第一百三十一章、《基础网侦指南》 (第2/2页)

藏的工具、软件都讹了过来。

    通过简单的测试，沈天成发现有几个在少数人手中流传的工具非常好用，比那些开源的工具效率要高很多，自己的工具U盘也得到了大量更新。

    通过整理，这些软件分为网络扫描、网络监听、口令破解等功能。

    比如网络扫描，最简单的方式是通过ping这样的基础命令来判断某个IP地址是否有主机在线，然后通过小软件来对目标主机进行端口扫描，扫描到相应的端口就能确定目标主机上执行的服务，继而针对这些服务进行相应的攻击，还有一个旦旦提供的漏洞扫描软件非常厉害，通过网络自动检测目标主机的安全性弱点，既可以对系统管理员所维护的服务器进行外部特征扫描，又可以以系统管理员身份对服务器进行内部特征扫描。

    网络监听，类似于技侦民警对手机进行监听，可以实时监听目标电脑的任何cao作，监听效果最好的地方是在网关、路由、交换机等设备上，必须有网络管理员权限才能达成，如果通过网络获取不了权限，唯一的方式是与目标电脑物理接触，在电脑上做手脚，比如插上一个USB设备。

    口令破解工具cao作也很简单，就是利用穷举法，通过尝试各种数字、字母、符号或者三者的组合来破译密码，理论上来说，没有破译不了的密码，只是时间长短的问题，利用民用电脑的速度来破译密码，弱口令（123456，888888这种密码）只需要几秒，而要破译一个10位数字加字母加符号的密码需要两百多年！

    除了工具，就是电子证据的提取和日志系统的分析。

    目前涉及电子证据的设备主要是电脑和手机，电子证据表现形式多样，分为文本、图像、视频、音频等形式，特点是脆弱性、易破坏性，所以取证之前必须断网，做好全盘备份并记录时间、地点、数据来源、提取过程、使用方法并附录，证据提取民警和见证民警签名，确保目标电脑中的原始数据不产生任何改动和破坏，有条件的进行全程录像。取证过程在备份件上进行，以保证原始证据的可靠性和连续性，将来提交给法庭要保证存储介质是安全的、取证拷贝是安全的、用于拷贝证据的进程是可靠且可以复验的。

    日志系统可以利用工具来分析，可以对系统文件进行详细审查，可以了解本机进行过哪些cao作、哪些远程主机连接过本机、入侵者进行过哪些cao作等等。

    做出这本手册，以后谁来警务室请求提供技术协助，就可以把手册拿给他们，先学习自己动手，有不懂的再问。

    你要提取电子证据是吧，先买个硬盘或者U盘，再看指南，什么？不会全盘镜像？我电脑上有步骤截图，一步一步照着做总会吧？

    ……

    沈天成刚下班出警务室就接到袁捷的电话，说是要做一个涉案电脑的全盘镜像，让沈天成远程提供协助。

    在外地办案比较着急，沈天成很理解他的心情，给曹文斌说了一声，顾不上吃饭又回到警务室，打开电脑打开qq和袁捷进行视频聊天。

    从屏幕上看，袁捷所在的地方是一家网吧，摄像头对着一台主机。

    袁捷对着话筒说：“天成，就是这个电脑。”

    沈天成带上耳麦，让袁捷把摄像头位置调整好之后说道：“按照步骤来，先打开GHOST软件，进入界面后，选择Local然后Disk然后ToImage……”

    袁捷学过图侦，对电脑cao作不陌生，按照沈天成的讲解，很快就学会了使用软件。

    “这个不难，就是速度太慢了，进度条像是停止了一样。”

    沈天成对着耳麦道：“没停，一直在动，就是动的比较慢，剩余时间一小时五十分，慢慢等吧。”

    袁捷问道：“是不是进度条跑完就算完成了？”

    按照以往做备份的习惯，漫长的等待过程，沈天成一般会去做其它的事，隔段时间来看看进度条就行，但是他看到袁捷憔悴的模样，能想象到在外地办案的劳顿，“能跑完就成功，一般不会有什么问题，袁哥，看你双眼发红，这几天累坏了吧，我等你做完再回去，不然你自己呆着太孤独了。”

    “谢了，天成，要说累，那外出办案肯定不如在家呆着，但是外出办案总有一种兴奋的感觉，特别新鲜刺激。”

    虽然听上去很苦很累，但沈天成心里很羡慕他们：“没白累，这台电脑是嫌疑人用过的，这几天应该查到不少线索了吧？”