一、课程教学目标

本课程主要介绍电子取证和网络攻防的基础知识、原理和工作过程。通过该课程教学，学生应当：

1. 知识要求：理解电子数据取证的法律法规理念和证据特性，基本掌握不同平台电子证据获取的原理和方法；理解网络攻防的法律法规理念和证据特性，基本掌握网络攻防的原理和方法；

2. 能力要求：熟练使用常用的计算机取证硬件工具和软件工具，熟悉规范的取证过程；熟练使用常用的网络攻防法律和软件工具，熟悉规范的渗透测试过程；

3. 素质要求：基本掌握电子数据取证的基本技能和技巧；基本掌握网络攻防的基本技能和技巧。

二、课程主要教学内容与学时分配

本课程实践教学共34课时，主要分为以下两大类实验：

一、电子数据取证类：实验一，Windows系统取证；实验二，Linux系统取证；实验三，Android取证；实验四，MacOS与IOS取证；实验五，网络取证。

二、网络攻防类：实验一，web渗透；实验二，木马研究；实验三，二进制安全；实验四，浏览器安全。具体安排如下：

一、电子数据取证类：

实验一：Windows系统取证，6课时

实验目的：引导学生能够独立完成对Windows系统的相关取证工作。

实验内容：对一些网络攻击诈骗、编写及分发计算机病毒、网络诈骗等案件进行取证，找出非法活动的证据。

实验工具：取证大师、Encase、法证通、X-WAY

教学组织：由授课教师带领学生前往机房上机操作，实验前讲解基础知识，实验中指导学生一步步完成实验要求。

相关要求：1.学生应根据上机实验任务和教师所提要求提前准备上机内容。

          2.上机完成指定的实验任务并输出、记录实验结果。

          3.上机结束后应按时提交实验报告，对于上机未完成部分，应下机后利用课余时间完成。

实验二：Linux系统取证，3课时

实验目的：引导学生能够独立完成对Linux系统的相关取证工作。

实验内容：使用Vmware Workstation加载Linux虚拟机文件创建虚拟机，按照实验手册要求进入系统完成证据获取、数据恢复、服务器日志查看、网络分析等取证工作，最后撰写实验报告。

实验条件：Vmware Workstation

教学组织：由授课教师带领学生前往机房上机操作，实验前讲解基础知识，实验中指导学生一步步完成实验要求。

相关要求：1.学生应根据上机实验任务和教师所提要求提前准备上机内容。

          2.上机完成指定的实验任务并输出、记录实验结果。

          3.上机结束后应按时提交实验报告，对于上机未完成部分，应下机后利用课余时间完成。

实验三：Android取证，3课时

实验目的：引导学生能够独立完成对Android系统的相关取证工作。

实验内容：使用DC-4501手机取证工具加载实验镜像，按照实验手册要求完成证据获取、数据恢复等取证工作。

实验条件：DC-4501手机取证工具

教学组织：由授课教师带领学生前往机房上机操作，实验前讲解基础知识，实验中指导学生一步步完成实验要求。

相关要求：1.学生应根据上机实验任务和教师所提要求提前准备上机内容。

          2.上机完成指定的实验任务并输出、记录实验结果。

          3.上机结束后应按时提交实验报告，对于上机未完成部分，应下机后利用课余时间完成。

实验四：MacOS与IOS取证，3课时

实验目的：引导学生能够独立完成对Mac系统与IOS系统的相关取证工作。

实验内容：使用取证大师加载MacOS实验镜像、使用DC-4501手机取证工具加载IOS实验镜像，按照实验手册要求完成证据获取、数据恢复等取证工作。

实验条件：取证大师、DC-4501手机取证工具

教学组织：由授课教师带领学生前往机房上机操作，实验前讲解基础知识，实验中指导学生一步步完成实验要求。

相关要求：1.学生应根据上机实验任务和教师所提要求提前准备上机内容。

          2.上机完成指定的实验任务并输出、记录实验结果。

          3.上机结束后应按时提交实验报告，对于上机未完成部分，应下机后利用课余时间完成。

实验五：网络取证，3课时

实验目的：引导学生能够独立完成对某企业网络的渗透工作。

实验内容：一、服务器日志取证分析

实验步骤：

1.导出apache服务器日志access.log

2.对日志进行格式化整理

3.进行可疑目标关联网络的制作

4.制作取证报告

二、DNS流量取证分析

原理：

DNS流量通常不会被防火墙拦截，可以作为秘密通信的隧道

实验步骤：

1.利用wireshark对截获的流量进行分析，

2.对可以目标进行关系网络的分析

3.制作取证报告

三、恶意软件流量取证分析

原理：随着互联网的发展，各类恶意软件层出不穷，可以通过对一个软件的TCP流量分析，进行行为分析。

实验步骤：

1.利用wireshark抓取恶意软件流量

2.分析可以流量

3.制作取证报告

实验条件：VMware Workstation

教学组织：由授课教师带领学生前往机房上机操作，实验前讲解基础知识，实验中指导学生一步步完成实验要求。

相关要求：1.学生应根据上机实验任务和教师所提要求提前准备上机内容。

          2.上机完成指定的实验任务并输出、记录实验结果。

          3.上机结束后应按时提交实验报告，对于上机未完成部分，应下机后利用课余时间完成。

二、网络攻防类：

实验一：web渗透，4课时

实验目的：引导学生能够独立完成对某企业网络的渗透工作。

实验内容：案例1:目标企业有宣传网站，且其宣传网站与其OA办公系统在同一内网，现需要对该企业全网进行渗透测试，做出安全评估。

测试流程：

0、自我保护（代理、高匿）

1、信息收集（域名、ip、搜索引擎、其他）

2、外网入口点（常见弱点端口扫描（资产扫描）、web渗透【黑盒】「web安全基本知识、DVWA渗透学习系统的使用」、mail服务器）

3、权限稳固与提升（web后门隐藏、权限提升、权限维持）

4、内网渗透（核心思路、内网反弹、域渗透）

5、痕迹清除（windows、linux、反取证【低权限反取证、高权限反取证】）

案例2:保护自己单位的网络安全

己方单位有网站以及内网OA办公系统和邮件系统，确保网络安全稳定

1、web保护手段（防火墙、蜜罐）

2、代码审计、行为审计

3、信息追查（侦查思路、信息关联网络、落实到人）

案例3:网络信息追查

对国外罪犯的基本侦查

1、个人信息追查手段【资产信息、通讯信息、个人基本信息】

2、个人信息关联【关键人物关联】

3、罪犯社交通讯的侦查【推特、Facebook】

实验条件：VMware Workstation

教学组织：由授课教师带领学生前往机房上机操作，实验前讲解基础知识，实验中指导学生一步步完成实验要求。

相关要求：1.学生应根据上机实验任务和教师所提要求提前准备上机内容。

          2.上机完成指定的实验任务并输出、记录实验结果。

          3.上机结束后应按时提交实验报告，对于上机未完成部分，应下机后利用课余时间完成。

实验二：木马研究，4课时

实验目的：引导学生能够独立完成简单Linux下ring3、ring0级木马的分析。

实验内容：使用VMware Workstation加载windows虚拟机文件，按照实验要求分析Linux木马样本，最后完成实验报告。

实验条件：VMware Workstation

教学组织：由授课教师带领学生前往机房上机操作，实验前讲解基础知识，实验中指导学生一步步完成实验要求。

相关要求：1.学生应根据上机实验任务和教师所提要求提前准备上机内容。

  2.上机完成指定的实验任务并输出、记录实验结果。

          3.上机结束后应按时提交实验报告，对于上机未完成部分，应下机后利用课余时间完成

实验三：二进制安全，4课时

实验目的：引导学生能够独立完成对ELF文件栈溢出漏洞的分析与利用。

实验内容：栈溢出漏洞利用、格式化字符串漏洞利用

在Linux虚拟机中使用GDB打开目标ELF文件，按照实验手册要求动态调试程序，分析程序流程、找出栈溢出漏洞位置，通过编写exp并执行获取系统shell，最后撰写实验报告。

实验条件：Vmware Workstation

教学组织：由授课教师带领学生前往机房上机操作，实验前讲解基础知识，实验中指导学生一步步完成实验要求。

相关要求：1.学生应根据上机实验任务和教师所提要求提前准备上机内容。

          2.上机完成指定的实验任务并输出、记录实验结果。

          3.上机结束后应按时提交实验报告，对于上机未完成部分，应下机后利用课余时间完成。

实验四：浏览器安全，4课时

实验目的：引导学生了解对浏览器的攻击渗透

实验内容：案例1：UXSS攻击

原理：Chrome不当地使用Flash消息循环而产生的UXSS漏洞（CVE-2016-1631）

实验环境：

Chrome 47.0.2526.80 (Stable)

Chrome 48.0.2564.41 (Beta)

Chrome 49.0.2587.3 (Dev)

Chromium 49.0.2591.0 + Pepper Flash

实验原理：PPB_Flash_MessageLoop_Impl::InternalRun在运行一个嵌套消息循环之前没有初始化ScopedPageLoadDeferrer，从而导致能够在任意Javascrpit的执行点加载一个跨域文档造成了XSS。

案例2：BeEF浏览器攻击框架的使用

原理：BeEF是一个专注于Web浏览器的渗透测试工具。随着对包括移动客户端在内的客户端的网络攻击越来越多的关注，BeEF允许专业渗透测试人员通过使用客户端攻击媒介来评估目标环境的实际安全状况。与其他安全框架不同的是，BeEF通过强化的网络外围和客户端系统，检查在一个开放的环境中的可利用性：Web浏览器。BeEF将钩住一个或多个Web浏览器，并将其作为滩头阵列用于启动定向命令模块，并在浏览器上下文中进一步攻击系统。

实验步骤：

通过beef制作钓鱼网站，完成对目标的钓鱼，然后通过钓鱼之后的木马进行进一步攻击，权限维持、提升。

案例3：勾连多浏览器发动DDOS攻击

原理：对Web应用的DoS攻击，不一定要从攻击者控制的操作系统上发起。挤压痛点的HTTP请求可 以从任何Web浏览器中发出，甚至可以从多个浏览器中同时发出。对于后一种情况，实际上就是 分布式拒绝服务攻击(Distributed Denial-of-Service，DDoS)。
实验步骤：发送XHR请求,启动一个WebWorker任务.

实验条件：Vmware Workstation

教学组织：由授课教师带领学生前往机房上机操作，实验前讲解基础知识，实验中指导学生一步步完成实验要求。

相关要求：1.学生应根据上机实验任务和教师所提要求提前准备上机内容。

          2.上机完成指定的实验任务并输出、记录实验结果。

          3.上机结束后应按时提交实验报告，对于上机未完成部分，应下机后利用课余时间完成。

三、教学方法与策略

本课程主要采用课堂讲授、案例讨论、实战演练等多样化的教学手段和方法，注重理论联系实践，突出应用性和实践性。

课堂讲授采取实战演示的方法，每一实验进行课堂讨论一次。

四、学生学习成效评估方式

学生学习成绩由平时成绩和期末考试成绩组成。

平时成绩依照课堂表现（10分）和实验课实验报告成绩（40分）评定，共占总成绩的40%。

考试成绩（50分）占总成绩的60%。

五、适用教材

[1] 王敏，甘刚等.网络攻击与防御.西安电子科大出版社，2017．

[2] 张玉清.网络攻击与防御技术.清华大学出版社，2011.

[3] 诸葛建伟.网络攻防技术与实践.电子工业出版社，2011.

[4] 刘浩阳.电子数据取证.清华大学出版社，2015．

六、参考资料

[1] 胡格.Android取证实战.机械工业出版社，2013.

[2] 胡格，史特山普卡. IOS取证实战.机械工业出版社，2013.

[3] 徐国天.网络安全基础.清华大学出版社，2014.

[4] 罗伯特 W.贝格斯.Kali Linux高级渗透测试.机械工业出版社，2016.

[5] 迈克尔·格雷格（Michael Gregg）. 网络安全测试实验室搭建指南.人民邮电出版社出版时间，2017.

江苏警官学院

课程教学情况记载表

课程名称                               

任课班级    级    专业区队

教师姓名      

职　　称      

系　　部      

       学年度第学期

说　　明

1、本表每学期每门课程每个班级每位任课老师填写一册。

2、本表请用钢笔填写，字迹务必工整、清楚。

3、任课老师按照要求对学生上课情况进行考勤，病事假：O，迟到：V，早退：X，旷课：△。

4、课程总评成绩由平时成绩和期末考核成绩按比例折算而成。平时成绩占40%（其中平时表现占5%、平时作业占20%、期中考核成绩占15%），期末考核成绩占60%。

5、平时表现主要包含课堂笔记、课堂讨论、课堂提问、课堂纪律等形式；平时作业主要包含课程读书笔记、读书心得或成果设计等形式。

6、请任课老师按照栏目内容认真填写，教学进度应详写到具体章节、标题，并于开学第一周教研活动研究通过后执行。

7、本表中有些栏目不够填写时可附页。

8、本表于课程考试结束后交教研室审核，系部审批后留系部备案。

9、课程教学小结要求填写该班级本门课程教学中教学手段、教学方法、教学内容以及考核方式、考核方法的改进情况；通过考核分析取得的教学效果情况；以及今后如何改进教学的设想等内容。

成绩登记表

1

成绩登记表

2

1、李馥娟等编著 《网络攻防实训-微课视频版》. 清华大学出版社，2023

2、王群等编著  《电子数据取证技术》. 清华大学出版社，2022