16004488

　　

　　抓黑客的主要技术是计算机取证技术，又称为数字取证或电子取证。它是一门计算机科学与法学的交叉科学，是对计算机犯罪的证据进行获取、保存、分析和出示的一个过程。而黑客与网警较量的技术自然就叫计算机反取证技术，即删除或者隐藏证据从而使网警的取证工作无效。

　　破案的之一步是封锁现场，让调查人员来到计算机犯罪现场，寻找并扣留相关的计算机硬件。这一步在计算机取证上也叫物理证据获取，一般网警在这一步做的主要事情是：保护寄存器、数据文件、交换区、隐藏文件、空闲磁盘空间、打印机缓存、 *** 数据区、用户进程存储区、堆栈、日志、缓冲区、文件系统中的数据不被破坏和修改。还有就是获取内存和硬盘中的数据，顺序为先内存后硬盘，因为内存为易灭失数据而硬盘为相对稳定数据。对内存数据的获取主要用内存检查命令和内存数据分析工具（如内存数据分析编辑器）来实现，而硬盘数据的获取也是通过专门的工具（如“美亚网警”多功能硬盘克隆机）对硬盘进行逐扇区的读取，将硬盘数据完整地克隆出来；第二步是就是对保护和提取的数据进行分析，它的范围包括现存的正常文件、已经删除但没有被新文件覆盖的文件、隐藏文件、受到密码保护的文件及加密文件等等。

　　

　　网警分析数据常用手段

　　（1）用搜索工具搜索所有的逻辑文件Slack磁盘空间、自由空间、未分配的空间中所有特定的数据。打个比方说：在上午10点的时候发生了犯罪事件，那么在使用搜索工具时肯定是首先搜索记录时间为10点左右的文件。

　　（2）由于黑客在犯罪时会删除数据，所以我们还要用数据恢复工具对没有覆盖的文件进行恢复。

　　（3）对系统中所有加密的文件进行解密。

　　（4）用MD5对原始证据上的数据进行摘要，然后把原始证据和摘要信息保存。

　　上面就是网警在取证时所要进行技术处理的地方，然后根据分析的结果（如IP地址等等）来抓人。

　　

　　网警在取证时常用到的专业软件

　　文件浏览器：专门用来查看数据文件的阅读工具，只可以查看但没有编辑和恢复功能，可以防止数据的破坏，Quick View Plus是其中的代表。

　　图片检查工具：ThumbsPlus是一个可以对图片进行全面检查的工具。

　　反删除工具：Easy Undelete是一款Windows下强大的数据恢复和反删除软件。

　　文本搜索工具：dtSearch是一个很好的用于文本搜索的工具。

　　驱动器映像程序：就是拷贝和建立驱动器的映像，可以满足取证分析的磁盘映像软件，包括：SafeBack SnapBack Ghost等等。

　　Forensic Toolkit：是一系列基于命令行的工具，可以帮助推断Windows NT文件系统中的访问行为。

　　EnCase：主要功能有数据浏览、搜索、磁盘浏览、数据预览、建立案例、建立数据、 保存案例等。

　　CRCMD5：可以验证一个或者多个文件内容的CRC工具。

　　DiskScrub：一个可以清除硬盘驱动器中所有数据的工具。

　　DiskSig：用于验证映像备份的精确性。

　　

　　FileList：一个磁盘目录工具，用来建立用户在系统上的行为时间表。

　　GetSlack：一个周围环境数据收集工具，用于捕获未分配的数据。

　　GetTime：一个周围环境数据收集工具，用于捕获分散的文件。

　　Net Threat Analyzer： *** 取证分析软件，用于识别公司账号滥用。

　　NTI-DOC：一个文件程序，用于记录文件的日期、时间以及属性。

　　PTable：用于分析及证明硬盘驱动器分区的工具。

　　Seized：用于对证据计算机上锁及保护的程序。

　　ShowFL：用于分析文件输出清单的程序。

　　TextSearch Plus：用来定位文本或者图形软件中的字符串的工具。

　　通过上面的内容，相信大家对网警的取证工作有了一定的了解，取证的最终的目的就是要从海量的数据中提取出黑客犯罪后留下来的证据。

　　

　　今日，江苏网警及深圳网警于官方微博发布了消息：

　　请注意，文中表示黑客组织可以访问并控制任何安装了TeamViewer的客户端！建议各位立刻按照网警建议执行以下操作：

　　不过此事目前有众多疑问：

　　这次事件可以说是疑点重重，后续很可能会出现更劲爆的消息，或者此事是网警弄的乌龙，不过为了安全起见，小七还是建议大家按网警的建议来保护自己。

　　如果身边有在使用 Teamviewer 的同学或同事，也建议分享给他们，规避相关风险。

　　中新网广州12月14日电 (索有为 金楠)广东省公安厅14日举行的新闻发布会通报，2015年1月以来，广东网警在全省范围内开展严厉打击非法侵入控制计算机信息系统、非法获取贩卖 *** 数据、提供黑客工具等违法犯罪。截至目前，广东网警共清查整顿被黑客非法控制企事业单位网站2903个，侦破黑客类违法犯罪案件80宗，抓获嫌疑人168人，打掉非法黑客产业团伙12个。

　　广东警方公布的案例显示，广州网警侦破某航空公司计算机系统被入侵案。2015年8月22日，某航空公司报案称其公司网上销售机票B2B系统在7月31日至8月20日期间遭受黑客攻击，非法下载160万条订单信息。同时，该航空公司 *** 中心大量接到关于航班变更短信诈骗的旅客投诉，部分旅客被骗金额从几百元到几万元不等。

　　网警调查发现，嫌疑人先通过扫描该航空公司销售机票B2B系统漏洞，暴力破解两个 *** 商账号，然后使用 *** 商账号登录订票系统，利用订单页面信息中包含的一个获取旅客信息的xsql请求漏洞，使用黑客爬虫软件非法下载160万条包含航班号、姓名、身份证和手机的旅客订单信息，最后嫌疑人群发短信给旅客谎称“飞机出故障，航班取消”，诱骗旅客交纳机票改签手续费，造成数百名旅客被骗，同时因旅客退票造成航空公司直接经济损失8万多元。11月11日，警方进行收网行动，在大连市抓获嫌疑人张某宇(男，19岁，黑龙江庆安县人)，现场缴获作案的笔记本电脑1台、收款的银行卡2张及赃款110多万元。

　　此外，珠海网警侦破特大 *** 支付账号资金被盗案，警方在广东、黑龙江、四川、上海和浙江5省8市抓获犯罪嫌疑人6名，查获该团伙可使用的支付宝、财付通、京东和PayPal等各类支付账户(含密码)达1000多万个，可盗取资金约10亿元；深圳网警侦破招商银行钓鱼网站案。7月下旬，深圳警方在河南、福建、吉林、重庆等地开展抓捕行动，抓获犯罪嫌疑人26人，打掉犯罪团伙7个，冻结赃款750万元。此外，还查获约100万条含有身份证号码、银行账号和密码的个人隐私信息，消除了更多民众的财产被再次侵害的隐患；惠州网警侦破 *** 木马病毒盗窃财物案，抓获嫌疑人4名。(完)