时间:2016-02-02 13:43 文章来源:http://www.lunwenbuluo.com 作者:丁丽萍,王永吉 点击次数:
3.2.2针对电子邮件和新闻组的取证技术[6]
电子邮件和新闻组的共同特征是,都是用简单的应用协议和文本存储转发,只允许信息在多个中间系统上穿过,信息的主体由可打印的字符构成,头信息中包含了从发送者到接收者之间的路径.所以,可以对信息发送路径上的痕迹进行分析以获取证据。
从电子邮件中获取证据.电子邮件中获取证据的关键是要了解电子邮件协议中的邮件信息的存储位置,例如接收邮件时,对于仅存储收到信息的POP3协议,我们必须访问工作站才能对邮件进行跟踪.基于网页进行发送和接收的HTTP协议将发送和接收到的信息存储到服务器上,但可以手工下载到本地,有助于鉴别假冒行为.微软的邮件应用编程接口(mailAPI,简称MAPI)能够存储所有信息.发送邮件时,采用的协议是SMTP(简单邮件传输协议),网络黑客最先学会的技术之一就是如何通过telnet到SMTP服务器的25端口手工发送邮件信息.他们可以插入任何信息到你要发送的邮件的头文件中一一包括伪造的源地址和目标地址.他们也可能在配置邮箱时选择手工输入发信人地址,由于SMTP没有强壮的认证机制,在没有使用PGP或者S/MIME(安全的多功能互联网邮件扩展)来添加数字签名的情况下,邮件信息的可信度非常低.跟踪伪造的电子邮件的主要方法是请求ISP的帮助.而取证人员必须学会解读邮件的头文件,一般的邮件服务程序,如FOXMAIL,OUTLOOK,OUTLOOKEXPRESS等都可以通过选中某邮件再执行菜单命令(如文件菜单中的属性或查看菜单中的选项)来查看详细的头信息.跟踪电子邮件还可以使用专用工具,如NetScanTools.在使用Eudora作为客户端软件时要想看到头文件只需在"BlahBlahBlah"按钮上单击鼠标即可.从电子邮件中获取证据的一个例子就是某两所高校爆炸案的破获.案件发生后,公安机关立即对互联网特别是校园网进行严密监控.3月6日11时许,其中一高校宣传部电子信箱收到一用户名为huanglaoxie0225@yahoo.com.cn发来的邮件,发件人在邮件中自称是两校爆炸案的制造者,并在该邮件中详细叙述了爆炸装置的构成情况,从该人叙述内容看与公安机关现场勘查情况基本相符,他声称第3次爆炸在所难免,并约定收件人于3月7日~10日在搜狐网站"校园文化"聊天室中以"水木清华"的昵称与其讨论有关两校爆炸的相关情况.3月6日14时,公安机关对高校宣传部接收邮件的计算机进行了现场勘查,获取了邮件信头等相关信息,并立即针对huanglaoxie0225@yahoo.com.cn开展调查取证工作.经查,该邮箱于2003年3月5日9时在雅虎中国网站申请注册,注册IP地址为218.104.239.141,经使用取证技术定位,其物理位置在福建省福州市,由中国网通福建分公司分配给某网吧使用.该邮箱曾于3月5日凌晨3时32分、6时23分相继向两所高校、新华网和中华网发送了内容相同的电子邮件.后经一系列的侦查取证确定了犯罪嫌疑人并在确认的网吧将其抓获[17]。
跟踪新闻组.跟踪的方式和跟踪电子邮件一样,不仅需要与所跟踪的信息有关的所有新闻服务器管理员协作,而且还需要这些管理员提供足够的日志文件.但由于繁忙的USENET站点每天都更新日志文件,所以必须在24小时内完成取证工作.跟踪的方法也是从接收点开始往回查找,对路径中的每个主机进行验证.解读分析头文件信息也是关键。
3.2.3网络输入输出系统取证技术[6]
可以使用NetBIOS的nbtstat命令来跟踪嫌疑人.该命令可以获取嫌疑人的机器所在的域名和MAC地址等,并且可以将获得的信息打印出来.最常用的技术是入侵检测技术(IDS).IDS-般有两种使用方式:基于网络的和基于主机的.基于网络的IDS-般安置在一个网段内,检查网段内每台主机的流量,寻找未授权活动的证据.例如,可以使用一台单独的集中式的入侵检测引擎,记录所有的日志信息,并基于多个运程传感器所提供的数据报警,这些传感器位于多个不同的局域网段中.基于主机的IDS在单个主机上执行监测功能.IDS-般分为检测特定事件的和检测模式变化的.检测特定事件的IDS需要定期更新特征数据库,因为它无法对数据库以外的事件发出警报.检测模式变化的模型使用人工智能技术,创建一个系统,用来监测反常行为,当超出了正常模式时,就可以报警.IDS对取证的最大帮助是它提供的日志或记录功能可以被用来监视和记录犯罪嫌疑人的行为。
联系方式
随机阅读
热门排行