【網絡安全事件調查取證】

來源：計算機與網絡安全                                                          

ID：Computer-network

一、網絡安全調查概述

網絡安全事件處置過程中，需要進一步調查原因，首要目的是查缺補漏，發現網絡安全管理中存在的問題和漏洞，從中汲取教訓、積累安保經驗。此外，如果是人為網絡攻擊或破壞行為，事件調查的重要目的之一就是最終懲治肇事者或犯罪分子。在突發事件發生的初始階段，調查工作可以和應急處理工作同步開展。實踐中，調查工作貫穿於整個網絡安全應急處理全過程，因為事故的原因調查與分析也有助於更好地理解黑客的攻擊行為和作案特徵，從而儘早查明真相。響應初始階段的任務是獲取儘量多而且有效的資料數據。

（一）初始準備階段注意

在初始階段的調查需注意3個方面：記錄響應行為文檔、調查中注意保護證據、善用備份及避免串擾等，下面逐一簡要介紹。

1、記錄響應行為文檔

依據網絡安全應急計劃和響應策略，對應急處理過程中執行的基本步驟、基本處理方法和匯報流程要同步記錄。確保應急計劃和響應策略正確實施，並符合相關的法律法規、規章制度。

2、調查中注意保護證據

調查過程中，需要在被入侵的機器上保留所有證據以便進行後續分析。審查事件的整個發生和處理過程，記錄所有涉及執行此過程的員工的角色、責任和職權。選擇、安裝和熟悉那些響應過程中的協助工具，有助於收集和維護與入侵相關數據。

3、善用備份、避免串擾

已被入侵的系統產生的任何結果都是不可丟棄的，需要及時收集保存。同時，為減少對原始數據的破壞，儘量啟動備份系統。啟用備份系統的另一好處是避免由於惡意程序的攻擊而暴露你正在進行的測試。

在選擇測試系統和測試網絡方面，使用物理和邏輯上完全隔離的系統和網絡。然後將被入侵的系統移到測試網絡中，並且部署新安裝的、打過補丁的、安全的系統，以便繼續運行「被入侵系統」。在完成分析後，必須清除所有的磁碟，這樣可以確保不會存在任何殘留文件或惡意程序，以致影響將來的分析，甚至引起數據串擾。測試系統上進行的工作一旦傳到其他運行系統中，將會導致數據串擾，這在測試系統還有其他用途時會給網絡安全應急響應工作造成巨大困擾。

（二）在調查過程中，需要記錄事發詳情

在收集完事件相關資料文檔、確定應對措施辦法之後，需要進入初始響應檢查流程，並需要如實整理記錄獲得的事件資料。

1、適度採集記錄

一旦通過可信的防入侵檢測措施確定已被入侵，需要確定系統和數據被入侵的程度。安全服務人員（以下簡稱安服人員）和「黑客」犯罪分子之間也會有一些交手，即如果安服人員人為收集儘可能多的信息，獲取更多針對犯罪分子的證據價值，入侵者就可能也因為發現他們的活動被偵查而迅速撤離現場。比如，在被發現軌跡後，一些入侵者會驚慌並試圖刪除他們活動的所有痕跡，從而進一步破壞安服人員準備拯救的系統，這會使有些關鍵的分析無法進行下去。

此時權衡利弊，可以採取一個折中的應對之法：備份並「隔離」被入侵的系統，進一步查找其他系統上的入侵痕跡；檢查防火牆、網絡監視軟體以及路由器的日誌，確定攻擊者的入侵路徑和方法，確定入侵者進入系統後都做了什麼。

2、內部協調暢通

調查人員應適時通知並同入侵響應中的關鍵角色保持聯繫以便他們履行自己的職責。入侵響應在執行過程中，重要舉措需要管理層批准，需要決定是否關閉被破壞的系統及是否繼續業務，是否繼續收集入侵者活動數據（包括保護這些活動的相關證據），或者通報信息的數量和類型，敏感信息通知什麼人等。

總之，事件調查時需要靈活行動，保持內部溝通暢通。在不破壞應急響應的整體效果的同時，收集入侵相關的所有資料，保證安全地獲取證據，並保護證據不丟失。

二、調查執行與訪談

（一）執行調查的主要內容

執行例行調查工作主要內容包括：檢查工作票管理、應急預案管理、應急處置管理、保密管理等內容。檢查完畢之後需要按照一定標準格式填寫調查結果，請參見表1給出的調查表格模板。

表1  執行例行調查表格模板

（二）調查訪談

網絡安全應急響應的調查訪談主要針對企事業單位內部，因此需要獲取聯繫人信息，然後對系統管理員、業務管理人員、終端（PC、手機、其他功能設備、智能設備）用戶進行單獨或座談會形式的訪談。調查人員可以是內部調查人員，也可以是外部的專業安全服務廠商，專門負責網絡安全事件的內部調查。

1、獲得聯繫信息

進行應急響應調查訪談之前應對調查對象建立應急響應聯繫人清單，方便在應急響應事件出現的時候及時聯繫到相應的負責人，聯繫人清單中要求有系統的負責範圍，主要聯繫人和備用聯繫人等，一般一個系統應設置2個聯繫人以保證相互備份使用。

2、系統管理員訪談

針對負責應急響應的系統管理員進行訪問，在訪問前應當設計訪談列表，主要包括設備類型、設備資產範圍、主要的作業系統、資料庫系統、以往常見的安全故障以及處理措施等。

3、管理人員訪談

針對管理人員訪談主要側重點偏向應用系統的整體安全管理，主要包括管理範圍、管理內容、是否有安全責任矩陣，安全事件處理是否會與員工績效掛鈎等管理類問題。

4、終端用戶訪談

終端使用用戶訪談則需要側重於在整個應用系統使用的過程中比較容易出現的一些問題，或者出現的比較異常的問題。

三、網絡安全事件證據收集與保全

網絡取證是網絡安全應急處理的收尾環節。網絡取證的概念最早是在20世紀90年代由美國防火牆專家Marcus Ranum提出的，借用了法律和犯罪領域中用來表示犯罪調查的詞彙「Forensic」。網絡取證是指捕獲、記錄和分析網絡事件以發現安全攻擊或其他的問題事件的來源。下面先介紹現場證據收集與保全，然後介紹初步的分析方法，最後部分給出取證的輸出報告樣例。

（一）網絡安全現場勘查概述

1、現場勘查的4個環節

網絡安全事件現場勘查的主要任務是要在第一時間對網絡安全事件所在的物理空間和虛擬空間中的相關電子物證及電子數據進行保全，主要包括取證前期準備、證據識別、電子證據收集、電子證據提取與固定4個環節。

取證前期準備是前往現場前的準備工作，需要根據所掌握的網絡安全事件背景準備到現場進行勘查的人員和設備，充分的準備對現場勘查工作是至關重要的。證據識別是檢查現場所有可能相關的傳統物證及電子物證，這就要求現場勘查人員應該對可能存儲電子數據的各種存儲介質載體有所了解。證據收集是採集所有與案件相關的證物及外部設備。電子證據提取及固定的目的是及時提取相關的易丟失電子數據，並保護存儲介質中的靜態數據不被修改或破壞。證據提取及固定過程中通常需要用到一些取證專用設備（如硬碟複製機、只讀鎖等）和用於提取易丟失信息的取證輔助軟體。

計算機現場是一個虛擬的場所，是一個數位化的空間，這跟傳統的空間概念不同，辦案人員只能藉助科技的力量獲取證據，或者說只能由電子技術專家來完成。無論是對個人的單一計算機現場進行勘查，還是對計算機網絡現場進行勘查，都需要藉助高超的電子技術從計算機存儲器等部件中獲取證據。不懂網絡和計算機技術的偵查人員進行這樣的現場勘查，不但收集不了證據，而且可能會毀壞證據。

2、現場計算機的5個狀態

事件現場計算機可能處於不同狀況，需要現場勘查人員靈活選擇處理方法。網絡安全事件現場遇到的計算機經常處於多種不同的狀態，例如，關機、開機、待機、休眠、睡眠等狀態。針對不同狀態的計算機，需要有相應的方式進行處理。

（1）計算機處於關機狀態

處理方法：現場的計算機如果處於關閉狀態，不能輕易地開啟它，而應該打開主機拔除硬碟電源線和數據線，再按電源鍵進入BIOS記錄系統當前時間，同時記錄現場所在時區對應的實際時間，以便確認系統時間是否與實際時間存在偏差。該信息對於後續的網絡安全事件的調查有重要價值。

（2）計算機處於開機狀態

處理方法：現場的計算機如果處於運行狀態，不能輕易地關閉它，而應該先記錄作業系統桌面顯示的信息，固定已丟失數據，以及搜查與網絡安全事件相關的信息。現場勘查完畢後，再根據關閉計算機的原則進行關閉系統。遇到運行伺服器作業系統、資料庫服務等重要應用，通常儘可能拿到管理員帳號及密碼，以正常方式關閉計算機，避免數據不同步導致存在數據完整性問題。

（3）計算機處於待機狀態

先解釋一下待機（Standby）狀態：將系統切換到該模式後，除了內存，計算機其他部件的供電都將中斷，只有內存依靠電力維持著其中的數據（因內存是易失性的，只要斷電，數據就沒有了）。當希望恢復的時候，就可以直接恢復到待機前狀態。該模式並非完全不耗電，如果在待機狀態下供電發生異常（例如停電），那麼下一次就只能重新開機，所以待機前未保存的數據都會丟失。但這種模式的恢復速度是最快的，一般5 s之內就可以恢復。

處理方法：針對處於待機狀態的計算機，不能直接斷電調查，否則數據將丟失。

（4）計算機處於休眠狀態

先解釋一下休眠（Hibernate）：將系統切換到該模式後，系統會自動將內存中的數據全部轉存到硬碟上一個休眠文件中（hiberfil.sys），然後切斷對所有設備的供電（相當於關機）。這樣當恢復的時候，系統會從硬碟上將休眠文件的內容直接讀入內存，並恢復到休眠之前的狀態。這種模式完全不耗電，因此不怕休眠後供電異常，但代價是需要一塊和物理內存一樣大小的硬碟空間。而這種模式的恢復速度較慢，取決於內存大小和硬碟速度，一般都要1min左右，甚至更久。將計算機從休眠中喚醒時，所有打開的應用程式和文檔都會恢復到桌面上。

處理方法：針對處於休眠狀態的計算機，通常直接拆下硬碟，並進行硬碟複製工作。

（5）計算機處於睡眠狀態

先解釋一下睡眠（Sleep）：睡眠是Windows Vista以上版本的新模式，該模式結合了待機和休眠的所有優點。將系統切換到睡眠狀態後，系統會將內存中的數據全部轉存到硬碟上的休眠文件中（這一點類似休眠），然後關閉除了內存外所有設備的供電，讓內存中的數據依然維持著（這一點類似待機）。這樣，當我們想要恢復的時候，如果在睡眠過程中供電沒有發生過異常，就可以直接從內存中的數據恢復（類似待機），速度很快；但如果睡眠過程中供電異常，內存中的數據已經丟失了，還可以從硬碟上恢復（類似休眠），只是速度會慢一點。無論如何，該模式都不會導致數據丟失。

處理方法：針對處於睡眠狀態的計算機，可以先嘗試喚醒，確認已經完全進入休眠狀態了，那就直接拆卸硬碟進行複製。

（二）相關證據收集與保全

1、靜態數據獲取

在現場勘查時，網絡安全應急小組可能遇到各種存儲介質（計算機硬碟、移動硬碟、U盤、數碼存儲卡等）。如遇到存儲介質載體未通電或系統軟體暫時不會對介質進行寫入操作，那麼此時其存儲的電子數據是保持不變的，常稱其存儲電子數據為靜態電子數據。

存儲於未通電介質中的靜態電子數據，通常需藉助專業的取證設備來進行證據的獲取。常用靜態數據獲取方法有3種。

（1）防寫設備+磁碟鏡像工具

採用防寫設備（只讀鎖）對原始介質進行保護，避免數據被破壞或篡改。通常需要使用只讀鎖防寫設備，並配合使用專門的鏡像製作工具（如EnCase Imager、FTK Imager、取證大師等）對原始介質進行精確的鏡像。

（2）硬碟複製設備

採用硬碟複製機設備將源硬碟的所有數據精確地複製到新的硬碟或製作為鏡像文件。國外主流的硬碟複製機有Tableau TD2/TD3、Logicube Falcon，ICS SOLO4。國內主流的硬碟複製機有DC-8811取證魔方、DC-8202高速硬碟複製機等。

（3）取證光碟系統

採用專門定製的取證引導系統（U盤或光碟）來啟動計算機，並藉助光碟系統中提供的工具對原始硬碟進行精確的數據鏡像。該方式不需要將計算機中內置的硬碟拆卸下來。國外流行的取證光碟系統有 CAINE、DEFT、WinFE、Helix、EnCase Portable，國內常見的不拆機取證工具有：美亞柏科——多通道數據獲取系統（DC-8670）、上海盤石——SafeImager等。

2、動態易丟失數據獲取

（1）屏幕畫面拍攝

在計算機現場遇到計算機正在運行，如能順利進入系統，通常需將屏幕上的畫面（如正在聊天、已打開文檔、遠程操作等行為）進行證據保全，採用數碼攝像機或數位相機進行拍攝記錄。拍攝完的數字照片文件、視頻文件需計算文件散列值（MD5/SHA-1），並記錄到相關的表單。

（2）網絡通信數據獲取

在網絡安全事件發生的過程中，往往網絡通信數據是很重要的一部分。可能遠程入侵者還在連接受控的計算機，也可能正在破壞計算機中的數據（例如遠程清理入侵後的痕跡）。應急響應人員應具備專業判斷能力，了解安全事件的狀況，並判斷決定是保持現有的網絡通信連接，還是及時斷開網絡，以便能較為全面獲取相關的電子證據。

常用的網絡命令行工具有：ping、tracert、netstat、nslookup、telnet，下面逐一介紹。

ping：用於測試網絡連通性，如ping 202.101.103.55。

tracert:是路由跟蹤實用程序，用於確定IP數據分組訪問目標所採取的路徑。

netstat：TCP/IP 網絡的非常有用的工具，它可以顯示路由表、實際的網絡連接以及每一個網絡接口設備的狀態信息。常用的參數有netstat –an 顯示所有本地及遠程網絡連接信息。

nslookup：用於查詢 Internet域名信息或診斷DNS 伺服器問題的工具，也可以查詢郵件交換記錄（MX）。

telnet：用於測試特定服務的運行狀態，如telnet 192.168.1.1 110。

常用的網絡數據抓包工具有: WireShark、IRIS、Sniffer Pro等。這裡僅對WireShark做具體介紹。

WireShark是一款優秀的開源跨平臺的網絡數據包分析工具，前身為Ethereal。除了可以對網絡通信數據分組進行抓取，還可以解析豐富的通信協議，還原網絡會話內容。該工具可通過www.wireshark.org下載獲得。

WireShark抓包初始界面如圖1所示。

圖1  WireShark網絡數據抓包

WireShark抓包之後，可以查看數據分組裡的實際數據，如圖2所示。

圖2  Wireshark網絡數據分組查看

利用WireShark查看TCP數據流中的數據，如圖3所示。

圖3  查看TCP數據流（Follow TCP Steam）

利用WireShark查看TCP數據流中的數據，經過識別，可以看出是一個JPG類型文件，如圖4所示。

圖4  解析出TCP數據分組中的JPG文件

（3）內存數據獲取

計算機內存是作業系統及各種軟體交換數據的區域。在內存中的數據易丟失，通常在關機後數據很快就消失。內存中臨時保存著大量的有價值信息，例如：

1）進程列表；

2）服務列表；

3）打開文件列表；

4）驅動信息；

5）網絡連接信息；

6）註冊表信息；

7）圖片/文檔信息；

8）明文密碼或密鑰；

9）即時通信信息；

10）網頁信息。

在內存獲取工具/方式上，常見的內存獲取工具有Dumpit、FTK Imager、EnCase Imager等，利用這些工具可以方便獲取計算機物理內存中的數據。這裡給出 Dumpit、FTK Imager獲取內存數據的截圖畫面，如圖5和圖6所示。

圖5  Dumpit獲取物理內存

圖6  FTK Imager獲取物理內存

四、取證分析方法及工具介紹

一般網絡安全事件中，入侵者或多或少會在作業系統上留下一些蛛絲馬跡，因此，作業系統上的取證分析也是網絡安全取證的重要一環。下面先對 Windows 作業系統的取證做介紹，對Linux系統取證的情況類似，不再贅述。

（一）系統信息分析

提取作業系統基本信息有利於開展安全事件的調查，常見的作業系統信息包括系統基本信息、用戶信息、服務信息、硬體信息、網絡配置、時區信息、共享信息等。取證軟體通過解析系統註冊表文件即可獲得相關信息。

（二）應用程式痕跡分析

在伺服器或工作站被黑客入侵的網絡安全事件中，往往需要對黑客在伺服器或工作站上運行的應用程式及命令行工具進行痕跡提取，了解入侵的時間及過程。因此應用程式的痕跡提取與分析對於網絡安全事件調查與取證的意義重大。

應用程式痕跡調查目前可以通過分析以下信息來了解用戶運行應用程式的情況，即預讀文件分析（Prefetch或Super Prefetch）和註冊表（User Assist）中應用程式運行痕跡。

（三）USB設備使用記錄分析

Windows系統默認自動記錄在計算機USB接口插入的所有USB設備，包括USB接口的存儲設備（如優盤、移動硬碟、數位相機存儲卡等）、手機、平板電腦以及USB接口的鍵盤、滑鼠及加密狗等。

在很多網絡安全事件（如政府單位機密文件或企業商業機密洩露）調查時，往往需要對可疑的計算機進行取證分析，提取曾經插拔過的USB存儲介質（U盤、移動硬碟等）。

USB設備使用記錄對調查的意義有：掌握對象計算機接入過USB設備的歷史記錄信息；掌握USB設備的使用情況（第一次使用時間、最後一次使用時間、系列號等）。

（四）事件日誌分析

系統中「事件日誌」（Event Log）記錄了Windows系統在運行過程中發生的各種事件，包括硬體設備的接入、驅動安裝、系統用戶的登錄（成功或失敗）、各種系統服務及應用軟體的嚴重錯誤、警告等信息。

（五）內存數據分析

計算機內存是作業系統及各種軟體交換數據的區域，數據易丟失，通常在關機後數據就消失。內存取證的研究起步較晚，但近年來越來越受到關注。內存中存在著一些無法從硬碟中獲取的重要信息（如密碼/密鑰信息、木馬程序等），對取證具有重大的意義。

計算機內存中數據種類很多，需要進行分析的信息包括以下內容。

（1）明文密碼、密鑰等信息 （如BitLocker、TrueCrypt等密鑰）。

（2）用戶訪問過的網頁、打開的圖片、文檔文件等。

（3）即時通信信息（如聊天軟體的聊天內容）。

（4）各種虛擬身份ID（如QQ號、Skype帳號、IP位址，電子郵件地址等）。

（5）文件系統元數據信息（如$MFT記錄）。

（6）用戶密碼Hash（如Windows用戶的LM/NTLM Hash）。

（7）註冊表信息。

（8）系統進程（可獲取和提取出Rootkit驅動級隱藏進程）。

（9）網絡通信連接信息。

（10）已打開的文件列表。

（11）加載的動態連結庫信息。

（12）驅動程序信息。

（13）服務信息。

（六）Linux系統取證分析

Linux是一套免費使用和自由傳播的類Unix作業系統，於1991年10月正式發布，它主要用於基於Intel x86系列CPU的計算機上。該系統是由全世界各地成千上萬的程式設計師設計和實現的，其目的是建立不受任何商品化軟體的版權制約的、全世界都能自由使用的 Unix兼容產品。Linux系統以它的高效性和靈活性著稱。它能夠在PC計算機上實現全部的Unix特性，具有多任務、多用戶的能力。Linux是在GNU公共許可權限下免費獲得的，是一個符合POSIX標準的作業系統。Linux系統取證分析可參考Windows系統取證的過程，不再具體介紹。

（七）動態取證及常用工具

動態仿真取證技術是一種基於仿真技術的取證方法，它可以將物理磁碟或磁碟鏡像中的作業系統進行模擬運行，以所見即所得的方式運行起來。通過動態仿真技術，可以讓伺服器、筆記本、臺式機等硬體中的各種作業系統（Windows/Linux/Mac OSX）及應用服務模擬運行起來，然後對系統中的各種應用服務（如Web服務、資料庫服務、郵件系統服務等）進行數據的訪問及分析。

動態仿真取證可獲取到靜態取證分析時無法獲得的個人敏感信息以及計算機使用痕跡，對計算機取證領域的動態仿真分析能力提升有重大意義。在網絡安全事件中，對伺服器的安全事件調查、惡意程序調查等均有重要的價值。通過動態仿真取證系統可以模擬原始作業系統的環境，可以無限次數地還原安全事件發生時的狀態。惡意程序在作業系統不運行的狀態下，也不工作，無法進行動態的行為跟蹤與分析，只有將系統模擬運行起來後，惡意程序在特定的時間、特定的事件驅動下開始工作，取證人員就可以對其行為（文件訪問、註冊表訪問、網絡通信等）進行綜合分析。

目前國際上常用的動態仿真取證工具主要有：LiveView（開源工具）、GetData VFC及國內自主研發的ATT-3100等。不同動態仿真取證工具存在差異，LiveView開源免費，但是已停止維護多年，兼容性存在一定問題。實際取證工作中，推薦使用商用軟體GetData VFC或ATT-3100。

通過動態仿真取證系統，還可屏蔽作業系統中的帳號密碼，直接進入系統進行調查取證。藉助商業軟體或者第三方工具，可以對系統中的一些動態數據進行提取，例如保存在系統中的帳戶和密碼（VPN撥號、ADSL撥號及各種軟體保存的帳戶及密碼），甚至可製作為密碼字典。

此外，在動態仿真虛擬系統中，取證人員要對作業系統中的惡意代碼或木馬進行行為分析，還可以藉助第三方工具（如「Wireshark抓包工具」）進行網絡通信行為分析。

五、編寫取證報告

取證調查報告在實踐中通常可以由兩部分組成，第一部分為現場勘驗報告，第二部分為證據分析報告。現場勘驗報告應該包括現場勘驗檢查筆錄、電子證據封存清單、照片清單。證據分析報告則側重案件的相關證據調查，重現網絡安全事件的現場，追溯安全威脅來源。

（一）現場勘驗報告

現場勘查過程除了採用拍照、錄像等方式記錄外，還必須將所有提取的設備、現場人員等信息以簡明直觀的清單形式記錄下來，然後讓相關人員確認籤字，同時也可以根據實際情況找相關證人籤字，相關的單據主要有四類。

1．現場勘查筆錄：記錄現場勘查的時間、處理的方法，以及處置的理由。如圖7所示。

圖7  現場勘驗檢查筆錄

2、現場勘查筆錄籤名：參與現場勘查人員的信息及籤名。如圖8所示。

圖8  現場勘查筆錄籤名

3、固定電子證據清單：記錄所固定的電子數據文件名稱、來源、校驗值等。清單形式如表2所示。

表2  固定電子證據清單

4、封存電子證據清單：記錄所封存物證的名稱、型號、特徵和數量等。清單具體形式如表3所示。

表3  封存電子證據清單

（二）證據分析報告

現場勘驗完成後，電子數據取證人員應當根據網絡安全事件取證委託方要求完成整個事件的取證分析，並製作《電子數據取證調查報告》。

《電子數據取證調查報告》應當包含以下內容。

1、委託單位、委託人及送檢時間

2、案由、取證調查要求

3、原始檢材料信息

4、調查分析報告

注意：調查分析報告應該對網絡安全事件進行全面分析，報告應當解釋形成鑑定結論的依據。對於無需論證的鑑定結論可以省略論證報告，因條件所限無法鑑定結論可以提交權威電子數據鑑定機構進一步鑑定。

5、《受理檢材清單》

6、《提取電子證據清單》

《提取電子證據清單》中「來源」該欄描述的信息，至少能使其他人員知道從哪裡能夠獲得這些數據，或者根據什麼方法可以提取獲得這些數據。《提取電子證據清單》中「說明」該欄是解釋這些數據的含義、提取方法等其他信息。實際操作中，對於數據量巨大，無法提取出來的數據文件、文檔作為附加文件。可以採用的方法是將這些數據文件的名字、存儲位置等屬性形成一個文檔，作為附件文檔，並在《提取電子證據清單》中加以說明。

《提取電子證據清單》附件文檔格式示例如表4所示。

表4  提取電子證據清單（樣例）

有的案件從檢材中提取的電子證據非常多，使用《電子數據清單》這種表格形式描述數據時需要手動填寫並不方便，這時可以直接使用取證軟體生成列表描述電子數據，例如取證大師、EnCase等，這些取證軟體可以批量導出提取文件的信息，還能自由選擇需要顯示的文件屬性，例如文件名、文件路徑、創建時間、修改時間、文件路徑、散列值等屬性。規範中並未就各種文本的格式做出規定，文本的格式是可以根據需要調整的，但是建議統一依照制定的格式，基本內容不應變化。取證軟體導出的文件清單如表5所示。

表5  取證軟體導出的文件清單示例

《電子數據取證調查報告》示例如下。

×××電子數據取證調查報告

[2018]××號

一、委託單位：××市××有限公司

二、送檢人：李××

三、送檢時間：2018年×月×日

四、案由：2018年×月份，電子郵件伺服器遭受攻擊，被控制後被用於跨國經濟詐騙。

五、送檢材料：見《受理檢材清單》

六、要求：對送檢硬碟中的電子郵件及附件進行提取並恢復，分析郵件伺服器系統日誌，查找可疑的未授權訪問記錄。

七、論證報告：

對編號為Y[2018]58-01的硬碟進行分析

本中心對送檢硬碟中的伺服器中的電子郵件及用戶訪問郵箱的日誌進行分析，並使用數據恢復軟體對送檢硬碟中未分配空間按文件類型進行恢復，從硬碟中提取並恢復1 220封相關郵件（其中通過數據恢復軟體在硬碟未分配空間中恢復6份文檔，根據數據恢復軟體的特點，恢復出來的文檔自動重新命名且文檔的屬性信息重新修改，如本次鑑定過程中恢復的文檔命名規則為「數字編號+文檔類型後綴名」），文件清單詳見《提取電子證據清單》，文檔具體內容詳見附件光碟「Y[2018]58-01」文件夾下的「電子郵件」和「恢復文檔」文件夾。

八、調查結論/意見：

本中心在送檢的硬碟中提取並恢復了1 220份涉案相關郵件，並恢復6份用於疑似詐騙的電子郵件附件文檔，多個郵箱帳號被盜用（james.zhang、jack.wang、iris.lin），通過境外多個IP位址進行訪問。

取證分析員 ××

審核人 ××

二○一八年×月×日

六、結語

本文先介紹了網絡安全應急響應調查需要注意的事項，全面、細緻、穩妥的應急響應調查可以為網絡安全應急響應的可行性做好充足的準備，提高應急響應的效率。科學規範的事故調查，可以發現潛在問題，一定程度上降低網絡安全事故帶來的潛在損失。其次，還針對網絡安全事件的現場勘驗及電子數據取證進行闡述。網絡安全事件現場的勘驗是十分重要的一環。一旦存在於電子介質中的電子數據被破壞或滅失，可能影響到事件的進一步取證調查。

在電子數據現場需要取證人員掌握取證的基本原則及操作流程，有效識別電子物證，對現場進行全面的記錄（包括攝像、拍照及表單記錄等），熟練使用各種取證裝備進行電子證據的收集與保全。後續的電子證據分析則可以帶回單位或專門的電子數據取證實驗室，交由專業的電子數據取證人員進行分析。

入侵檢測（IDS）的原理、檢測及防範

網絡訪問控制和防火牆

網絡安全10大準則

《焦點訪談》聚焦信息安全：防內鬼 防黑客