计算机犯罪取证分析：Chapter4 文件系统分析

"这是一份关于计算机犯罪取证的课件，源自中国人民大学系统与信息安全研究实验室，由石文昌博士/教授/博导主讲，基于《Forensic Discovery》英文教材的Chapter04，主要讲解了文件系统分析的相关内容。课程涵盖了真实入侵案例的法医分析、取证数据收集的方法、如何制作用于分析的文件系统镜像、通过网络发送这些镜像到分析机器、以及通过现有文件、已删除文件和inode号序列进行的法医证据分析。" 在计算机犯罪取证领域，了解并掌握文件系统分析至关重要。Chapter04的内容详细阐述了以下几个关键知识点： 1. **真实入侵案例的法医分析**：课程以一个实际的案例为例，展示了在2004年9月25日，一个利用Linux系统rpc.statd服务的“格式字符串”漏洞进行的攻击。攻击者通过这个漏洞覆盖内存，获得了对rpc.statd进程乃至整个系统的完全控制。 2. **系统日志文件中的信息**：系统日志文件是取证过程中的重要线索，如课程中提到的日志条目，可以揭示攻击发生的时间、受影响的服务以及可能的异常行为。例如，日志显示了gethostbyname错误和额外的telnet/tcp服务配置。 3. **取证数据收集**：有效的数据收集方法是确保证据完整性和可接受性的基础。这包括制作文件系统镜像，以保护原始数据不受修改，同时能全面记录系统状态。 4. **制作文件系统镜像**：为了进行深入的分析，通常需要创建文件系统的完整副本，即镜像文件。这样可以避免在取证过程中对原始数据的破坏，并方便在不同的分析环境中复现问题。 5. **网络传输镜像**：将镜像文件安全地发送到分析机器是取证流程的关键步骤，需要确保在传输过程中数据的完整性不被破坏，并且遵循严格的法律和安全规定。 6. **通过现有文件分析**：分析现有的文件内容可以揭示攻击者的活动轨迹，例如访问过的文件、修改过的配置、创建的新文件等。 7. **已删除文件的分析**：即使文件被删除，其痕迹仍然可能存在于磁盘上。通过对这些残留数据的分析，可以恢复部分或全部文件，从而揭示攻击者的行动和意图。 8. **通过inode号序列分析**：每个文件在文件系统中都有唯一的inode号，通过对inode号的追踪，可以发现文件的创建、修改和删除历史，帮助重建事件发生的顺序。 这些知识点构成了计算机犯罪取证中的核心部分，对于理解和实践数字证据的收集、保护和分析具有很高的指导价值。通过对这些内容的学习，专业人士能够更好地应对网络犯罪，保护信息系统安全，并为司法调查提供有力的技术支持。