局域網隱蔽取證系統(tǒng)的若干關鍵技術研究.pdf

1、隨著計算機技術的發(fā)展和Internet的廣泛運用，計算機犯罪也在不斷增加。由于計算機犯罪的隱蔽性和匿名性等特點，使得對計算機犯罪的偵查非常困難。司法手段的落后，在一定程度上助長了計算機犯罪的囂張氣焰。利用法律手段對計算機犯罪行為予以制裁，其中關鍵的問題之一就是發(fā)展基于計算機和網絡的各項取證技術。 本文研究了在對目標局域網的基本信息具有零知識的條件下，實現(xiàn)動態(tài)的局域網隱蔽取證的幾項關鍵技術。 一是局域網的配置信息盲取技術，

2、主要闡述了在對目標局域網的基本信息具有零知識的前提下，如何獲取局域網的網絡配置信息和域賬戶信息，然后探測目標局域網內存活主機及其操作系統(tǒng)類型和開放端口服務信息，最后定位網絡域控制器，獲取網絡域賬戶信息的一系列技術手段。 二是局域網最高權限攫取及代碼植入技術。獲取目標局域網的最高權限是取證工作的關鍵之一。本文主要研究了在局域網中利用Windows操作系統(tǒng)、Microsoft SQL數(shù)據庫系統(tǒng)的若干漏洞、利用網絡服務的弱密碼設置、A

3、RP欺騙式網絡嗅探等技術，獲取目標局域網中的最高權限（域控制器或者重要服務器主機的系統(tǒng)SYSTEM權限），并遠程植入取證代碼。 三是取證代碼隱蔽運行及自刪除技術。本文闡述了利用svchost共享式服務所加載的DLL文件，替換為取證代碼的DLL文件的技術，達到取證代碼隱蔽運行的目的；實現(xiàn)取證代碼自刪除的技術；以及繞過注冊表的監(jiān)控躲避主動防御系統(tǒng)查殺的技術。 四是用戶敏感數(shù)據和信息的獲取技術，主要包括EFS密碼證書、自動登錄