❶ 計算機取證的計算機取證常用工具
計算機取證常用工具有ENCASE X-WAYS FTK 效率源DATACOMPASS等工具
❷ 計算機工具都有哪些
問的太泛了,所有計算機程序可以算是計算機工具,建議追問具體需要做什麼
❸ 計算機取證的計算機取證的方式
從技術角度看,計算機取證是分析硬碟,光碟,軟盤,Zip磁碟,U盤,內存緩沖和其他形式的儲存介質以發現犯罪證據的過程,即計算機取證包括了對以磁介質編碼信息方式存儲的計算機證據的保護、確認、提取和歸檔。取證的方法通常是使用軟體和工具,按照一些預先定義的程序,全面地檢查計算機系統,以提取和保護有關計算機犯罪的證據。
計算機取證主要是圍繞電子證據進行的。電子證據也稱為計算機證據,是指在計算機或計算機系統運行過程中產生的,以其記錄的內容來證明案件事實的電磁記錄。多媒體技術的發展,電子證據綜合了文本、圖形、圖像、動畫、音頻及視頻等多種類型的信息。與傳統證據一樣,電子證據必須是可信、准確、完整、符合法律法規的,是法庭所能夠接受的。同時,電子證據與傳統證據不同,具有高科技性、無形性和易破壞性等特點。高科技性是指電子證據的產生、儲存和傳輸,都必須藉助於計算機技術、存儲技術、網路技術等,離開了相應技術設備,電子證據就無法保存和傳輸。無形性是指電子證據肉眼不能夠直接可見的,必須藉助適當的工具。易破壞性是指電子證據很容易被篡改、刪除而不留任何痕跡。計算機取證要解決的重要問題是電子物證如何收集、如何保護、如何分析和如何展示。
可以用做計算機取證的信息源很多,如系統日誌,防火牆與入侵檢測系統的工作記錄、反病毒軟體日誌、系統審計記錄、網路監控流量、電子郵件、操作系統文件、資料庫文件和操作記錄、硬碟交換分區、軟體設置參數和文件、完成特定功能的腳本文件、Web瀏覽器數據緩沖、書簽、歷史記錄或會話日誌、實時聊天記錄等。為了防止被偵查到,具備高科技作案技能犯罪嫌疑人,往往在犯罪活動結束後將自己殘留在受害方系統中的「痕跡」擦除掉,如盡量刪除或修改日誌文件及其他有關記錄。但是,一般的刪除文件操作,即使在清空了回收站後,如果不是對硬碟進行低級格式化處理或將硬碟空間裝滿,仍有可能恢復已經刪除的文件。
❹ 涉密計算機檢查工具有哪些
"涉密不上網、上網不涉密"是計算機保密管理中的一條原則。但"一機兩用"(既處理涉密信息又上互聯網)導致泄密的現象仍屢有所聞,因此必要的技術檢查不可或缺。從工作實踐看,現用於政府系統辦公自動化的計算機主要是微機,採用的操作系統大多是微軟的WINDOWS系列,考慮到WINDOWS操作系統的基本界面差不多,下面以Win 2000為例,介紹初步的計算機信息檢查方法:
★如何檢查硬碟中是否存有涉密信息?
通過點擊:開始-搜索-文件或文件夾,在彈出界面的"要搜索的文件或文件夾名為:"中輸入要檢查的文件類型(例如,DOC、TXT等)。
選擇"本機硬碟驅動器...."後,點擊"立即搜索",計算機根據用戶選擇的文件類型搜索本機硬碟上的文件,並將該類型的文件全部列出在該界面的右邊。根據右邊顯示的文件名,判斷哪些文件可能涉密,需要查看其內容時,雙擊該文件名,計算機自動打開該文件,檢查者通過瀏覽其內容,判斷是否包含涉密信息。
此外,檢查人員可以查看"垃圾箱"和"我的文檔",了解使用者最近刪除的一些文件和文檔。★如何檢查計算機是否上過互聯網?
計算機安裝Windows操作系統後,系統能自動記錄用戶使用過程中的一些信息,包括文件的建立和修改時間以及上網情況等。因此,一台計算機是否上過互聯網或瀏覽器曾瀏覽過何種文件等,都可以通過檢查獲知。下面是計算機是否能上互聯網或何時瀏覽過何網頁的檢查方法:
1.看計算機是否安裝了數據機。外置數據機可以直接看到實體,內置數據機可以看到在計算機背面有接電話線的插口。筆記本電腦如果安裝了數據機,則在筆記本電腦一側有接電話線的插口或插有調制解調卡(用一根專用的轉換線連接電話線與調制解調卡)。
2.看計算機是否安裝了網卡。有的地區網路基礎建設比較好,具有寬頻上網的條件,因此不需安裝數據機。檢查方法是查看計算機背面是否有RJ45的網線插口。
以上是檢查計算機硬體的情況,如果沒有上述硬體,在目前的辦公條件下就不可能上互聯網(正在興起的無線互聯技術需要特殊的軟、硬體和技術、資金支持),但該機是否上過互聯網,還需做進一步檢查。)3.檢查是否裝有撥號軟體。通過雙擊:我的電腦-控制面板-網路和撥號連接,查看是否裝有撥號軟體或進行了相應設置。
如果有設置好的連接,那麼雙擊圖標,計算機將自動打開撥號軟體界面,接著點擊"屬性",從中可以看到撥號上網的電話號碼和用戶上網賬號等信息。如果只有"新建連接",則說明該計算機現在沒有配置撥號軟體。值得一提的是,配置一個撥號軟體可在一分鍾內完成,非常容易。因此有的人可能為對付檢查事先刪除撥號設置。
4.檢查曾經瀏覽過的信息。通過點擊:開始-程序-Internet Explorer打開瀏覽器,然後通過點擊:工具-Internet選項-設置-查看文件,計算機會顯示這個瀏覽器曾瀏覽過的信息界面,檢查者根據需要可打開某個網頁信息,方法是通過雙擊第一列中IE瀏覽器圖標,計算機將保存在硬碟中的該網頁打開,該網頁就是用戶曾上互聯網的記錄。
檢查瀏覽器曾瀏覽過的信息也可直接查看Temporary Internet Files文件夾。其位置一般在"C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files"。5.如果上步找不到計算機上互聯網的記錄,則需要進行以下檢查。打開瀏覽器,點擊查看-瀏覽器欄-歷史記錄廠通過點擊左邊的圖標,查看近期計算機瀏覽器曾瀏覽過的信息,查看是否有上互聯網的網址或網頁。
以上方法是基於Windows操作系統自有設置實現的,普通的計算機用戶都能做到,因此它的局限性也很明顯。如果用戶對計算機系統進行了重新安裝,或者在檢查前清除了以上信息,則上述方法無效。
❺ 有哪些數字取證工具呢
有哪些
數字取證
工具呢?這個取證工具是非常多的,具體是什麼你可以直接去查一查,看一看就能知道是什麼曲針織工具了。
❻ 網路取證及軟體取證都有哪些
網路
國家計算機等級考試 四級 網路工程師
.計算機技術與軟體專業技術資格(水平)考試(簡稱軟考):初級的網路管理員,中級的網路工程師
思科,華為的網路工程師。這兩個類型的網路工程師證國際通行,很吃香,當然考試也是比較難的,思科考試全英文。一般是從事網路工作一兩年後再考比較靠譜。
軟體
證書很多的.軟體工程師和MCSD最好.
系統分析師.軟體設計師 .網路工程師 .電子商務設計師 .資料庫系統工程師 .信息系統項目管理師 .系統架構師 .軟體程序員 .電子商務設計員 .信息系統監理師 .軟體評測師.
不過.你對軟體感興趣.那就考一個軟體設計師或者軟體測評師.相比之下軟體設計師更好.去比較大的公司做開發.掙錢嘩嘩的.不過工作壓力很大.
微軟認證是國際上計算機科學最權威最專業的.當然也是最難和最貴的.主要有:MCTS 「微軟認證技術工程師 (MCTS)
」認證能夠讓專業人員將目標放在特定的技術上.在工作中展示他們深度的知識及獨特的專長.
MCITP 「微軟認證 IT專家
(MCITP)」認證可表明您在規劃.部署.支持.維護和優化 IT 基礎架構的特殊專長.
MCPD 「微軟認證開發專家
(MCPD)」認證可表明您是專家級的 Windows 應用程序開發人員.Web 應用程序開發人員或企業應用程序開發人員.
MCAP 「微軟認證架構師計劃 (MCAP)」的對象是解決方案架構設計師與基礎結構架構設計師.
MCDST 「微軟認證操作系統技術支持工程師 (MCDST)」認證證明您擁有技術和客戶服務技巧.可以疑難解答Windows環境中的硬體和軟體作業問題.
MCSA 「微軟認證系統管理員 (MCSA)」認證表明您懂得管理以 Windows
平台為基礎的網路與系統環境.特別包含有「MCSA:信息處理」和「MCSA:信息安全」兩個特別科目.
MCSE
「微軟認證系統工程師 (MCSE)」認證表明您懂得以 Windows 平台與 Microsoft Server
軟體為基礎的基礎結構解決方案.特別包含有「MCSE:信息處理」和「MCSE:信息安全」兩個特別科目.
MCDBA
「微軟認證資料庫管理員 (MCDBA)」認證表明您懂得設計.操作及管理 Microsoft SQL Server 資料庫.
MCT 「微軟認證講師 (MCT)」是微軟認可的專門講師.負責為 IT 專業人員與開發人員講授微軟培訓課程.
MCAD 「微軟認證應用程序開發專家 (MCAD)」認證表明您能使用微軟技術來開發及維護部門層次的應用程序.組件.Web
或桌面客戶端.或是後端數據服務.
MCSD 「微軟認證解決方案開發專家
(MCSD)」認證表明您能使用微軟開發工具.技術.平台與 Windows 結構來設計及開發尖端企業級解決方案.
MOS
「微軟 Office 專家 (MOS)」認證展現您使用微軟辦公軟體的技能.
❼ <美國聯邦調查局計算機取證工具集>中的那些軟體是干什麼用的
希望這個能對你有用:
美國聯邦調查局計算機取證工具集
http://lib.verycd.com/2006/09/22/0000120874.html
美國聯邦調查局計算機取證工具集包含了大量計算機取證時需要用到的硬碟數據恢復,cookie還原,internet日誌恢復,md文件校驗,備份硬碟景象,內存數據讀取,加密文件破解,ntfs文件系統工具等所需要的工具。如大名鼎鼎的encase軟體,x-way軟體 ,face3full 軟體。例外該工具集支持光碟啟動,使用Gentoo Linux 2.6 內核,XFCE - GUI桌面軟體,
Apache2 - Server,Mysql PHP4,Open Office,Gimp - Graphics Program,KSnapshot - Screen Capture Program,Mozilla,Gnome CD Master,K3b - CD Burner,XMMS - media player,Porthole - Gentoo GraphicsPackage Manager,Karchiver - GZIp GUI 等應用軟體。該工具集集專業與日常應用與一身,是計算機安全人士必備的工具集。
記得加分哦 ^_^
❽ 取證工具.取證工具用什麼好
要看取什麼證,一般來說錄相機比較全面,錄像是時裡面最好還要有證人,但證人不能是親屬,或有其他密切關系的人,主要是利益關系等。再就是錄音工具了。
❾ 通常進行計算機系統犯罪取證的方法有哪幾種
一、計算機犯罪的定義
我國公安部定義:計算機犯罪是以計算機為工具或以計算機資源位對象實施的犯罪行為。《中華人民共和國刑法》規定了四個罪名:一是非法入侵計算機信息系統罪;二是破壞計算機信息系統功能罪;三是破壞計算機信息系統數據、應用程序罪,四是製作、傳播計算機病毒等破壞性程序罪。具體為《刑法》第285條和第286條。以上是典型性計算機犯罪,另外還有非典型計算機犯罪,即利用計算機進行的其他犯罪或准計算機犯罪,就是指既可以用信息科學技術實施也可以用其他方法實施的犯罪,在《刑法》第287條中舉例並規定的利用計算機實施金融詐騙、盜竊、貪污、挪用公款、竊取國家秘密或者其他犯罪。
二、計算機犯罪的主要手段
計算機的犯罪手段隨著計算機技術的發展不斷推陳出新,技術含量越來越高,案件的偵破難度越來越大,計算機犯罪常用的手段如下:
1.義大利香腸術
這種計算機犯罪是採用不易被察覺的方法,使對方自動做出一連串的細小讓步,最後達到犯罪的目的,這是典型的金融系統計算機犯罪。
2.盜竊身份
盜竊身份主要是指通過某種方法竊取用戶身份,享用用戶身份的許可權,從而可以以授權用戶的身份進入計算機操作系統,進行各種破話操作。破解用戶密碼是盜用用戶身份的最常用方法。
3.活動天窗
所謂活動天窗就是指程序設計者為了對軟體進行調試和維護,在設計程序時設置在計算機軟體中的「後門」程序,通過「後門」黑客可以繞過程序提供的正常安全性檢查而進入計算機軟體系統,並且可能法制木馬程序,達到其入侵的目的。
4.計算機病毒
計算機病毒的破壞能力是絕對不可小覷的,輕則導致應用程序無法正常使用,丟失尚未保存的臨時數據,嚴重的可能導致系統癱瘓,並且丟失所有數據,甚至可以損壞計算機硬體。
5.數據欺騙
數據欺騙是指非法篡改計算機輸入、處理和輸出過程中的數據或者輸入虛假數據,以這樣的方法實現犯罪目的,這是一種相對簡單的計算機犯罪手段。
三、計算機取證的定義和步驟
關於計算機取證的定義還沒有權威組織給出確切的定義。著名的計算機專家Judd Robbins對計算機取證的定義是:「計算機取證不過是將計算機調查和分析技術應用於潛在的、有法律效力的證據的確定與獲取」。計算機取證實際上就是對計算機犯罪的證據進行獲取、保存、分析和出示的法律規范和科學技術,即對計算機證據的保護、提取和歸檔的過程。
在司法鑒定的實施過程中的計算機取證的基本步驟如下:
1.案件受理
案件受理是調查機關了解案情、發現證據的重要途徑,是調查活動的起點,是依法開展工作的前提和基礎。受理案件時,要記錄案情,全面的了解潛在的與案件事實相關的電子證據。
2.保護現場
首先要凍案件現場的計算機系統,保護目標計算機,及時地維持計算網路環境的狀態,保護數碼設備和計算機設備等作案工具中的線索痕跡,在操作過程中必須避免發生任何更改系統設置、硬體損壞、數據破壞或病毒感染的情況發生,避免電子證據遭到破壞或丟失。
3.收集證據
主要收集以下數據信息:計算機審核記錄(包括使用者賬號、IP地址、使用和起止時間等)、客戶登錄資料(包括申請賬號時填寫的姓名、電話、地址等基本資料)、犯罪事實資料(證明該犯罪事實存在的數據資料,包括文本文件、屏幕截屏、原始程序等)。
4.固定證據
固定證據可以保證電子證據的完整性和客觀性。首先對電子證據的存儲要選用適當的存儲介質,並且要進行原始的鏡像備份。因為電子證據的實質是電磁信號,如果消磁便無法挽回,所以電子證據在運輸和保管的過程中不應靠近磁性物質,不可放置在有無線電接收設備的汽車內,不能放置在高溫或低溫的環境中,要放置在防潮、乾燥的地方,非相關人員不得操作存放電子證據的設備。
5.分析證據
在進行數據分析之前要將數據資料備份以保證數據的完整性,要對硬碟、U盤、PDA內存、存儲卡等存儲介質進行鏡像備份,必要時還要重新製作數據備份材料,分析電子證據時應該對備份資料進行非破壞性分析,使用數據恢復的方法將刪除、修改、隱藏的電子證據盡可能的進行恢復,然後再在恢復的資料中分析查找證據。
6.證據歸檔
應當把電子證據的鑒定結果進行分類歸檔保存,以供法庭訴訟時使用,主要包括對電子證據的檢查內容:涉及計算機犯罪的時間、硬碟的分區情況、操作系統和版本;取證時,數據信息和操作系統的完整性、計算機病毒評估情況、文件屬性、電子證據的分析結果和評估報告等信息。
四、計算機取證的主要技術
如今犯罪分子所採用的技術手段越來越多樣,相對的計算機取證技術也在不斷的提升,也加入了很多的先進技術。
1.主機取證技術
研究計算機犯罪發生後主機取證的有關技術,如計算機硬碟高速拷貝技術,就是主要研究讀寫硬碟數據的相關協議、高速介面技術、數據容錯技術、CRC-32簽名校驗技術等。文檔碎片分析技術主要是研究根據已經獲得的數據編寫風格推斷出作者的分析技術、根據文件的碎片推斷出其格式的技術。數據恢復技術主要研究把遭到破壞的數據或由於硬體原因丟失的數據或因誤操作丟失的數據還原成正常數據。
2.網路數據取證技術
主要是研究對網路信息數據流進行實時捕獲,通過數據挖掘技術把隱藏在網路數據中的有用數據分析並剝離出來,從而有效定位攻擊源。因為網路傳輸的數據包能被共享信道的所有主機接收,因此可以捕捉到整個區域網內的數據包,一般從鏈路層捕獲數據,按照TCP/IP的結構進行分析數據。無線網路的數據分析和一般乙太網一樣,逐層進行剝離。另外網路追蹤技術是指發現攻擊者後如何對其進行定位,研究快速定位和跟蹤技術。
3.主動取證技術
主動取證技術是當前取證技術研究的重點內容,如入侵取證系統可以對所監聽網段的數據進行高效、完整的記錄,記錄被取證主機的系統日誌,防止篡改,保證數據的原始性和不可更改性,達到對網路上發生的事件完全記錄。入侵取證系統在網路中是透明的,它就像攝像機一樣完整記錄並提供有效的網路信息證據。
隨著計算機及網路的不斷發展,我們的工作生活都逐步趨向網路化、無紙化、數字化,在享受這些便利的同時,滋生了越來越多的計算機犯罪。計算機犯罪在我國已呈現逐年上升的勢頭,並且智力難度越來越大,令人欣慰的是國家法律法規正在逐步完善,計算機犯罪取證技術不斷提高,從一定程度上遏制了計算機犯罪的發展。
❿ 常見的信息採集工具有哪些
1、NSLOOKUP
nslookup命令幾乎在所有的PC操作系統上都有安裝,用於查詢DNS的記錄,查看域名解析是否正常,在網路故障的時候用來診斷網路問題。信息安全人員,可以通過返回的信息進行信息搜集。
2、DIG
Dig也是對DNS信息進行搜集的工具,dig 相比nsllooup不光功能更豐富,首先通過默認的上連DNS伺服器去查詢對應的IP地址,然後再以設置的dnsserver為上連DNS伺服器。
3、Whois
whois就是一個用來查詢域名是否已經被注冊,以及注冊域名的詳細信息的資料庫(如域名所有人、域名注冊商)。通過whois來實現對域名信息的查詢。早期的whois查詢多以命令列介面存在,但是現在出現了一些網頁介面簡化的線上查詢工具,可以一次向不同的資料庫查詢。
網頁介面的查詢工具仍然依賴whois協議向伺服器發送查詢請求,命令列介面的工具仍然被系統管理員廣泛使用。whois通常使用TCP協議43埠。每個域名/IP的whois信息由對應的管理機構保存。
5、主動信息搜集
Recon-ng是一個信息搜集的框架,它之於信息搜集完全可以和exploit之於metasploit framework、社會工程學之於SET。
5、主動信息搜集
主動信息搜集是利用一些工具和手段,與搜集的目標發生一些交互,從而獲得目標信息的一種行為。主動信息搜集的過程中無法避免會留下一些痕跡。