用事实说话 浅析网络犯罪如何取证

核心提示： 这是我当是第一次做取证方面的事情，虽然是失败了，用事实说话 浅析网络犯罪如何取证(3)，但是却激发了我很浓厚的兴趣，现在一直也在这个方面做一些研究，同样它也是一台肉鸡，而且多数都不是在国内，有时也和警察朋友一起做些配合，那么黑客是怎么去消除证据的?是不是真的象一些黑客电影里面演的那样

这是我当是第一次做取证方面的事情，虽然是失败了，但是却激发了我很浓厚的兴趣，现在一直也在这个方面做一些研究，有时也和警察朋友一起做些配合。

那么黑客是怎么去消除证据的?

是不是真的象一些黑客电影里面演的那样，把使用的数据光盘放入微波炉里面摧毁，把硬盘锁定，敲任意键都进入数据倒计时自我毁灭状态。说老实话，把光盘放入微波炉里面，消除证据我还没有做过，不过以前和朋友到是真写过一个毁坏硬盘的程序，程序运行的时候要对磁头进行读写，硬盘盘片高速旋转，cpu做大量计算的时候，突然之间停止，杀死他的马达。主要思路是来自对软驱的读写控制，因kill motor 这个命令而想到的，为此也报废了一个硬盘。所以键入任意键，进入硬盘自毁程序，我是认可的。而放入微波炉的那个，想想太危险，就没有做个这样的测试。其实大多数黑客都不是只有一个硬盘的，一般情况下都是有2-3块移动硬盘，把一些珍贵数据放在里面。在他们跑路的时候，用塑料带罩着。放在隐藏的角落，具体什么位置，大家自己去想吧。每个人的思路不一样，我这里不好多做解释。现在还有的一些黑客把资料放在自己的pda手机里面，手机都是二手的，然后在把SIM卡进行擦写，即使我们做了发射基站定位，也还是找不到他们真正的藏匿之所。黑客还喜欢把经过跳转的路由节点都一个个的干掉，把犯罪信息抹除的干干净净。

如何查找证据呢?

一般黑客的常用做法就是以假乱真，通过注册表来克隆帐户，用克隆帐户访问一些核心信息，通过DOS修改文件时间等手段，造成一种迷惑的假象。很多木马程序都是放在system32里面。很少有用户留意这个目录。黑客也会在肉鸡上开vpn服务，不过通常访问的时候都是过三层代理访问肉鸡，即使被发现和跟踪也只能访问到代理主机，同样它也是一台肉鸡，而且多数都不是在国内。这给取证方面增加了很大难度。