浅谈计算机动态隐秘取证系统

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

得 尤为重要 :本 文在 介 绍 了计算 机动 态 隐秘 取证 后 , 分析 了该 系统的 功能 , 并详 细 阐述 了 系统 中主 要使 用 的 G I 枚举技 术。 UD 关键 词 : 算机 ; 计 取证 ; U D; 举技 术 G 1 枚
中 图 分 类 号 : 2 34 U 8 .
文献标 识 码 : A
信 息 技 术
浅 谈 计算机 动态 隐秘 取证 系 统
ຫໍສະໝຸດ Baidu袁 尚 华
( 川化 工职 业 技 术 学 院 , 四 四川 泸州 6 6 0 ) 4 0 5 摘 要: 随着 信息 时代 的 到 来 , 过计 算机 或 借助 计 算机 和 互联 网犯 案 的 事件 屡 屡发 生 , 何 利 用计 算 机获 取 罪犯 的犯 罪证 据 就 显 通 如
/枚举符合 该 G I 的设备接 口 / UD 从上 个世纪开始 , 就走 人人们的生活 、 件进行收集和获取 。 网络 工作等各 个方面 , 发展越 来越 迅速 , 并且 但是 , 2 - 证信息传输功能。 4取 动态隐秘取证系统 b sh=:eu DE u e ienefcs Reu . ' tp in mD veltr e( S a 随着 而来 的安 全问题 也越 来越 受 到 人们 的关 能够及时 的将取 证信息通过 网络传 输给取证人 h elf e ∥设 备信息集句柄 Dv o t nS, 以便及时分析证据 , 行后续取证工作 。 进 NU L L 注。在 网络案件发送后 ,公安部 门首先需要取 员 , 2 . 5友好 的界面和完善的证据管理 , 以便于 ,不需额外 的设备 描述 , 证, 由于网络的广泛性 、 多样性 、 定性等特性 , 不 lGu d p i, 从 办案 的业务实际需求 出发 ,对情 报的获取和 操作和对获取证据 的后续分析 。 , ,GUI D 案件 的侦破需 要一套新型能够 自动地进行信息 3使用 的关键技术 及实现 为 了能更好 的实现 系统 所具 有的功 能 , 本 (I N )Cu t/设 备 信息 集 里的 设 备 U Gn on / O , 取 证、能够 隐蔽地获取一些使用 常规 手段较难 进程 隐藏 技术 、 序号 获得 的电子证据 、并在取证 的过程 中具有 较高 系统采用 了移动设 备监控技术 、 的隐秘性 和安全性 的取证系统 。这类 较难 获得 文件加密技术 、 数据隐秘通信技 术和基于 N F TS &i aa f t) d ; 的电子 证据包 括 被取证 主 机上 的 各类 隐蔽 数 的 A S D 文件隐藏技术。在此 主要分析移动设备 /设备接 口信 息 / 据, 如经过加 密软件 加密的重要文档 以及移动 监控技术。 i R sl t eu0 [ b 监控 移 动 设 备 连入 主机 的方 法 主 要 有 : 硬盘 、 密码 、S 盘等外围设 备上的重要数据信 UB { ∥取得该设备接 口的细节泼 备路径) 息。 GI U D枚 举技术 、 系统消息监控 技术等 , 在本 系 bRe uh = S t Di tntra e vc De s eup Ge I efc De ie - l 计算机动态隐秘取 证 统中主要使用到的是 G 1 枚举技术 。 UD a 所谓 G D ( o l nq eIe t e , UI Glbl U iu d ni r全 t i y i f 计算机取证就是研究如何对计算 机和网络 hDe lf S t v no e, 犯罪 的证 据进行 获取 、 保存 、 分析和 出示 的法律 球 唯一标识符 )是 同类 或同种设备 的一种识 别 ,设备信 息集句柄 / 规范和科学技术。 码, 它是一 个 18bt6字节) 2 i1 ( 的整 形数 , 以 可 &id t, f a a 当系统在预计的计算机和网络违法犯 罪事 保证 在时 间和空 间上具 有唯一 胜。 用上述 A I P 可以实现从 G I 到设备路 UD , 设备接 口信 包 / 件正在发生之时 , 了防止 违法犯罪事件 的进 函数 和数据结构 , 为 pDe a l t i , 主要代码实现如下 : 步恶化 ,或者及时 的收集 违法犯罪活动 的证 径 的转换 , , 根据 G I / U D获得设备路径 ,设 备接 口细节设 备路径 ) / 据 ,采用动态取证系统 主动进行取证 的工作 方 I NTERFACE DET L S E / 输 出缓 冲 AI I ,/ Z 式, 即将计算机取证结合 到入侵检测 、 远程监控 / l u : U D 指针 /p i G I G d 等网络安全工具 和网络体系结构 中,在计算机 ∥pz ei Pt 设备路径 指针的指针 s v ea: D c h 区大小 NUL , L /返 回值: / 成功得到的设备路径个数 , 可能 犯罪过程 中动态获取数 据并进行分析 ,实施 相 应的动作获取证据 , 这种取 证方 式为动态取证 。 不止 1个 ,不需计算输 出缓 冲区大小 ( / 直接用设 定 这 种方法能迅速生成计算机 证据 ,减少调查 的 itGeD vc P t(L GU D p i, PI 值) n t e ie ah P I lGud L '_ ’ 时间和降低对取证人 员的要求 。与静态取证相 S R pz v e ah) T sDei P t c NU L; L) /不需额外 的设备描述 / 比, 动态取证 具有 主动性 、 时 胜 、 效性 等特 实 有 { 点。 i R sl f eu0 ( b 计算机和 网络犯罪活动一般持续 过程 比较 /取 得 一个 该 G I 相关 的设 备信息 集 / UD { 短暂 , 涉案的 电子证 据也具有一 定的” 发性” 句柄 挥 , ,复制设备路径到输 出缓 冲区 / 如 存储重要犯 罪证据 的移动 硬盘 、 S U B盘 等外 h e lfS t :eu D G tlsDes D vno e = s tp i eC as v( =t p p z e ie ah ̄C u O p eal> s c y(sD vcP t r o n , D ti - 1Gud p i, 围存储设 备 , 短时间连入涉案 主机后 , 在 即被犯 De i P t) ve ah e ; , ls /ca sGUI D 罪 分子转移 、 藏匿 、 销毁 , 这样就 很难 取得这 类 NULL , 设备 中的犯 罪证据。因此 , 在实际取证业 务中 , J 需要采用计算机动态隐秘取证。 / 无关键字 / l NUI . I 2计算机动态隐秘取证系统整体功能 根据 实际需求 出发 , 计算 机动态隐秘取证 ,不指定父 窗 口句柄 / ,关 闭设备 信 息 句柄 / 集 DI GCF PRESENT I DI GCF DEVI CEI N— 系统应该具有可靠性 、 隐蔽性 、 时性 和 自动性 实 :e p i et y e i l o i ( elf - : t D D s o D v e fL t h vn S Su r en s D o 的牦 点, 并且还需完成 以下功能 : T RF 1 E AC : E e; O 2 外 嗣存储设备监控 功能。u盘 、 . 1 移动硬 / 前存在 的设备 /目 盘等外围存储设备体积小 巧 、 方便 , 使用 很容易 } 被犯罪分 子藏 匿 、 坏 、 破 销毁 , 导致这 类设 备 中 , 申请设备接 口 / 数据空 间 采用 G I 枚举 的方法 , 优点通过对 系 UD 其 的重要证据流失 ,因此本 系统最 主要的功能就 p eal D ti = (S _ V CE I T R— 统 中相应 G I 设 备的枚举 , 容易得 到该 设 P P DE I — N E UD 很 是对外 围存储设备 连入被取 证主机 的情 况进 行 F ACE DETAI D T ) l a l c L A A: o l l ( ' . b A o G 备的详细信息 , 如盘符 、 口 型 、 接 类 序列号 、 品 产 L EM ZEROI T M NI , 监控 , 以实现后续取证功能。 I 等。但是 这种 方法 的缺点 也很 明显 ,由于 D I NTERFACE DET L SZ ) AI 2 . 2为了不让被取 证对象 发觉 , 重要证 保证 GI U D具有唯一 陛 , 采用移动存储设备 的 G I UD IE; 据信息或藏 匿犯 罪征据不被销毁 ,动 态隐秘 取 p eal> b ie = s e f P D I E I 只能枚举出移动存储设 备的信 息,如想要得到 D ti c Sz - i o( _ EV C —N- z S ' ’ ACE D T L DA A; 证 系统必须具有很 高的隐蔽性 ,其 中包括取 证 TERI E AI T ) 虚拟磁盘 的信息 ,则需采 用虚拟磁盘 的 G I UD 过程隐蔽 、 证据传 输隐蔽。 进 行枚举 ,这样 的程序 实现效率 不高 。另外 , 2 . 3密码数据及密钥获取 功能 。 动态隐秘取 ,逐一测试设备接 口, / 到失败为止 G I 枚举技 术缺乏触 发条件 ,需通 过监控注 UD 证系统能够通过键 盘记录 、 屏幕截取 、 密码分 析 w i o eu hl R sl e ̄ 0 册表 或结合前面 的系统 消息监控技术 ,才能达 等技术对被取证主机上 的密码 数据 以及 密钥 文 { 到监控移�
相关文档
最新文档