计算机取证技术综述
计算机取证技术综述
计算机取证技术综述学号:姓名:院系:邮件:电话:计算机取证技术综述摘要:随着信息技术、网络技术的发展,计算机越来越多的出现在犯罪活动当中,计算机取证正逐渐成为人们研究与关注的焦点。
本文首先介绍了计算机取证的概念、特点、取证的步骤,然后探讨了计算机取证的相关技术和工具,最后简述了计算机取证技术的发展趋势。
关键词:计算机取证;取证工具1引言随着Internet的飞速发展,信息在社会中的地位和作用越来越重要。
与此同时,新的漏洞与攻击方式不断出现,计算机犯罪事件频发,信息安全面临着严峻的挑战。
与计算机相关的法庭案例也不断出现,如何最大限度地获取计算机犯罪相关的电子证据,有效地打击计算机犯罪,其中涉及的技术就是目前人们研究和关注的计算机取证技术。
2计算机取证的定义计算机取证是指对能够为法庭接受的、足够可靠和有说服性的、存在于计算机和相关外设中的电子证据的确认、保护、提取和归档的过程。
从证据分析技术来分,计算机取证技术主要分为静态取证和动态取证。
静态取证,也叫事后取证,它是在入侵事件已经发生后,对硬盘、光盘、软盘、内存缓冲以及其他形式的储存介质进行数据提取、分析,抽取有效数据以发现犯罪证据的过程。
动态取证是将取证技术结合到防火墙、入侵检测中,对所有可能的计算机犯罪行为进行实时数据获取和分析,智能分析入侵者的企图。
采取措施切断链接或诱敌深入,在确保系统安全的情况下获取最大量的证据,并将证据鉴定保全提交的过程。
3计算机证据的特点与传统证据相比,计算机证据具有以下突出特点:(1)数字性。
(2)高科技性。
(3)隐蔽性。
计算机证据在计算机系统中可存在的范围很广,使得证据容易被隐藏;同时计算机证据是以二进制代码进行存储和传输,一般不能被人直接感知,使得计算机证据与特定主体之间的关系按照常规手段难以确定。
(4)客观实时性。
数字证据这一特点便于我们在一定的时间空间内锁定犯罪嫌疑人和寻访证据。
(5)脆弱易逝性。
(6)多媒体性和开放性。
《计算机取证技术》课件
文件分析技术
01
文件格式解析
识别并解析不同文件格式,提取关 键信息。
文件签名验证
通过文件的数字签名验证文件的真 实性和完整性。
03
02
文件内容分析
对文件内容进行深入分析,提取与 案件相关的证据。
文件隐藏分析
检测和提取隐藏在文件中的关键信 息,如密码、密钥等。
04
网络监控与追踪技术
网络流量捕获
实时捕获网络流量,分析网络通信内容。
02
打击犯罪行为
电子证据在许多犯罪案件中发挥着越来越重要的作用。计算机取证技术
可以帮助执法部门获取关键的电子证据,为案件调查和起诉提供有力支
持,有效打击各类犯罪行为。
03
维护公共利益
在许多涉及公共利益的领域,如知识产权保护、消费者权益保护等,计
算机取证技术可以用于获取和验证相关证据,维护公共利益和社会公正
网络监视与监听
调查网络监视与监听行为,保护公民的通信自由和隐私权。
数字知识产权保护
数字版权
对数字版权进行保护,打击盗版和非法复制行为,维护创作者的权益。
商业机密
通过计算机取证技术,保护企业的商业机密不被泄露或侵犯。
05
计算机取证的挑战与未来发 展
法律与道德问题
法律问题
计算机取证过程中,如何确保合法性、合规性,避免侵犯个人隐私和权利,是当前面临的重要挑战。 需要制定和完善相关法律法规,明确计算机取证的法律地位和程序规范。
《计算机取证技术》ppt课 件
目录
• 计算机取证技术概述 • 计算机取证的基本原则与流程 • 计算机取证的主要技术 • 计算机取证的应用场景与案例分
析 • 计算机取证的挑战与未来发展
计算机取证技术及发展趋势
计算机取证技术及发展趋势计算机取证技术是指利用计算机科学和法律手段来收集、保留和分析电子证据的过程。
随着计算机犯罪日益普及化和复杂化,计算机取证技术也在不断发展。
以下是计算机取证技术及其发展趋势:1. 数字取证:数字取证是指通过技术手段获取和分析计算机系统、存储媒体和网络中的电子证据。
随着技术的不断进步,数字取证工具和技术也不断更新,以适应不断出现的新型电子媒体和网络威胁。
2. 云取证:随着云计算的流行,越来越多的数据存储在云中。
云取证是指获取和分析云存储和云服务中的电子证据。
这涉及到对云平台的了解和对云存储中的数据进行合法的获取和分析。
3. 移动设备取证:随着智能手机和平板电脑的普及,移动设备取证变得越来越重要。
移动设备取证涉及到获取和分析移动设备中的电子证据,例如通话记录、短信、照片等。
由于移动设备的多样性和复杂性,移动设备取证技术也在不断发展。
4. 大数据分析:随着大数据时代的到来,越来越多的数据需要进行分析,以发现隐藏在其中的信息和模式。
计算机取证技术也可以利用大数据分析技术来挖掘电子证据中的信息,辅助调查和取证过程。
5. 自动化取证:随着电子证据的不断增多和复杂性的提高,传统的手工取证方式已经很难满足需求。
自动化取证技术利用机器学习和人工智能等技术,可以自动化地获取、分析和报告电子证据,提高效率和准确性。
6. 区块链取证:区块链是一种分布式的、可追溯的和不可篡改的数据结构,具有很强的安全性和可信度。
计算机取证技术可以利用区块链的特性来获取和分析基于区块链的交易和合约等电子证据,例如比特币和其他加密货币的取证。
总之,计算机取证技术将随着技术的不断进步和犯罪形式的不断演变而不断发展。
趋势包括数字取证、云取证、移动设备取证、大数据分析、自动化取证和区块链取证等。
简述计算机取证的技术及其过程
简述计算机取证的技术及其过程
计算机取证(Computer Forensics)是一种用于获取、保护和分析在计算机或网络环境中发现的可用作证据的数据的技术。
它是一种针对计算机存在的各种欺诈行为、犯罪行为、不当行为以及各种违反公法的行为而进行的技术支持。
计算机取证是一种复杂的过程,涉及到非常多的技术,它涉及到计算机和网络存储设备的分析、取证和恢复等多个环节。
一般来说,它的流程主要分为以下几个步骤:
1.取证:经过法律手段进入犯罪现场,及时收集相关信息,以及收集、拍摄、测量和鉴定当地存在的物体和环境条件;
2.鉴定:根据收集的物证资料鉴定取证中的计算机设备的制造商、型号、序列号等情况;
3.数据恢复:数据恢复技术可以使损坏的媒体介质上存储的数据恢复可用;
4.数据取证:根据取证计划的要求,从收集的电脑设备中检索需要的相关信息;
5.数据分析:根据取证计划的要求,进行分析技术,以建立案件证据;
6.报告归档:根据案件定性,对取证结果进行实体报告,供警方、检察院、法院以及其他部门使用。
计算机取证工作对专业性要求非常高,取证过程中涉及的法律、技术等都是需要专业人员配合进行的。
取证技术的应用可以非常大程
度上帮助警方侦破各类犯罪,充分发挥计算机取证在司法取证中的重要作用。
计算机取证技术
计算机取证技术一、计算机取证的概念和特点关于计算机取证概念的说法,国内外学者专家众说纷纭。
取证专家ReithClintMark 认为:计算机取证可以认为是“从计算机中收集和发现证据的技术和工具”。
LeeGarber在IEEESecurity发表的文章中认为:计算机取证是分析硬盘驱动器、光盘、软盘、Zip和Jazz磁盘、内存缓冲以及其他形式的储存介质以发现证据的过程。
计算机取证资深专家JuddRobbins对此给出了如下定义:计算机取证是将计算机调查和分析技术应用于对潜在的、有法律效力的证据的确定与获取。
其中,较为广泛的认识是:计算机取证是指能够为法庭接受的、足够可靠和有说服力的、存在于计算机和相关外设中的电子证据的确定、收集、保护、分析、归档以及法庭出示的过程。
电子证据也称为计算机证据,是指在计算机或计算机系统运行过程中产生的,以其记录的内容来证明案件事实的电磁记录物。
电子证据的表现形式是多样的,尤其是多媒体技术的出现,更使电子证据综合了文本、图形、图像、动画、音频及视频等多种媒体信息,这种以多媒体形式存在的计算机证据几乎涵盖了所有传统证据类型。
证据在司法证明的中的作用是无庸质疑的,它是法官判定罪与非罪、此罪与彼罪的标准。
与传统证据一样,电子证据必须是:可信的、准确的、完整的、符合法律法规的,即可为法庭所接受的。
同时我们不难发现,电子证据还具有与传统证据有别的其它特点:①磁介质数据的脆弱性:电子证据非常容易被修改,并且不易留痕迹;②电子证据的无形性:计算机数据必须借助于其他一些输出设备才能看到结果;③高科技性:证据的产生、传输、保存都要借助高科技含量的技术与设备;④人机交互性:计算机证据的形成,在不同的环节上有不同的计算机操作人员的参与,它们在不同程度上都可能影响计算机系统的运转;⑤电子证据是由计算机和电信技术引起的,由于其它技术的不断发展,所以取证步骤和程序必须不断调整以适应技术的进步。
二、计算机取证的过程计算机取证包括物理证据获取和信息发现两个阶段。
司法鉴定中的数字取证技术介绍
文件解析与识别技术
文件解析
对数字设备中的各类文件进行深入分 析,提取文件头、元数据、内容等信 息,以确定文件类型、来源和修改历 史等。
文件识别
通过特定算法对文件进行识别和分类 ,如识别图像、音频、视频等文件的 格式和内容,为后续分析提供基础。
时间戳分析与验证技术
时间戳分析
对数字设备中的时间戳信息进行提取和分析,以确定文件创建、修改和访问的 时间,为案件调查提供时间线索。
工作流程
数字取证技术的工作流程通常包括案件受理、现场勘查 、数据提取、数据分析、证据呈现和结案归档等步骤。 其中,案件受理是指接收案件并了解案情;现场勘查是 指对涉案数字设备或存储介质进行现场勘查和收集;数 据提取是指对收集到的数据进行提取和整理;数据分析 是指对提取的数据进行深入分析和挖掘;证据呈现是指 将分析结果以可视化、直观化的方式呈现出来;结案归 档是指将案件相关材料和证据进行整理和归档。
展望未来发展趋势
技术创新
随着人工智能、大数据等技 术的不断发展,数字取证技 术将不断创新,提高自动化 和智能化水平。
法规完善
随着数字技术的广泛应用, 相关法律法规将不断完善, 为数字取证技术的发展提供 有力保障。
国际合作
跨国犯罪和网络犯罪日益猖 獗,数字取证技术的国际合 作将成为未来发展的重要趋 势。
时间戳验证
通过与其他证据或信息进行比对,验证时间戳的真实性和准确性,以确定数字 证据的可靠性和完整性。
加密解密技术应用
加密技术应用
采用加密算法对重要数字信息进行加密处理,确保信息在传 输和存储过程中的安全性,防止未经授权的访问和篡改。
解密技术应用
在合法授权的情况下,利用解密算法对加密信息进行解密处 理,以获取原始信息内容,为案件调查提供证据支持。
计算机取证技术概述
计算机取证技术概述今天咱就来聊聊这计算机取证技术哈。
这玩意儿啊,听起来挺高大上的,其实简单来说,就是从计算机里找出那些藏得严严实实的“小秘密”,就像个超级侦探在数字世界里破案一样。
我给你们讲个事儿哈。
前段时间,我们公司出了点小插曲。
有个同事负责的一个重要项目资料突然就不见了,那可把他急得像热锅上的蚂蚁,团团转呐。
这项目可是公司接下来的重头戏,资料没了,那还得了?他当时那脸啊,白得跟纸似的,跑到办公室里就大喊:“我的资料啊,咋就没了呢?这可咋办哟!”大家都围了过去,七嘴八舌地开始讨论起来。
有人说是不是不小心删了,有人说是不是电脑出毛病了。
反正各种猜测都有,可就是没人能说出个准儿来。
这时候,咱公司的技术大神老张站出来了。
他不慌不忙地说:“别着急,咱得用用计算机取证技术,看看能不能把这资料找回来。
”老张那可是公司里出了名的电脑高手,大家一听他这话,心里都松了口气,仿佛看到了救星似的。
老张先坐到那同事的电脑前,开始仔细地检查起来。
他一边操作,一边给我们这些菜鸟解释着:“你们看哈,这计算机取证技术啊,就像是给电脑做个体检。
我们得看看这电脑最近都干了些啥,有没有什么异常的操作。
”说着,他就点开了系统的各种记录,那眼睛就跟扫描仪似的,一眨不眨地盯着屏幕。
过了一会儿,老张皱了皱眉头说:“还真有点不对劲。
你们看这里,在资料丢失的那段时间,有个不明程序运行过。
”大家都凑过去,盯着屏幕看,可我们这些外行人哪看得懂那些密密麻麻的代码和数据啊,只觉得头晕眼花的。
老张接着说:“这程序很有可能就是导致资料丢失的罪魁祸首。
现在啊,我们得顺着这条线索继续查下去。
”然后他又开始在电脑里翻找起来,一会儿查看日志文件,一会儿分析内存数据,那认真的劲儿,就好像在跟一个隐藏在电脑里的小偷斗智斗勇。
就在我们都以为没啥希望的时候,老张突然一拍大腿,兴奋地说:“找到了!你们看,这资料被这个程序加密后藏到了一个隐蔽的文件夹里。
”大家都忍不住欢呼起来。
简述计算机取证的技术
简述计算机取证的技术
计算机取证是指通过收集、分析和整理计算机系统中的数据、程序和其他信息,以证明计算机系统的安全性、完整性、合法性和真实性,并保护相关权益。
计算机取证技术包括以下方面:
1. 数据分析技术:用于分析计算机系统中的数据和信息,确定是否存在异常行为或漏洞。
2. 计算机安全评估技术:用于评估计算机系统的安全性,包括漏洞扫描、恶意软件检测和防护等。
3. 电子取证技术:用于收集、存储和传输计算机系统中的各种电子数据,包括音频、视频、图像、指纹和密码等。
4. 网络取证技术:用于分析网络系统中的数据和信息,确定是否存在异常行为或漏洞。
5. 软件取证技术:用于分析和证明软件的安全性和合法性,包括漏洞扫描、恶意软件检测和防护等。
6. 数据隐私保护技术:用于保护计算机系统中的数据隐私,包括加密、访问控制和数据备份等。
7. 法律咨询和诉讼技术:用于处理计算机取证过程中的法律问
题和诉讼事务。
计算机取证技术是一项复杂的技术,需要专业的技术和法律知识,因此,如果需要进行计算机取证,应该寻求专业的计算机取证服务机
构的帮助。
计算机取证中的数据恢复技术综述
计算机取证中的数据恢复技术综述摘要传统数据恢复已经有很多成熟的技术,通过分析计算机取证中数据恢复技术与传统数据恢复的关系,我们证明了在计算机取证中应用数据恢复技术的可行性,实践也证明了其有效性和重要性。
本文主要在介绍和分析磁盘在FAT32和NTFS两种不同文件系统的分区结构的前提下,在综述了各种计算机取证中基于FAT32和基于NTFS的数据恢复技术和原理、基于闪存的数据恢复技术、基于新型存储设备SSD固态盘的数据恢复技术。
然后讨论了未来计算机取证中数据恢复技术的发展趋势和挑战,即文件碎片的重组和恢复和基于SSD的数据恢复。
相比传统数据恢复,计算机取证中的数据恢复有其自己的特点和要求,最后本文从法律角度,总结了数据恢复技术在计算机取证中应用时所需要遵循的原则和流程规范。
关键字:计算机取证、数据恢复AbstractTraditional data recovery has a lot of mature technologies, According to analysis the relationship between data recovery in computer forensics and traditional data recovery, feasibility of applying data recovery techniques to computer forensics has been proved,much practice also has proved its effectiveness and importance. This paper describes and analyzes the different disk partition structure respectively in the FAT32 and NTFS file systems, then reviews a variety of data recovery techniques and principles respectively based on FAT32 and NTFS, flash-based data recovery techniques, SSD-based data recovery techniques in computer forensics. Next we discuss the trends and challenges of data recovery technology in computer forensics in the future, namely restructuring and recovery of file fragmentation and SSD-based data recovery. Compared to traditional data recovery, data recovery in computer forensics has own characteristics and requirements, and finally from a legal point of view, this paper summed up the principles and process specifications that need to be followed when data recovery techniques are applied to computer forensics .Keywords: computer forensics, data recovery目录摘要 (I)Abstract (I)1 引言 (1)1.1 计算机取证概念 (1)1.2传统数据恢复技术概念 (1)1.3 计算机取证中的数据恢复与传统数据恢复的关系 (2)1.4 计算机取证中的数据恢复技术研究背景及意义 (2)2 计算机取证中的数据恢复技术 (3)2.1 基于FAT32的数据恢复 (3)2.1.1 FAT32系统中硬盘数据结构 (3)2.1.2 文件删除后的恢复 (3)2.1.3 硬盘格式化或硬盘分区后的恢复 (4)2.1.4 分区表损坏后的恢复 (4)2.2 基于NTFS的数据恢复 (4)2.2.1 NTFS系统中硬盘数据结构 (5)2.2.2 文件删除后的恢复 (5)2.2.3 BPB损坏后的恢复 (6)2.3 基于闪存的数据恢复 (6)2.4 基于SSD的数据恢复 (6)3 计算机取证中的数据恢复技术发展方向 (7)3.1 文件碎片的重组和恢复 (7)3.2 基于SSD的数据恢复 (7)4 数据恢复在计算机取证中的应用 (7)5 总结 (7)6 参考文献 (8)1 引言1.1 计算机取证概念计算机取证是指能够为法庭接受的、足够可靠和有说服力的,存在于计算机、网络、电子设备等数字设备中的电子证据进行确认、收集、保护、分析、归档及法庭出示的过程。
计算机犯罪现场勘查取证技术研究
计算机犯罪现场勘查取证技术研究随着信息技术的不断发展,计算机犯罪也日益猖獗。
为了有效打击和侦破计算机犯罪案件,计算机犯罪现场勘查取证技术成为了非常重要的手段。
本文将重点研究计算机犯罪现场勘查取证技术,并分析其应用现状和未来发展趋势。
计算机犯罪现场勘查是指在计算机犯罪案件发生后,对现场进行勘查和取证以获取相关证据。
勘查的目的是为了了解计算机犯罪的手段和特点,帮助侦破案件和取证。
取证的目的是为了将现场的证据保全,为后续的调查和审判提供准确、可信的证据。
计算机犯罪现场勘查主要包括以下几个步骤:1. 现场保护:在到达犯罪现场之前,必须采取措施保护现场,防止证据的污染和破坏。
2. 现场勘查:对犯罪现场进行细致的勘查,了解犯罪的手段和经过。
包括对硬件设备、软件程序、网络信息等的调查和分析。
3. 证据保全:将现场的计算机设备、存储介质等相关证据进行保全,防止证据的丢失和篡改。
4. 数据恢复:对已删除的数据进行恢复和提取,还原犯罪的过程和行为。
5. 取证分析:对已经收集到的证据进行分析,找出证据之间的关联性,构建完整的案件事实链。
6. 报告撰写:将勘查取证过程和结果进行记录和总结,形成现场勘查取证报告。
1. 数字取证技术:通过对计算机设备和存储介质进行取证,获取相关证据。
包括数据恢复、数据提取、数据分析等技术。
2. 网络取证技术:对网络数据进行取证,获取网络犯罪的相关证据。
包括网络流量分析、网络事件重现等技术。
3. 操作系统取证技术:对操作系统进行取证,获取系统日志、注册表等相关证据。
包括系统还原、系统漏洞分析等技术。
4. 数据隐写取证技术:对隐藏在普通数据中的隐秘信息进行提取和分析。
包括隐写分析、隐写检测等技术。
计算机犯罪现场勘查取证技术已经在实践中得到了广泛应用。
在各个司法机关和公安机关中,都建立了专门的计算机犯罪现场勘查取证部门,负责处理各类计算机犯罪案件。
在实际应用中,计算机犯罪现场勘查取证技术已经取得了许多成果。
计算机取证技术的
网络犯罪案件的取证分析通常包括收集、保存、检查和分析数据证据,以识别和验证与犯罪活动相关的证据。分 析人员需要具备专业的计算机知识和法律知识,以确保取证过程的合法性和有效性。在分析过程中,常用的工具 包括网络监控软件、反病毒软件、数据恢复工具等。
数据泄露事件的取证分析
总结词
数据泄露事件的取证分析是指对数据泄露事 件进行调查和分析,以确定泄露原因、寻找 责任人,并采取措施防止类似事件再次发生 。
分析涉案行为
01
通过对涉案文件的分析,还原涉案人员的行为,如攻击行为、
数据泄露行为等。
识别攻击者02通过分攻击者的行为特征,识别攻击者的身份信息。
构建攻击路径
03
根据攻击者的行为特征,构建攻击路径,展示攻击者的攻击过
程。
计算机取证的报告阶段
编写取证报告
根据分析结果编写详细的取证报告,包括取证目标、 取证过程、分析结果等。
目的
为司法机关提供证据,协助案件侦破 ,维护社会公正和法律尊严。
计算机取证的重要性
打击犯罪
保障公民权益
计算机取证技术是打击计算机犯罪的 重要手段,通过对电子证据的收集和 分析,可以锁定犯罪嫌疑人,为案件 侦破提供有力支持。
计算机取证技术可以保护公民的隐私 权和财产权,防止个人信息被非法获 取和利用。
现代阶段
现代计算机取证技术已经与大数据、云计算、人工智能等技术相结合,实现了更加高效、 精准的电子证据收集和分析。同时,国际社会也加强了对计算机取证技术的重视和研究, 推动了相关法规和标准的制定和完善。
02
计算机取证的技术和方法
静态取证技术
01
02
03
文件系统分析
通过分析文件系统中的文 件、目录、数据等,提取 有用的证据信息。
小议计算机犯罪及取证技术
小议计算机犯罪及取证技术
计算机犯罪是指利用计算机和网络技术进行非法活动的行为,如黑客攻击、网络诈骗、计算机病毒传播等。
随着计算机和网络技术的不断发展,计算机犯罪的形式也在不断
演变,给社会安全造成了严重威胁。
为了打击计算机犯罪,取证技术在调查和取证过程中起着重要作用。
取证技术主要包
括以下几个方面的内容:
1. 数字取证:数字取证是通过对电子设备和数字媒体进行取证,收集和分析与犯罪行
为相关的电子证据。
数字取证的过程包括保护现场、获取证据、分析证据和生成报告
等步骤。
数字取证技术的发展使得取证工作更加高效和准确。
2. 数据恢复:数据恢复是指从受损的存储介质中恢复丢失的数据。
当计算机犯罪发生时,犯罪分子常常会试图删除或损坏与犯罪行为相关的数据。
数据恢复技术可以帮助
恢复这些数据,为调查提供重要的证据。
3. 网络日志分析:网络日志是记录网络活动的日志文件,它可以提供关于犯罪行为的
重要信息。
网络日志分析技术可以帮助调查人员追踪犯罪分子的活动轨迹,找出犯罪
行为的来源和目标,为取证提供依据。
4. 加密破解:加密是保护数据安全的一种重要手段,但在一些计算机犯罪案件中,犯
罪分子可能会使用加密技术来隐藏关键信息。
加密破解技术可以帮助调查人员解密加
密数据,获取隐藏在其中的证据。
总的来说,计算机犯罪及取证技术是一门涉及多学科的领域,需要综合运用计算机科学、网络安全、法律和取证学等知识。
只有不断提升取证技术的能力,并加强法律法
规的制定和执行,才能更好地应对计算机犯罪带来的挑战。
计算机取证研究综述
2
计算机取证研究综述
现场(The Digital Crime Scene),提出了一种基于 非数字取证方法的计算机证据的现场勘查和发现 的模式。取证专用 IDS 是把一般的 IDS 的规则库或 入侵行为特征库按 照法律法规的规定改成计算机 证据的规则和有关的犯罪行为特征库,在此基础上 再做一些改进就可以用于计算机取证。这方面的研 究在文献[15]中作了阐述 ,分析了一种网络取证分 析工具 NFAT (Network Forensics Analysis Toolkit) 的原理以及存在的问题。我国中科院高能物理所的 许榕升老师在文献[16]中提出了网络入侵取证与陷 阱技术,分析了网络取证与 IDS 的区别和入侵证据 的发现技术。文献[17]论述了 Web 数据挖掘技术在 计算机证据发现中的应用,设计了基于 Agent 的 Web 证据发现的模型框架。文献[18]提出了网络入 侵取证技术的实现—网络黑匣子。网络证据的溯源 主要是有关地址的定位技术,我国吉林大学正在进 行这方面的研究( 网络逆向追踪研究)。 中科院软 件所互联网软件技术实验室研究的基于网络文件 系统的网络监控技术也可以用于计算机证据的发 现。最近,又有人提出了利用反病毒引擎的计算机 取证。总之,目前网络证据的发现是现有的入侵检 测技术、网络监控技术、蜜罐技术、防火墙技术的 应用,并且随着这些技术的发展而发展 。文献[19] 介绍了一种计算机取证协议的设计。
技 术 。 在 网 站 / pdatoolbox.html 上有关于 PDA 中证据的发现的介 绍。而著名的取证软件 Encase 也实现了以上相关设 备中数据的获取。
3.2 计算机证据的固定技术研究 计算机证据的固定主要是解决证据的完整性 验证,即通过数字签名和见证人签名等保证现场勘 察和侦查获得的数据的完整性和真实性。计算机取 证的难点之一是证明取证人员所搜集到的证据没 有被修改过。而获取的计算机证据又恰恰具有易改 变和易损毁的特点。例如,腐蚀、强磁场的作用、 人为的破坏等等都会造成原始证据的改变和消失。 所以,取证过程中应注重采取保护证据的措施。例 如,美国取证专家采用的加密技术、时间戳技术和 电子指纹技术等都可以产生证据监督链以证实电 子证据的真实完整性。即在开始取证时就使用数字 指纹技术,而且,每作一个分析动作,都要再生成 数字指纹,同分析前进行对比以保证所收集到的证 据是可靠的[11]。时间戳是取证工作中非常有用的技 术,必将成为一种有效的证据鉴定方法。它是对数 字对象进行登记来提供注册后特定事物存在于特 定日期的时间和证据。时间戳对于收集和保存数字 证据非常有效。因为它提供了数字证据在特定的时 间和日期里是存在的并且从该时刻到出庭这段时 间里不曾被修改过 。这些技术目前在取证工具 Encase 中都有应用。站点 http://www.forensics-intl. com 上有对电子证据进行逐字节备份和针对某文 件或整个磁盘生成数字指纹的介绍。文 献[20]对软 件水印技术作了综述,这一技术完全可以用于电子 证据的固定。另外,国内外有些学者提出了用一些 监控软件进行取证过程的全程审计监督,但这种方 法占用系统资源,效率很低。我国的美亚柏科公司 研制的子证据鉴定审计系统就是在电子证据鉴定 系统中模拟社会的审计工作,对电子证据鉴定系统 的活动进行监视和记录的一种安全审计、监控与管 理的技术。运用电子证据鉴定审计技术的目的就是 对取证计算机的一系列取证步骤和过程进行自动 记录、制作报告,实现安全审计、监控与管理。电 子证据鉴定 完整的 审计监管功能由操作系统层的 审计系统和应用软件层的审计系统共同完成,两者
计算机犯罪现场勘查取证技术研究
计算机犯罪现场勘查取证技术研究摘要:随着计算机技术的不断发展和普及,计算机犯罪也越来越严重。
为了对计算机犯罪案件进行有效的调查和定罪,计算机犯罪现场勘查取证技术成为犯罪侦查的重要组成部分。
本文综述了计算机犯罪现场勘查取证技术的现状和发展趋势,并分析了其中的关键技术和挑战。
根据国内外学术研究和实践经验,提出了改进和完善计算机犯罪现场勘查取证技术的建议。
关键词:计算机犯罪;现场勘查;取证技术;数据恢复;电子证据一、引言1. 勘查准备:在进行计算机犯罪现场勘查之前,必须做好充分的准备工作。
勘查人员需要收集相关证据材料和调取相关日志记录,以便进行后续的取证和分析。
2. 现场勘查:对计算机犯罪现场进行勘查是取证工作的重要步骤。
勘查人员需要仔细观察现场,记录并收集相关证据,包括物理设备、外部存储介质、打印文件等。
3. 取证技术:计算机犯罪现场勘查取证技术主要包括数据采集和数据分析两个方面。
数据采集是指从计算机设备和存储介质中提取相关数据的过程,包括硬件采集和软件采集两种方法。
数据分析是指对采集到的数据进行处理和分析,以寻找证据链和确定犯罪事实。
随着科技的进步和计算机犯罪的不断演变,计算机犯罪现场勘查取证技术也在不断发展和创新。
以下是几个发展趋势:1. 自动化技术:随着计算机犯罪案件的增加和复杂化,手工勘查和取证已经无法满足需求。
自动化技术越来越受到关注,包括自动数据采集工具、自动数据分析工具等。
2. 大数据分析:随着互联网的普及和应用,产生了大量的电子信息和数据。
如何有效地进行大数据分析,以从海量数据中提取有用的信息和证据成为一个研究热点。
3. 云取证:随着云计算技术的发展,越来越多的数据和应用程序存储在云端。
如何在云环境中进行有效的取证工作成为一个挑战。
云取证技术包括从云存储中提取数据和分析云服务日志等方面。
四、关键技术和挑战1. 数据恢复:在进行计算机犯罪现场勘查时,经常需要进行数据恢复工作,以从受损或删除的存储介质中提取数据。
浅谈计算机取证技术综述
摘要期末设计论文题目:浅谈计算机取证技术专业:xxx指导老师:xxx班级:xxx学号:xxx学生姓名:xxx时间:xx年xx月xx日摘要随着信息技术的不断发展,人们的生活方式、生产方式、管理方式发生了巨大的变化。
信息技术给人们带来方便的同时,也带来了很大的风险。
以计算机信息系统为犯罪对象和以计算机信息系统为工具的各种新型犯罪活动越来越多。
利用计算机犯罪给国家和人民带来了很大的损失。
惩治利用计算机进行犯罪的不法分子迫在眉睫。
因此,计算机和法学的交叉学科—计算机取证越来越受关注。
计算机取证(Computer Forensics、计算机取证技术、计算机检识、计算机法医学)是指运用计算机辨析技术,对计算机犯罪行为进行分析以确认罪犯及计算机证据,并据此提起诉讼。
也就是针对计算机入侵与犯罪,进行证据获取、保存、分析和出示。
计算机证据指在计算机系统运行过程中产生的以其记录的内容来证明案件事实的电磁记录物。
从技术上而言,计算机取证是一个对受侵计算机系统进行扫描和破解,以对入侵事件进行重建的过程。
可理解为“从计算机上提取证据”即:获取、保存、分析、出示、提供的证据必须可信。
文中介绍了计算机取证的意义,计算机取证的关键技术,计算机入侵,以及计算机取证的新技术—蜜罐,并对一些与计算机取证有关的工具进行了进一步的介绍。
关键词:计算机取证计算机犯罪证据电子取证黑客取证工具II目录目录摘要 (ii)第一章电子证据的特点 (2)1.1容易被更改、删除 (2)1.2无形性 (2)1.3高科技 (2)第二章计算机取证与分析的关键技术分析 (3)2.1文件恢复技术 (3)2.1.1 Windows系统文件恢复的原理 (3)2.1.2 Unix类系统文件恢复的原理 (3)2.2磁盘映像拷贝技术 (4)2.3取证分析技术 (4)第三章计算机取证 (5)3.1计算机取证的步骤 (5)3.2 对计算机黑客入侵证据的搜集 (5)第四章上网痕迹的查找与删除 (6)4.1 ViewUrl的应用 (6)4.2 Eraser介绍 (9)4.2.1 安装Eraser (10)4.2.2 Eraser软件的使用方法 (12)第五章文件恢复 (15)5.1 利用“Renee Undeleter”进行文件恢复 (15)第六章结束语 (19)参考文献 (20)I兴义民族师范学院毕业论文第一章电子证据的特点1.1 容易被更改删除传统证据如书面文件等可以被长时间保存,不易被更改,如被更改很容易被发现,而电子证据很容易被更改、删除。
计算机取证技术
案例一:网络犯罪调查中的计算机取证
涉及技术
数据恢复、网络监控和分析、密码破解等。
案例细节
某黑客组织利用恶意软件攻击企业网络,窃取敏感数 据并勒索赎金。通过计算机取证技术,调查人员成功 恢复了被删除的日志文件,追踪了黑客的IP地址,最 终将犯罪分子绳之以法。
案例二:企业数据泄露事件中的计算机取证
01 总结词
保护现场
对犯罪现场进行保护,确保证据不被破坏或篡改 。
记录现场情况
对现场环境、设备、网络等进行详细记录,以便 后续分析。
收集物证
收集与案件相关的计算机硬件、存储介质、网络 设备等。
数据获取
获取存储数据
从硬盘、闪存盘、移动设备等存储介质中获 取数据。
捕获网络数据
截获网络流量,收集与案件相关的数据包。
展示证据
在法庭上呈现证据,证明犯 罪事实。
报告撰写
1 2
撰写报告
根据取证过程和分析结果,撰写详细的取证报告 。
审核报告
对报告进行审核,确保报告的准确性和完整性。
3
提交报告
将报告提交给相关机构或法庭,作为法律证据。
04
计算机取证工具
EnCase
• 概述:EnCase是一款由Guidance Software开发 的数字取证软件,用于收集、处理、分析和呈现 数字证据。
X-Ways
功能特点
1
支持多种操作系统平台。
2
3
提供强大的数据提取和解析功能。
X-Ways
01
可生成详细的报告和证据展示。
02
支持自动化和手动取证工作流程。
03
应用领域:广泛应用于执法机构、法律部门、安全 机构和私营企业等。
计算机取证技术综述
计算机取证技术综述高娜(泸州职业技术学院电子信息工程系,四川泸州646005)摘要计算机取证研究的是如何为调查计算机犯罪提供彻底、有效和安全的技术。
本文介绍了计算机取证过程以及取证软件的原理和实现,从理论和实现两个方面讨论了现有取证技术的局限性和面临的挑战,并展望其未来的发展方向。
关键词计算机犯罪计算机安全计算机取证反取证计算机犯罪使公众蒙受巨大损失,从事计算机安全工作的人都知道,黑客在入侵之后都会想方设法抹去自己在受害系统上的活动记录,目的是逃脱法律的制裁。
而打击计算机犯罪的关键就是找到充分、可靠、有说服力的电子证据,因此,计算机和法学的交叉学科--计算机取证(computer forensics)受到了越来越多的关注。
与此同时,计算机取证技术得到了广泛应用。
我国有关计算机取证的研究与实践尚在起步阶段,但在信息技术较发达的欧美等国已有了30年左右的历史,而且已确认了电子证据的合法性。
现在美国至少有70%的法律部门拥有自己的计算机取证实验室,取证专家在实验室内分析从犯罪现场获取的计算机或外设,希望从中找出谁、什么时间、在哪里、怎样地进行了非法活动。
一、计算机取证概述计算机在相关的案例中可以扮演黑客入侵的目标、作案的工具和犯罪信息的存储器这三种角色。
无论作为何种角色,计算机连同它的外设中都会留下大量与犯罪有关的数据。
计算机取证就是对计算机犯罪的证据进行获取、保存、分析和出示,它实际上是一个详细扫描计算机系统以及重建入侵实践的过程。
计算机取证包括物理证据获取和信息发现两个阶段。
物理证据获取是指调查人员来到计算机犯罪或入侵的现场,寻找并扣留相关的计算机硬件;信息发现是指从原始数据(如文件、日志等)中寻找可以证明或反驳什么的证据。
1、物理证据获取物理证据获取是全部取证工作的基础,在获取物理证据时最重要的工作是保证存到的原始证据不受任何损坏。
无论在什么情况下调查者都必须牢记:(1)不要改变原始记录(2)不要在作为证据的计算机上执行无关的程序(3)不要给犯罪者销毁计算机的机会(4)详细记录所有的取证活动(5)妥善保存得到的物证若现场的计算机正处于工作状态,取证人员还应该设法保存尽可能多的犯罪信息。
小议计算机犯罪及取证技术
小议计算机犯罪及取证技术
计算机犯罪是指利用计算机和网络技术从事非法活动的行为。
随着计算机和网络的广泛应用,计算机犯罪也日益增多,种类繁多,给社会安全和个人财产安全造成严重威胁。
计算机犯罪包括黑客攻击、网络诈骗、网络盗窃、软件盗版、网络色情等。
对计算机犯罪进行取证是为了收集和保留与犯罪现场或作案手段相关的数码证据。
取证技术主要包括数字取证和网络取证。
数字取证是指通过对计算机硬件、软件以及存储介质进行检验和分析,从中提取出与犯罪行为相关的数据和信息。
数字取证技术包括数据恢复、数据加密解密、文件系统检查等。
数字取证要求取证过程的严密性和可靠性,确保取得的证据符合法律规定,能够作为法庭上的证据使用。
网络取证是指通过对网络流量、网络日志和网络设备进行分析和提取,获取与计算机犯罪相关的证据。
网络取证主要包括网络流量分析、应用行为分析、数据包捕获等技术。
网络取证要求取证过程的高效性和准确性,能够迅速定位到犯罪行为的源头,并找出犯罪者。
对于计算机犯罪和取证技术,社会应加强对计算机安全的管理和监管,提高计算机技术和安全意识,加强法律法规的制定和实施,以保护个人和社会的利益。
同时,需要不断提升计算机犯罪取证技术的研发和应用,提高取证效率和可靠性,为司法机关提供有力的证据支持。
计算机取证技术综述
计算机取证技术综述作者:刘文俭来源:《电子世界》2014年第12期【摘要】计算机取证技术已经人们生活息息相关,越来越多的国家及科研机构、学校正在加强该技术的研究。
文中介绍了计算机取证技术的相关知识,接着列出研究现状及相关产品,最后提出了研究方向。
【关键词】计算机取证技术;研究现状;研究方向1.引言计算机取证学涉猎计算机科学与技术、刑事侦查学和法学三大学科,它是一门较为综合的交叉学科。
随着网络技术、计算机科学与技术及移动通信技术的飞速发展,相关技术也广泛地渗入了社会的各个领域,三大技术使用门槛降低,越来越多的普通民众享受着新兴技术提供的无限便利。
然而,许多资深黑客、甚至是有一点点计算机技术的初学者利用网络技术、计算机技术及移动通信技术做着违法的勾当,严重损害了人们的经济利益。
计算机取证学为狠狠打击这些违法犯罪行为提供有利的法律证据,越来越多的国家及各国科研机构、学校正在加强该学科的研究。
2.计算机取证相关知识2.1 概念计算机取证概念首次提出是在1991年,距今已有20多年的时间。
当时,它由计算机专家国际联盟(IACIS)在美国召开的会议上阐明。
简单地说,计算机取证就是对犯罪嫌疑人遗留在计算机中的证据进行提取、存储、鉴定和归档的过程。
提取出的证据被称为数字证据或电子证据。
当然,提取的电子证据必须是全面的、可靠的、具有法律效力的。
伴随着网络技术、计算机科学与技术及移动通信技术三大技术的快速发展,计算机取证概念已被扩充。
按照国家法律条文规定,具有取证资格的人员将存在于计算机本身、相关外部设备及网络传输介质中的或存在于移动通讯设备中的证据进行提取、存储、鉴定和归档的过程。
比如网络设备接入记录、防火墙日志、系统日志、文件修改记录、电子邮件、通讯记录,甚至一张不显眼的图片或将可以成为打击犯罪的强有力证据。
2.2 分类按照取证源分类,分为计算机主机取证、网络取证及其他电子通讯设备取证三类。
来自计算机主机取证、网络取证、其他电子通讯设备的证据类型均可分为硬件数据和软件数据。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
计算机取证技术综述作者:袁铠锋来源:《科教导刊·电子版》2017年第14期摘要随着计算机信息技术的不断发展与成熟,计算机网络逐渐成为了各行各业在开展工作时不可缺少的重要工具,各种依托计算机信息而实施的计算机网络犯罪现象也日益猖狂起来。
本文围绕几种常见的计算机取证技术介绍、计算机取两个证技术的发展方向以及未来展望两个方面展开讨论,对计算机取证技术进行了综述,并提出了一些笔者自己的见解,希望能够对今后计算机取证技术的研究提供一些理论建议。
关键词计算机取证技术数据信息可靠性中图分类号:TP309 文献标识码:A1几种常见的计算机取证技术介绍在美国地区,至少有百分之七十的法律部门都已经设置了专门的计算机取证实验室,取证专家在实验室内对各种从犯罪现场收集的数据信息进行分析,从中提取中与作案相关的信息。
由于取证时刻上具有一定的潜在属性,因此我们可将计算机取证分为两组不同的模式,分别为静态取证模式以及动态取证模式。
其中,静态取证指的是对各种潜在证据进行提取,如存储在各种未运行状态媒介中的证据;而动态取证指的是对各种存储有网络以及运行媒介中的证据进行提取。
由于网络数据以及计算机系统数据在属性上具有本质区别,因此人们在取证过程中使用的取证方式往往也会分为两种,分别为依托计算机系统的取证以及依托网络数据的取证。
1.1预备取证技术一般情况下,计算机系统以及网络系统中存在的数据在使用后均会被删除,即使是各种潜在数据也可能面临被黑客删除的风险,所以说在事发后从受害者计算机中获得的数据并不一定真实可靠,这就使得事发前的预备取证能力越来越得到关注。
预备取证的目标在于构建一个科学可靠的系统,对于各种可疑数据进行自动搜索、识别、汇集以及过滤,同时对于各种可靠数据进行自动存储、保留以及分析。
预备取证系统的建立能够确保安全事件发生后的证据数量、真实度、可靠度同时实现最大化。
布拉德等学者针对企业构建预备取证技系统的基本原理进行了总结,具体如下:(1)小安全漏洞原理:一个极小的安全漏洞便可以导致系统的安全防护完全失效;(2)小用户世界原理:对于一些特殊的用户而言,个别的设备以及系统便可满足他们的使用需求;(3)安全策略行为违反递减原理:随着用户对于系统知识的不断了解以及掌握,各种完全违反行为的发生频率也逐渐增加。
通常情况下,安全审计系统能够结合相应安全策略,并通过对历史操作事件的处理以及分析来识别出系统中可能存在的安全隐患,在此基础上进行相应的改善。
同时还能够实现对个体用户行为的实时跟踪,给用户施加相应压力,要求其对自己所作出的行为负责,对各种攻击人员发出警告,最大程度降低入侵行为的发生,从而提高系统的安全性。
安全审计系统在部分特性上与预备取证相似,但是在数据存储安全性以及可靠性、自动分析等方面却缺乏有效的考虑。
赵小敏在原有安全审计系统的基础上进行了优化,设计了一种能够支持计算机取证的安全审计系统,能够保障系统遭到入侵之前的数据信息始终处于保护状态下,并能够一直完整地保留下来,从而为取证人员提供关键的线索。
1.2计算机证据获取与分析技术在进行计算机取证时必须严格遵循下述基本原则:(1)应在不损坏原有证物的基础上进行取证;(2)必须通过有效方式来证明获得证据与原有数据之间的吻合性;(3)应在确保数据不发生改变的情况下展开进一步分析与研究。
数据获取与分析技术的重点在于确保数据获取的同时原始介质不发生损坏,因此通常情况下不主张对原始介质进行取证分析。
最常使用的数据获取技术主要包括以下几种:确保计算机系统以及文件安全性的获取技术,预防原始介质遭到损坏;确保数据以及软件安全收集的获取技术;对已删除文件进行重新恢复的获取技术;对长期未使用磁盘文件进行挖掘的获取技术;针对网络系统数据的获取技术。
目前所使用的取证技术基本是依托物理存储介质而实现的,主要作用在于对已删除数据的恢复以及重新显示等。
现阶段大部分取证软件的功能均体现在磁盘的处理方面,不支持深入的分析功能,除此之外的其它工作基本都是依靠取证专家的人工操作来实现,基本上形成了一种错觉,即计算机取证软件与磁盘分析软件相同的错觉。
计算机证据分析主要是基于获取信息的基本含义、特征、关系等内容来还原事件发生的真实场景,从而寻找出各种与案件相关的信息,这些信息主要包括犯罪的具体行为、犯罪嫌疑人的具体动机以及犯罪嫌疑人的作案手法等等。
其中,在已经取得的数据流当中识别出各种匹配的关键词,是现阶段数据分析中使用频率最高的一种技术,它主要由以下几种技术构成:文件特征分析技术、文件关键词分析技术、日志分析技术、逻辑关系挖掘技术、被保护信息的访问技术等。
现阶段,人们对于各种自动分析技术的探索步伐逐渐加快,如试图于挖掘问题产生的潜在规则,同时研究其中存在的程序化步骤,将其编写成为软件工具。
此外,还可以通过人工智能技术来研究部分数据之间存在的关联性,这一方法能够帮助破案人员快速将犯罪分子的轮廓进行勾勒,使取证专家的取证工作更加高效。
卡西针对计算机证据的不确定性以及信息缺失等问题展开了深入的研究,并在此基础上设计了一种按级度量的方法,这一研究结果在一定程度上促进了取证人员工作的开展,同时也能够适当启发其它研究人员的思路。
由于计算机证据存在一定的不确定性,因此在取证后还应对证据实施进一步量化处理,尤其在遇到若干个关联性极强的证据时,这些不确定性更应该同量化方式进行有效表达。
只有当计算机证据的确定性通过十分精确的方式表达出啦后,才能有效降低人们对计算机证据的质疑度,从而法官将会有更高的概率度证据进行采纳。
1.3反取证技术随着计算机取证技术的不断发展,各种反取证技术也随之出现。
反取证技术通常是由数据加密技术、数据隐藏技术以及数据删除技术构成的,对于一些经验丰富的黑客来说,反取证技术是他们在作案过程中必须采用的基本手段,可以将自己的作案数据进行有效销毁,隐藏自己的入侵痕迹,从而加大取证工作的难度。
目前市场中已逐渐出现了各种反取证工具,例如TDT以及RUNEFS等。
在面对不同的反取证技术时,我们应采用合适的策略进行对应。
例如,遇到文件加密这一反取证技术时,最简单直接的方法便是找回密码,如向指导密码的人进行询问,或者根据自己的了解来猜测密码,又或者是在电脑周围寻找各种与密码相关的线索。
当上述方法都无效时,可运用强效破解工具来破解密码,也可向密码分析专家发送请求。
在破解的过程中尽可能猜测黑客所使用的数据隐藏技术,并选择合适的措施进行对应,譬如对文件进行压缩或者将文件后缀进行更改等。
在压缩过程中可能导致取证人员搜索磁盘关键词失效,这个时候我们应使用解压工具进行解压。
总而言之,取证技术与反取证技术之间的对抗关系将会不断发展下去,反取证技术也会一直成为计算机取证技术的阻碍因素。
1.4反向工程以及密码分析技术在计算机取证工作当中,对侵入主机中的可疑程序进行分析是其中一项非常重要的内容,当已确定某个特定的人在某个特定的主机设备中安装了相应程序后,且该程序对于主机安全具有一定的危害性,那么这一程序安装者就必须承担应用的责任。
对可执行程序进行分析来确定程序功能的过程叫做反向工程,这一类型的工具软件数量非常少,且相应的开发设计难度也较大,特别是当可执行程序本身已使用压缩或者加密技术时,要想对犯罪分子的软件进行分析,就必须向专业的反向分析工程师寻求帮助。
为了能够进一步确保计算机系统的安全性,越来越多的人们开始倾向于使用加密技术来实现网络通信,或者是用来对各种重要信息进行储存。
因为对于犯罪嫌疑人来说,他们同样可以使用加密技术来进行反取证。
2计算机取证技术的发展方向以及未来展望计算机取证技术是目前来说较为新颖的一门学科,在历经了多年的发展后,无论是在理论还是在实践方面都获得了显著的业绩,尽管如此,目前的取证技术在很多方面都存在一定的局限性,无法完全满足社会需求。
随着计算机网络技术的不断发展,计算机取证在未来还将面临着更加严峻的挑战。
笔者认为,未来的计算机取证技术将会朝着以下几个方向发展。
2.1计算机取证技术的研究需要逐步走向系统化轨道受到计算机证据特殊性质的影响,再加上网络攻击者以及权力滥用者采用的各种反取证技术,预备取证措施的重要地位正在逐步突显出来。
在未来的系统研究以及设计的过程中,在最初的安全管理设施设计环节当中就必须做好计算机取证工作的事先部署,将其作为一项重要工作来对待,尽可能以最低的开发成本来获得最高的证据数量以及最优的证据质量,使取证工作变得更加便捷、简单。
2.2取证工具将会朝着自动化以及集成化方向发展计算机的存储能力十分惊人,它的增长速度已超过了莫尔定律。
在几年前,个人计算机硬盘通常是由几百个M字节做成的,发展至今,个人计算机硬盘已经实现了几十个甚至是上百个G的字节,其它大规模的服务器系统就更不需要说了,在这一环境中,我们所采用的计算机取证技术也必须迎合其发展步伐,选择功能更强大、自动化程度更高的取证工具。
未来的取证工具将会随着信息处理技术的更新而不断更新,同时对其进行有效利用,如数据挖掘技术以及人工智能技术等,以此来充分地应对各种海量数据的来袭。
目前来说,在计算机取证工作当中仍然有很大一部分的工作是依赖人工完成的,这在很大程度上制约了取证技术的发展,使取证速度以及取证可靠性都是无法得到有效保障。
因此,为了能够使取证人员的工作更为便捷,同时应用范围更加广泛,有必要对产品实施适度的集成。
2.3计算机取证领域持续扩展,取证工具朝着专业化发展犯罪分子不仅仅会将计算机设备作为犯罪工具,各种手机、掌上电脑等移动设备也会成为犯罪分子的作案工具,因此犯罪证据也会通过不同的方式分布在各种不同的设备当中。
通常来说,我们认为各种支持数据储存功能的设备都终将被纳入计算机取证工作范畴内。
要想获取理想的证据,就必须针对每一个场合来制定专业化产品,同时使用合适的取证工具。
此外,计算机取证科学的综合性非常强,其中所涉及的内容很多,包括文件加密技术、磁盘分析技术、数据挖掘技术等。
参考文献[1] 钱勤,张瑊,张坤,伏晓,茅兵. 用于入侵检测及取证的冗余数据删减技术研究[J]. 计算机科学,2014,S2:252-258.[2] 库德来提·热西提,亚森·艾则孜,万琼. 计算机取证技术及局限性[J]. 中国公共安全(学术版),2011,04:122-125.[3] 施昌林,陈晓红,杨旭,施少培,徐彻,卞新伟. 视频化计算机取证系统的设计与实现[J]. 信息安全与通信保密,2009,07:99-101+104.[4] 陈龙,谭响林,高如岱. 智能取证技术研究[J]. 重庆邮电大学学报(自然科学版),2009,04:518-522.[5] 田志宏,姜伟,张宏莉. 一种支持犯罪重现的按需取证技术[J]. 清华大学学报(自然科学版),2014,01:20-28.[6] 秦拯,李建辉,邹建军,綦朝晖. 基于模糊理论的实时取证模型[J]. 湖南大学学报(自然科学版),2006,04:115-118.[7] 赵志岩,王任华,邵翀. 计算机动态取证技术的挑战[A]. 中国计算机学会计算机安全专业委员会.全国计算机安全学术交流会论文集·第二十五卷[C].中国计算机学会计算机安全专业委员会:,2010:4.。