计算机取证技术研究
计算机取证系统的研究与设计
还可以重新定位根 目录和使用 F AT的备份副本 , 另# b F AT3 2 分区 的启动记录被包含在一个含有关键数据 的结构 中, 减少 了计算机系 统崩 溃的可能。 2 . 3 E XT2 / 3 文件 系统 分析 E x t 2 / 3 是L i n u x 系统 的标准文件系统 , 其优点为存取文件的性 能好 , 由线形排列 的数据块组成 , 每个数据块具有相同的大小 , 所有 块又被划分为若干个块组, 每个块组都包含了一份文件系统关键控 制信息 的拷 贝, 以及描述组 内数据存储与控制信息的位示 图, 节点 位 图和节点表 。 E X T 3 文件系统 比E X T 2 更加完整 , 增加了 日志容量 , 避免了意 外宕机对文件 系统的破坏, 以便文件系统在 出现问题后进 行恢复 和修复。 2 . 4 NTF S 文件 系统 分析 N TF S 是一个基于安全性 、 可靠性、 先进性的文件系统 , 它通过 使用标准 的事务处理 日志和恢复技术来保证分区的一致性 。 发生系 统失败事件时 , NT F S 使 用 日志文件和检查点信息来恢复 文件 系统 的一致性 。 NT F S 采用了更小 的簇 , 可以更有效率地管理磁盘空间 , 簇的大小都 比相应 的F A T1 6 / 3 2 簇小 ; NT F S 可 以比F A T3 2 更有效 地管理磁盘 空间 , 最大限度地 避免 了磁盘 空间的浪费 。 2 . 5数 据 流 隐藏数 据 的发 现技 术 数据 流隐藏技术源 Ma c i n t o s h 分级文件系统NT F S, 它可 以 把任何文件作为某个文件 的另一个实例 附在其中, 而Wi n d o w s  ̄源 管理器无法显示 。 另外如果将数据文件隐藏在磁盘S l a c k 闲散空间 、 交换 空间或未分配空间中, 这使得查找隐藏文件有很大难度 。 因此, 解读NT F S 文件 系统的镜像 文件 时 , 检查标 准的文件属性类别 即可 识别 出隐藏的文件 , 同时在进行证据分析 时可 以读取s l a c k s p a c e 中文件碎片 的二进 制数 据。 2 . 6删 除数 据 的恢 复技 术
计算机取证关键技术研究
取 实 时 电子 数 据
F rniS正 逐 渐 成 为 人 们 研 究 与 关 注 的热 点 之 一 。 oe s ) C
1 计 算 机 取 证 技 术
11 计 算机 取 证 的 技 术 .
SN A S的一 篇 综 述 文 章 给 出 如 下 定 义 _ 计 算 机 取 l l :
目前 我 国 计 算 机 取 证 领 域 面 临 的 问 题 有 : ( ) 何 将 计 算 机 证 据 依 照 科 学 、 范 的 程 序 进 1如 规
于 网络 数 据 流 和 运 行 中 的 计 算 机 系统 中 . 计 算 机 系 对
Tas em) 年会 上被称 为当时 的主要 议题 作 为计算机 领
域 和 法 学 领 域 的一 门 交 叉 科 学 . 汁算 机 取 证 ( o u e C mp tr
统 或网 络现 场进 行监 视获 取证 据 . 与入侵 检 测 、 蜜罐 技术 和陷 阱网络相结 合 .动 态分析 入侵者 的企 图 . 获
态 取证 和动态取 证 态取证 是指证据 存储在 未运行 静
的 计 算 机 系 统 中 或 独 立 的 磁 盘 等 存 储 介 质 上 静 态 取 证 主 要 是 事 后 取 证 . 已 遭 受 入 侵 的 情 况 下 . 用 各 在 运
种 技 术 手 段 对 被 入 侵 计 算 机 系 统 进 行 分 析 . 取 攻 击 获
、 \
\
\ 、
、
—
研 究 与 开 发
— — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — 一
计算机主机隐秘信息取证技术
汇报人: 2024-01-09
目录
• 计算机主机隐秘信息取证技术 概述
• 取证技术分类 • 取证流程与规范 • 取证工具与平台 • 面临的挑战与解决方案 • 取证技术应用案例分析
01
计算机主机隐秘信息取证技术 概述
定义与特点
定义
计算机主机隐秘信息取证技术是指通过技术手段,对计算机 主机的硬盘、内存、网络缓存等存储介质中隐藏的信息进行 获取、分析和提取,以揭示犯罪行为、网络攻击等活动的证 据。
软件工具
如数据恢复软件、网络监控软件等,用于提 取和分析计算机中的软件数据。
移动设备取证工具
针对手机、平板电脑等移动设备进行取证的 专用工具。
取证平台比较与选择
跨平台性
选择能够支持多种操作系统平台的取 证工具,以便适应不同环境的需求。
易用性
取证工具应具备友好的用户界面和操 作流程,降低使用难度。
功能丰富性
满足国际和国内法律法规的要求,确保取 证过程的合法性和证据的有效性。
05
面临的挑战与解决方案
法律与伦理问题
法律限制
在许多国家和地区,对计算机主 机的隐秘信息取证存在严格的法 律规定和限制,以保护个人隐私 和信息安全。
伦理考量
取证过程中可能涉及个人隐私和 公司机密,如何在取证的同时保 护这些信息,是技术发展中需要 解决的伦理问题。
特点
隐秘信息取证技术具有高度专业性、复杂性和敏感性。它要 求取证人员具备丰富的技术知识和实践经验,能够熟练运用 各种工具和技术手段,确保取证过程的合法性、准确性和完 整性。
重要性及应用领域
重要性
随着信息技术的发展,计算机主机已成为各类犯罪行为和网络攻击的主要载体,隐秘信息取证技术在打击犯罪和 维护网络安全方面发挥着越来越重要的作用。通过获取关键证据,可以协助司法机关查明事实真相,为案件的侦 破和审判提供有力支持。
浅议计算机取证技术.
王 雪 梅赵昕浅 议 计 算 机 取 证 技 术
浅 议 计 算 机 取 证 技 术
王 雪梅 赵 昕
( 商丘职 业技 术学院
河南
商丘
4 7 6 0 0 0 )
摘 要 随着我 国 网络信 息 的 高速发展 和 广泛普 及 , 为犯 罪分子提供 了新 的犯 罪 空 间, 目前利 用计 算机在 互 联 网上 的犯 罪行 为越 来越 多, 逐 渐成 为 了人们 日益 关注 的焦 点, 同时传 统 的办案模 式和技 术 已经无 法满足 网络犯 罪 的 需求 , 因此计 算机取 证是 打 击计 算机和 网络 犯 罪的 重要技 术 手段 , 通 过利 用计 算机 取证 技 术对 于相 关取 证部 门和 执 法机 关成为 了将犯 罪嫌 疑 人绳之 以法 的重要依据 。本 文将 对计 算机取证 技 术进行 浅要 地探 讨 。 关键 词 计算机 犯 罪手段 计 算机 取证 技术 重要依 据 探 讨
法。
合我 国电子政 务建设中 、 长期计划 的规划 、 建设标准 、 程序和 方 法做 出合理决策的电子政务专 门人才。
另外 , 在 电子政务专 门人才培养 工作 中, 要采用 结构化 的培 养模式对 电子政务建设各层次公务员进行培训 。特 别是对领 导 决策层面 的各级政府领导 ,应将培训重点放在对 电子政 务建 设 的认识上 ,促使他们能够结合本地实际情况与对 电子政 务的实 际需要 , 设计符合本地实际的电子政务建设规划, 成 为我 国电子 政务建设的推动者 。
1 . 2计算机取 证人 员缺乏对 电子数据和信 息的认识 , 由于 目 标计算机 中获得的 电子数据还有许多潜在的用途 , 如, 可用于确 定犯罪嫌疑人 的身份 、 地址和作案时间等 , 可作为法庭诉讼上 的 有力 的证据 ,可根据相关犯罪人员留下的信息对犯罪嫌疑人进 行 网络追踪等一些通过获取 的电子数据获取 的信息 。还在案件 发生后及 时地保护犯罪现场 ,无法保证获取数据 的真实性和完 整性 。同时取证人员和受害人和企业缺乏计算机取证的意识 , 没 有 及 时有 效地 对犯罪 分子 留下 的电子信 息数据 进行 收集和 追 踪 ,往往 导致证据 的缺失和不充分 ,无法将犯罪嫌疑人绳之 以
浅谈网络取证技术
计算机取证(Computer Forensics)在打击计算机和网络犯罪中作用十分关键,它的目的是要将犯罪者留在计算机中的“痕迹”作为有效的诉讼证据提供给法庭,以便将犯罪嫌疑人绳之以法。
计算机取证(Compu te r Forensics)在打击计算机和网络犯罪中作用十分关键,它的目的是要将犯罪者留在计算机中的“痕迹”作为有效的诉讼证据提供给法庭,以便将犯罪嫌疑人绳之以法。
因此,计算机取证是计算机领域和法学领域的一门交叉科学,被用来解决大量的计算机犯罪和事故,包括网络入侵、盗用知识产权和网络欺骗等。
1 网络取证概述1.1 概念计算机取证(Computer Forensics、计算机取证技术、计算机鉴识、计算机法医学)是指运用计算机辨析技术,对计算机犯罪行为进行分析以确认罪犯及计算机证据,并据此提起诉讼。
也就是针对计算机入侵与犯罪,进行证据获取、保存、分析和出示。
计算机证据指在计算机系统运行过程中产生的以其记录的内容来证明案件事实的电磁记录物。
从技术上而言,计算机取证是一个对受侵计算机系统进行扫描和破解,以对入侵事件进行重建的过程。
可理解为“从计算机上提取证据”即:获取、保存分析出示提供的证据必须可信计算机取证(Computer Forensics)在打击计算机和网络犯罪中作用十分关键,它的目的是要将犯罪者留在计算机中的“痕迹”作为有效的诉讼证据提供给法庭,以便将犯罪嫌疑人绳之以法。
因此,计算机取证是计算机领域和法学领域的一门交叉科学,被用来解决大量的计算机犯罪和事故,包括网络入侵、盗用知识产权和网络欺骗等。
按照Sims ON Garfinkel[3]的观点,网络取证包括2种方式:(1)“catch it as you can”(尽可能地捕捉)。
这种方式中所有的包都经过一定的节点来捕获,将报文全部保存下来,形成一个完整的网络流量记录,把分析的结果按照批量方式写入存储器。
这种方式能保证系统不丢失任何潜在的信息,最大限度地恢复黑客攻击时的现场,但对系统存储容量的要求非常高,通常会用到独立冗余磁盘阵列(RAID)系统。
浅析计算机取证技术
确 保 分 析 机 器 的 驱 动 器 中不 包 含残 余 数 据 , 然 。 是 简 单 的格 显 只 式 化 肯 定 不 行 。 软 盘 启 动 后 运 行 N I 司 的 DsSrb程 序 即 从 T公 i eu k 31 算 机取 证相 关技 术 : .计 可 把 硬 盘 上 的每 一 扇 区 的 数 据 都 清 除掉 。 1 计 算机 证 据 获取 技 术 、 取 证 程 序 。 取 证 软 件 的 效 能 倾 向 于 同 时 拥 有 收集 及分 析数 常 见 的计 算 机证 据 获取 技 术 包 括 :对 计 算 机 系统 和 文 件 的 据 的 功 能 。 目前 . 际 上 的 主 流 产 品 有: 国 安全 获 取 技 术 。 免对 原始 介 质 进 行 任 何 破 坏 和 干 扰 ; 数 据 和 避 对 N w T c n l isIcroa d(t :w . r s s itcr e eh oo e nop rt ht /  ̄ f e i -n . n g e p/ on c 1o 软 件 的安 全 搜 集 技 术 :对 磁 盘 或 其 它 存 储 介 质 的安 全 无 损 伤 备 , ) Nr 以命 令 的 形 式 执 行 软 件 。 以速 度 很 快 , 件 包 的体 积 1 I 所 软 份技 术 ; 已 删 除 文件 的恢 复 、 建 技 术 : 磁 盘 空 间 、 分 配 空 对 重 对 未 间 和 自由空 间 中包 含 的 信 息 的发 掘 技 术 :对 交 换 文 件 、缓 存 文 小 .适 合 于 在 软 盘 上 使 用 。 该 公 司 提 供 的取 证 工 具 包 括 : R C. MD : R 件 、 时 文件 中包 含 的信 息 的 复 原 技 术 : 算 机 在 某 一 特 定 时 刻 C 5 一 个 可 以 验 证 一 个 或 多 个 文 件 内 容 的 C C 工 具 ; 临 计 活动 内存 中的 数 据 的 搜 集 技 术 : 络 流 动 数 据 的 获 取技 术 等 。 网 D sSrb 一 个 用 于 清 除 硬 盘 驱 动 器 中 所 有 数 据 的 工 具 : i eu : k 2 计 算 机 证 据 分 析 技 术 、 D sSg 一 个 C C程 序 , 于 验 证 映 像 备 份 的 精 确 性 ; e i : i i: k R 用 nlLs t 个磁 盘 目录 工 具 用 来 建 立 用 户 在 该 系 统 上 的 行 为 时 间 表 :j F1 . 计算 机 证 据 分 析 技 术 是 指 在 已经 获取 的 数 据 流 或 信 息 流 中 寻找 、 配 关 键 词 或 关 键 短 语 . 目前 的 主 要 数 据 分 析 技 术 , 匹 是 具 t e e 一 种 用 于 周 围 环 境 数 据 的智 能 模 糊 逻 辑 过 滤 器 ; e w : Gt - 体包括 : 件属性 分析技术 ; 件数字摘 要分析技术 : 文 文 日志 分 析 Sak l :一 种 周 围 环 境 数 据 收 集 工 具 ,用 于捕 获 未 分 配 的 数 据 ; c e m :一 种 周 围 环 境 数 据 收集 工 具 ,用 于捕 获 分 散 的 文 件 : T 技 术 ; 据 已经 获 得 的文 件 或 数 据 的 用 词 、 法 和 写 作 ( 程 ) 根 语 编 风 G ti e e T r t n lzr网 e 用 格, 推断 出其 可 能 的作 者 的 分 析 技 术 : 发掘 同 一 事 件 的不 同证 据 N t h a A aye: 络 取 证 分 析 软 件 . 于 识 别公 司互 联 网络 M— w e : N ID C: 问 的 联 系 的分 析 技 术 ; 键 字 分 析 技 术 , 据 解 密 技 术 ; 码 破 账 号 滥 用 ; S e p 一 种 周 围环 境 数 据 清 除 工具 : T - O 一 关 数 密 译 技 术 : 电 子 介 质 中的 被 保 护 信 息 的强 行 访 问技 术 等 。 对 种 文 件 程 序 用 于 记 录 文 件 的 日期 、 间 以 及 属 性 : be 用 于 时 l: 3 计 算 机 证 据 保 存 技 术 、 分 析及 证 明 硬 盘 驱 动 器 分 区 的工 具 :e e S i d:一种 用 于对 证 据 计 z 计 算 机 证 据 保 存 技 术 是 指 在 数 据 安 全 传 输 到 取 证 系 统 以 算 机 上 锁 及 保 护 的 程 序 ;hw L S o F :用 于 分析 文 件 输 出 清 单 的程 后 ,就对 机器 和 网络 进 行 物 理 隔 离 , 以 防 止 受 到 来 自外 部 的攻 序 击, 同时 应 该 对 获 得 的 数 据 进 行 数 据 加 密 . 止 来 自 内部 人 员 的 防 A csD t ht:w wacsdt. r) c es a i / w . esa cn a( p / c a o/ 非 法 篡改 和删 除 。数 据 加 密 技 术 又 包 括 : 字 摘 要 技 术 。 字 签 数 数 A esD t ces a a公 司 开 发 的 一 系 列 有 关 计 算 机 犯 罪 取 证 的 软 名技术 . 字证书技术等 。 数 件 , 包 括 U t aeT li 、 o ni oli lm t o kt? Fr s T kt i e c ? ?、 e.r )R g t 培y 4 计 算 机 证 据 的 提 交 技 术 、 Ve e?等 。包 括 的 功 能 有 : 复 模块 ; 新 获 得 已遗 忘
计算机取证技术及其发展趋势的研究
计算机取证技术及其发展趋势的研究摘要:计算机取证具有特殊性,只有对计算机取证以及计算机证据有深入了解,才能更好的开展工作。
本文就如何确保计算机证据采集的标准性、真实性与合法性所使用的相应技术方法进行的了探讨,并且就现今计算机取证可能出现的问题以及计算机取证将来发展形势作出了研究。
关键词:发展;研究;计算机证据;犯罪中图分类号:tp399伴随着科技的发展,时代的进步,计算机网络技术也得到了迅猛的发展和广泛的应用,在信息快速传播的今天,计算机网络的安全隐患也越来越需要我们重视。
对此,我们需要制定完善的网络法制法规以及使用合理的技术控制手段,以此来解决计算机网络日益恶化的信息安全问题。
本文就计算机动态和静态取证,以及计算机网络取证将来发展的趋势展开了分析与研究。
1 计算机取证过程计算机进行证据提取是指对计算机进行入侵、窃取、诈骗、控制、破坏等等一系列行为,使用计算机硬件或者软件上的技术,按照正规法律程序的流程,对法庭认可的、有说服力的、储存在计算机或者相关网络中电子信息数据进行证据提取、传输、存储、认证与提交的一系列过程。
计算机取证的本质可以理解为对计算机软件或硬件系统进行检测借此还原入侵控制系统事件过程。
通常,计算机取证分为六个步骤:第一步是现场调查,进行现场保护、搜索、寻找物理证据,具体实行需要到达现场,进行现场保护调查,看证据能否取走,不能取走做好记录,分析其原因,检查计算机是否安全,比如;调查最后一次计算器启动情况,网络信息记录等等,然后关掉计算机,查看能否做镜像处理,分析问题发生原因,对已获得信息数据进行深入剖析,整理以及存档,然后上交法庭。
第二步是识别计算机获取的证据,对已获得证据进行分门别类和分析获得信息方法。
第三步是进行数据传输,把已经获得的数据信息完整的保存到计算机取证分析仪器上面。
第四步存储数据,把原信息数据进行原封不动的保存,保证其完整性。
第五步分析计算机取证,以可显示方法分析,确保分析结果的精确度。
计算机犯罪现场勘查取证技术研究
计算机犯罪现场勘查取证技术研究计算机犯罪是指在计算机系统中进行的涉及欺诈、窃取信息、故意破坏计算机系统等行为。
针对计算机犯罪取证技术的研究已经成为当前研究的焦点之一。
本文主要介绍计算机犯罪现场勘查取证技术的相关内容,包括计算机犯罪现场勘查的原则和流程、计算机犯罪取证技术的基本原理和方法等。
(一)计算机犯罪现场勘查的原则1.立即采取措施通过对计算机犯罪的现场勘查,可以获得一些关键信息,而这些信息会随着时间的推移而消失,因此应该立即采取措施,以便留下证据。
2.保护现场的完整性在采取措施的同时,还要注意保护现场的完整性,确保以后的调查工作不会受到影响。
具体来说,要保护计算机现场不受未经授权的访问或修改。
3.尽可能多地收集证据现场勘查的目的是为了获取证据,因此需要尽可能多地收集证据。
当然,在此过程中也要注意避免破坏证据或造成不必要的污染。
计算机犯罪现场勘查的流程分为四个步骤:1.制定计划在现场勘查之前,必须制定一个全面的计划。
该计划应包括勘查人员的名单、勘查设备清单、勘查的过程和步骤等。
2.收集证据在现场勘查的过程中,需要收集证据。
收集证据的方法包括采集现场硬件设备、拍照和采集现场数据。
3.分析证据在收集到证据之后,需要对证据进行分析。
证据的分析包括证据重复性验证、文件时间戳验证、邮件头分析等。
4.编写报告对于现场勘查取证的结果应该写成报告。
这份报告要清楚、准确、详尽、完整地记录在案,它是后续调查指导方案和侦破证据的有力保障。
二、计算机犯罪取证技术的基本原理和方法1.文件管理原理在计算机中,所有的文件都是由文件头和文件内容组成的。
文件头包含有关文件的重要信息,而文件内容是实际内容。
计算机磁盘上的所有内容都是由扇区、簇和文件组成的。
扇区是最小的磁盘存储单位,而簇是由多个扇区组成的存储单元。
3.计算机取证原理计算机取证原理是指通过对计算机磁盘的分析和数据恢复,获取涉嫌犯罪行为的证据。
1.计算机磁盘分析技术这种技术可以通过读取磁盘上所有的扇区,包括未分配扇区、加密扇区、已删除文件、隐藏文件等,来分析和提取数据。
计算机取证技术及其发展趋势
计算机取证技术及其发展趋势【摘要】计算机取证技术是计算机安全技术的重要组成部分,其主要功能是调查、获取计算机犯罪的真实、可靠、完整、安全的证据,其技术的发展对我国计算机安全具有重大意义,本文对计算机取证技术的发展及发展趋势进行深入研究。
【关键词】计算机取证技术发展趋势近年来,随着计算机网络技术的发展,很多计算机网络犯罪事件层出不穷,这使网络用户遭受了巨大经济损失。
但是因为网络的虚拟性、不稳定性,很多计算机犯罪事件都找不到确凿、充分、有说服力的证据。
于是计算机取证技术成为计算机网络安全工程可研工作者研究的热点问题,计算机取证技术的发展也随之受到了越来越多的关注。
1 计算机取证技术1.1 计算机取证技术概述计算机是计算机犯罪者进行网络犯罪的主要载体,在很多计算机犯罪的案例中可以发现,网络黑客经常会将计算机作为入侵目标、犯罪工具、盗取信息储存器,对其计算机网络进行攻击。
所以,计算机是犯罪行为的重要“合作者”,很多犯罪证据都会存入计算机内,计算机取证技术就是依靠这一点,对计算机内的犯罪证据进行采集、保存、分析的,其本质是系统扫描计算机程序系统以及重建入侵事件的过程[1]。
1.2 计算机取证技术应用计算机取证技术的取证对象是计算机的物理证据和信息证据。
物理证据是计算机犯罪调查人员在计算机犯罪现场扣留的计算机硬件。
信息证据是调查人员应用先进计算机技术在计算机内部程序内提取出的原始犯罪数据(文件、历史浏览网页、日志),与其他犯罪证据一样,计算机电子证据也应具备完整性、真实性、可靠性、合法性。
1.3 计算机取证技术在提取物理证据中的应用物理证据是计算机犯罪取证过程中的基础工作,因为大多数物理证据中都存有大量的犯罪信息,所以调查人员在对其进行提取时要非常慎重,以避免损坏犯罪信息,主要注意事项有:(1)在证据提取过程中,不要改变计算机硬件内的历史记录;(2)不要在“证据计算机”执行或操作无关程序;(3)不要给计算机犯罪者销毁物理证据的机会;(4)调查人员在物理证据提取之后,要详细记录提取过程;(5)将硬件证据存放至安全位置;(6)在犯罪嫌疑人销毁证据之前关掉其物理证据的电源。
计算机反取证技术
计算机反取证技术一、引言如今计算机犯罪日益猖獗,围绕计算机取证与反取证的斗争一直在进行。
在计算机网络犯罪手段与网络安全防御技术之间的对抗不断升级的形势下,计算机取证作为一门交叉学科,越来越受到计算机安全和法律专家的重视,与此同时,一种新的反计算机取证技术也正悄然兴起。
二、反取证技术在计算机取证技术发展的同时,犯罪分子也在绞尽脑汁对付取证。
反取证技术就是在这种背景下发展起来的。
与计算机取证研究相比,人们对反取证技术的研究相对较少。
对于计算机取证人员来说,研究反取证技术意义非常重大,一方面可以了解入侵者有哪些常用手段用来掩盖甚至擦除入侵痕迹:另一方面可以在了解这些手段的基础上,开发出更加有效、实用的计算机取证工具,从而加大对计算机犯罪的打击力度,保证信息系统的安全性。
它主要包括三类技术:数据擦除、数据隐藏和数据加密。
综合使用这些技术,将使计算机取证更加困难。
三、反取证技术介绍(1)数据擦除数据擦除是阻止取证调查人员获取、分析犯罪证据的最有效的方法,一般情况下是用一些毫无意义的、随机产生的‘O’、‘1’字符串序列来覆盖介质上面的数据,使取证调查人员无法获取有用的信息。
反取证的最直接、最有效做法就是数据擦除,它是指清除所有可能的证据索引节点、目录文件和数据块中的原始数据。
反取证工具TDT 专门设计了两款用于数据擦除的工具软件Necrofile和Klismafile 。
其中,Necrofile用于擦除文件的数据,它把所有可以找到的索引节点的内容用特定的数据覆盖,同时用随机数重写相应的数据块。
目前最极端的数据擦除工具是Data Security Inc、开发的基于硬件的degaussers工具,该工具可以彻底擦除计算机硬盘上的所有电磁信息。
其它用软件实现的数据擦除工具既有商业软件包,也有开放源代码的自由软件,其中最有名的是基于UNIX系统的数据擦除工具The Deft—ler’S Toolkit,The Defiler’S Toolkit 提供两个工具来彻底清除UNIX类系统中的文件内容(2)数据隐藏为了逃避取证,计算机犯罪者还会把暂时不能被删除的文件伪装成其他类型,或者把它们隐藏在图形和音乐文件中。
计算机取证关键技术分析
计算机取证关键技术分析金波,陶明明公安部第三研究所上海200035上海金诺网络安全技术发展股份有限公司上海 200122摘要:电子证据是一种新的证据类型,为提高电子证据的证据力,本文分析了电子取证的取证程序与取证的关键技术,提出了取证的一般性原则、数据采集方法、取证的设备和装置要求。
关键词:计算机取证, 电子证据,Analysis for Key Technology of Computer ForensicJin Bo, Tao MingmingThe Third Research Institute of Ministry of Public Security, 200035 ShanghaiKingnet Security Inc., 200122 ShanghaiAbstract:.Electronic evidence is a sort of new style evidence. To improve the probative value of electronic evidence, the paper analysis computer forensic process and key technology, provided the rule of computer forensic, data acquire method and the requirement of forensic device.Keywords:Computer Forensic, Electronic Evidence1概述随着计算机和互联网络技术的迅速发展,电子商务、网络教育、各类网络服务和电子政务在经济社会的人际交往、经营活动中被大量应用。
随之,各类经济纠纷、民事纠纷和刑事案件也会时有出现。
判定或处置各类纠纷和刑事案件过程中,电子文挡已经成为重要证据之一。
许多计算机化的产品中都会存有电子证据,例如:移动电话、PDA、路由器等,也有许多形式的存储介质,包括:硬盘、光盘、U盘等。
计算机取证技术的应用研究
兰州大学硕士学位论文计算机取证技术的应用研究姓名:郭建朝申请学位级别:硕士专业:计算机应用技术指导教师:管会生20070601兰州大学硕士论文计算机犯罪取证技术及其应用由此,严格来讲,这个案例的取证工作是无法正常进行的。
被告同样丧失了胜诉的机会。
4.2案例2——宣传彩页侵权案这是2006年甘肃省某设备科技公司状告浙江某公司侵权案。
在这里分别以甲、乙公司代表原、被告双方。
案情简介:原告:甲公司(法人代表:)【)【)被告:乙公司(法人代表:XX)2006年1月,原告发现被告的产品宣传彩页竟与原告的某系列产品宣传彩页相同,于是将被告告上法庭。
在这个案例中,原告向法庭提供了原告的一套宣传彩页(柒张)和被告的~套宣传彩页(陆张),要求鉴定被告的彩页是否是利用原告彩页进行拼接(利用计算机作图软件)、两套彩页宣传的是否是相同产品。
下面分别从原告和被告的彩页中选取了一张(图4-2和图4-3),以作比对之用。
图4-2原告的宣传彩页图4-3被告的宣传彩页从这两张图中可以看出,设备在外形、拍摄角度、反光光线和表面划痕等方面基本相同,甚至连散落药丸的数量、排列也一致,另外在彩页的文字材料中所列出的主要技术参数也基本相同。
所不同的只是背景和公司标记,而这利用作图软件(如photoshop)是可以轻松实现的。
其它几张彩页的情况也基本类似,所以这个案例材料鉴定的结论是两套彩页宣传的是相同产品,两套彩页中的图像取自同一设备(双方宣传的产品图像为同~产品的图像),透视关系均未变动,只有少许的图像同比缩放变化,后者图像是由前者图像拼接加背景构成的。
计算机取证技术的应用研究作者:郭建朝学位授予单位:兰州大学1.期刊论文张斌.李辉计算机取证有效打击计算机犯罪-网络安全技术与应用2004,""(7)计算机取证研究的是如何为调查计算机犯罪提供彻底、有效和安全的技术,其关键是确保证据的真实性、可靠性、完整性和符合法律规定.本文首先分析计算机取证的产生背景,重点介绍计算机取证的原则和取证的步骤,进一步阐述计算机取证所采用的技术以及国内外在计算机取证领域研究的进展.2.学位论文许贤质公安网监部门专用计算机取证系统设计与实现2008以计算机信息系统为犯罪对象和以计算机信息系统为犯罪工具的各类新型犯罪活动越来越多,作为计算机犯罪案件的主侦单位——公安网监部门也面临着一个新的难题,那就是如何在严格的法律约束下,快速有效地对涉案计算机进行勘查、快速有效地提取犯罪证据,以打击计算机犯罪,确保信息安全,保障经济发展和社会稳定。
计算机犯罪现场勘查取证技术研究
计算机犯罪现场勘查取证技术研究随着信息技术的不断发展,计算机犯罪也日益猖獗。
为了有效打击和侦破计算机犯罪案件,计算机犯罪现场勘查取证技术成为了非常重要的手段。
本文将重点研究计算机犯罪现场勘查取证技术,并分析其应用现状和未来发展趋势。
计算机犯罪现场勘查是指在计算机犯罪案件发生后,对现场进行勘查和取证以获取相关证据。
勘查的目的是为了了解计算机犯罪的手段和特点,帮助侦破案件和取证。
取证的目的是为了将现场的证据保全,为后续的调查和审判提供准确、可信的证据。
计算机犯罪现场勘查主要包括以下几个步骤:1. 现场保护:在到达犯罪现场之前,必须采取措施保护现场,防止证据的污染和破坏。
2. 现场勘查:对犯罪现场进行细致的勘查,了解犯罪的手段和经过。
包括对硬件设备、软件程序、网络信息等的调查和分析。
3. 证据保全:将现场的计算机设备、存储介质等相关证据进行保全,防止证据的丢失和篡改。
4. 数据恢复:对已删除的数据进行恢复和提取,还原犯罪的过程和行为。
5. 取证分析:对已经收集到的证据进行分析,找出证据之间的关联性,构建完整的案件事实链。
6. 报告撰写:将勘查取证过程和结果进行记录和总结,形成现场勘查取证报告。
1. 数字取证技术:通过对计算机设备和存储介质进行取证,获取相关证据。
包括数据恢复、数据提取、数据分析等技术。
2. 网络取证技术:对网络数据进行取证,获取网络犯罪的相关证据。
包括网络流量分析、网络事件重现等技术。
3. 操作系统取证技术:对操作系统进行取证,获取系统日志、注册表等相关证据。
包括系统还原、系统漏洞分析等技术。
4. 数据隐写取证技术:对隐藏在普通数据中的隐秘信息进行提取和分析。
包括隐写分析、隐写检测等技术。
计算机犯罪现场勘查取证技术已经在实践中得到了广泛应用。
在各个司法机关和公安机关中,都建立了专门的计算机犯罪现场勘查取证部门,负责处理各类计算机犯罪案件。
在实际应用中,计算机犯罪现场勘查取证技术已经取得了许多成果。
数字证据的取证方式与技术研究
数字证据的取证方式与技术研究一、概述随着社会的不断发展,运用计算机和互联网的范围越来越广泛,数字证据的产生也随之增多。
为便于对数字证据进行取证和分析,需要使用相应的技术手段和方法,这就是数字证据的取证方式和技术研究。
数字证据的取证方式包括实物取证和网络取证两种方式。
实物取证通常适用于物理环境下的取证,如现场勘查、道路交通事故等领域。
而网络取证则适用于计算机领域的数据取证,包括存储介质取证、网络数据包取证等。
二、实物取证实物取证是指通过对事发现场和人员进行勘查,搜集和保留与案件有关的实物、文书、录音录像以及其它物品或财物,收集具体的线索,提取和保管相关证据。
实物取证在刑事诉讼中发挥了重要作用。
实物取证中,要求现场保全、勘查、记录等步骤要迅速高效地完成。
而且为了尽可能快地提供案件证据,可以采用相应的实物取证工具,如照相机、录音笔等。
此外,为防止证据被破坏或者丢失,取证人员必须遵守相关法律法规和操作规定,保证现场的证据完整性,并做好证据保全和电子数据备份等工作。
三、网络取证相对于实物取证,网络取证更多指针对计算机系统、软件程序以及网络数据进行分析和取证的一种方法。
目前,计算机和互联网已经成为社会重要的信息交流渠道和日常工作的必需工具。
因此,网络取证的重要性不言而喻。
网络取证是一项庞杂的工作。
在数字证据研究中,网络取证主要包括存储介质取证、网络数据包取证和网络入侵等几方面内容。
1. 存储介质取证存储介质取证是指在计算机系统中获取存储介质上的数据和相关信息的过程。
受取证影响的存储介质包括硬盘、光盘、U盘等。
存储介质取证的主要方式包括磁盘镜像获取法和磁盘实时获得法。
前者是一种完整的磁盘像文件的复制过程,而后者在计算机的操作过程中提取数据。
若需进行写保护取证,可以第一时间进行计算机关机操作,或者使用较为特殊的写保护装置进行取证。
2. 网络数据包取证网络数据包取证是指依靠计算机网络的通信机制,获取计算机网络中传输的数据包信息。
计算机网络入侵取证技术的研究
入 侵 取 证 包 括 了 对 以 磁 介 质 编 码 信 息 方 式
仔 储 的 计 算机 证 据 的 保 护 、 确认 、提 取 和
归档 。
入 侵 取 证 ( o e sc 的 目的 是 对 能 够 F r n i) 为 法 庭 接 受 的 足 够 可 靠 和 有 说 服 力 的 , 存
在 于 计 算 机 和 相 关 外 设 的 电 子 证 据 进 行 确
认 、 保 护 、 提 取 和 归 档 , 然 后 据 此 找 出 入 侵 者 , 并 解 释 入 侵 的 过 程 。 将 由 于 网 络 入
侵 攻 击 所 造 成 的 损 失 诉 诸 法 律 解 决 。 由 于
电子 证 据 与 普 通 证 据 有很 多 的 不 同 之 处 ,
原 始 数 据 的 获 取 包 括 来 自 被 取 证 机 上 的 系 统 数 据 获 取 , 以 及 在 取 证 机 卜进 行 的 以 被 取 证 机 为 目 的 地 址 和 源 地 址 的 网 络 通
信 数 据 的 获 取 。 原 始 数 据 的 存 储 是 指 被 取 证 机 一 旦 获 得 新 的 通 信 数 据 , 就 立 刻 将 数
在 这 种 背 景 F , 本 文 提 出 一 种 基 于 丰 机 和
网 络 的 入 侵 取 证 模 型 。 这 个 模 型 通 过 对 入 侵者 的行为痕迹进 行记录进 而收集证据 , 保 存 证 据 , 分 析 证 据 , 最 后 提 交 分 析 报 表 作为法 庭证据 。
2 网络入侵 取证系统
1前 言
由 于 黑 客 的 攻 击 水 平 不 断 提 高 , 使 用 这 些 工 具 并 不 能 从 根 本 上 保 证 网 络 不 被 入 侵 。 要 从根 本上 解 决 黑 客 入 侵 的 问 题 ,就
计算机取证方法关键问题研究
( 1 )计算机取证 调查环境缺乏灵活性 。很多的取证过程
计算机取证技术是国内外近阶段发展起来 的一种高效取 模型往往是基于某种特 定的情况而制定的,这也导致其与其
证方法, 大部分对于这个概念并不是很 了解, 缺乏必要 的相关 它领 域 中 的方 法 难 以 结合 。 理论知识, 现将计算机相关 的一些概念作如下描述 ;
( 5 ) 不能够对原数据进行分析 。 2基于需求 的计算机取证过程模型 的研究 术手段多样化 , 复杂化 的特点 日益显现 , 这就 需要我们相关领
动, 保证计算机 的安全 , 本 文通过对这 一矛盾体 系进行深入的分析和对计算机 的相关概念进行 了阐述 , 研 究了计算机
取证过程模型。
关键词
计算机取证 关键 问题
模型
文 献 标识 码 : A ,
中图 分 类 号 : T P 3 9 9
伴随着经济的快速发展 ,计算机技术得到 了取得了飞速 域 的科 研 人 员加 大 研 发 力 度 , 开 发 新 型取 证 方法 、 工 具 来应 对 进步,人们 的日常生活对其 的依赖程度也越来越强。在计算 这种变化 。为此, 专家们对这方面进行了卓有成效的研究 。 机技术给人们 的生活带来便利的同时,有些不法分子利用其 进行犯罪活动,导致 汁算机犯罪率不断增加 政法机关 由于 2 . 1 计 算机取证过程的 问题 急功近利思想的驱动 下取证技术的研究只关注相关产品
( 3 ) 确保用来分析的计算机和相关分析软件的安全和可信。 安 全 设 施等 。
( 4 ) 取证 的全过程必须受 到监督 。 简单、快速和有效地获取数据源 中有力证据能够节省取 证时间和费用, 但是 由于取证环境 的复杂多变, 这就需要我们 合理对取证过程进行规划 , 做好前期的技术准备, 以便快速得 攻击预防阶段不仅能够提供有力的证据 ,同时也能对犯
计算机主机隐秘信息取证技术
文件类型检验工具,如file、libmagic等,可以确定文件 的类型。
文件属性检验工具
文件属性检验工具,如stat、lsof等,可以查看文件的权 限、所有者等信息。
05
计算机主机隐秘信息取证挑战 与解决方案
数据丢失挑战与解决方案
数据丢失挑战
在计算机主机隐秘信息取证过程中,数据丢失是常见的挑战之一。由于电子数 据的不稳定性,一旦数据被删除或格式化,就可能永久丢失,给取证工作带来 困难。
暴力攻击工具
暴力攻击工具,如Ophcrack、THC Hydra等,可以破解基于密码 的身份验证。
彩虹表攻击工具
彩虹表攻击工具,如RainbowCrack、GoldenDict等,可以破解基于 密码的身份验证。
数据分析工具
数据挖掘工具
使用数据挖掘工具,如 RapidMiner、KNIME 等,可以对大量数据进 行聚类分析、关联规则 分析等。
解决方案
为了确保取证过程的规范性和合法性,取证人员需要遵循国内外相关法律法规和行业标 准,如《中华人民共和国刑事诉讼法》和国际上通用的ISO 27037等。此外,取证过程 中还需要详细记录取证过程和所使用的技术手段,以确保证据的可信度和可追溯性。
证据合法性挑战与解决方案
证据合法性挑战
在计算机主机隐秘信息取证过程中,证据的合法性是至关重要的。如果证据不合法,即使它揭示了犯罪行为,也 不能被法庭采纳。
硬件恢复工具
硬件恢复工具,如Data Rescue PC、R-Studio 等,可以恢复被删除或格式化的文件。
3
云端恢复工具
云端恢复工具,如Google Cloud、iCloud等, 可以恢复被删除或格式化的文件。
计算机取证系统的研究
和 分 析 技 术 应 用 于 对 潜 在 的 、 法律 效 力 的 证 据 的 确 定 与 获 取 。证 据 卡 , 有 一网卡与被 取证机一样连 接在同一个 网络 上 , 另一 网卡则通 过专 没 可以在计算机犯罪或误用 这一大范围中收集 ,包括窃取商业机密 、 窃 线 连 接 到 分 析 机上 。取 证 机 是 需 要 保 证 安 全 的机 器 , 有 经 过 认 证 绝 对 能 发送 或 者 接 收 数 据 , 且 存 储 在 这 台机 器 上 的数 据 具 有 不 可 修 并 取 或 破 坏 知 识 产权 和 欺诈 行 为等 。 因 此 , 算 机 取证 是 指对 能 够 为法 庭 所 接 受 的 、 够 可 靠 的 、 说 改 的 属 性 。 保 它 一 定 是 原 始 数 据 ; 计 足 有 确 分析 机 可 以 在 需 要 的 时 候 才 工作 。 服 力 的 获 取 、 存 、 析 、 出 数 字证 据 的 过 程 。也 就 是 针 对 计 算 机 入 取 证 系 统架 构 如 图 1 1 示 : 保 分 提 - 所
w sf h r n l enw t e r sb aetadtosaeices gI’ e igmoe y a o tec mias e y so c me ytkn h o ue nomao yt steojc n ol l n rai . 。gtn r r i . nl p f i i e n t t
四 、 个 简 单 的计 算 机 取 证 系统 的 设 计 一
1计 算机 取 证 系统 的逻 辑 框 架 . 这 是 一 个 基 于 主 机 和 网络 的计 算 机 取 证 模 型 。 个 模 型 包 括 被 取 这
J d b is 此 给 出 了 如 下 定 义 : 算 机 取 证 不 过 是 将 计 算 机 调 查 证 机 f 个 服 务 器 或工 作 站1取 证 机 和 分 析 机 。其 中 取 证 机 设 有 双 网 u dRobn 对 计 各 、
计算机动态取证技术模型的方案探讨
第一 ,入侵检测模块全面监测系统 联 系 ,从而更加有效 的定位犯罪 ; 第六 ,数 据保全 模块将数 据 分析 、 鉴定 出来的证据 使用数据 加密、数据摘
的攻击技术资料 , 产生防御攻击的方法。 活动 ,一旦 有非法入侵者进入系统 ,及
时报警 ;
= ,基 于 智能 代理 的 动态 礅 证 系 统 模 型
定、 证据保全 、 证据提 交子 系统构成 。 各 据仓库的存储格式并存人数据 仓库 ;
模块在结构上采用 智能代理技术 ,各模
新 ,入侵监测与动态取证互动
第三 ,数据挖掘模块对数据仓库的
块代理之 间以及各模块代理 内部之间通 数据进行清洗 、选择 、格式转 换 ,使用 过智能代理 的访问技术进 行通信协作 , 关联规则分析 、分类 、联 系分析技术方
可适 应 性和 扩 展 性 问题 。
随
墓 笔
一
经作 了某项非法行为 ,或者相反 ,为某 可能永远消失了 ,从而不能及时地获取 人澄 清某项罪名 。 证据 。面对如何 确保收集到的证据 是真 实 、有效和及时这个 当前计算机取 证的
、
到人们的工作与生活中。与此 同时 ,新
的 漏洞与攻击方式不断出现 ,计算机越 来越 多的 出现在犯罪活动当中 , 与计算
次 数 分析; 的 据
第五,鉴定模块对搜集来的电子证
线器 、交换机 等硬 件设 备来源和 软件 来 源鉴定发现 电子证据与犯罪事实之间的
莹
汜
算机动态取证能记录系统工作 、尤其是 提高动 态取 证 系统的实 时性 、有效性 、 据进行C U、 P 存储设备、网络设备、集 雪 黑客入侵的全过程 , 截取入侵工具, 对黑 扩展性和智 能性。 客入侵方法进行技 术分析 ,通过分析和 研究, 牵制和转移黑客的攻击 , 取得最新 在 图l 模型 系统和 要和 签名技术加密传送 到数 据库 ; 日志文件 、周边数据 、网络数据包等方
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
e t w o r k & C o m p u t e r S e c u r i t y计算机取证技术研究南阳师范学院 张新刚 刘 妍摘 要 该文介绍了计算机取证的步骤、特点、原则、技术和工具等,分析了存在的问题,介绍了国内外计算机取证的研究现状,最后提出了计算机取证的发展趋势。
关键词 计算机犯罪 计算机取证 计算机证据 电子证据 反取证技术计算机犯罪使人们受到重大损失,而打击计算机犯罪的关键就是找到充分、可靠的法律证据。
因此计算机取证(Computer Forensics)越来越受到人们的关注。
一 、计算机取证概述1、计算机取证的概念计算机取证是指对计算机入侵、破坏、欺诈、攻击等犯罪行为,利用计算机软硬件技术,按照符合法律规范的方式,对能够为法庭接受的、足够可靠和有说服性的、存在于计算机、相关外设和网络中的电子证据的识别、获取、传输、保存、分析和提交认证的过程。
计算机取证学是计算机科学、法学和刑事侦查学的交叉学科。
取证的目的是找出入侵者(或入侵的机器),并解释入侵的过程。
取证的实质是一个详细扫描计算机系统以及重建入侵事件的过程。
2、计算机取证的步骤(1)现场勘查:保护现场,对现场进行勘查,获取物理证据;(2)识别证据:识别可获取的信息的类型,以及获取的方法;(3)传输数据:将获取的信息安全完整地传输到取证分析的机器上;(4)保存数据:确保跟原数据一致,不对原数据更改和破坏;(5)分析证据:以可见的方式显示,结果要有确定性;(6)提交证据:以证据的形式按照合法的程序向司法机关提交证据。
3、计算机取证的分类和证据来源按照取证的时间主要可以分为实时取证和事后取证。
按照取证时刻潜在证据的特性,计算机取证可分为静态取证和动态取证。
由于计算机系统和网络数据流在证据特性上的差异,人们常用基于主机的取证和基于网络的取证两种的说法。
基于主机的证据主要包括:(1)操作系统审计跟踪、系统日志文件、应用日志;(2)备份介质;(3)入侵者残存物,如程序、进程;(4)Swap File;(5)临时文件;(6)Unallocated Space一些刚刚删除的文件可以在这里找到;(7)Slack Space;(8)系统缓冲区;(9)文件的电子特征(如MAC Times);(10)可恢复的数据;(11)加密及隐藏的文件;(12)系统时间;(13)打印机及其他设备的内存等。
基于网络的证据主要有:(1)Firewall日志;(2)IDS日志;(3)Proxy日志;(4)http Server日志;(5)I&A系统;(6)访问控制系统;(7)Router日志;(8)核心dump;(9)其他网络工具和取证分析系统产生的记录和日志信息等。
4、计算机证据的特点(1)较强的隐蔽性;(2)多媒体性;(3)较高的精密性、脆弱易逝性和易损毁性;(4)传输中通常和其他无关信息共享信道;(5)电子证据问题是由于技术发展引起的,取证步骤和程序也须不断调整以适应技术的进步;(6)准确的可靠性,可为法庭所接受的。
5、计算机取证的原则(1)尽早收集数据,并保证其没有受到任何破坏;(2)确保“证据链”的完整性,即在证据被正式提交法庭时,必须能够说明证据从最初的获取状态到在法庭上出现状态之间的任何变化;(3)不要直接对原始数据进行分析,分析数据的计算机系统和辅助软件必须安全、可信;(4)整个检查、取证过程过程必须是受到监督的。
二、计算机取证技术和工具1、计算机取证技术(1)磁盘映像拷贝:如果直接在被攻击的计算机磁盘上进行操作,很可能会破坏原始数据。
所以应采用磁盘映像拷贝技术把原始的磁盘完整地复制一份,其中包括交换区文件、临时文件和磁盘未分配区等,然后对复制的磁盘进行操作。
(2)数据恢复:主要包括对未分配空间、Slack空间中信息的发掘技术;对交换文件、隐藏文件、加密文件、临时N e t w o r k & C o m p u t e r S e c 文件、缓存文件中信息的复原技术;对删除文件的恢复技术;其中磁盘上的数据即使被删除,数据还保存在磁盘上,只是FAT表中的文件名的第一个字符替换为删除标志,操作系统无法识别该文件,磁盘中的文件数据仍然存放在原来的位置。
该位置被标识为空闲区,可以被覆盖新文件。
只要该位置没有被新文件覆盖,就可以采用类似RecoverNT的工具对原始数据进行恢复。
(3)数据传输:采用光缆以RS-232为接口进行异步数据传输,将数据从目标计算机安全地传输到取证计算机上。
为提高远程数据传输的保密性,可采用VPN、SSL、DES加密、IP加密等,保证数据的安全传输。
另外,采用MAC加密算法来保证数据传输的完整性。
(4)数据保存:当数据安全完整地从目标机器上传到取证机上后,还要对数据进行安全保存,需要采用加密技术。
对磁盘加密的方法有芯片加密、激光穿孔加密、掩膜加密、修改磁盘参数表等。
(5)数据分析:主要包括日志分析、数据解密技术、文件属性、Slack Space、Swap File、Erased Files等的分析、证据相关性分析等。
(6)Honeypot、Honeynet取证:在被入侵的系统上巧妙地设立Honeypot,模拟先前被入侵的状况来捕捉入侵者的信息。
Honeypot和Honeynet都是一个专门设计让人“攻陷”的网络,一旦被入侵者所攻破,入侵者的一切信息,工具等都将被用来分析学习,同时获得入侵者的详细信息。
(7)其他监视通信量和数据随机采样分析,还有IP地址追踪和定位技术等。
2、计算机取证工具现有的取证工具硬件产品主要集中在磁盘数据克隆、磁盘数据擦除、取证接口和网络监控器方面,软件产品主要是文件信息获取、文件内容浏览、反删除、文本搜索、驱动影像(按位复制全部存储空间)等工具。
(1)Encase:从数据发现到分析到生成报表的全面的解决方案。
Encase是得到美国政府承认的计算机取证产品,是一个完全集成的基于Windows界面的取证应用程序,其功能包括:数据浏览、搜集、磁盘浏览、建立案例、建立证据文件、保存案例等。
(2)TCT (The Coronor, s Toolkit) 主要用来调查被攻击的Unix主机,它可以对运行着的主机的活动进行分析,并捕获目前的状态信息。
TCT还包括数据恢复和浏览工具unrm&lazarus、获取MAC时间的工具mactime和一些小工具等。
(3)Forensic Toolkit 是一系列基于命令行的工具,可以帮助推断Windows NT文件系统中的访问行为。
包含的命令有 AFind、HFind、SFind、NTLast等。
(4)对Dos攻击的快速反应:检测攻击的节点,并向ISP反馈,引诱攻击像ManTrap 的假目标,以获得足够的信息。
(5)硬件数据采集器:存在于主机、磁盘或网络中,对读写等操作进行记录,可快速查看磁盘、校验、分析,并可形成技术报告。
比如Gidance,s Software中的Fast Bloc数据采集器。
(6)Guidence Software开发:提供图形界面来查看和管理所有的证据,另外还记录操作者和操作时间。
(7)SafeBack,New Technologies Inc:主要是美国为联邦法律执行机构提供的高级证据保护工具。
(8)ThumbsPlus、Snapback、 Data-sniffer、Toolkit、DriveSpy、口令破解工具,端口扫描工具等。
目前网络犯罪的取证工具没有统一的标准和规范,软件的使用者很难对这些软件的有效性和可靠性进行比较。
三 、计算机取证的研究现状 1、国内研究现状我国有关计算机取证的研究和实践还处于起步阶段,研究机构开展取证技术研究和公安部门打击计算机犯罪也不过是近几年的事情,技术水平与国外相比差距较大,取证相关法律方面还有待于健全。
学术会议方面:2005年6月,首届中国计算机取证技术峰会在北京召开,会议推动了国内外计算机取证先进技术的传播。
2006年第二届中国计算机取证技术峰会将于2006年11月在北京举行。
另外,2005年4月,在中国电子学会下成立了计算机取证专家委员会。
技术研究方面:国家有关部门非常重视打击计算机犯罪,组织开展了相关课题的研究。
在研的课题有:国家863项目子课题—电子物证保护与分析技术;国家“十五”重点科技攻关项目—打击计算机犯罪侦察技术研究;公安部Internet侦控管理系统研究等项目。
国内很多科研机构和高校参与研究,并取得了一定的成果。
例如中科院高能所计算中心开发出了“取证机”,该系统可侦探黑客的入侵手段,提交分析报告等;北京大学计算机研究所已经研制成功了“计算机犯罪证据固定与保全工具箱原型系统”,该系统已经帮助公安部门破获了几起网上犯罪案件,现场操作情况良好,有待于产品化。
取证产品方面:上海金诺网安的介质取证系统DiskForen,是一个对存贮介质中的残缺数据进行恢复和勘查取证的系统;厦门美亚柏科开发了计算机证据侦察箱,具有证据提取、破解、分析等功能;北京天宇宏远开发出了硬盘e t w o r k & C o m p u t e r S e c u r i t y拷贝机等;中软公司的网络信息监控分析与取证系统等。
2、国外研究现状在国外,尤其在美国等网络技术发达国家,打击计算机犯罪有着二三十年的历史。
1984年美国FBI实验室和其他法律执行部门开始建立了检查计算机证据的实验室,从那时起计算机取证分析日益成为国外各研究机构与公司对计算机网络的重点研究课题。
现在美国至少有70%的法律部门拥有自己的计算机取证实验室,取证专家在实验室内分析从犯罪现场获取的计算机和外设,并试图找出入侵行为。
对计算机取证的研究始于上世纪90年代。
1993年召开了计算机取证国际会议,并成立了电子证据科学工作组。
2001年召开的FIRST(Forum of Incident Response and SecurityTeams)年会的主题就是系统恢复和计算机取证。
近几年每年都有关于计算机取证的国际会议召开。
另外还有SANS公司主持的系统取证、调查和响应年会、FIRST年会等。
取证产品方面:美国LOGICUBE公司是取得美国政府认可,得到美国法院、国际法院认可的计算机取证产品的厂商。
该公司在硬盘拷贝、备份、数据恢复等领域在世界上处于领先地位。
美国Guidance公司开发的Encase,它是基于Windows系统下用于法庭数据收集和分析的系统;美国Computer Forensics Ltd开发的DIBS产品,它是一种数据镜像备份系统,采用独特的数据镜像查证和鉴定技术,确保了单独复制的安全性和完整性;美国Sandstorm公司开发的NetIntercept网络取证系统,可获取和分析网络数据,并支持60多种网络数据流的格式;英国Vogon公司开发了基于PC 、Mac和 Unix系统的数据收集和分析系统(Flight Server)等; Earthlink网络的Dan Farmer和IBM公司的WietseVenema研究员为了协助计算机取证而设计的工具包TCT,它可以用来找回被删除的数据和取得所有文件的属性信息,并对运行中的主机活动进行分析。