Investigación sobre tecnología informática forense
Con el rápido desarrollo de la tecnología informática y de redes, problemas como los delitos informáticos y la seguridad de las redes se han vuelto cada vez más prominentes y han Poco a poco atrajo la atención de la gente. Se introducen las características, principios y pasos de la informática forense, y finalmente se estudian en profundidad dos técnicas forenses basadas en máquinas y dispositivos autónomos y basadas en red.
Palabras clave: informática forense recuperación de datos cifrado y descifrado red honeypot
Con el rápido desarrollo de la tecnología informática y de redes, las computadoras y las redes han desempeñado un papel importante en la vida política, económica y cultural humana. Y los asuntos de defensa nacional desempeñan un papel cada vez más importante, y cuestiones como los delitos informáticos y la seguridad de las redes adquieren cada vez más importancia. Aunque se han adoptado una serie de equipos y medidas de protección como firewalls de hardware, sistemas de detección de intrusos y aislamiento de red, así como precauciones de seguridad como mecanismos de autorización, mecanismos de control de acceso, mecanismos de registro y copias de seguridad de datos, la seguridad absoluta del El sistema no se puede garantizar.
La tecnología informática forense se refiere al uso de medios técnicos avanzados, de acuerdo con procedimientos preestablecidos y cumpliendo las normas legales, para detectar, descubrir, almacenar, proteger y analizar de forma integral los sistemas de software y hardware informáticos. pruebas relacionadas con delitos informáticos y pruebas electrónicas que sean suficientemente creíbles para ser admisibles en los tribunales. El objetivo de la informática forense es identificar al intruso y explicar o reproducir todo el proceso de intrusión.
1. Características de la informática forense
La evidencia electrónica, al igual que la evidencia tradicional, debe ser creíble, precisa, completa, persuasiva y cumplir con las normas legales. Además, la evidencia electrónica tiene las siguientes características:
1. La evidencia electrónica se diferencia de la evidencia física tradicional en que no puede verse directamente a simple vista y debe combinarse con ciertas herramientas. Básicamente, los portadores de evidencia electrónica son todos componentes electrónicos, y la evidencia electrónica en sí es solo una cadena de información binaria ensamblada en un orden especial.
2. Los datos de la computadora pueden estar cambiando todo el tiempo. Durante el funcionamiento del sistema, los datos se actualizan y reescriben constantemente, especialmente si el sospechoso tiene un cierto nivel de conocimientos informáticos y realiza operaciones destructivas irreversibles en los rastros de uso de la computadora, será difícil reproducir la escena. Además, los investigadores forenses inevitablemente abrirán archivos y programas durante el proceso de recopilación de pruebas electrónicas, y es probable que estas operaciones causen daños de primer nivel en la escena.
3. Polimorfismo. El polimorfismo de la evidencia electrónica significa que la evidencia electrónica puede aparecer en muchas formas, incluidos datos en buffers de impresora, sonidos, videos, imágenes y texto en diversos medios de almacenamiento de computadoras, y registros históricos en espera de equipos de transmisión y intercambio de redes. Estas diferentes formas pueden convertirse en los tipos de pruebas presentadas. Al aceptar pruebas, el tribunal no sólo debe considerar si el proceso de generación y recopilación de pruebas electrónicas es confiable, sino también garantizar que las pruebas electrónicas no hayan sido falsificadas, manipuladas ni reemplazadas.
4. Interacción persona-ordenador. Las computadoras son operadas por humanos. Es posible que la evidencia electrónica por sí sola no pueda restaurar todo el proceso penal. Debe combinarse con operaciones humanas para formar un registro completo. En el proceso de recopilación de pruebas y restauración de la escena, es posible obtener el doble de resultado con la mitad de esfuerzo si se tienen en cuenta los patrones de pensamiento y los hábitos de comportamiento de las personas.
2. Principios y pasos de la informática forense
(1) Principios fundamentales de la informática forense
1. Las pruebas electrónicas deben recopilarse lo más rápido posible para garantizar que no se hayan visto comprometidas, y las pruebas deben obtenerse de manera oportuna.
2. ¿Estás seguro? ¿Una letanía de pruebas? de integridad. También conocida como preservación de evidencia, es decir, cuando la evidencia se presenta formalmente ante el tribunal, esta debe poder explicar cualquier cambio entre el estado de adquisición inicial y el estado que aparece ante el tribunal, incluyendo el traslado, almacenamiento, desembalaje, carga y descarga. de pruebas, etcétera.
3.Principios de seguridad. Si está permitido y es factible, es mejor hacer dos o más copias de la evidencia informática, y la evidencia original debe ser manipulada por una persona dedicada. El lugar de almacenamiento debe estar alejado de entornos hostiles como magnetismo fuerte, corrosión fuerte y altas temperaturas. , alta presión, polvo y humedad para evitar que la evidencia sea destruida.
4. Todo el proceso es controlable. Se debe supervisar todo el proceso de inspección y recolección de pruebas. Durante la transferencia, almacenamiento, desembalaje y carga y descarga de pruebas, debe ser completado por más de dos personas. Cada enlace debe ser auténtico, creíble e ininterrumpido para evitar que las pruebas sean destruidas deliberadamente.
(2) Pasos principales de la recopilación de pruebas informáticas
1. Investigación del sitio de la fábrica
La inspección tiene como objetivo principal obtener pruebas físicas. Primero, debemos proteger el sistema informático.
Si la computadora de destino todavía está conectada a la red, debemos desconectar la red inmediatamente para evitar la destrucción remota de datos. Si la computadora de destino todavía está encendida, no se puede apagar inmediatamente. Mantenerse en buen estado de funcionamiento facilita la recopilación de pruebas. Por ejemplo, algunos datos pueden permanecer en una memoria intermedia, que suele ser la última prueba importante que los delincuentes pasan por alto. Si es necesario desmontar o mover el equipo, se deben tomar fotografías y archivarlas para poder restaurar la escena del crimen más adelante.
2. Obtener evidencia electrónica
Incluyendo recopilación de datos estáticos y recopilación de datos dinámicos. Los datos estáticos incluyen archivos normales existentes, archivos eliminados, archivos ocultos, archivos cifrados, etc. y archivos temporales u ocultos que el sistema o la aplicación deben utilizar en la mayor medida posible. Los datos dinámicos incluyen registros de computadora, cachés, tablas de enrutamiento, procesos de tareas, conexiones de red y sus puertos, etc. Los datos dinámicos deben recopilarse rápida y cuidadosamente y, si no se tiene cuidado, pueden verse superados por nuevas operaciones y sobrescrituras de archivos.
3. Proteger la integridad y originalidad de la evidencia
Durante el proceso de recolección de evidencia, se debe prestar atención a tomar medidas para proteger la evidencia y se deben copiar los diversos datos extraídos. y hizo una copia de seguridad. El equipo físico extraído, como dispositivos de almacenamiento como discos ópticos y discos duros, equipos de red como enrutadores y conmutadores, y equipos periféricos como impresoras, deben ser fotografiados y grabados en vídeo por personal dedicado durante el proceso de traslado y desmantelamiento, y luego sellados. . Para la información electrónica extraída, se deben utilizar algoritmos hash como MD5 y SHA para proteger y verificar su integridad. Cualquiera de las operaciones anteriores deberá ser firmada y confirmada por dos o más personas al mismo tiempo.
4. Analizar y enviar resultados
Esta es la clave y el núcleo de la informática forense. Imprime los resultados del análisis completo del sistema informático de destino, incluida una lista de todos los archivos relevantes y los datos de los archivos encontrados, y luego brinda la conclusión del análisis, incluida la situación general del sistema, la estructura de los archivos descubiertos, los datos, la información del autor y otra información sospechosa descubierta. durante la investigación. Luego de realizar diversas marcas y registros, se presenta formalmente a las autoridades judiciales en forma de prueba y de acuerdo con los procedimientos legales.
3. Tecnologías relacionadas con la informática forense
La informática forense implica una amplia gama de tecnologías que cubren casi todos los campos de la seguridad de la información. Desde la perspectiva de las fuentes de evidencia, la tecnología informática forense se puede dividir aproximadamente en dos categorías: tecnología informática forense basada en máquinas y equipos independientes y tecnología informática forense basada en redes.
(1) Tecnología forense basada en equipos independientes
1. Tecnología de recuperación de datos
La tecnología de recuperación de datos se utiliza principalmente para recuperar discos eliminados o formateados por usuarios Borrar evidencia electrónica. Para las operaciones de eliminación, solo se marca la ubicación de almacenamiento correspondiente al archivo. La información del espacio en disco ocupado por el archivo aún existe sin que se vuelva a escribir el archivo. Parece que los usuarios comunes lo han perdido, pero de hecho pueden recuperar los datos restaurando el archivo. marca de archivo. Para las operaciones de formateo, solo inicializa las distintas tablas del sistema de archivos sin manipular los datos en sí. Los datos eliminados se pueden recuperar reconstruyendo la tabla de particiones y la información de arranque. Los experimentos muestran que los técnicos pueden recuperar datos que se han sobrescrito 7 veces con la ayuda de herramientas de recuperación de datos.
2. Tecnología de cifrado y descifrado
Por lo general, los delincuentes cifran la evidencia relevante. Para los investigadores forenses, los datos cifrados deben descifrarse antes de que la información original pueda convertirse en evidencia electrónica efectiva. Las técnicas y métodos de descifrado de contraseñas utilizados en informática forense incluyen principalmente criptoanálisis, descifrado de contraseñas, búsqueda de contraseñas, extracción y recuperación de contraseñas.
3. Tecnología de filtrado y minería de datos
Los datos obtenidos mediante informática forense pueden ser texto, imágenes, audio o vídeo. Estos tipos de archivos pueden ocultar información delictiva y los delincuentes pueden incrustar información en estos tipos de archivos mediante esteganografía. Si los delincuentes combinan la tecnología de cifrado para procesar información y luego la integran en archivos, será muy difícil recuperar la información original, lo que requiere el desarrollo de mejores herramientas de extracción de datos para descartar correctamente la evidencia electrónica requerida.
Tecnología forense basada en red
La tecnología forense basada en red es una tecnología que utiliza la red para rastrear y localizar delincuentes u obtener pruebas a través de datos de comunicación de red, incluidas las siguientes tecnologías:
1. Tecnología de identificación y adquisición de direcciones IP y MAC
Utilice el comando ping para enviar una solicitud al host de destino y escuchar las respuestas ICMP. El host está en línea y luego usa otros comandos avanzados para continuar con la inspección en profundidad.
También puede utilizar una herramienta de escaneo de IP para obtener la IP, o utilizar el método de consulta inversa de DNS para obtener la dirección IP, o puede obtener la IP a través del soporte del ISP del proveedor de servicios de Internet.
La dirección MAC pertenece al nivel de hardware y la conversión entre dirección IP y MAC se logra consultando la tabla ARP del Protocolo de resolución de direcciones. Por supuesto, las direcciones MAC, al igual que las direcciones IP, pueden modificarse, por lo que alguna vez estuvieron inundadas. ¿Suplantación de ARP? Los caballos de Troya logran sus objetivos modificando la dirección IP o MAC.
2. Tecnología forense del sistema IO de red
Es decir, el sistema de entrada y salida de la red, utilizando el comando netstat para rastrear al sospechoso, puede obtener el nombre de dominio y la dirección MAC del sospechoso. computadora. La tecnología de detección de intrusos más representativa es IDS, que se divide en detección de eventos específicos y detección de cambios de patrones. Su mayor ayuda para la recopilación de pruebas es que puede proporcionar funciones de registro o registro, que pueden utilizarse para monitorear y registrar actividades delictivas.
3. Técnicas forenses del correo electrónico
El correo electrónico utiliza protocolos de aplicación sencillos y almacenamiento y reenvío de texto. La información del encabezado contiene la ruta entre el remitente y el receptor. Se puede obtener evidencia analizando la ruta del encabezado. La clave es saber dónde se almacenan los mensajes de correo electrónico dentro del protocolo de correo electrónico. Para el protocolo POP3, debemos acceder a la estación de trabajo para obtener la información del encabezado. Los correos electrónicos enviados según el protocolo HTTP generalmente se almacenan en el servidor de correo electrónico. El servicio de correo del sistema operativo Microsoft suele utilizar el protocolo SMTP. Los piratas informáticos pueden insertar fácilmente cualquier información, incluidas direcciones de origen y destino falsificadas, en los encabezados de los mensajes utilizando el protocolo SMTP. La forma principal de rastrear su correo es pedir ayuda a su ISP o utilizar herramientas especiales como NetScanTools.
4. Tecnología forense de red Honeypot
Honeypot se refiere a datos confidenciales falsos, que pueden ser una red, una computadora o un servicio en segundo plano, o contraseñas y bases de datos falsas. Una red honeypot es un sistema de red compuesto por múltiples honeypots que pueden recopilar e intercambiar información. A través del control de datos, la captura y la recopilación de datos, los investigadores controlan y analizan los ataques en redes honeypot. Las tecnologías clave de las redes honeypot incluyen engaño de red, captura de ataques, control de datos, análisis de ataques y extracción de características, alerta temprana y tecnologías de defensa. Actualmente se utilizan ampliamente los sistemas de honeypot activos, que pueden proporcionar los servicios de engaño correspondientes según el propósito del ataque del atacante, retrasar el tiempo del intruso en el honeypot, obtener así más información y tomar medidas específicas para garantizar la seguridad del sistema.
Materiales de referencia:
【1】Lu Xiying. Un breve análisis de la tecnología informática forense [J], Fujian Computer, 2008(3).
[2]Liu Ling. Una breve discusión sobre informática forense estática y dinámica informática [J], Computers and Modernization, 2009(6).
¿Lo viste? ¿Documento técnico sobre informática forense? La gente todavía ve:
1. Trabajo de investigación sobre delitos informáticos y tecnología de cobranza
2. Trabajo sobre tecnología forense de teléfonos móviles Android
3. seguridad
p>4. Papel de seguridad informática
5. Papel de muestra de seguridad informática