局域網(wǎng)隱蔽取證系統(tǒng)的若干關(guān)鍵技術(shù)研究.pdf

1、隨著計(jì)算機(jī)技術(shù)的發(fā)展和Internet的廣泛運(yùn)用，計(jì)算機(jī)犯罪也在不斷增加。由于計(jì)算機(jī)犯罪的隱蔽性和匿名性等特點(diǎn)，使得對(duì)計(jì)算機(jī)犯罪的偵查非常困難。司法手段的落后，在一定程度上助長了計(jì)算機(jī)犯罪的囂張氣焰。利用法律手段對(duì)計(jì)算機(jī)犯罪行為予以制裁，其中關(guān)鍵的問題之一就是發(fā)展基于計(jì)算機(jī)和網(wǎng)絡(luò)的各項(xiàng)取證技術(shù)。 本文研究了在對(duì)目標(biāo)局域網(wǎng)的基本信息具有零知識(shí)的條件下，實(shí)現(xiàn)動(dòng)態(tài)的局域網(wǎng)隱蔽取證的幾項(xiàng)關(guān)鍵技術(shù)。 一是局域網(wǎng)的配置信息盲取技術(shù)，

2、主要闡述了在對(duì)目標(biāo)局域網(wǎng)的基本信息具有零知識(shí)的前提下，如何獲取局域網(wǎng)的網(wǎng)絡(luò)配置信息和域賬戶信息，然后探測目標(biāo)局域網(wǎng)內(nèi)存活主機(jī)及其操作系統(tǒng)類型和開放端口服務(wù)信息，最后定位網(wǎng)絡(luò)域控制器，獲取網(wǎng)絡(luò)域賬戶信息的一系列技術(shù)手段。 二是局域網(wǎng)最高權(quán)限攫取及代碼植入技術(shù)。獲取目標(biāo)局域網(wǎng)的最高權(quán)限是取證工作的關(guān)鍵之一。本文主要研究了在局域網(wǎng)中利用Windows操作系統(tǒng)、Microsoft SQL數(shù)據(jù)庫系統(tǒng)的若干漏洞、利用網(wǎng)絡(luò)服務(wù)的弱密碼設(shè)置、A

3、RP欺騙式網(wǎng)絡(luò)嗅探等技術(shù)，獲取目標(biāo)局域網(wǎng)中的最高權(quán)限（域控制器或者重要服務(wù)器主機(jī)的系統(tǒng)SYSTEM權(quán)限），并遠(yuǎn)程植入取證代碼。 三是取證代碼隱蔽運(yùn)行及自刪除技術(shù)。本文闡述了利用svchost共享式服務(wù)所加載的DLL文件，替換為取證代碼的DLL文件的技術(shù)，達(dá)到取證代碼隱蔽運(yùn)行的目的；實(shí)現(xiàn)取證代碼自刪除的技術(shù)；以及繞過注冊(cè)表的監(jiān)控躲避主動(dòng)防御系統(tǒng)查殺的技術(shù)。 四是用戶敏感數(shù)據(jù)和信息的獲取技術(shù)，主要包括EFS密碼證書、自動(dòng)登錄