网络安全事件调查取证

微信公众号：计算机与网络安全

ID：Computer-network

一、网络安全调查概述

网络安全事件处置过程中，需要进一步调查原因，首要目的是查缺补漏，发现网络安全管理中存在的问题和漏洞，从中汲取教训、积累安保经验。此外，如果是人为网络攻击或破坏行为，事件调查的重要目的之一就是最终惩治肇事者或犯罪分子。在突发事件发生的初始阶段，调查工作可以和应急处理工作同步开展。实践中，调查工作贯穿于整个网络安全应急处理全过程，因为事故的原因调查与分析也有助于更好地理解黑客的攻击行为和作案特征，从而尽早查明真相。响应初始阶段的任务是获取尽量多而且有效的资料数据。

（一）初始准备阶段注意

在初始阶段的调查需注意3个方面：记录响应行为文档、调查中注意保护证据、善用备份及避免串扰等，下面逐一简要介绍。

1、记录响应行为文档

依据网络安全应急计划和响应策略，对应急处理过程中执行的基本步骤、基本处理方法和汇报流程要同步记录。确保应急计划和响应策略正确实施，并符合相关的法律法规、规章制度。

2、调查中注意保护证据

调查过程中，需要在被入侵的机器上保留所有证据以便进行后续分析。审查事件的整个发生和处理过程，记录所有涉及执行此过程的员工的角色、责任和职权。选择、安装和熟悉那些响应过程中的协助工具，有助于收集和维护与入侵相关数据。

3、善用备份、避免串扰

已被入侵的系统产生的任何结果都是不可丢弃的，需要及时收集保存。同时，为减少对原始数据的破坏，尽量启动备份系统。启用备份系统的另一好处是避免由于恶意程序的攻击而暴露你正在进行的测试。

在选择测试系统和测试网络方面，使用物理和逻辑上完全隔离的系统和网络。然后将被入侵的系统移到测试网络中，并且部署新安装的、打过补丁的、安全的系统，以便继续运行“被入侵系统”。在完成分析后，必须清除所有的磁盘，这样可以确保不会存在任何残留文件或恶意程序，以致影响将来的分析，甚至引起数据串扰。测试系统上进行的工作一旦传到其他运行系统中，将会导致数据串扰，这在测试系统还有其他用途时会给网络安全应急响应工作造成巨大困扰。

（二）在调查过程中，需要记录事发详情

在收集完事件相关资料文档、确定应对措施办法之后，需要进入初始响应检查流程，并需要如实整理记录获得的事件资料。

1、适度采集记录

一旦通过可信的防入侵检测措施确定已被入侵，需要确定系统和数据被入侵的程度。安全服务人员（以下简称安服人员）和“黑客”犯罪分子之间也会有一些交手，即如果安服人员人为收集尽可能多的信息，获取更多针对犯罪分子的证据价值，入侵者就可能也因为发现他们的活动被侦查而迅速撤离现场。比如，在被发现轨迹后，一些入侵者会惊慌并试图删除他们活动的所有痕迹，从而进一步破坏安服人员准备拯救的系统，这会使有些关键的分析无法进行下去。

此时权衡利弊，可以采取一个折中的应对之法：备份并“隔离”被入侵的系统，进一步查找其他系统上的入侵痕迹；检查防火墙、网络监视软件以及路由器的日志，确定攻击者的入侵路径和方法，确定入侵者进入系统后都做了什么。

2、内部协调畅通

调查人员应适时通知并同入侵响应中的关键角色保持联系以便他们履行自己的职责。入侵响应在执行过程中，重要举措需要管理层批准，需要决定是否关闭被破坏的系统及是否继续业务，是否继续收集入侵者活动数据（包括保护这些活动的相关证据），或者通报信息的数量和类型，敏感信息通知什么人等。

总之，事件调查时需要灵活行动，保持内部沟通畅通。在不破坏应急响应的整体效果的同时，收集入侵相关的所有资料，保证安全地获取证据，并保护证据不丢失。

二、调查执行与访谈

（一）执行调查的主要内容

执行例行调查工作主要内容包括：检查工作票管理、应急预案管理、应急处置管理、保密管理等内容。检查完毕之后需要按照一定标准格式填写调查结果，请参见表1给出的调查表格模板。

表1  执行例行调查表格模板

（二）调查访谈

网络安全应急响应的调查访谈主要针对企事业单位内部，因此需要获取联系人信息，然后对系统管理员、业务管理人员、终端（PC、手机、其他功能设备、智能设备）用户进行单独或座谈会形式的访谈。调查人员可以是内部调查人员，也可以是外部的专业安全服务厂商，专门负责网络安全事件的内部调查。

1、获得联系信息

进行应急响应调查访谈之前应对调查对象建立应急响应联系人清单，方便在应急响应事件出现的时候及时联系到相应的负责人，联系人清单中要求有系统的负责范围，主要联系人和备用联系人等，一般一个系统应设置2个联系人以保证相互备份使用。

2、系统管理员访谈

针对负责应急响应的系统管理员进行访问，在访问前应当设计访谈列表，主要包括设备类型、设备资产范围、主要的操作系统、数据库系统、以往常见的安全故障以及处理措施等。

3、管理人员访谈

针对管理人员访谈主要侧重点偏向应用系统的整体安全管理，主要包括管理范围、管理内容、是否有安全责任矩阵，安全事件处理是否会与员工绩效挂钩等管理类问题。

4、终端用户访谈

终端使用用户访谈则需要侧重于在整个应用系统使用的过程中比较容易出现的一些问题，或者出现的比较异常的问题。

三、网络安全事件证据收集与保全

网络取证是网络安全应急处理的收尾环节。网络取证的概念最早是在20世纪90年代由美国防火墙专家Marcus Ranum提出的，借用了法律和犯罪领域中用来表示犯罪调查的词汇“Forensic”。网络取证是指捕获、记录和分析网络事件以发现安全攻击或其他的问题事件的来源。下面先介绍现场证据收集与保全，然后介绍初步的分析方法，最后部分给出取证的输出报告样例。

（一）网络安全现场勘查概述

1、现场勘查的4个环节

网络安全事件现场勘查的主要任务是要在第一时间对网络安全事件所在的物理空间和虚拟空间中的相关电子物证及电子数据进行保全，主要包括取证前期准备、证据识别、电子证据收集、电子证据提取与固定4个环节。

取证前期准备是前往现场前的准备工作，需要根据所掌握的网络安全事件背景准备到现场进行勘查的人员和设备，充分的准备对现场勘查工作是至关重要的。证据识别是检查现场所有可能相关的传统物证及电子物证，这就要求现场勘查人员应该对可能存储电子数据的各种存储介质载体有所了解。证据收集是采集所有与案件相关的证物及外部设备。电子证据提取及固定的目的是及时提取相关的易丢失电子数据，并保护存储介质中的静态数据不被修改或破坏。证据提取及固定过程中通常需要用到一些取证专用设备（如硬盘复制机、只读锁等）和用于提取易丢失信息的取证辅助软件。

计算机现场是一个虚拟的场所，是一个数字化的空间，这跟传统的空间概念不同，办案人员只能借助科技的力量获取证据，或者说只能由电子技术专家来完成。无论是对个人的单一计算机现场进行勘查，还是对计算机网络现场进行勘查，都需要借助高超的电子技术从计算机存储器等部件中获取证据。不懂网络和计算机技术的侦查人员进行这样的现场勘查，不但收集不了证据，而且可能会毁坏证据。

2、现场计算机的5个状态

事件现场计算机可能处于不同状况，需要现场勘查人员灵活选择处理方法。网络安全事件现场遇到的计算机经常处于多种不同的状态，例如，关机、开机、待机、休眠、睡眠等状态。针对不同状态的计算机，需要有相应的方式进行处理。

（1）计算机处于关机状态

处理方法：现场的计算机如果处于关闭状态，不能轻易地开启它，而应该打开主机拔除硬盘电源线和数据线，再按电源键进入BIOS记录系统当前时间，同时记录现场所在时区对应的实际时间，以便确认系统时间是否与实际时间存在偏差。该信息对于后续的网络安全事件的调查有重要价值。

（2）计算机处于开机状态

处理方法：现场的计算机如果处于运行状态，不能轻易地关闭它，而应该先记录操作系统桌面显示的信息，固定已丢失数据，以及搜查与网络安全事件相关的信息。现场勘查完毕后，再根据关闭计算机的原则进行关闭系统。遇到运行服务器操作系统、数据库服务等重要应用，通常尽可能拿到管理员账号及密码，以正常方式关闭计算机，避免数据不同步导致存在数据完整性问题。

（3）计算机处于待机状态

先解释一下待机（Standby）状态：将系统切换到该模式后，除了内存，计算机其他部件的供电都将中断，只有内存依靠电力维持着其中的数据（因内存是易失性的，只要断电，数据就没有了）。当希望恢复的时候，就可以直接恢复到待机前状态。该模式并非完全不耗电，如果在待机状态下供电发生异常（例如停电），那么下一次就只能重新开机，所以待机前未保存的数据都会丢失。但这种模式的恢复速度是最快的，一般5 s之内就可以恢复。

处理方法：针对处于待机状态的计算机，不能直接断电调查，否则数据将丢失。

（4）计算机处于休眠状态

先解释一下休眠（Hibernate）：将系统切换到该模式后，系统会自动将内存中的数据全部转存到硬盘上一个休眠文件中（hiberfil.sys），然后切断对所有设备的供电（相当于关机）。这样当恢复的时候，系统会从硬盘上将休眠文件的内容直接读入内存，并恢复到休眠之前的状态。这种模式完全不耗电，因此不怕休眠后供电异常，但代价是需要一块和物理内存一样大小的硬盘空间。而这种模式的恢复速度较慢，取决于内存大小和硬盘速度，一般都要1min左右，甚至更久。将计算机从休眠中唤醒时，所有打开的应用程序和文档都会恢复到桌面上。

处理方法：针对处于休眠状态的计算机，通常直接拆下硬盘，并进行硬盘复制工作。

（5）计算机处于睡眠状态

先解释一下睡眠（Sleep）：睡眠是Windows Vista以上版本的新模式，该模式结合了待机和休眠的所有优点。将系统切换到睡眠状态后，系统会将内存中的数据全部转存到硬盘上的休眠文件中（这一点类似休眠），然后关闭除了内存外所有设备的供电，让内存中的数据依然维持着（这一点类似待机）。这样，当我们想要恢复的时候，如果在睡眠过程中供电没有发生过异常，就可以直接从内存中的数据恢复（类似待机），速度很快；但如果睡眠过程中供电异常，内存中的数据已经丢失了，还可以从硬盘上恢复（类似休眠），只是速度会慢一点。无论如何，该模式都不会导致数据丢失。

处理方法：针对处于睡眠状态的计算机，可以先尝试唤醒，确认已经完全进入休眠状态了，那就直接拆卸硬盘进行复制。

（二）相关证据收集与保全

1、静态数据获取

在现场勘查时，网络安全应急小组可能遇到各种存储介质（计算机硬盘、移动硬盘、U盘、数码存储卡等）。如遇到存储介质载体未通电或系统软件暂时不会对介质进行写入操作，那么此时其存储的电子数据是保持不变的，常称其存储电子数据为静态电子数据。

存储于未通电介质中的静态电子数据，通常需借助专业的取证设备来进行证据的获取。常用静态数据获取方法有3种。

（1）写保护设备+磁盘镜像工具

采用写保护设备（只读锁）对原始介质进行保护，避免数据被破坏或篡改。通常需要使用只读锁写保护设备，并配合使用专门的镜像制作工具（如EnCase Imager、FTK Imager、取证大师等）对原始介质进行精确的镜像。

（2）硬盘复制设备

采用硬盘复制机设备将源硬盘的所有数据精确地复制到新的硬盘或制作为镜像文件。国外主流的硬盘复制机有Tableau TD2/TD3、Logicube Falcon，ICS SOLO4。国内主流的硬盘复制机有DC-8811取证魔方、DC-8202高速硬盘复制机等。

（3）取证光盘系统

采用专门定制的取证引导系统（U盘或光盘）来启动计算机，并借助光盘系统中提供的工具对原始硬盘进行精确的数据镜像。该方式不需要将计算机中内置的硬盘拆卸下来。国外流行的取证光盘系统有 CAINE、DEFT、WinFE、Helix、EnCase Portable，国内常见的不拆机取证工具有：美亚柏科——多通道数据获取系统（DC-8670）、上海盘石——SafeImager等。

2、动态易丢失数据获取

（1）屏幕画面拍摄

在计算机现场遇到计算机正在运行，如能顺利进入系统，通常需将屏幕上的画面（如正在聊天、已打开文档、远程操作等行为）进行证据保全，采用数码摄像机或数码相机进行拍摄记录。拍摄完的数字照片文件、视频文件需计算文件散列值（MD5/SHA-1），并记录到相关的表单。

（2）网络通信数据获取

在网络安全事件发生的过程中，往往网络通信数据是很重要的一部分。可能远程入侵者还在连接受控的计算机，也可能正在破坏计算机中的数据（例如远程清理入侵后的痕迹）。应急响应人员应具备专业判断能力，了解安全事件的状况，并判断决定是保持现有的网络通信连接，还是及时断开网络，以便能较为全面获取相关的电子证据。

常用的网络命令行工具有：ping、tracert、netstat、nslookup、telnet，下面逐一介绍。

ping：用于测试网络连通性，如ping 202.101.103.55。

tracert:是路由跟踪实用程序，用于确定IP数据分组访问目标所采取的路径。

netstat：TCP/IP 网络的非常有用的工具，它可以显示路由表、实际的网络连接以及每一个网络接口设备的状态信息。常用的参数有netstat –an 显示所有本地及远程网络连接信息。

nslookup：用于查询 Internet域名信息或诊断DNS 服务器问题的工具，也可以查询邮件交换记录（MX）。

telnet：用于测试特定服务的运行状态，如telnet 192.168.1.1 110。

常用的网络数据抓包工具有: WireShark、IRIS、Sniffer Pro等。这里仅对WireShark做具体介绍。

WireShark是一款优秀的开源跨平台的网络数据包分析工具，前身为Ethereal。除了可以对网络通信数据分组进行抓取，还可以解析丰富的通信协议，还原网络会话内容。该工具可通过www.wireshark.org下载获得。

WireShark抓包初始界面如图1所示。

图1  WireShark网络数据抓包

WireShark抓包之后，可以查看数据分组里的实际数据，如图2所示。

图2  Wireshark网络数据分组查看

利用WireShark查看TCP数据流中的数据，如图3所示。

图3  查看TCP数据流（Follow TCP Steam）

利用WireShark查看TCP数据流中的数据，经过识别，可以看出是一个JPG类型文件，如图4所示。

图4  解析出TCP数据分组中的JPG文件

（3）内存数据获取

计算机内存是操作系统及各种软件交换数据的区域。在内存中的数据易丢失，通常在关机后数据很快就消失。内存中临时保存着大量的有价值信息，例如：

1）进程列表；

2）服务列表；

3）打开文件列表；

4）驱动信息；

5）网络连接信息；

6）注册表信息；

7）图片/文档信息；

8）明文密码或密钥；

9）即时通信信息；

10）网页信息。

在内存获取工具/方式上，常见的内存获取工具有Dumpit、FTK Imager、EnCase Imager等，利用这些工具可以方便获取计算机物理内存中的数据。这里给出 Dumpit、FTK Imager获取内存数据的截图画面，如图5和图6所示。

图5  Dumpit获取物理内存

图6  FTK Imager获取物理内存

四、取证分析方法及工具介绍

一般网络安全事件中，入侵者或多或少会在操作系统上留下一些蛛丝马迹，因此，操作系统上的取证分析也是网络安全取证的重要一环。下面先对 Windows 操作系统的取证做介绍，对Linux系统取证的情况类似，不再赘述。

（一）系统信息分析

提取操作系统基本信息有利于开展安全事件的调查，常见的操作系统信息包括系统基本信息、用户信息、服务信息、硬件信息、网络配置、时区信息、共享信息等。取证软件通过解析系统注册表文件即可获得相关信息。

（二）应用程序痕迹分析

在服务器或工作站被黑客入侵的网络安全事件中，往往需要对黑客在服务器或工作站上运行的应用程序及命令行工具进行痕迹提取，了解入侵的时间及过程。因此应用程序的痕迹提取与分析对于网络安全事件调查与取证的意义重大。

应用程序痕迹调查目前可以通过分析以下信息来了解用户运行应用程序的情况，即预读文件分析（Prefetch或Super Prefetch）和注册表（User Assist）中应用程序运行痕迹。

（三）USB设备使用记录分析

Windows系统默认自动记录在计算机USB接口插入的所有USB设备，包括USB接口的存储设备（如优盘、移动硬盘、数码相机存储卡等）、手机、平板电脑以及USB接口的键盘、鼠标及加密狗等。

在很多网络安全事件（如政府单位机密文件或企业商业机密泄露）调查时，往往需要对可疑的计算机进行取证分析，提取曾经插拔过的USB存储介质（U盘、移动硬盘等）。

USB设备使用记录对调查的意义有：掌握对象计算机接入过USB设备的历史记录信息；掌握USB设备的使用情况（第一次使用时间、最后一次使用时间、系列号等）。

（四）事件日志分析

系统中“事件日志”（Event Log）记录了Windows系统在运行过程中发生的各种事件，包括硬件设备的接入、驱动安装、系统用户的登录（成功或失败）、各种系统服务及应用软件的严重错误、警告等信息。

（五）内存数据分析

计算机内存是操作系统及各种软件交换数据的区域，数据易丢失，通常在关机后数据就消失。内存取证的研究起步较晚，但近年来越来越受到关注。内存中存在着一些无法从硬盘中获取的重要信息（如密码/密钥信息、木马程序等），对取证具有重大的意义。

计算机内存中数据种类很多，需要进行分析的信息包括以下内容。

（1）明文密码、密钥等信息 （如BitLocker、TrueCrypt等密钥）。

（2）用户访问过的网页、打开的图片、文档文件等。

（3）即时通信信息（如聊天软件的聊天内容）。

（4）各种虚拟身份ID（如QQ号、Skype账号、IP地址，电子邮件地址等）。

（5）文件系统元数据信息（如$MFT记录）。

（6）用户密码Hash（如Windows用户的LM/NTLM Hash）。

（7）注册表信息。

（8）系统进程（可获取和提取出Rootkit驱动级隐藏进程）。

（9）网络通信连接信息。

（10）已打开的文件列表。

（11）加载的动态链接库信息。

（12）驱动程序信息。

（13）服务信息。

（六）Linux系统取证分析

Linux是一套免费使用和自由传播的类Unix操作系统，于1991年10月正式发布，它主要用于基于Intel x86系列CPU的计算机上。该系统是由全世界各地成千上万的程序员设计和实现的，其目的是建立不受任何商品化软件的版权制约的、全世界都能自由使用的 Unix兼容产品。Linux系统以它的高效性和灵活性著称。它能够在PC计算机上实现全部的Unix特性，具有多任务、多用户的能力。Linux是在GNU公共许可权限下免费获得的，是一个符合POSIX标准的操作系统。Linux系统取证分析可参考Windows系统取证的过程，不再具体介绍。

（七）动态取证及常用工具

动态仿真取证技术是一种基于仿真技术的取证方法，它可以将物理磁盘或磁盘镜像中的操作系统进行模拟运行，以所见即所得的方式运行起来。通过动态仿真技术，可以让服务器、笔记本、台式机等硬件中的各种操作系统（Windows/Linux/Mac OSX）及应用服务模拟运行起来，然后对系统中的各种应用服务（如Web服务、数据库服务、邮件系统服务等）进行数据的访问及分析。

动态仿真取证可获取到静态取证分析时无法获得的个人敏感信息以及计算机使用痕迹，对计算机取证领域的动态仿真分析能力提升有重大意义。在网络安全事件中，对服务器的安全事件调查、恶意程序调查等均有重要的价值。通过动态仿真取证系统可以模拟原始操作系统的环境，可以无限次数地还原安全事件发生时的状态。恶意程序在操作系统不运行的状态下，也不工作，无法进行动态的行为跟踪与分析，只有将系统模拟运行起来后，恶意程序在特定的时间、特定的事件驱动下开始工作，取证人员就可以对其行为（文件访问、注册表访问、网络通信等）进行综合分析。

目前国际上常用的动态仿真取证工具主要有：LiveView（开源工具）、GetData VFC及国内自主研发的ATT-3100等。不同动态仿真取证工具存在差异，LiveView开源免费，但是已停止维护多年，兼容性存在一定问题。实际取证工作中，推荐使用商用软件GetData VFC或ATT-3100。

通过动态仿真取证系统，还可屏蔽操作系统中的账号密码，直接进入系统进行调查取证。借助商业软件或者第三方工具，可以对系统中的一些动态数据进行提取，例如保存在系统中的账户和密码（VPN拨号、ADSL拨号及各种软件保存的账户及密码），甚至可制作为密码字典。

此外，在动态仿真虚拟系统中，取证人员要对操作系统中的恶意代码或木马进行行为分析，还可以借助第三方工具（如“Wireshark抓包工具”）进行网络通信行为分析。

五、编写取证报告

取证调查报告在实践中通常可以由两部分组成，第一部分为现场勘验报告，第二部分为证据分析报告。现场勘验报告应该包括现场勘验检查笔录、电子证据封存清单、照片清单。证据分析报告则侧重案件的相关证据调查，重现网络安全事件的现场，追溯安全威胁来源。

（一）现场勘验报告

现场勘查过程除了采用拍照、录像等方式记录外，还必须将所有提取的设备、现场人员等信息以简明直观的清单形式记录下来，然后让相关人员确认签字，同时也可以根据实际情况找相关证人签字，相关的单据主要有四类。

1．现场勘查笔录：记录现场勘查的时间、处理的方法，以及处置的理由。如图7所示。

图7  现场勘验检查笔录

2、现场勘查笔录签名：参与现场勘查人员的信息及签名。如图8所示。

图8  现场勘查笔录签名

3、固定电子证据清单：记录所固定的电子数据文件名称、来源、校验值等。清单形式如表2所示。

表2  固定电子证据清单

4、封存电子证据清单：记录所封存物证的名称、型号、特征和数量等。清单具体形式如表3所示。

表3  封存电子证据清单

（二）证据分析报告

现场勘验完成后，电子数据取证人员应当根据网络安全事件取证委托方要求完成整个事件的取证分析，并制作《电子数据取证调查报告》。

《电子数据取证调查报告》应当包含以下内容。

1、委托单位、委托人及送检时间。

2、案由、取证调查要求。

3、原始检材料信息。

4、调查分析报告。

注意：调查分析报告应该对网络安全事件进行全面分析，报告应当解释形成鉴定结论的依据。对于无需论证的鉴定结论可以省略论证报告，因条件所限无法鉴定结论可以提交权威电子数据鉴定机构进一步鉴定。

5、《受理检材清单》。

6、《提取电子证据清单》。

《提取电子证据清单》中“来源”该栏描述的信息，至少能使其他人员知道从哪里能够获得这些数据，或者根据什么方法可以提取获得这些数据。《提取电子证据清单》中“说明”该栏是解释这些数据的含义、提取方法等其他信息。实际操作中，对于数据量巨大，无法提取出来的数据文件、文档作为附加文件。可以采用的方法是将这些数据文件的名字、存储位置等属性形成一个文档，作为附件文档，并在《提取电子证据清单》中加以说明。

《提取电子证据清单》附件文档格式示例如表4所示。

表4  提取电子证据清单（样例）

有的案件从检材中提取的电子证据非常多，使用《电子数据清单》这种表格形式描述数据时需要手动填写并不方便，这时可以直接使用取证软件生成列表描述电子数据，例如取证大师、EnCase等，这些取证软件可以批量导出提取文件的信息，还能自由选择需要显示的文件属性，例如文件名、文件路径、创建时间、修改时间、文件路径、散列值等属性。规范中并未就各种文本的格式做出规定，文本的格式是可以根据需要调整的，但是建议统一依照制定的格式，基本内容不应变化。取证软件导出的文件清单如表5所示。

表5  取证软件导出的文件清单示例

《电子数据取证调查报告》示例如下。

×××电子数据取证调查报告

[2018]××号

一、委托单位：××市××有限公司

二、送检人：李××

三、送检时间：2018年×月×日

四、案由：2018年×月份，电子邮件服务器遭受攻击，被控制后被用于跨国经济诈骗。

五、送检材料：见《受理检材清单》

六、要求：对送检硬盘中的电子邮件及附件进行提取并恢复，分析邮件服务器系统日志，查找可疑的未授权访问记录。

七、论证报告：

对编号为Y[2018]58-01的硬盘进行分析

本中心对送检硬盘中的服务器中的电子邮件及用户访问邮箱的日志进行分析，并使用数据恢复软件对送检硬盘中未分配空间按文件类型进行恢复，从硬盘中提取并恢复1 220封相关邮件（其中通过数据恢复软件在硬盘未分配空间中恢复6份文档，根据数据恢复软件的特点，恢复出来的文档自动重新命名且文档的属性信息重新修改，如本次鉴定过程中恢复的文档命名规则为“数字编号+文档类型后缀名”），文件清单详见《提取电子证据清单》，文档具体内容详见附件光盘“Y[2018]58-01”文件夹下的“电子邮件”和“恢复文档”文件夹。

八、调查结论/意见：

本中心在送检的硬盘中提取并恢复了1 220份涉案相关邮件，并恢复6份用于疑似诈骗的电子邮件附件文档，多个邮箱账号被盗用（james.zhang、jack.wang、iris.lin），通过境外多个IP地址进行访问。

取证分析员 ××

审核人 ××

二○一八年×月×日

六、结语

本文先介绍了网络安全应急响应调查需要注意的事项，全面、细致、稳妥的应急响应调查可以为网络安全应急响应的可行性做好充足的准备，提高应急响应的效率。科学规范的事故调查，可以发现潜在问题，一定程度上降低网络安全事故带来的潜在损失。其次，还针对网络安全事件的现场勘验及电子数据取证进行阐述。网络安全事件现场的勘验是十分重要的一环。一旦存在于电子介质中的电子数据被破坏或灭失，可能影响到事件的进一步取证调查。

在电子数据现场需要取证人员掌握取证的基本原则及操作流程，有效识别电子物证，对现场进行全面的记录（包括摄像、拍照及表单记录等），熟练使用各种取证装备进行电子证据的收集与保全。后续的电子证据分析则可以带回单位或专门的电子数据取证实验室，交由专业的电子数据取证人员进行分析。

微信公众号：计算机与网络安全

ID：Computer-network