计算机取证分析

摘要

信息技术的不断发展给人们的生活带来了巨大的改变，网络已经越来越渗透到人们的现实生活与

工作当中。然而，网络在为人民生活和工作带来便利的同时，也引发了无数网络犯罪。

计算机静态取证便是针对网络犯罪而出现的一种电子取证技术，而随着网络犯罪形式和手段的千变万化，计算机静态取证已不能满足打击网络犯罪的需求，

为适应信息化发展的要求，建立安全网络环境和严厉打击网络犯罪行为势在必行，本论文针对计算机动态取证技术进行分析，主要浅谈电子动态取证采集系统的实现、网络证据收集和网络数据分析

等几个方面。通过对计算机取证基本概念、特点和技术的基础研究，对计算机动态取证进行分析。关键词：电子取证动态取证动态电子证据采集网络数据协议

目录

一、概述

（一）、研究背景

目前，人类社会已经迈入了网络时代，计算机与互联网已经与老百姓的日常工作、学习与工作息息相关，社会信息化对政治、经济、文化和科技等各项社会生活产生了深远的影响。然而，网络技术给人类社会带来有利影响的同时，也带来了负面的影响。

在国外，1988年11月美国国防部的军用九三级网络遭受莫里斯病毒袭击，致使美国Internet网络上6000多台计算机感染，直接经济损失9600万美元。2000年5月，“爱虫”病毒通过电子邮件传播，在世界各地迅速蔓延，造成全世界空前的计算机系统破坏。而在国内，人们利用计算机网络犯罪的案例也层出不穷。2002年，作案人吕薜文通过盗用他人账号，对中国公众多媒体通信网广州主机进行了攻击，并对其部分文件进行删除、修改、增加等一系列非法操作，造成严重后果。2008年4月，作案人赵哲窜至上海某证券攻击营业部，利用该营业部电脑安全防范上的漏洞，修改该营业部部分股票交易数据，致使股价短时间内剧烈震荡。

计算机以及其他信息设备越来越多的被运用到犯罪活动中，尽管随着入侵检测系统的广泛使用降低了非法使用计算机资源所带来的损失，但网络犯罪依然不可忽视。针对网络环境安全，本文旨在研究探讨网络开放环境下的电子证据的动态收集与分析。（二）、国内外研究现状

目前，虽然我国各省市级公安机关有专门的部门处理计算机犯罪案例，然而在处理案件的技术上所用到的只是国外一些常见的取证工具，如今计算机犯罪手段变化多端，这样所获取的电子证据缺乏说服力，未能给破案带来实质性的帮助。而类似美国等发达国家地区，无论是在电子取证技术上、人们的意识形态和有关计算机证据的法律建设都在于我国之上，许多专门的计算机取证部门、实验室和公司开发了很多极其实用的取证产品。例如，计算机司法领域的行业领袖Logicube、突出的计算机取证服务提供商ICS、Vogon和Guidance等公司不断研发和推进它们的专业取证产品，对打击计算机犯罪提供了有效的工具。

因此，我国应该自主开发能够有效打击计算机及网络犯罪的专业电子产品，健全相关法律法规，以应对日益增加的犯罪活动，使得用户的权益不受侵犯。开展计算机取证技术的研究，无疑对我国的社会发展乃至整个世界的计算机科学发展都有着极其重要的意义。

（三）、论文研究内容

与时俱进的时代性不仅体现在社会与经济的快速发展，同时体现于社会各个领域的全面进步，计算机取证已经成为当今社会不可置旁的话题，执法机关对计算机取证

技术的要求也越来越高，本文将通过对计算机取证技术的基础知识进行拓展，比计算机静态取证做更进一步的探讨，对动态电子证据采集系统的实现进行研究以及对计算机证据的收集和分析研究。

本文各部分的内容组织如下：

第一章概述，介绍课题的研究背景，以及国内外关于计算机取证的发展现状和本课题的主要研究内容。

第二章计算机取证技术，较系统介绍计算机取证的定义、特点、基本原则和简单介绍比较计算机动态取证和计算机静态取证。

第三章计算机动态取证采集系统的实现研究，分析计算机动态取证采集系统的功能，从而研究计算机动态取证采集系统的组成。

第四章计算机证据收集与分析，讨论网路数据的分析和网络证据的收集。

最后结语，对本论文进行总结。

二、计算机取证技术

（一）、计算机取证的定义

计算机取证即对计算机入侵与犯罪，进行证据获取、保存、分析和出示，它是一个对受侵计算机系统进行扫描和破解，以对入侵事件进行重建的过程。计算机取证包括物理证据获取和信息发现两个阶段。物理证据获取是指调查人员到计算机入侵或者犯罪现场寻找以及扣留计算机硬件，而信息发现则指专业人员从原始电子数据（包括日志、文件等）中寻找破案所需要的电子证据。

计算机取证对计算机和网络犯罪的作用至关重要，执着证据真实、可靠、完整和符合法律法规的原则，它被用于解决现代社会中出现的许多计算机和网络犯罪活动。（二）、计算机取证的特点

电子证据是以电或磁的脉冲形式和二进制的数据格式存储于计算机的硬盘上的高科技证据，它与传统的证据相比具有高科技性、无形性和易破坏性等特点。高科技性是指电子证据的产生、储存和传输，都必须借助于、存储技术、网络技术等，离开了相应技术设备，电子证据就无法保存和传输。无形性是指电子证据肉眼不能够直接可见的，必须借助适当的工具。易破坏性是指电子证据很容易被篡改、删除而不留任何痕迹。

根据电子证据的特点，获取对计算机系统进行彻检，进而提取以及保护计算机和网络犯罪的证据。在电子证据获取的过程中，需要保持及时性、无破坏性、连续性和受监督性。及时性和无破坏性是指要尽早地搜集证据，而保证证据完整不受破坏；连续性是指在取证过程中必须保证证据的连续性，以保全其具备的证据能力和证明力；

受监督性是指原告委派的专家的整个检查和取证工作，都应该受到由其它方委派的专家的监督。

（三）、计算机取证的基本原则

计算机取证的基本原则主要有以下几点：

首先，保持及时的原则，对证据要及时搜集，以免错过取证的最佳时段；

其次，保全证据，保持证据完整而不受损坏；

第三，必须保持证据的连续性，将证据提交给法庭时，必须能够说明证据从获取至提交法庭整个过程的证据状态是否出现变化，或者没有任何变化。

最后，原告委派的专家的整个检查和取证工作，都应该受到由其它方委派的专家的监督。

（四）、计算机取证技术

按计算机取证发生时间的不同，将计算机取证分为事后的静态取证和实时的动态取证。静态取证的电子取证的证明力相对较低，事后的取证使取证工作处于被动的状态，取证工作很大程度上受限于计算机犯罪分子留下的现场，从而难以对付计算机犯罪。而计算机动态取证是将取证技术结合到防火墙和入侵检测中，对所有可能的计算机犯罪行为进行实时数据获取和分析，智能分析入侵者的企图，采取措施切断链接或诱敌深入，在确保系统安全的情况下获取大量的证据，并保全、分析和提交证据的过程。

动态取证较静态取证的优越性在于动态取证在时间上具有实时性，一般在网络入侵发生时便开始启动，这样所提取的证据相对比较充分和完整，同时，证据的有效性也变得更强。另外，动态取证对于取证人员的要求相对较低，而不像静态取证工具种类繁多，取证操作过程繁琐，技术单一。

三、计算机动态取证采集系统的实现研究

（一）、计算机动态取证采集系统功能

针对网络犯罪日益严重的现象，动态电子证据采集技术在电子取证技术中起着举足轻重的地位，动态电子证据采集技术包括IP地址和MAC地址获取和识别技术、数据包捕获技术、身份认证技术、漏洞扫描技术、电子邮件的取证和坚定技术等。为能够有效对网络入侵犯罪活动进行证据采集，计算机动态取证采集系统必须具备以下功能：

首先，系统能够检测本地互联网各系统配置的正确性和安全漏洞，监视和分析互联网用户和系统的活动，预防系统被越权操作；

其次，能够跟踪所有网络活动和对应用层协议会话过程进行实时与历史重现；