来源:中海义信 时间:2024-12-09 08:30:56
电子证据可分解为数据电文证据与附属信息证据。数据电文证据主要用于证明法律关系或待证事实。附属信息证据主要用于证明数据电文证据真实可靠,即证明电子数据从哪一计算机系统或IP地址在何时发送的以及后来又经过哪一计算机系统或IP地址发出的指令而进行修改或者增删。
附属信息存在于路由器、交换机、应用服务器等网络设备(日志)中,电子取证是把各台设备中获得的信息串到一起进行分析,把网络整体看作一个案件现场,最终揭示发生在网络及其基础设施上的案件经过。互联网中的功能设备是一个完整互联的生态系统,本文介绍它们在调查取证中的价值及存放其中的数据如何提取。
一、网络数据传输过程介绍
1、在浏览器中输入网址www.xxxx.com,DNS协议进行域名解析,找到该域名对应的IP地址x.x.x.x;
2、浏览器将数据通过IP协议进行传输。数据包中包含:IP有源地址,目标地址。客户端将IP地址传输给交换机,交换机依据ARP协议查找到IP地址对应MAC地址;
3、与MAC地址对应的网卡,将数据包发送到路由器,路由器到路由表中查询目标IP传输路径;
4、数据包到达对方路由器、交换机,通过ARP协议,找到目标服务器的MAC地址,根据MAC地址找到目标服务器;
5、目标服务器对比数据包中MAC地址,对比IP地址, 沿来路回复“已到达目标服务器” ,数据传输过程完成。
网络数据传输流程图
案例:GC公司有一套集中管理入侵监测系统,该系统安全操作员发现一个点对点(P2P)文件共享报警,进一步分析表明这个被共享的文件名似乎与一个目前正在上映的电影有关。有人正在用公司的网络传播盗版。公司高管认为,如果公司员工非法传播盗版音乐或电影,公司也将因此被拖入一场代价高昂的法律纠纷中去。GC公司调查员的调查步骤:
1、 从报警信息中,获得非法传播盗版信息的IP地址,及盗版信息数据包;
2、 通过分析,该IP地址是通过DHCP(分配临时IP地址的服务器)分配出去;
3、 检查DHCP分配日志,找出该IP地址的物理网卡地址(MAC);
4、 调查员调查交换机,通过CAM表映射,找到MAC地址与物理端口映射表,该端口在邮件管理员房间;
5、 在该管理员房间一堆待重装系统计算机中,调查员把MAC地址一致的电脑找出来;
6、 对该电脑硬盘进行分析,盗版视频仍然存在硬盘上,并且保留嫌疑活动的相关记录。
案例来源:《黑客大追踪:网络取证核心原理与实践》
二、电子取证中技术基础
网络数据传输中主要使用服务器、客户端、路由器、交换机、集线器等属于网络设备,也称为网络互联设备。服务器和客户端是访问节点,路由器、交换机、集线器、网卡等是转换和交换信息的转接节点。
1、 IP地址:IP协议是计算机网络相互连接进行通信的协议。IP协议给因特网上每台计算机分配唯一的地址为“IP地址”。无论是局域网,还是广域网中的计算机之间进行通信,最终都表现为将数据包从某种形式的链路上的一个IP地址(节点)出发,从一个节点传递到另一个节点,最终传送到目的IP地址(节点)。
2、 域名:IP地址唯一地标记网络上的计算机,但IP地址是一长串数字,用户记忆十分不方便,不能显示地址组织的名称和性质等。人们又发明了另一套字符型的地址方案,即所谓的域名地址(www.***.com),IP地址和域名是一一对应的。
3、DNS服务器:将域名和IP地址相互映射的服务器。浏览者在浏览器地址框中打入某一个域名,浏览器向上网接入商发出域名请求,接入商的DNS服务器要查询域名数据库,获取这个域名指向的IP地址。获得IP信息后,接入商的服务器去IP地址所对应的服务器上抓取网页内容,然后传输给发出请求的浏览器。
4、MAC地址:网络中每台设备都有一个唯一的网络标识,这个地址叫MAC地址或网卡地址,由网络设备制造商生产时写在硬件内部。数据包的传送过程就是:不断地将目标节点(IP)的地址映射到一个个中间节点的MAC地址,再从一个个中间节点MAC地址出发,直到找到最终的目标IP地址、MAC地址。
5、ARP(地址解析协议):IP地址与MAC地址的映射要通过ARP地址解析协议来完成,它可将网络中的IP地址映射到主机的MAC地址。数据包在这些节点之间的传递都是由 ARP负责将IP地址映射到 MAC地址上来完成的。交换机、路由器中均可保存ARP映射。
6、DHCP服务器:由服务器控制一段IP地址范围,客户机登录服务器时就可以自动获得服务器分配的IP地址和子网掩码。电脑连上网,DHCP服务器才从地址池里临时分配一个IP地址给到主机,每次上网分配的IP地址可能会不一样,这跟当时IP地址资源有关。
7、交换机。把局域网连在一起,在物理上把多台主机或端口(网段)连接成局域网。当交换机接收到来自网上一个数据包时,会根据该数据包的目标IP地址,查看交换机内部是否有跟该IP地址对应的MAC地址 ,如果有上次保留下来的对应的MAC地址,就会将该数据包 转发到对应MAC地址的主机上去。如果在交换机内部没有与目标地址对应的MAC地址,则交换机会根据ARP协议,将目标IP地址按照“表”中的对应关系映射成MAC地址 ,数据包就被转送到对应的MAC地址的主机上 。交换机中有一张CAM表,表中存储物理端口与各网卡MAC地址对应关系。给出指定设备MAC地址后,就能确定与之对应的物理端口。
8、路由器:数据从一个子网传输到另一个子网时,可通过路由器来完成,这个地址可能是中间地址,也可能是最终的到达地址。网络中的设备相互通信,路由器根据具体的IP地址来转发数据,路由器读取每一个数据包中的地址然后决定如何传送,路由器有判断网络地址和选择路径的功能。取证价值:路由器中路由表记录了路由器端口与其所连接网络端口映射关系,取证人员可通过路由表画出数据流动路径。
三、电子取证程序(软件)的应用命令
计算机命令就是指挥机器工作的指示和指令,程序就是一系列按一定顺序排列的指令,执行程序的过程就是计算机的工作过程。电子取证程序常用应用指令包括:Ipconfig、Ping、Tracert、Netstat、RunDll32.exe、dig、 selenium等。
1、Ipconfig:该命令可以用于获得主机配置信息,包括IP地址、子网掩码和默认网关,用来检测人工配置的TCP/IP协议是否正确。
2、Ping:该命令是常用的网络测试命令,是各种网络操作系统中都含有的一个专用于TCP/IP协议的探测工具。使用该命令查看所测试的网络设备是否可达。确定本地主机是否能与另一台主机成功交换(发送与接收)数据包,再根据返回的信息,就可以推断TCP/IP参数是否设置正确,以及运行是否正常、网络是否通畅等。
3、Tracert:该命令是路由跟踪实用程序,用于确定IP数据到访问目标所采取的路径。在命令行中输入“tracert ”并在后面加入一个IP地址,可以查询从本机到该IP地址所在的电脑要经过的路由器及其IP地址。在命令行中输入“tracert ”后面接一个网址,DNS解析会自动将其转换为IP地址并探查出途经的路由器信息。
4、dig工具:全称为域名信息搜索器,能够显示详细的DNS域名解析查询过程,测试域名系统工作是否正常,是DNS故障诊断工具。
5、Netstat:该命令用于显示IP、TCP协议相关统计数据,它可以显示路由表、实际的网络连接以及每一个网络接口设备的状态信息,可以让用户得知有哪些网络连接正在运作。
网站内容来自网络,如有侵权请联系我们,立即删除!
Copyright © 挑百科 琼ICP备2023010360号-12