电子取证相关的问题，不是网安专业的不了解

案例分析题：2017 年3 月21 日，腾讯公司安全管理部门发现针对公司服务器的DDoS 攻击后报案。经公安机关调查发现，犯罪嫌疑人姚晓杰等受雇于原某辉，在老挝成立了黑客组织“暗夜小组”。该黑客组织从另一犯罪嫌疑人丁虎子等处购置系列服务器资源( 俗称“收量”) ，然后又利用掌握的木马程序对目标服务器进行DDoS 攻击。2017 年2 月26 日、3 月15 日和3 月16 日，该黑客组织利用自己十余台电脑设备持续对腾讯公司服务器上运营的“斗地主等棋牌游戏”等多家公司IP 地址实施攻击。这导致运行在腾讯云服务器上的多家网上游戏公司被封堵IP、系统无法登录和正常运行等，腾讯公司据此为恢复云服务器支付抢修费4 万余元。2017 年7 月，深圳公安机关在全国多地陆续将姚晓杰等6 名犯罪嫌疑人抓获，9 月深圳公安境外工作组在柬埔寨移民局的协助下，在金边市成功将原某辉等另外5 名犯罪嫌疑人抓获，至此“暗夜小组”11名成员全部被抓获，缴获作案手机、笔记本电脑等工具，但部分工具已被加密处理。
假如你是电子数据取证分析人员，现所有涉案工具均已送到你处，你将如何开展工作？（800字以上）

这形式。。。还要800字以上，我插个眼，围观一下。

先明白DDoS攻击的含义。DDos攻击说白了就是同时发起大量请求使得被攻击的服务器没有资源处理正常用户的请求，导致正常用户的请求无法被响应。所以可以直接分析服务器的日志记录，看看是不是有很多同一地点的ip在同一时间大量请求，这些请求的内容可能相同。

首先可以核查加密数据的特征，可以判断加密算法。解密数据，和服务器遭受攻击的日志比对（ @仰望星空的代码 的想法），实在不行用一下BUG（特性终于可以好好用了）弄进系统。

再不行，把老子的反汇编拿来，AST拿来，虚拟机拿来，模拟环境拿来......反正就是要抓住他形成攻击的证据。

一通解密完了，下一步就是封存代码。复制一份代码源文件和运行日志，架构理好再进行电子签名。

然后呢，然后就没有然后了。

法律认可的电子证据有这些就够了。

部分工具已被加密处理？软件能有什么加密

自己的电脑+木马程序控制的电脑DDoS攻击

找DDoS软件，一般留了ip记录

电子取证流程的6个步骤，你这个证物已经送到，从第3步开始。

http://www.360doc.com/content/16/1230/19/8534278_618953240.shtml
一般来说最重要的是硬盘之类的在你查看、检查、分析的时候尽量避免写入数据，保证原始证物的完整性，所以都会先采用专业设备克隆一封磁盘，包括内存信息，然后在克隆的磁盘上去查验分析。分析最主要就是查看日志，攻击者电脑的mac地址，ip地址，账户等信息和被攻击者网站上留痕信息进行交叉比对，时间核验，固定好证据。

分析目前所得的资料吧，也不一定能分析成功，整理一下是最关键的

描述下作案的精彩过程，以及技能战绩，普及一些知识给我们把

先打两把斗地主放松一下

你这选修课有点厉害啊，这应该是警校信息专业课吧。

假如不存在，术业有专攻，不是那行的