计算机取证技术综述
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第 !" 卷第 # 期 *++, 年 !* 月
重庆邮电学院学报 ( 自然科学版) -%./01& %2 34%056705 8079:/;7<= %2 >%;<; 10? @:&:A%BB.07A1<7%0; ( )1<./1& CA7:0A:)
$%&’ !"( )%’ # D:A’ *++,
Байду номын сангаас
文章编号: !""#$%&’# ( (""% ) "&$")*&$"&+ +
*( 计算机证据的特点
计算机证据与传统的证据相比较, 有以下突出 [ %] 的特点 。 (!) 计算机证据同时具有较高的精密性和脆弱 易逝性。一方面, 计算机证据以技术为依托, 很少受 主观因素的影响, 能够避免其他证据的一些弊端, 如 证言的误传、 书证的误记等; 另一方面, 由于计算机
收稿日期: (""%$"%$!*+ + 修订日期: (""%$")$"* 基金项目: 重庆市自然科学基金资助项目 ( (""%A0(""* ) ; 重庆市信息产业发展资金资助项目 ( (""#"!"(( ) 作者简介: 陈龙 ( !’)"$) , 男, 重庆人, 副教授, 主要研究方向为智能信息处理、 信息安全等, B$7C@D: 5E;>D6>FG 5H98:, ;I9, 万方数据 5>; 王国胤 ( !’)"$) , 男, 重庆人, 教授, 博导, 主要研究神经网络、 数据挖掘等。
・ >’= ・
? ? ? ? ? ? ? 重庆邮电学院学报 ( 自然科学版) ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 第 )> 卷
系统获取计算机证据的能力显得越来越重要。 “预 备取证” 的目标是要建立适当的系统自动发现、 收 集、 过滤可疑数据, 并实现高效、 安全可靠地存储数 据, 在必要时供查询或提供自动分析报告。建立该 系统可实现在出现安全事件后使证据量最大化的目 标。 !"#$%&"$ 等总结了支持在企业内针对内部用户 [ (] 建立这类系统的 ’ 个基本原理 。 ! 小安全漏洞 原理: 一个安全漏洞就可以使系统与没有安全防护 措施一样脆弱; 对于特定类型的 "小用户世界原理: 用户来说, 他通常只需使用少量的设备与系统应用; 用户需要逐步了解 #违反安全策略行为递增原理: 系统的各种知识, 并出现越来越多 ( 或越来越严重) 的违反安全策略行为。 安全审计系统根据一定的安全策略通过记录分 析历史操作事件可以发现系统性能和安全隐患并对 其进行改进, 用它对个体行为进行追踪, 使用户对各 自的行为负责, 在必要时可以追究用户责任 ( 提供 依据) , 对潜在的攻击者起到震慑或警告作用, 从而 减少入侵行为, 降低信息安全系统的风险。安全审 计系统也具有预备取证的部分特性, 但对数据存储 安全、 数据完整性、 自动分析等方面的需求没有充分 考虑。赵小敏设计了一种较为完善的安全审计日志 [ )* ] 系统以支持计算机取证 。该方法可以支持常见 系统日志格式的日志文件, 确保系统被入侵攻击前 的日志文件记录不被篡改、 删除, 使得入侵者在入侵 攻击系统前的记录能被完整地记录下来, 作为取证 人员重要的调查线索和证据来源。 网络安全管理中采取合适的措施也对取证有很 [ )) ] 大的帮助作用 , 所以讨论支持计算机取证的安全 管理策略及其实施方法具有实用价值。 因特网用户的取证涉及到网络行为的跟踪问 题, 由于目前的因特网没有充分的安全机制, 根据数 据报文无法准确知道目 标 用 户 ( 攻击行为的实施 者) 的实际地址 ( 如 +, 地址、 物理地址) 。在现有因 [ )- ] 特网上建立分布式取证服务网络 是有一定创新 的想法, 但由于该分布式取证服务网络提供取证 ( 查询、 追踪) 服务的基础设施体系的节点遍布整个 广域网, 所以实现起来难点很多。 另外的方法是在现有正常报文的基础上添加一 些消息报文以显示报文的实际来源以便实现报文追 [ )’ , ). ] 踪 。+/0, 定位报文法的基本原理是引入新的 +/0, 定位报文 ( +/0, 1"#23 4#25 6377#83 ) , 当路由 器转发报文时, 以极小的概率 ! 发送对数据包的一 万方数据 个特殊形式的拷贝, 该拷贝是一种特殊定义的 +/0,
!" 计算机取证的研究现状
现在美国至少有 9:; 的法律部门拥有自己的 [ "] 计算机取证实验室 。取证专家在实验室内分析 从犯罪现场获取的计算机及其外设, 试图找出是谁 在什么时间、 从哪里、 怎样地进行了什么非法活动。 按照取证时刻潜在证据的特性, 计算机取证可 分为静态取证和动态取证。静态取证指潜在的证据 存储在未运行的计算机系统、 未使用的手机、 个人数 字助理 ( <=>) 等设备的存储器或独立的磁盘、 光盘 等媒介上; 动态取证指潜在的证据存在于网络数据 流和运行中的计算机系统中的证据。由于网络数据 流和计算机系统里的证据特性上的差异, 人们常使 万方数据 用基于主机的取证和基于网络的取证 ! 种说法。
!
为计算机取证是运用计算机及其相关科学和技术的 原理与方法获取与计算机相关的证据以证明某个客 观事实存在的过程。 计算机证据是指以计算机形式存在并为证据使 用的一切材料及其派生物。计算机证据与电子证据 [ #] 有着千丝万缕的联系, 但却不同于电子证据 。很 多时候, 计算机证据在外延上要大于电子证据, 因为 以机械式计算机、 光学计算机、 生物计算机为基础的 证据只能从 “ 功能上等同” 的角度临时当作电子证 据处理, 显然不是典型的电子证据。电子证据在外 延上也可能大于计算机证据, 例如固定电话机是基 于模拟电子技术的半导体技术制成的现代通信工 具, 他所录制的电话资料就属于电子证据而不属于 计算机证据。 尽管计算机证据、 电子证据在概念内涵和外延 上是有差别的, 但一般情况下使用时可以不严格区 分, 将来可以用标准化的方法指定某一术语来涵盖 全部或特定的证据类型。我们在本文中主要使用计 算机证据一词。
中图分类号: ./*"’+ + 文献标识码: 0
!( 计算机取证背景与概念
12231 互联网统计报告显示, 截止到 (""# 年 !( 月 *! 日, 我 国 的 上 网 用 户 总 人 数 为 ’ #"" 万 [ !] 人 , 可见上网用户总数增长非常之快, 社会各行 业对网 络 相 关 应 用 的 需 求 量 越 来 越 大。 美 国 有 &"4 的小企业、 -"4 的中型企业、 ’"4 的大型企业已 借助互联网广泛开展商务活动。计算机与网络已成 为社会经济生活重要的组成部分。 由于计算机和网络与人们的生活已十分密切, 以此为基础的由各种应用引起的纠纷也不断出现, 例如 !’’& 年北京大学一学生状告其同学冒名向美 国大学发了一封拒绝接受该校提供的奖学金的电子 [ (] 。前几年各大门户网站相互指责对手网站 邮件 内容侵权的报道也不少。与此同时, 针对计算机系 统或网络的犯罪活动以及利用计算机和网络从事各 种犯罪活动的人越来越多, 由此造成的经济损失令 人触目惊心, 引发的社会问题也越来越突出。要解 决这种民事纠纷, 打击计算机犯罪就需要找到充分、 可靠、 有说服力的证据。计算机在相关的犯罪案例 中可以扮演黑客入侵的目标、 作案的工具和犯罪信 [ *] 息的存储器这 * 种角色 。无论作为哪种角色, 通 常都会在计算机及其外设中留下大量与犯罪有关的 数据, 进而可以依据相关技术找到证明某个事实的 证据。因此, 计算机和法学的交叉学科— — —计算机 取证 ( 56789:;< =6<;>?@5?) 受到了越来越多的关注。 有关计算机取证的定义很多, 综合起来, 我们认
第 8 期N N N N N N N N N N N N 陈龙, 等: 计算机取证技术综述
・ 9"9 ・
信息是用二进制数据表示的, 以数字信号的方式存 在, 而数字信号是非连续性的, 故意或因为其他差错 对计算机证据进行的变更、 删除、 删节、 剪接、 截收和 监听等, 从技术上讲很难查清。 (! ) 计算机证据具有较强的隐蔽性。计算机证 据在计算机系统中可存在的范围很广, 使得证据容 易被隐藏。另外, 由于计算机证据在存储、 处理的过 程中, 其信息的表示形式为二进制编码, 无法直接阅 读。一切信息都由编码来表示并传递, 使得计算机 证据与特定主体之间的关系按照常规手段难以确 定。 计算机证据具有多媒体性。计算机证据的 (" ) 表现形式是多样的, 尤其是多媒体技术的出现, 更使 计算机证据综合了文本、 图形、 图像、 动画、 音频及视 频等多种媒体信息, 这种以多媒体形式存在的计算 机证据几乎涵盖了所有传统证据类型。 计算机证据还具有收集迅速、 易于保存、 占 (# ) 用空间少、 容量大、 传送和运输方便、 可以反复重现、 便于操作等特点。 计算机证据的这些特点表明计算机取证面临不 少难题, 有完全不同于传统取证的问题需要研究。 计算机取证是信息安全领域中比较新的课题, 特别 是近几年计算机取证技术成了信息安全领域的焦 点, 已经连续几年成为全球最权威的网络安全论坛 组 织( $%&’( %) *+,-./+0 1/23%+2/ 4+. 5/,’&-06 7/4(2, $*157 ) 年会的焦点, 可以相信计算机取证仍 将是未来几年信息安全领域的研究热点。考虑到和 信息安全学科的差别, 有学者已提出建立计算机与 网络取证新学科, 并研究了教育与研究领域的人才 [ 8] 。据了解, 国内有几位学者 培养体系与知识结构 也在关注计算机取证作为学科发展的新领域。
对于静态取证, 重要的是及时的现场保护, 通过 相关的文件、 日志分析工具对入侵者在系统上的遗 留信息进行分析和提取。动态取证是对计算机系统 或网络现场进行监视获取证据, 动态分析入侵者的 个人信息和攻击手段, 或通过陷阱和智能追踪的方 式提取实时数字证据。 ! ? #" 取证过程模型 !::@ 年, AB&-2 <&%2-2/ 和 C/D-+ E4+.-4 在 “ *+,-F ./+0 1/23%+2/ :*+D/20-G40-+G A%(3’0/& A&-(/ ” 一书中 [ 9] 提出了事件响应过程模型的概念 , 该模型将取证 过程分为 @@ 个步骤, 从响应安全事件的角度全面、 具体地考虑了取证问题, !::@ 年美国司法部 ( =HI ) 在 “ 电子犯罪现场调查指南” 中提出了一个计算机 [ J] 取证程序调查模型的概念 。这个指南对不同类 型的电子证据以及对其安全处理的不同方法都进行 了说明。指南面向的对象是一直从事物理犯罪取证 (非数字取证) 的司法人员, 因此重点在于满足他们 的需要, 而对于系统的分析涉及较少。 =HI 的法律 执行过程模型分为 J 个基本步骤。 (@) 准备阶段 ( 3&/34&40-%+ ) : 在调查前, 准备好 所需设备和工具。 收集阶段 ( ,%KK/,0-%+ ) : 搜索和定位计算机 (!) 证据。 (") 检验 ( /L4(-+40-%+ ) : 对可能存在于系统中 的证据进行校验与分析。 分析 ( 4+4K62-2 ) : 对检验分析的结果进行复 (#) 审和再分析, 提取与对案件侦破有价值的信息。 报告 ( &/3%&0-+G) : 对案件的分析检验结果汇 (J ) 总提交。 此过 程 模 型 基 于 标 准 的 物 理 犯 罪 ( 3B62-,4K ,&-(/) 现场调查过程模型, 而且将硬盘作为计算机 证据收集的对象之一, 没有考虑计算机证据的特性, 过分依赖于物理过程。 后来人们逐渐关注计算机取证更为本质的内 容, 这就有了抽象过程模型。建立了抽象数字取证 [ M] , 这一阶段的工作对取证过程标准化有比较 模型 大的意义, 为相关的立法工作也提供了支持。 ! ? $" 预备取证技术 由于计算机系统 ( 或网络) 中大量的数据、 信息 都是使用后就完全丢掉了, 而且在计算机系统中潜 在证据还可能被黑客删除, 也可能随条件改变而消 失。也就是说事发后从受害的计算机得到的数据、 信息可能不完全真实 ( 被黑客修改、 删除) 或不完整 ( 未保留) , 所以事前预备好在必要时可以从特定的
计算机取证技术综述
( 陈龙! , ,王国胤!
!
( !, 重庆邮电学院 计算机科学与技术研究所, 重庆 #"""&% ; (, 中国科学院软件研究所 信息安全国家重点实验室, 北京 !"""-" )
摘+ 要: 随着信息技术的发展, 计算机与网络成为社会、 政治、 经济、 文化生活的重要组成部分, 与此相关的各种争 议和计算机犯罪现象日益突出。计算机取证技术成为解决争议和打击计算机犯罪的重要手段。介绍了计算机取 证技术概念、 特点与发展, 综述了计算机取证技术的研究现状, 讨论了计算机取证的发展趋势。 关键词: 计算机取证; 计算机证据; 电子证据; 计算机犯罪; 反取证技术
重庆邮电学院学报 ( 自然科学版) -%./01& %2 34%056705 8079:/;7<= %2 >%;<; 10? @:&:A%BB.07A1<7%0; ( )1<./1& CA7:0A:)
$%&’ !"( )%’ # D:A’ *++,
Байду номын сангаас
文章编号: !""#$%&’# ( (""% ) "&$")*&$"&+ +
*( 计算机证据的特点
计算机证据与传统的证据相比较, 有以下突出 [ %] 的特点 。 (!) 计算机证据同时具有较高的精密性和脆弱 易逝性。一方面, 计算机证据以技术为依托, 很少受 主观因素的影响, 能够避免其他证据的一些弊端, 如 证言的误传、 书证的误记等; 另一方面, 由于计算机
收稿日期: (""%$"%$!*+ + 修订日期: (""%$")$"* 基金项目: 重庆市自然科学基金资助项目 ( (""%A0(""* ) ; 重庆市信息产业发展资金资助项目 ( (""#"!"(( ) 作者简介: 陈龙 ( !’)"$) , 男, 重庆人, 副教授, 主要研究方向为智能信息处理、 信息安全等, B$7C@D: 5E;>D6>FG 5H98:, ;I9, 万方数据 5>; 王国胤 ( !’)"$) , 男, 重庆人, 教授, 博导, 主要研究神经网络、 数据挖掘等。
・ >’= ・
? ? ? ? ? ? ? 重庆邮电学院学报 ( 自然科学版) ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 第 )> 卷
系统获取计算机证据的能力显得越来越重要。 “预 备取证” 的目标是要建立适当的系统自动发现、 收 集、 过滤可疑数据, 并实现高效、 安全可靠地存储数 据, 在必要时供查询或提供自动分析报告。建立该 系统可实现在出现安全事件后使证据量最大化的目 标。 !"#$%&"$ 等总结了支持在企业内针对内部用户 [ (] 建立这类系统的 ’ 个基本原理 。 ! 小安全漏洞 原理: 一个安全漏洞就可以使系统与没有安全防护 措施一样脆弱; 对于特定类型的 "小用户世界原理: 用户来说, 他通常只需使用少量的设备与系统应用; 用户需要逐步了解 #违反安全策略行为递增原理: 系统的各种知识, 并出现越来越多 ( 或越来越严重) 的违反安全策略行为。 安全审计系统根据一定的安全策略通过记录分 析历史操作事件可以发现系统性能和安全隐患并对 其进行改进, 用它对个体行为进行追踪, 使用户对各 自的行为负责, 在必要时可以追究用户责任 ( 提供 依据) , 对潜在的攻击者起到震慑或警告作用, 从而 减少入侵行为, 降低信息安全系统的风险。安全审 计系统也具有预备取证的部分特性, 但对数据存储 安全、 数据完整性、 自动分析等方面的需求没有充分 考虑。赵小敏设计了一种较为完善的安全审计日志 [ )* ] 系统以支持计算机取证 。该方法可以支持常见 系统日志格式的日志文件, 确保系统被入侵攻击前 的日志文件记录不被篡改、 删除, 使得入侵者在入侵 攻击系统前的记录能被完整地记录下来, 作为取证 人员重要的调查线索和证据来源。 网络安全管理中采取合适的措施也对取证有很 [ )) ] 大的帮助作用 , 所以讨论支持计算机取证的安全 管理策略及其实施方法具有实用价值。 因特网用户的取证涉及到网络行为的跟踪问 题, 由于目前的因特网没有充分的安全机制, 根据数 据报文无法准确知道目 标 用 户 ( 攻击行为的实施 者) 的实际地址 ( 如 +, 地址、 物理地址) 。在现有因 [ )- ] 特网上建立分布式取证服务网络 是有一定创新 的想法, 但由于该分布式取证服务网络提供取证 ( 查询、 追踪) 服务的基础设施体系的节点遍布整个 广域网, 所以实现起来难点很多。 另外的方法是在现有正常报文的基础上添加一 些消息报文以显示报文的实际来源以便实现报文追 [ )’ , ). ] 踪 。+/0, 定位报文法的基本原理是引入新的 +/0, 定位报文 ( +/0, 1"#23 4#25 6377#83 ) , 当路由 器转发报文时, 以极小的概率 ! 发送对数据包的一 万方数据 个特殊形式的拷贝, 该拷贝是一种特殊定义的 +/0,
!" 计算机取证的研究现状
现在美国至少有 9:; 的法律部门拥有自己的 [ "] 计算机取证实验室 。取证专家在实验室内分析 从犯罪现场获取的计算机及其外设, 试图找出是谁 在什么时间、 从哪里、 怎样地进行了什么非法活动。 按照取证时刻潜在证据的特性, 计算机取证可 分为静态取证和动态取证。静态取证指潜在的证据 存储在未运行的计算机系统、 未使用的手机、 个人数 字助理 ( <=>) 等设备的存储器或独立的磁盘、 光盘 等媒介上; 动态取证指潜在的证据存在于网络数据 流和运行中的计算机系统中的证据。由于网络数据 流和计算机系统里的证据特性上的差异, 人们常使 万方数据 用基于主机的取证和基于网络的取证 ! 种说法。
!
为计算机取证是运用计算机及其相关科学和技术的 原理与方法获取与计算机相关的证据以证明某个客 观事实存在的过程。 计算机证据是指以计算机形式存在并为证据使 用的一切材料及其派生物。计算机证据与电子证据 [ #] 有着千丝万缕的联系, 但却不同于电子证据 。很 多时候, 计算机证据在外延上要大于电子证据, 因为 以机械式计算机、 光学计算机、 生物计算机为基础的 证据只能从 “ 功能上等同” 的角度临时当作电子证 据处理, 显然不是典型的电子证据。电子证据在外 延上也可能大于计算机证据, 例如固定电话机是基 于模拟电子技术的半导体技术制成的现代通信工 具, 他所录制的电话资料就属于电子证据而不属于 计算机证据。 尽管计算机证据、 电子证据在概念内涵和外延 上是有差别的, 但一般情况下使用时可以不严格区 分, 将来可以用标准化的方法指定某一术语来涵盖 全部或特定的证据类型。我们在本文中主要使用计 算机证据一词。
中图分类号: ./*"’+ + 文献标识码: 0
!( 计算机取证背景与概念
12231 互联网统计报告显示, 截止到 (""# 年 !( 月 *! 日, 我 国 的 上 网 用 户 总 人 数 为 ’ #"" 万 [ !] 人 , 可见上网用户总数增长非常之快, 社会各行 业对网 络 相 关 应 用 的 需 求 量 越 来 越 大。 美 国 有 &"4 的小企业、 -"4 的中型企业、 ’"4 的大型企业已 借助互联网广泛开展商务活动。计算机与网络已成 为社会经济生活重要的组成部分。 由于计算机和网络与人们的生活已十分密切, 以此为基础的由各种应用引起的纠纷也不断出现, 例如 !’’& 年北京大学一学生状告其同学冒名向美 国大学发了一封拒绝接受该校提供的奖学金的电子 [ (] 。前几年各大门户网站相互指责对手网站 邮件 内容侵权的报道也不少。与此同时, 针对计算机系 统或网络的犯罪活动以及利用计算机和网络从事各 种犯罪活动的人越来越多, 由此造成的经济损失令 人触目惊心, 引发的社会问题也越来越突出。要解 决这种民事纠纷, 打击计算机犯罪就需要找到充分、 可靠、 有说服力的证据。计算机在相关的犯罪案例 中可以扮演黑客入侵的目标、 作案的工具和犯罪信 [ *] 息的存储器这 * 种角色 。无论作为哪种角色, 通 常都会在计算机及其外设中留下大量与犯罪有关的 数据, 进而可以依据相关技术找到证明某个事实的 证据。因此, 计算机和法学的交叉学科— — —计算机 取证 ( 56789:;< =6<;>?@5?) 受到了越来越多的关注。 有关计算机取证的定义很多, 综合起来, 我们认
第 8 期N N N N N N N N N N N N 陈龙, 等: 计算机取证技术综述
・ 9"9 ・
信息是用二进制数据表示的, 以数字信号的方式存 在, 而数字信号是非连续性的, 故意或因为其他差错 对计算机证据进行的变更、 删除、 删节、 剪接、 截收和 监听等, 从技术上讲很难查清。 (! ) 计算机证据具有较强的隐蔽性。计算机证 据在计算机系统中可存在的范围很广, 使得证据容 易被隐藏。另外, 由于计算机证据在存储、 处理的过 程中, 其信息的表示形式为二进制编码, 无法直接阅 读。一切信息都由编码来表示并传递, 使得计算机 证据与特定主体之间的关系按照常规手段难以确 定。 计算机证据具有多媒体性。计算机证据的 (" ) 表现形式是多样的, 尤其是多媒体技术的出现, 更使 计算机证据综合了文本、 图形、 图像、 动画、 音频及视 频等多种媒体信息, 这种以多媒体形式存在的计算 机证据几乎涵盖了所有传统证据类型。 计算机证据还具有收集迅速、 易于保存、 占 (# ) 用空间少、 容量大、 传送和运输方便、 可以反复重现、 便于操作等特点。 计算机证据的这些特点表明计算机取证面临不 少难题, 有完全不同于传统取证的问题需要研究。 计算机取证是信息安全领域中比较新的课题, 特别 是近几年计算机取证技术成了信息安全领域的焦 点, 已经连续几年成为全球最权威的网络安全论坛 组 织( $%&’( %) *+,-./+0 1/23%+2/ 4+. 5/,’&-06 7/4(2, $*157 ) 年会的焦点, 可以相信计算机取证仍 将是未来几年信息安全领域的研究热点。考虑到和 信息安全学科的差别, 有学者已提出建立计算机与 网络取证新学科, 并研究了教育与研究领域的人才 [ 8] 。据了解, 国内有几位学者 培养体系与知识结构 也在关注计算机取证作为学科发展的新领域。
对于静态取证, 重要的是及时的现场保护, 通过 相关的文件、 日志分析工具对入侵者在系统上的遗 留信息进行分析和提取。动态取证是对计算机系统 或网络现场进行监视获取证据, 动态分析入侵者的 个人信息和攻击手段, 或通过陷阱和智能追踪的方 式提取实时数字证据。 ! ? #" 取证过程模型 !::@ 年, AB&-2 <&%2-2/ 和 C/D-+ E4+.-4 在 “ *+,-F ./+0 1/23%+2/ :*+D/20-G40-+G A%(3’0/& A&-(/ ” 一书中 [ 9] 提出了事件响应过程模型的概念 , 该模型将取证 过程分为 @@ 个步骤, 从响应安全事件的角度全面、 具体地考虑了取证问题, !::@ 年美国司法部 ( =HI ) 在 “ 电子犯罪现场调查指南” 中提出了一个计算机 [ J] 取证程序调查模型的概念 。这个指南对不同类 型的电子证据以及对其安全处理的不同方法都进行 了说明。指南面向的对象是一直从事物理犯罪取证 (非数字取证) 的司法人员, 因此重点在于满足他们 的需要, 而对于系统的分析涉及较少。 =HI 的法律 执行过程模型分为 J 个基本步骤。 (@) 准备阶段 ( 3&/34&40-%+ ) : 在调查前, 准备好 所需设备和工具。 收集阶段 ( ,%KK/,0-%+ ) : 搜索和定位计算机 (!) 证据。 (") 检验 ( /L4(-+40-%+ ) : 对可能存在于系统中 的证据进行校验与分析。 分析 ( 4+4K62-2 ) : 对检验分析的结果进行复 (#) 审和再分析, 提取与对案件侦破有价值的信息。 报告 ( &/3%&0-+G) : 对案件的分析检验结果汇 (J ) 总提交。 此过 程 模 型 基 于 标 准 的 物 理 犯 罪 ( 3B62-,4K ,&-(/) 现场调查过程模型, 而且将硬盘作为计算机 证据收集的对象之一, 没有考虑计算机证据的特性, 过分依赖于物理过程。 后来人们逐渐关注计算机取证更为本质的内 容, 这就有了抽象过程模型。建立了抽象数字取证 [ M] , 这一阶段的工作对取证过程标准化有比较 模型 大的意义, 为相关的立法工作也提供了支持。 ! ? $" 预备取证技术 由于计算机系统 ( 或网络) 中大量的数据、 信息 都是使用后就完全丢掉了, 而且在计算机系统中潜 在证据还可能被黑客删除, 也可能随条件改变而消 失。也就是说事发后从受害的计算机得到的数据、 信息可能不完全真实 ( 被黑客修改、 删除) 或不完整 ( 未保留) , 所以事前预备好在必要时可以从特定的
计算机取证技术综述
( 陈龙! , ,王国胤!
!
( !, 重庆邮电学院 计算机科学与技术研究所, 重庆 #"""&% ; (, 中国科学院软件研究所 信息安全国家重点实验室, 北京 !"""-" )
摘+ 要: 随着信息技术的发展, 计算机与网络成为社会、 政治、 经济、 文化生活的重要组成部分, 与此相关的各种争 议和计算机犯罪现象日益突出。计算机取证技术成为解决争议和打击计算机犯罪的重要手段。介绍了计算机取 证技术概念、 特点与发展, 综述了计算机取证技术的研究现状, 讨论了计算机取证的发展趋势。 关键词: 计算机取证; 计算机证据; 电子证据; 计算机犯罪; 反取证技术