在取证时所要进行技术处理的地方,然后根据分析的结果(如IP地址等等)来抓人。
网警在取证时常用到的专业软件
文件浏览器:专门用来查看数据文件的阅读工具,只可以查看但没有编辑和恢复功能,可以防止数据的破坏,Quick View Plus是其中的代表。
图片检查工具:ThumbsPlus是一个可以对图片进行全面检查的工具。
反删除工具:Easy Undelete是一款Windows下强大的数据恢复和反删除软件。
文本搜索工具:dtSearch是一个很好的用于文本搜索的工具。
驱动器映像程序:就是拷贝和建立驱动器的映像,可以满足取证分析的磁盘映像软件,包括:SafeBack SnapBack Ghost等等。
Forensic Toolkit:是一系列基于命令行的工具,可以帮助推断Windows NT文件系统中的访问行为。
EnCase:主要功能有数据浏览、搜索、磁盘浏览、数据预览、建立案例、建立数据、 保存案例等。
CRCMD5:可以验证一个或者多个文件内容的CRC工具。
DiskScrub:一个可以清除硬盘驱动器中所有数据的工具。
DiskSig:用于验证映像备份的精确性。
FileList:一个磁盘目录工具,用来建立用户在系统上的行为时间表。
GetSlack:一个周围环境数据收集工具,用于捕获未分配的数据。
GetTime:一个周围环境数据收集工具,用于捕获分散的文件。
Net Threat Analyzer:网络取证分析软件,用于识别公司账号滥用。
NTI-DOC:一个文件程序,用于记录文件的日期、时间以及属性。
PTable:用于分析及证明硬盘驱动器分区的工具。
Seized:用于对证据计算机上锁及保护的程序。
ShowFL:用于分析文件输出清单的程序。
TextSearch Plus:用来定位文本或者图形软件中的字符串的工具。
通过上面的内容,相信大家对网警的取证工作有了一定的了解,取证的最终的目的就是要从海量的数据中提取出黑客犯罪后留下来的证据。
(来源:计算机与网络安全)
领取专属 10元无门槛券
私享最新 技术干货