计算机的取证(通用10篇)
计算机的取证 篇1
0 引 言
计算机取证研究的重点在于如何从被入侵计算机系统的硬盘等永久性存储介质上提取犯罪证据,而对计算机取证中的物理内存取证分析方法的研究则相对较少,起步也较晚。国外对该领域的研究工作从2005年才开始[1,17],而国内迄今为止公开发表的有关物理内存取证分析方法的研究论文则少之又少[18,19]。由于有相当一部分的计算机犯罪证据无法从计算机系统的硬盘等永久性存储介质上提取,必须从计算机系统的物理内存中获取,包括入侵者的IP地址、正在运行的恶意进程信息、蠕虫、木马程序等等,而且一旦关机,这些信息将全部丢失。因此研究计算机取证中的物理内存取证分析方法对于推动计算机取证技术的发展、有效打击计算机犯罪具有非常重要的现实意义。
本文在介绍物理内存取证分析的基本概念及相关研究现状的基础上,重点研究了Windows 系统物理内存取证分析的关键技术,并给出了具体的分析实例,最后指出了目前物理内存取证分析技术存在的问题以及进一步的工作。
1 相关研究工作现状
2005年夏季,数字取证研究工作组DFRWS(Digital Forensic Research Workshop)发起了一次“内存分析挑战赛”,其目的在于鼓励内存取证分析技术的研究和相关工具的开发。DFRWS网站(www.dfrws.org)上提供了两个物理内存镜像文件(dfrws2005-physical-memory1.dmp和dfrws2005-physical-memory2.dmp,这两个镜像文件是用自启动取证工具Helix[2]从一台被入侵的Windows2000系统中获取的),参加挑战赛的选手要根据DFRWS提供的案件背景资料[3],通过分析这两个内存镜像文件来回答一些问题[3]。
最后,Chris Betz、George M.Garner和Robert-Jan Mora组合共同赢得了比赛,他们提供的分析报告[3]反映出他们对内存取证技术的研究取得了令人满意的结果,并且他们还开发了与之相适应的取证工具memparser[4]和kntlist。
这次挑战赛之后,其他一些研究人员沿着他们的思路,继续研究和工具开发工作。Andreas Schuster[5]在他的英文Blog中公开了他的一部分研究成果和实现的工具,同时公布的还有不同Windows版本中EPROCESS和ETHREAD结构的格式。Joe Stewart则在TRUMAN Project[6]中提供了一个名为pmodump.pl的Perl脚本工具,该工具可以从物理内存镜像中提取指定进程所使用的内存,这对恶意软件分析非常有用。2006年秋,Mariusz Burdach 在BlackHat[7]大会上提供了一些关于内存取证方面的信息。2006年夏,Nebraska大学的研究员Tim Vidas[8]发布了一个名为pro-cloc.pl的Perl脚本,该脚本可以从内存镜像或者崩溃转储文件中提取运行的进程列表。
2008年,数字取证研究工作组又组织了一次“Linux内存分析挑战赛”[9],其目的是推动Linux内存分析技术的发展,结果有五组参赛人员提交了最终的分析报告,取得了令人满意的结果[10]。
国内研制成功的物理内存取证分析工具主要有上海盘石数码信息技术有限公司研制的“盘石计算机现场取证系统”和山东省科学院计算中心研制的“计算机在线取证系统”等产品,但这些产品的具体技术细节都没有公开发布。
2Windows系统物理内存取证分析的关键技术
Windows系统物理内存取证分析的关键技术主要包括两个方面:一是如何获取物理内存,生成物理内存镜像文件;二是如何对物理内存镜像文件进行分析,从中找出重要的入侵证据。
2.1 如何获取物理内存
目前获取物理内存的方法主要有以下二种:
2.1.1 基于硬件的方法[1,17]
(1) 使用Tribble设备
2004年2月,《数字调查杂志》上刊登了Grand Idea Studio公司的研究人员Brian Carrier和Joe Grand的一篇研究文章,题目是“数字调查中基于硬件的内存获取过程(A Hardware-Based memory Acquisition Procedure for Digital Investigation,Journal of Digital Investigations,March 2004)”。在这篇文章中,Brian Carrier和Joe Grand提出了一种用名为“Tribble”的硬件扩展卡来获取系统物理内存的方法,可以用Tribble将系统的物理内存复制到外接存储设备中。这样调查人员就可以在既不引入任何新代码(不会更改系统内存)又不使用系统中代码(系统中的代码可能存在rootkit)的情况下完成系统物理内存的获取工作。作者构建了一个原理性(proof-of-concept)的Tribble设备,设计了一个可以插入到系统总线的PCI扩展卡。另外还设计了一些能获取系统物理内存的设备,主要用于系统硬件调试,也可以用于取证调查。
使用Tribble这类硬件设备的优点在于操作方便、易于理解。使用这种方法获取物理内存镜像不需要引入额外的代码,减少了获取的内容被篡改、覆盖的可能性;最大缺点在于硬件必须事先安装到系统中,所以Tribble设备还不能被广泛使用。
(2) 使用FireWire设备
FireWire(中文直译为“火线”)是以原苹果公司开发的技术为基础发展而来的一种高速I/O技术,它可连接外围设备与计算机。该技术于1995年被正式接纳为 IEEE 1394工业标准(FireWire 400)。凭借其强大的传输性能:可传输音频、视频、时间码,甚至是可用来控制机器的特性,FireWire现已成为数字音视频设备、外部硬件及其他高速外设产品的理想接口,其最高传输速度可达到400MB/S。
利用FireWire设备的特殊性能,使用相应的软件,调查人员可以获取系统的物理内存镜像。FireWire设备使用直接存储器访问(DMA)技术,可以不通过CPU直接访问系统内存。
使用FireWire设备的优点是现在许多计算机系统的主板上都集成了FireWire/IEEE1394接口,可以方便地直接访问系统内存;缺点是通过火线接口制作物理内存镜像可能会导致系统死机或者丢失部分内存中的信息。
2.1.2 基于软件的方法[1,11,17,18]
(1) 使用Microsoft崩溃转储技术
Windows NT、2000和XP都提供一种内置的“崩溃转储”功能来获取系统的物理内存镜像。在生成崩溃转储时,系统会被冻结,物理内存中的数据(加上大约4KB的头部信息)会被写入磁盘,这样就完整地保存了系统状态,并且保证从开始进行崩溃转储之时起,系统状态不会被人为地修改。
(2) 使用虚拟机技术
VMWare是一款非常流行的虚拟机软件,使用它可以在一台计算机硬件上创建多台虚拟计算机。当运行VMWare会话时,可以挂起(suspend)这个会话,也就是暂时“冻结”系统。当一个VMWare会话被挂起时,VMWare会将系统的“物理内存”镜像以DD格式存放到一个扩展名为.vmem的文件中。使用这种方法的优点是挂起一个VMWare会话的操作非常简单快捷,而且对系统内存的影响最小。
(3) 使用专用软件
目前用于物理内存转储的专用软件有许多种,这里主要介绍几种较常见的软件。
1) DD UNIX系统中数据转储工具DD的用途广泛,可以复制文件,也可以制作整个硬盘的镜像。GMG System公司发布了一个可以免费下载的取证获取工具包[12],其中包含可用于Windows系统的改进版DD工具(该工具支持Windows 2000和Windows XP SP1,不支持Windows XP SP2、Windows Vista和Windows Server 2003 SP1等系统)。在用户模式下访问DevicePhysicalMemory对象,该工具可以获取Windows系统的物理内存。运行下面的命令可以将本地系统的物理内存镜像到ram.img文件:
dd if=。PhysicalMemory of=ram.img bs=4096 conv=noerror
2) KntDD 由于DD不支持Windows XP SP2、Windows Vista和Windows Server 2003 SP1等系统,因此,GMG System公司又开发了一个称为KntDD的新工具用于生成物理内存镜像。KntDD包含在KntTools工具包中(http://www.gmgsystemsinc.com/knttools/),KntTools仅授权司法工作人员和安全专业人士使用。
3) Nigilant32 Nigilant32(www.agilerm.net/publications_4.html)是一个由Agile Risk Management开发的取证工具,具有浏览硬盘内容、获取物理内存镜像、获取当前正在运行的进程和打开的端口的“快照”等功能。当Nigilant32装入内存时,仅占用小于1MB的内存空间,因此对物理内存的影响非常小。目前Nigilant32仍处于测试状态,但用户可以免费下载使用。
4) Helix Helix是一个可由CDROM直接启动的功能强大的计算机取证工具,首发于2003年,目前世界著名的计算机取证机构SANS将Helix作为取证培训工具。Helix可在因特网上免费下载,下载网址是http://www.e-fense.com/helix/,下载下来的是一个ISO镜像文件,将其刻录到光盘上即可。Helix实际上是一个重新修改过的Knoppix(Knoppix是一个Linux 发行版本,网址:http://www.knopper.net/Knoppix/index-en.html)系统,其中增加了有关应急响应和计算机取证的内容。
2.2 如何分析物理内存
成功获取物理内存以后,接下来的工作就是要对镜像文件进行分析,从中提取有用的入侵证据。一般来说,我们可以从镜像文件中提取以下信息[13](这些信息是指在生成镜像文件那个时刻的信息):
(1) 所有正在内存中运行的进程;
(2) 所有的载入模块和DLL(动态链接库),包括被植入的各种恶意程序;
(3) 所有正在运行的设备驱动程序,包括隐藏的rootkits;
(4) 每个进程打开的所有文件;
(5) 每个进程打开的所有注册表的键值;
(6) 每个进程打开的所有网络套接字(sockets),包括IP地址和端口信息;
(7) 用户名和口令;
(8) 正在使用的email和web地址;
(9) 正在编辑的文件内容。
在拿到系统的物理内存镜像之后,该如何着手进行分析呢 2005年夏季之前,调查人员在获取内存镜像之后,标准处理流程是使用strings.exe[14]提取字符串或使用grep工具进行搜索,目的是得到email地址、IP地址等信息,或者是两种方法同时使用。虽然使用这种方法确实能得到一些信息(例如,用户名“附近”保存的类似口令的字符串),但是这种方法不能提供信息的上下文环境。例如,字符串是从哪里来的?哪个进程在使用这个字符串?
2005年的DFRWS内存分析挑战赛带动了对内存信息的进一步研究和分析。通过定位特定进程(或内存中的其他对象)及进程使用的内存,调查人员可以更深入地理解其中的信息,并且在分析时可以忽略正常进程,集中精力分析“不常见的”进程和数据。因此,目前物理内存取证分析的重点在于分析内存中的进程及进程所使用的内存,并从中找出有用的入侵证据。
2.2.1 Windows系统进程基础[1,17]
在Windows系统中,每个进程都用一个EProcess(Executive Process)结构来表示[11],它包含进程的多个属性以及指向进程相关的其他属性和数据结构的指针。由于数据结构就是字节序列,序列中有特殊的含义和目的,所以需要调查人员对其进行分析。在对EProcess结构进行分析时必须注意:对于不同版本的Windows操作系统来说,EProcess的大小和结构可能是不同的。甚至对于同一个版本的Windows操作系统来说,如果SP补丁包版本不同,EProcess的大小和结构也有可能不同。
EProcess结构中最重要的一个成员是指向进程环境块(PEB)的指针。进程环境块中包含大量的信息,对取证比较重要的信息有:
(1) 指向PPEB_LDR_DATA结构(其中存放的是进程的加载器使用的数据)的指针,PPEB_LDR_DATA结构中包含进程中使用的动态链接库的指针。
(2) 指向可执行文件镜像加载基地址(ImageBaseAddress,在PEB偏移0x008处)的指针,通过这个指针可以找到内存中可执行文件的起始位置。
(3) 指向包含进程参数结构(ProcessParameters,在PEB偏移0x010处)的指针,该结构包含进程中加载的动态链接库的路径、可执行文件镜像的原始路径以及创建进程时传递进来的参数等信息。
如果能从物理内存镜像中提取这些信息,对于案件的侦查是很有帮助的。
2.2.2 分析实例
2006年,Harlan Carvey编写了几个用于辅助分析Windows系统物理内存镜像的工具。由于当时可用的镜像是DFRWS2005内存分析挑战赛提供的Windows2000系统,因此这几个工具都是针对Windows2000系统的。Harlan Carvey编写的这几个工具都是Perl命令行脚本,分别是lsproc.pl、lspd.pl、lspm.pl和lspi.pl。在参考文献[17]的配套光盘中提供了与这几个Perl命令行脚本对应的可执行文件lsproc.exe、lspd.exe、lspm.exe和lspi.exe,同时还提供了实验用的物理内存镜像文件win2000.vmem。
(1) 用lsproc列出镜像中所有的进程
Lsproc是列举进程(List Process)的缩写,该脚本的作用是列出镜像中所有的进程。运行lsproc只需一个参数,即物理内存镜像文件的路径:
D:ch3code>lsproc win2000.vmem(该命令运行时间较长,约需10分钟左右)
(2) 用lspd列出指定进程的详细信息
Lspd可以列出进程更详细的信息。Lspd依赖lsproc的输出以获取信息。运行lspd时需要二个参数:镜像文件的路径名和lsproc输出的需要分析的进程偏移量:
(3) 用lspm获取指定进程的内存数据
Lspm.pl工具可以自动提取进程所使用的内存数据,并将其写到当前目录的一个文件中。
(4) 用lspi提取指定进程的可执行文件镜像
当进程开始启动的时候,对应的可执行文件会被读入内存。Lspi.pl是一个Perl脚本,它可以定位进程可执行文件的起始地址,如果该地址指向一个有效的可执行文件,Lspi.pl就会根据PE头部数据结构中的内容定位内存中的数据并重组可执行文件内容。
3 存在问题及进一步的工作
物理内存取证分析技术是一个全新的研究领域,该研究起步较晚。尽管目前研究有一定的进展,也有一定的成果,但总的来说还不够成熟,还存在许多问题,具体表现在:
(1) 缺乏可靠、实用的获取物理内存的硬件设备。用硬件方法获取系统的物理内存是比较理想的方案,因为这种方法对系统的物理内存几乎没有影响,不会破坏或者覆盖物理内存的内容,可以得到非常完整的物理内存。目前几种获取物理内存的硬件设备如Tribble和FireWire等还有很多不完善的地址,还需要进一步改进。
(2) 目前获取系统物理内存的软件工具较多,但用这些工具获取物理内存不可避免地会破坏甚至覆盖物理内存的内容。如何改进这些软件工具,使其对物理内存的影响降至最小,是目前需要重点研究的一个问题。
(3) 目前比较成熟的物理内存取证分析工具较少,需要进一步的研究和开发。
(4) 目前物理内存取证分析技术的研究重点是针对Windows系统的,而针对UNIX、Linux和Macintosh等系统的研究较少。由于目前UNIX、Linux和Macintosh等系统的应用也比较广泛,因此也必须加强对这些系统的物理内存取证分析技术的研究。
针对上述存在的问题,进一步的工作应包括以下几个方面:
(1) 重点研究获取系统物理内存的硬件设备;
(2) 改进现有的获取系统物理内存的软件工具,使其对物理内存的影响降至最小;
(3) 加强物理内存取证分析工具的研发工作;
(4) 加强对UNIX、Linux和Macintosh等系统的物理内存取证分析技术的研究;
(5) 通过因特网远程获取物理内存也是未来的一个重要研究方向。
计算机取证技术综述 篇2
关键词:计算机;取证;技术;综述
一、前言
伴随时代的不断发展,以及科学技术的不断进步,人们越来越重视工作质量和工作效率的提升需求。不断完善的社会体系对社会生活的安全性和稳定性提出了更高的要求,通过科学的方式实现对社会公共事业的管理与监督,能够满足提升人们生活质量的目标和需求。本次研究就针对人们生活中存在的取证工作进行分析和探讨,并且希望以科学的计算机取证工作方式实现对相关工作内容的协助与支持,进而促进人们社会生活的稳定发展,为和谐社会共同进步的目标奠定良好的基础。
二、计算机取证概述
1.计算机取证概念
关于本次研究的主题进行深入的分析,首先需要掌握其中的概念问题。针对计算机取证的概念进行客观的分析和探究,主要是指在实际的证据收集过程当中进行相关信息的储存、维护,为后续分析和鉴证的工作奠定良好的基础。并且能够通过电子模式进行法院当庭证据的展示,为确认犯罪事件或情况作出解释。计算机的取证工作具有可靠性,能够为实际的证据收集和展示增加说服力。计算机收集证据的方式来源于电子媒介,因此,相关的信息和证据都属于是电子模式的状态,例如图片和数据[1]。
2.计算机取证特征
计算机在实际参与取证工作的过程中具有其一定的特征性,根据其特征性能够判断计算机信息的取证工作进行质量。首先,计算机的取证工作非常的脆弱,在收集的过程中非常难以保持原本的状态,而且可能会出现遗失的情况。其次,由于电子信息的特殊媒介,导致计算机的取证工程呈现出没有物理性的存在状态。再者,由于计算机工作运营的特殊性,也决定了计算机取证的高科技特征,需要通过高端的设备辅助进行。再次,还涉及到需要技术人员与设备共同作业的需求,在具体工作进行的过程当汇总需要进行电子数据和电信技术的融合。
三、计算机取证中的证据确认
1.获得移动储存得到介质数据信息
针对计算机取证的工作进行细节的分析和讨论,可以了解并掌握相关工作内容的具体操作需求。在进行计算机模式的证据收集和确认工作过程当中,需要获得移动形式的介质数据信息储存,保证相关的信息都储存在相对应的移动设备当中,为后续的取证工作奠定良好的基础。收集的相关介质数据信息可以在设备中储存,还可以通过无线网络传输到取证的设备当中,并加以储存和复制,保证证据的安全性。通过不同储存设备的工作可以实现对证据信息的收集,并且能够满足后续的传输和展示需求[2]。
2.获得在线数据信息
获得在线的数据信息主要指在实际的工作过程当中需要进行设备的运作,保证信息收集的全面性和完整性。主要的取证方法就是根据镜像的原理进行通过的信息反馈和网络储存,储存的方式支持不同类型的服务器工作,因此能够实现对信息的高速传递和保存,进而实现取证工作的理想化运作。电子证据的收集环境比较特殊,当然,证据收集的最好方式还是在计算机设备关闭的情况下进行,这样能够保证设备工作的完整性需求。
3.获得关闭的计算机硬盘数据信息
针对关闭的电子设备进行证据的收集,就需要在具体工作的过程当中进行计算机硬盘数据的收集,以此实现对信息的调整和优化。针对计算机硬盘进行证据的收集,需要采取两种途径。其中之一是进行电子设备的操作,选择储存器与电子设备相互联系,进而通过镜像的方式进行网络在线的信息数据传输,这种传输方式支持多种服务器,因此不必担忧收集的效率。另外,还可以对相关的证据信息进行扫描,在具体的功能选项中进行数据和信息的收集。
四、计算机取证的数据信息探析
1.数据信息恢复
取证工作人员不仅仅需要掌握数据和信息的收集以及搜索技术,还需要哦掌握如何进行数据信息的恢复。在具体开展的计算机证据收集体系当中进行相关信息的恢复,主要为了防止犯罪分子采取非法手段进行数据信息的删除和销毁。因此,数据信息的恢复工作也非常重要,是计算机取证中非常重要的工作内容之一。当下的恢复数据工作还仅仅停留着初始阶段,还需要工作人员不懈的努力,实现对相关工作质量的进一步提升[3]。
2.数据信息探析
重视对数据信息的处理,需要计算机设备和技术人员紧密的配合。在具体工作执行的过程当中进行相关数据的收集和整理,以此实现对案件线索的梳理。进行计算机方式的取证,需要在实际的工作过程当中进行数据的整合,并且能够完成抽查和测试的需求,实现对相关数据的处理,保证数据信息分析的准确信和可靠性。控制数据信息的分析,就是为后续的审理工作奠定良好的基础。
五、结论
综合上述研究内容进行切实有效的分析、探讨和总结能够发现,采取计算机取证的方式能有效的实现对相关数据信息的收集,并且能够保证对整体取证流程质量的监督与管理。重视对整体环境和信息因素的分析,可以实现对电子取证准确性的保障。随着时代的不断发展,以及科学技术的不断升级,犯罪分子的违法手段也越来越多变,针对这一情况采取计算机的取证方式,能够有效的实现对相关犯罪证据的收集,实现对整体工作质量和规范性的把握。计算机取证的工作方式对于我国社会的发展具有强有力的支持作用,能够实现对相关工作的优化与完善。
参考文献:
[1]姜燕.计算机取证中日志分析技术综述[J].电子设计工程,2013,06:62-64.
[2]钱勤,张瑊,张坤,伏晓,茅兵.用于入侵检测及取证的冗余数据删减技术研究[J].计算机科学,2014,S2:252-258.
计算机取证技术的探究 篇3
关键词:犯罪,取证技术,计算机
1计算机取证概述
1.1计算机取证的定义
电子取证(计算机取证)是指利用计算机软硬件技术,以符合法律规范的方式对计算机入侵、破坏、欺诈、攻击等犯罪行为进行证据获取、保存、分析和出示的过程。
1.2计算机取证的发展
1.2.1国内基本情况
目前我国只有少数法律涉及电子证据问题,规定电子证据收集、保全、认证等方面内容的主要是有关地方法规、部门规章和司法解释,法律效力较弱,且规定的内容零散不成体系,没有建立完备、系统、可操作性强、具有较强法律效力的电子证据法律制度。在我国的法律体系中,电子证据立法多表现为取证规则,电子证据认证规则规定的较少。
就电子取证领域而言,我国的电子取证技术发展的时间并不长,应用也不及国外广泛,但值得一提的是,经过十余年的努力,我国的电子取证技术已经从最初的电子取证软件发展成如今的专业电子取证工具及配套解决方案的应用。此外,为应对计算机犯罪的多样化,我国的电子取证工具正逐步向智能化、专业化和自动化方向发展。
1.2.2国外状况
国际上在计算机取证方而已有比较深入的研究,并且有公司推出了相关的应用产品。美国已建成和计划建设的计算机取证实验室共开对外,用来做恐怖活动追踪和计算机犯罪调查。美国计算机犯罪取证先驱DanFarmer和WietseVenema编写了能够有助于取证检查的一些工具,还有一些进行数据恢复的软件能辅助进行取证检查。
2计算机取证的相关技术
计算机取证属于法学、刑事侦查学和计算机科学与技术等多学科的交叉研究领域,需要从这些不同学科的角度及其相互关系等基础上进行研究。要求其每一步工作都必须按相关规定和控制流程完成,所得结论必须严谨务实,经得起考验,能够反复验证确认的。
根据计算机取证的过程,涉及到的相关技术如下:
(1) 电子证据勘察技术(2) 物理证据获取技术(3) 电子证据采集技术(4) 电子证据保存技术(5) 电子证据分析技术(6) 电子证据提交技术
3计算机静态取证技术
3.1取证的基本原则
根据电子数据取证的基本特点可分为四点:
(1) 不损害原则,要尽早的固定和获取证据,并保证证据的完整性。
(2) 避免使用原始数据。
(3) 记录所有操作,取证的全部过程必须是受到监督。
(4) 遵守相关的法律法规。
3.2取证的步骤
在静态取证中为确保证据的可靠性和安全性,能够提取到具有司法有效性的法律证据,计算机静态取证可分为六个步骤: 存储设备的保护、电子证据确定、收集、保护、分析和归档。
1) 存储设备的保护利用专业的物证封存工具将涉及到的计算机硬盘等存储设备保存,并作标记,避免物理损坏和病毒感染破坏数据。
2) 电子证据的确定通过关键词及特征文件,提取海量数据中的电子证据,并确定这些电子证据的文件形式及存储位置。
3) 电子证据的收集通过复制或镜像的方式将原始证据数据存储到目标盘后, 用取证大师等相关工具收集电子证据,并对操作情况记录归档。
4) 电子证据的保存利用光盘刻录和镜像制作等方式将证据数据保存,并做备份,为避免其他人随意操作电子证据存储设备,造成数据破坏或丢失,需将其放置安全独立的存储柜中。
5) 电子证据的分析使用取证大师、 EnCase等专业计算机取证分析软件对提到的电子证据进行分析鉴定。
6) 电子证据的归档整理计算机取证分析的结果,供法庭作为诉讼的电子证据。
3.3取证的模型
静态取证系统按操作过程分为两个步骤:
1) 现场数据的分析和数据采集。现场对目标主机内存的数据进行分析,根据恶意代码的特点,集中分析一个进程空间的某一段数据,分析的结果以文档或报表等形式提交。
2) 数据集中综合分析。对计算机存储设备中的数据进行恢复和分析,主要涉及到数据恢复技术、数据分析技术、磁力显微镜技术、加解密技术和数据挖掘技术。
4计算机动态取证技术
计算机动态取证是一种计算机逻辑取证,通过对获取到的计算机犯罪行为数据分析和整理,判断入侵者的企图,并能做出相应措施,如切断链接或诱敌深入,在确保系统安全的情况下获取最大量的证据,并将证据鉴定、保全、提交的过程。
4.1取证的基本原则
计算机动态取证对时间上要求非常严格,一般而言,其证据的提取基本上与入侵检测同时进行,时间上相差很小。
4.2取证的步骤
计算机动态取证是在进行网络入侵检测的同时进行证据的提取,所以其进行取证的步骤为:
1) 证据的获取证据的提取是发生在入侵检测的同时,一旦网络入侵被检测系统发现,立即启动取证系统进行证据的提取工作。
2) 证据的转移这里的证据转移是指将从入侵主机目标主机. 提取的证据安全转移到证据服务器中的过程。
3) 证据的存档证据的存档指的是证据在证据服务器中的保存。被提取的证据须以一定的格式保存在证据服务器中,证据服务器与局域网内的主机是通过安全传输方式进行连接的,而且仅响应这些主机的请求。
4) 证据的调查分析进行司法调查时, 从证据服务器中查看目标主机上提取的相关证据,进行有关调查分析。
5) 证据的呈供动态计算机取证技术中的证据呈供与其在静态取证技术中的过程是基本一致的,也是将所有的调查结果与相应的证据上报法庭,这一阶段应依据政策法规行事,对不同的机构采取不同的方式。
4.3取证的模型
在动态取证中,通过有效的即时监控入侵发生,一方面可对其进行同步调查取证,提取入侵痕迹,并做详细记录。另一方利用安全响应系统,根据不同的入侵行为, 采取不同的措施。这样既能保证取证的实时性和连续性,又可以将系统的损失降为最小。
一般的网络攻击都要遵循同一种行为模式,即嗅探、入侵、破坏和掩盖入侵足迹等几个攻击阶段。对每一个不同的阶段,网络入侵取证可以采用不同的取证方法,并执行不同的响应措施。
5结束语
计算机取证科学是刚刚兴起一门学科,也正在不断地发展着,特别是现代信息技术不断发展与更新,所以,取证技术也必将要跟随着发展壮大,绝对不可能一劳永逸,这就要求取证技术要有长远发展的科技战略,与时俱进,跟得上科技几部的步伐,也需要我们不断的进行研究和探索。
计算机的取证 篇4
关键词:计算机犯罪;计算机取证;电子证据链;
中图分类号:TP399-C2 文献标识码:A文章编号:1007-9599 (2011) 07-0000-01
Electronic Evidence Chain Structure in the Process of Computer Crime Forensics
Han Nannan
(Zhongnan University of Economics and Law,School of Information and Safety Engineering,Wuhan430073,China)
Abstract:With the increasing incidents of computer crime,computer forensics and forensic technology combined with the legal means to take the initiative to combat computer crime has been a hot research field of security.This article first briefly chain of electronic evidence in computer forensics and forensic importance of the process;Moreover,from a practical point of view of computer forensics,chain of evidence in criminal cases based on the structure to briefly elaborate chain of evidence during the construction process of electronic evidence And methods.
Keywords:Computer crime;Computer forensics;Electronic evidence chain
当前,将计算机取证技术和司法鉴定相结合来打击计算机犯罪一直是研究的热点。在实际的取证过程中,计算机系统的复杂性和取证工具的针对性和局限性,导致取证人员只能获取被取证对象的部分数据;然后再将收集的数据组织成电子数据集,并从中分析出有效的电子证据集。本文从实际的取证角度出发,将刑事案件中证据链的构造方法应用到电子证据链的构造,以及取证过程中监督链和推理链的形成。其总体流程图如下:
图1.取证总体流程图
在计算机犯罪取证过程中,电子证据链的构造也被称为“犯罪现场重构”。取证人员用专业的取证工具在被侵犯系统上收集电子证据,再对这些数据进行分析和重现整个犯罪过程,也即电子证据链的构造。
在刑事案件证据链的研究中,司法人员将证据链定义为:由两个或两个以上不同的证据链节(证据)所组成的,通过链头的相互联结形成的联结点以及链头与链体的客观联系,内容能得到相互印证并体现或提高证据的证明力,用于证明案件事实的证据集合体。其构成要素之间的关系如下:
图2.刑事证据链层次结构图
以上是单点联结的证据链层次结构,同时,还有多点联结、面联结、多重联结和网状联结等层次结构。
目前,电子证据链并没有一个明确的定义,大部分取证人员或研究人员主要以“犯罪现场重构”来描述电子证据链。借鉴图2我们可以将电子证据链的构造过程描述如下:
图3.电子证据链构造图
如何选取联结点(证据链节的印证地方)要根据具体取证情况而定,以下是三种常用联结点构造方法:
一、属性联结点
属性联结点是以取证人员获取的各个证据链节中记录的一个或多个属性(记录时间、IP地址、进程ID、网络端口等)为联结点,来关联各个证据链节形成电子证据链。
二、时间联结点
计算机入侵并不是一步就能完成的,它需要很多步骤的操作才能实现成功入侵。如果对犯罪入侵过程用时间概念来描述,取证人员可以以各个证据链节出现的时间先后顺序为联结点来关联构造电子证据链。
三、因果关系联结点
因果关系联结点的印证过程要求取证人员对计算机犯罪入侵心理、过程以及造成什么样的结果非常熟悉,并且能够根据入侵者对系统造成的危害或留下的痕迹向上一步一步推断出整个入侵过程,进而重现犯罪现场。
结论:电子证据链是联接计算机犯罪取证与司法鉴定的纽带,其整个构造过程的真实性直接决定了它能否被司法鉴定部门采纳。因此,在电子证据链被提呈给司法鉴定部门的同时,证据出示人员也必须出示能够证明整个取证过程真实性的监督报告。可见,取证人员在整个电子证据链构造的同时,如何构造一个能够反映整个取证过程的监督链也是非常重要的。
项目名称:银行计算机犯罪分析及其现场重构机制研究项目编号:2010S2002
参考文献:
[1]麦永浩,孙国梓,许榕生,戴士剑.计算机取证与司法鉴定[M].北京:清华大学出版社,2009,1-322.
[2]陈为刚.刑事证据链研究[J].国家检察官学院学报,2007,15:128-136
[3]王智慧,崔孝晨,陆道宏.Harlan Carvey.Windows取证分析[M].科学出版社,2009:1-222
云计算环境下的计算机取证 篇5
一、关于云计算
2007年底, IBM宣布了云计算 (Cloud Computing) 计划, 在其技术白皮书中, 对云计算进行了这样的定义:云计算一词用来同时描述一个系统平台或者一种类型的应用程序。一个云计算的平台按需进行动态地部署、配置、重新配置以及取消服务等。在云计算平台中的服务器可以是物理的服务器或者虚拟的服务器。高级的计算中云通常包含一些其他的计算资源, 例如存储区域网络、网络设备、防火墙以及其他安全设备等。云计算在描述应用方面, 描述了一种可以通过互联网Internet进行访问的可扩展的应用程序。云应用使用大规模的数据中心以及功能强劲的服务器来运行网络应用程序与网络服务。任何一个用户可以通过合适的互联网接入设备以及一个标准的浏览器就能够访问一个云计算的应用程序。
云计算是未来网络的发展趋势, 它是并行计算、分布式计算、网格计算的融合和发展。它有3个最基本的特征:一是基础设施架构在大规模的廉价服务器集群之上;二是应用程序与底层服务协作开发, 最大程度地利用资源;三是通过多个廉价服务器之间的冗余, 通过软件获得高可用性。
云计算分为公共云和私有云以及混合云。在云计算系统中用户根据自己的情况定制不同级别的存储服务, 数据分块及副本备份策略层将根据定制服务的级别采用不同的策略来存储用户的文件。私有云的取证相对容易, 只是在企业或机构自己的云计算平台上寻找证据。而公共云取证所涉及的硬件设备相距可能很遥远, 我们暂且讨论在公共云环境下的计算机取证。
二、关键性问题研究
2009年CSA (云安全联盟Cloud Security Alliance) 发布的一份云计算安全风险简明报告总结了7条最常见的风险:滥用和恶意使用云计算, 不安全的接口和API, 不怀好意的内部人员, 基础设施共享问题, 数据丢失或泄漏, 账号或服务劫持, 未知的风险等。针对以上云计算的安全因素, 下面来探讨一下其在取证方面所面临的问题。
1. 跨管辖权问题。
云计算的应用具有跨地域性的特点, 在处理或存储数据的过程中, 所使用的分布式系统和它们处理的数据, 有一些可能跨越区域, 甚至超越国界。任何对数字取证的研究, 无论是涉及刑事、民事或行政案件, 肯定会涉及这方面的法律应用。在收集和处理数字证据时, 应当与国际刑警组织尽量协调, 来识别所涉及系统或数据的精确定位及其所属管辖权, 虽然这很困难, 但为了符合调查的过程, 必须要考虑。
2. 证据的呈堂。
对于从分布式系统中收集到的证据在法庭上进行呈堂是很困难的。在这里主要考虑2个方面:一是数据的复杂性, 它不能简单的形成文档, 作为法庭上的证据;另一方面是个人数据的原始性和对其所做的解释不能被完全信任。这2个问题都可用演示和可视化方法来解决, 这样可以允许恰好以数据演示的方式来调查取证, 提高了对有关数据的关注, 而且还不会增加出现问题的风险。
举个最简单的案例, 本案中只包括设计文档或者文档链接集, 但是, 即使在这些案件中证据呈堂本身就有很多困难, 因为需要大量不同的格式和呈堂要求, 同时需要大量的这种格式的不同版本。即使数据集可能具有确切的时间范围和扩展语义, 通过数据形式形成一组数字证据呈堂的描述也可能会改变。当必须以一种高效和可再使用的方式用于记录和调查非标准的数据集时, 如数据库、进程和工作流信息, 证据的呈堂还会有更复杂的问题。在每个这样的案例中, 数据集之间存在的差异, 数据语义和解释的不确定性以及收集证据的局限性, 都必须与实际数据表现一致。
可视化和其他呈堂方法使用不仅是为了静态分析, 也是为了动态分析假设有效。同时要求取证人员的假设和推理带来的不确定因素和决策要明确的存档。在一些情况下, 数据类型自身就相当复杂, 并且来自多个源 (例如并发流) , 必须同步或以其他的方式来整理。由于原始数据的差异和遗漏, 精确重建事件是不可能的, 但利用模式匹配和其他统计分析工具, 以确定数据集, 也可用来推断基于跟踪数据的行动, 例如数据融合技术。
证据分析。对确定物理位置的计算系统的取证分析比较常见, 但在需要大量耗时的分布式计算系统案件中进行取证则不是一件容易的事情。在许多情况下, 不能对所需的系统和服务进行复制, 因为这样会侵犯第三方的权利, 停止与案件不相关的服务也是不合理的, 并且可能需要跨越管辖范围扣押。因此, 有必要制定一个机制, 来描述将要被获取的数据计算、文件或服务范围。
(1) 时间范围。在一个给定的配置和有限的时间内, 数据可能就在手边, 或者通过不同的存储层次展示出来, 给案件涉及的事件进行界限限定很重要, 以便能够完全获取涉及的事件。正如在任何分布式系统中, 可以应用事件的偏序, 因为要做到整体同步是不可能的。尤其是对于短暂的、不稳定的流程和数据结构, 一个一致的状态 (关闭状态) 的建立是相当重要的, 因为后来发生的事件可能会进一步改变正在被分析的 (分布式) 数据结构的语义。
(2) 空间范围。在一些案件中建立对相关数据储存的位置的解释是很必需的。在这些位置获取证据, 或在某一管辖权限内获得的资料是合法的, 然而未必在其他的权限内也是这样的。尤其是当另一些地区没有明显的合作意愿, 由于位置的清晰度往往是分布式系统的主要目标, 这也是一个巨大挑战。有经验的作案人员可能会有效地利用这一点。然而, 从位置抽象以及从优化机制中获取的更详尽的信息, 其目的是最大限度地减少等待时间和最大限度地扩大供用户使用的时间。这些信息可用于确定直接或间接的更详细的有关数据和过程位置的证据。举个例子, 数据可能会在多个地方复制, 其中一些可能会出现比其他地方更有利的调查目标。
(3) 相关性分析。与时间范围密切相关的一组数据是对一个进程的依赖关系和云环境下不同系统分布的完全理解的需要。如果要获取语义相关关系, 则需要捕捉即时数据。即时数据是重建一种观点, 文件或重现某一过程的必要。同时也需要足够资料以确定在事件发生时该事件的语义。确定事件的语义也可能需要捕获例如本体论的信息、数据字典和结构等。这些可能是潜在隐含的或离线的。
4. 数据属性。
获取完整可信的文件, 事件和进程的数据集是至关重要的, 这些数据作为取证证据的实效性很大程度上取决于数据源的确定。在某些案件中有被加密保护的文件, 比如使用数字签名, 那么它的属性就能相对直接地获取。然而, 即使在这个非常简单的情况下, 如果证书消失或证书链变得无效或根本已经过时, 这种更长期的属性也就需要更详细的论证。这种担忧也出现在获取数据直到它作为电子证据使用的这段时间内, 同时引出了这种情况下如何保持证据长期完整性的问题。
更常见的是, 在其他任何地方数据的属性将不会像上述那么明确, 因为取证通常是在一个很短暂的时间基础上 (包括特别是在云环境中) , 不留下任何永久性的记录。因此, 需要获取更直接的证据。例如, 发生在底层的保护机制和可以间接引出的通信证据。可以通过一些服务的使用, 比如公钥基础设施服务, 网络服务发现机制和命名服务。对于被短暂保护的通信和不涉及任何加密机制甚至具有短暂属性的通信来说, 一个关键的问题是在这样的通信中系统间的通信和相互作用的衍生, 包括上述所提到的附属服务。事件排序的建立和属性确定是重要的, 因为同一事件的不同排序意味着一个进程中成分的明显不同。同时, 每个元素的属性可能会有所不同, 这其中有些是确定的, 而其他的必须具有明确的可信性。
5. 语义的完整性。
单系统数字取证可以依赖于系统磁盘快照和对目标文件与媒体类型的限定数量的格式化, 尽管文档和数据结构可能不完整或者已被模糊处理。当数据被删除或冗余时就会被模糊处理。在分布式系统中则不会出现这样的情况, 因为他们是必须被留档或作为证据使用的。对一个系统进行“磁盘快照”的数据集, 不论是获取的时间上或程度上必然是一个有限的范围。这些语义也必须与数据本身存在同样的信任程度。特别是在数据库中发现的动态数据结构, 然而这些信息作为数据本身不是那么容易得到的。虽然有些数据的格式会具有结构表述或者类似的结构信息, 比如关系或对象关系数据库。
6. 证据的稳定性。
维持获取证据的长期稳定性是至关重要的。如果不采取附加措施, 甚至加密保护的数据也会失去其有效性。对于个人、本身包含的文件和数据对象来说, 经常可以通过参考如何去详述所包含的类型和修改的信息来确定。但是在工具化的过程中将提供唯一的一个解释。对于分布式的数据集和从分布式系统收集的部分数据集, 可能去获得单独的特征和数据词典。因此, 至关重要的是建立一个所捕获的数据集的最大的延伸信息, 以及描述这些语义信息的机制。这需要附加数据集的创建和延伸, 来帮助推导正在讨论中的数据集的伸展语义, 以便能够允许数据集的长期保存。
这是非常困难的工作, 因为很多数据格式和描述都是专有的 (例如数据库模式或文件格式) 。分布式系统中发现的与证据的语义稳定性有关的进一步问题涉及时间敏感的瞬时数据, 如流媒体或控制系统的数据流量。在这里, 要建立一个对基准面的语义的理解, 因此获取语境和系统状态至关重要。
三、云计算环境下计算机取证面临的一些问题
本文, 笔者阐述了云计算的架构特点以及分类, 针对云安全联盟提出的7个云计算的主要风险, 分析了在云计算环境下的计算机取证会面临的一些问题。
1.由于云计算的地域性分布较广, 因此跨管辖权问题是最难解决的。因此要尽量协调工作, 并熟悉当地法律程序, 确保证据的效力。
2. 由于数据的复杂性和不确定性, 在调查取证的过程中, 利用可视化方法, 以及模式匹配和其他统计分析工具来增加数据的可信任性。
3. 从时间角度、空间角度以及相关性角度, 对所获取数据进行分析, 使得数据结构合理化。
4. 明确数据属性, 通过公钥基础设施服务、网络服务发现机制和命名服务等机制, 建立正确的事件排序。
5. 所获取的语义描述本身要和数据相匹配, 例如使用数据词典的机制, 保证语义的完整性是至关重要的。
6. 维持获取证据的长期稳定性是必要的, 因此需要建立一个所捕获的数据集的最大的延伸信息, 以及描述这些语义信息的机制。
计算机的取证 篇6
随着计算机技术的成熟与广泛应用,以计算机信息系统为犯罪对象和以计算机为犯罪工具的各类新型犯罪活动持续上升。计算机取证是将计算机调查和分析技术应用于对存在计算机和相关外设中潜在的、有法律效力的电子证据的确定与获取。目前计算机取证作为计算机安全领域的一个新的热点正引起人们的普遍关注。
1 计算机取证的概念
1.1 什么是计算机取证
计算机取证(Computer Forensics)这个名词是由The International Association Of Computer Investigative Specialists(IACIS)在1991年首次提出的。随后引起国内外学者专家不断地对其加以总结、扩充。
一般来讲,计算机取证也称数字取证、电子取证,是指对计算机入侵、破坏、欺诈、攻击等犯罪行为,利用计算机软硬件技术,按照符合法律规范的方式进行识别、保存、分析和提交数字证据的过程。
1.2 计算机证据的概念及特点
计算机证据,也称电子证据,是通过计算机储存的数据和资料证明案件事实的一种工具,是一种介于物证与书证之间的独立的证据。与传统证据相比具有以下几个特点:
(1)计算机证据容易被伪造、篡改,并且不留痕迹。
(2)计算机证据容易损毁,证据的可信度不高。计算机信息以数字信号的方式存在,对数字证据进行接收、监听、删节、剪接等操作,从直观上讲无法查清。而且由于人为的原因或环境和技术条件的影响容易造成数字证据的不完整,降低证据的可信度。
(3)高科技性。计算机是现代化的计算、通信和信息处理工具。电子证据的产生、储存和传输,都必须借助于计算机软硬技术、存储技术、网络技术。离开了高科技含量的技术设备,电子证据无法保存和传输。而电子证据的收集和审查判断,往往也需要一定的科学技术,甚至是尖端的科学技术,并且伴随科技的发展进程会不断地更新、变化。
2 计算机取证常用技术
2.1 计算机取证技术分析方案
计算机取证的分析方案主要有以下两种:事后取证和实时取证。
(1)事后取证
事后取证则是指在计算机系统受到入侵之后,计算机专家利用各种计算机软硬件技术,对数据进行提取、分析,抽取出有效的计算机证据。当中涉及到的技术主要有数据恢复和数据分析。
(1)数据恢复技术
数据恢复技术主要包括:对计算机系统和文件的安全获取技术;对磁盘或其它存储介质的安全无损伤备份技术;对已删除文件的恢复、重建技术;对磁盘空间、未分配空间和自由空间中包含的信息的发掘技术;对交换文件、缓存文件、临时文件中包含的信息的复原技术等。
稍有经验的犯罪分子都会尽可能地擦除自己在系统中留下的痕迹,他们使用的方法通常是大量地删除系统日志和相关文件,取证工作往往就是要恢复这些被删除的一些信息。
因此,对于计算机专家应尽可能的去发现目标系统上的所有文件,包括:存在的正常的文件;删除过的但残留的文件;隐藏的文件;有密码保护的文件和加过密的文件。
(2)数据分析技术
在己经获取的数据流或信息流中寻找、匹配关键词或关键短语是目前的主要数据分析技术,具体包括:文件属性分析技术;日志分析技术;数据解密技术;密码破译技术;对电子介质中的被保护信息的强行访问技术等。通过详细地审查系统日志文件,分析系统的日志文件,可以了解入侵过程中攻击者执行了哪些操作,以及哪些远程主机访问了你的主机,但系统中的任何日志文件都可能被入侵者改动过。
(2)实时取证
在实时取证的系统中,实时获取数据并对这些数据进行分析,智能分析攻击者的企图,实施相应的动作,或切断连接,或诱敌深入,在确保安全的情况下获取攻击者的大量证据。实时取证要求与IDS(入侵检测系统)、Honeypot(蜜罐)、Honeynet(蜜网)紧密结合。
Honeypot是一个用来专门让人攻击的网络,诱骗入侵者。通常情况下,Honeypot会模拟某些常见的漏洞或是在系统中做某些设置使其成为一台“牢笼”主机。
Honeynet是一个网络系统,而并非单一主机,这一网络系统是隐藏在防火墙后面的,关注、捕获及控制所有进出的数据。利用这些数据可被用来研究分析入侵者们使用的工具、方法及动机。
2.2 计算机取证的工具
(1)用于电子数据证据获取的工具:如Higher Ground Software Inc的软件Hard Drive Mechanic用于从被删除的、被格式化的和已被重新分区的硬盘中获取数据。NTI公司的Get Free可从活动的Windows Swap分区中恢复数据,该公司的软件Get Slack可自动搜集系统中的文件碎片并将其写人一个统一的文件。
(2)用于电子数据证据保全的工具:Guidance Software公司生产的硬件设备Fast Bloc可用于Windows操作系统下计算机媒质内容的快速镜像,NTI的软件CRCMd5可用于在计算机犯罪调查过程中保护已搜集来的电子证据,保证其不被改变,也可以用于将系统从一台计算机迁移到另一台计算机时保障系统的完整性。该公司的软件SEIZED可用于保证用户无法对正在被调查的计算机或系统进行操作。
(3)用于电子数据证据分析的工具:这类工具中最著名的是NTI公司的软件系统Net Threat Analyzer。该软件使用人工智能中的模式识别技术,分析Slack磁盘空间、未分配磁盘空间、自由空间中所包含的信息,研究交换文件、缓存文件、临时文件及网络流动数据,从而发现系统中曾发生过的Email交流、Internet浏览及文件上传下载等活动,提取出与生物、化学、核武器等恐怖袭击、炸弹制造及性犯罪等相关的内容。该软件在美国9.11事件的调查中起到了很大的作用。
(4)用于电子数据证据归档的工具:如NTI公司的软件NTI-DOC可用于自动记录电子数据产生的时间、日期及文件属性。
3 计算机取证技术发展趋势
计算机证据出现在法庭上,在信息技术较发达的美国才有30年左右的历史。在我国只是近10年左右的事,可以说是刚刚起步。从近两年的计算机安全技术论坛(FIRST年会)上看,在国外计算机取证技术正日益成为计算机网络的重点课题之一。
由于自身的局限性和计算机犯罪手段的变化(特别是反取证软件的出现),现有的取证技术已经不能满足打击犯罪的要求。首先随着取证领域的扩大,取证工具将向着专业化和自动化方向发展;其次进一步发展在无线环境中,如手机、PDA、传真等无线终端设备的取证技术应用;另外,为了能让计算机取证工作向着更好的方向发展,制定取证工具的评价标准、取证机构和从业人员的资质审核办法以及取证工作的操作规范也是非常必要的。
4 结束语
计算机取证技术已经得到了一定的发展,但目前的研究多着眼于入侵防范,对于入侵后的取证技术的研究相对滞后;同时,计算机理论和技术的发展使得目前计算机取证技术呈现出领域扩大化、学科融合化、标准化、智能化等发展趋势。因此仅仅通过现有的网络安全技术打击计算机犯罪已经不能够适应当前的形势。因此需要发挥社会道德的引导作用、完善法律的约束力量去对付形形色色的计算机犯罪。
摘要:本文主要介绍了计算机取证和计算机证据的基本概念,进而对实施计算机取证时的相关技术及工具应用进行了探讨,最后分析了该技术发展趋势。
关键词:计算机取证,计算机证据,数据恢复
参考文献
[1]陈龙.计算机取证技术[M].武汉:武汉大学出版社,2007.
[2]杨永川.计算机取证[M].北京:高等教育出版社,2008.
[3]殷联甫.计算机取证工具分析[J].计算机系统应用,2005,(8):88-90.
[4]李玉龙.计算机取证技术的探讨与研究[J].计算机安全,2007,(5):7-9.
基于云的计算机取证系统研究 篇7
作为当前最为火热的前沿技术之一,云计算技术不只发展迅速,更是在多个领域广泛展开应用,即使是最普通的个人用户,也可以很轻松的获得几百Gb甚至几Tb的网络云硬盘,而企事业单位更是可以利用云服务获取更多的存储和计算空间。云计算可以说是改变了存储和计算的内涵,将整个网络服务器的资源作为本地计算机来进行存储和运算,从而获得更高的效率和空间,正是由于这样的特性,云计算越来越受到广大企事业单位的青睐。
从总体上看,云计算的定义可以分为狭义和广义两种。狭义云计算是指IT基础设施的交付和使用模式,指通过网络以按需、易扩展的方式获得所需的资源(硬件、平台、软件);广义云计算是指服务的交付和使用模式,指通过网络以按需、易扩展的方式获得所需的服务,这种服务可以是IT和软件、互联网相关的,也可以是任意其他的服务。
1.1 安全边界难以定义
在传统网络中通过物理上和逻辑上的安全域定义,可以清楚地定义边界和保护设备用户,但云计算由于其用户数量庞大,数据存放分散,很难充分为用户提供安全保障。
1.2 数据安全
在云计算服务中,用户是从网络服务器中调取数据,没有相关的专业知识和工具,用户是很难知道数据的准确位置,而且在没有必要的情况下,也不用知道数据的存储位置。但是由于数据存储的不可知性,云端服务器中的数据是很容易在用户不知情的情况下丢失的,下面从数据隐私和数据隔离两方面进行介绍。
(1)数据隐私。数据存储在云服务器中,用户没有属于其个人的独立存储区域,所有的数据成碎片化的存储在服务器中,数据的维护是由第三方来进行的。由于是网络存储方式,因此数据是以开放的方式存储的,网络防火墙虽然能够起到一定的防护作用,但是一旦遇到网络黑客或是病毒侵袭,防火墙的作用相当有限,因此云端的数据有很大的可能性会泄露,所以现在很少会有用户将机密或是重要的数据放在云端存储。
(2)数据隔离。目前在网络中用户基本采用数据加密方式共享数据,但是云服务中的数据是共同被保存在唯一一个软件实体内的,如果能够有额外的数据隔离机制可以将不同用户之间的数据进行隔离处理,则能够保证更好的数据保密性。目前的云端服务器中数据由于是碎片化的存储方式,因此当前的技术很难做到数据隔离,这也正是云服务中安全技术的瓶颈。
1.3 应用安全
(1)终端安全:用户终端的安全始终是网络环境下信息安全的关键点,用户终端合理部署安全软件是保障云计算环境下信息安全的第一道屏障。
(2)Saa S应用安全:Saa S模式使用户使用服务商提供的在云基础设施之上的应用,对于底层的云基础设施如:网络、操作系统、存储等。因此在此模式下,服务商将提供整套服务包括基础设施的维护。服务商最大限度地为用户提供应用程序和组件安全,而用户只需关注操作层的安全。
(3)Iaa S应用安全:所有的用户对于云端来说采用相同的操作,因此用户端只是接收操作指令,而不关心用户本身的属性,只是对于自己内部的数据安全负责。
2 计算机取证在云计算中的困难
计算机取证(Computer Forensics)是指运用计算机辨析技术,对计算机犯罪行为进行分析以确认罪犯及计算机证据,并据此提起诉讼。也就是针对计算机入侵与犯罪,进行证据获取、保存、分析和出示。计算机证据指在计算机系统运行过程中产生的以其记录的内容来证明案件事实的电磁记录物。从技术上而言。计算机取证是一个对受侵计算机系统进行扫描和破解,以对入侵事件进行重建的过程。可理解为“从计算机上提取证据”,即:获取、保存、分析、出示、提供的证据必须可信。
计算机取证是打击网络犯罪活动、保证军民两用信息安全的最直接技术手段,是网络安全技术的一个重要分支,也是未来计算机技术发展的一个重要方向。然而云计算技术的发展,打破了原有的信息存储和传输方式,为技术的发展带来了质的飞跃,但是同时也为不法分子窃取机密信息提供了可乘之机。这为云计算环境下的计算机取证带来了诸多的障碍。
(1)传统的离线取证方式已经完全不适用于云计算环境中。离线取证方式需要获取原资料数据存储的磁盘,但是分布式的存储环境中,数据以碎片化的形式存储在不同的云端服务器中,不同的服务器可能相隔千里,导致取证难度急剧增大。
(2)原有的计算机取证是利用计算机来对获取的数据筛选和分析,找出有用数据并加以处理,甚至有些时候需要人为的进行筛选处理。但是云端服务器的数据量要比磁盘式的存储方式大几个数量级,尤其是碎片化的存储方式需要进行筛选掉的无用数据更是要多更多,不要说人工处理,即使单台计算机也难以完成这样海量的计算。
(3)口令和密码是取证过程中必不可少的环节,通常的体系中,穷举法是几乎唯一适用的方法,即使是原有的系统中口令和密码也是取证的障碍之一。在云计算更加注重时效性的系统中,则更加难以获取。
3 基于云的计算机取证系统设计
针对上述所述的云计算中的安全问题以及云计算系统中的取证障碍,本文提出并设计了一种计算机取证系统,可以针对云计算环境的每个节点进行取证工作。系统分为三部分,分别云取证服务中心、客户端取证工具和云取证中间件,下面分别进行介绍。
3.1 云取证服务中心
顾名思义,云取证服务中心是整个系统的核心部分,完成管理、分析、运算等功能,因此还可以细分为管理单元、取证分析单元、超算处理单元和证据存储单元。
管理单元实现对整个系统的控制和调度。(1)任务调度。任务调度的工作是对不同的工作模块和工作单元实时地分配相应的任务,例如将存储单元中的数据调出,分配给取证分析单元进行分析以及超算处理单元进行数据运算筛选等工作,因此管理单元是能够保证系统正常有序运行的核心部件。(2)案例管理。由于取证工作涉及到司法的公正、公开和透明化,因此计算机取证的过程也要是透明化,在相关部门和人员的监控下进行操作的,不仅可以保证取证过程的合法性,更能够为将来的庭审等阶段提供相应的证据。(3)数据传输。这是控制模块所应具有的基本功能,保证所有模块间的数据和指令按照正确的时序传输。
取证分析单元有多个虚拟机构成,多个虚拟机可以并行处理多个不相关的取证分析任务。并且取证分析单元可以调用超算处理单元来完成巨量的计算、分析、筛选工作。
超算处理单元即高性能计算机,该单元由国家超算计量中心完成,采用千万次计算机“神威蓝光”作为业务主计算机,其上面运行了密码口令分析程序和其他经过并行化移植的计算机取证分析处理程序,用以完成高性能计算。
证据存储单元用于存储案例所需的海量磁盘数据,同时还应注意到在取证、计算等过程中产生的中间数据也应该加以保存,作为间接证据为后续的分析和调查等工作提供相应资料。
3.2 客户端取证工具
客户端取证工具即用户调用取证系统的客户端软件,用户可以在线下载安装包安装至本地计算机或是移动客户端中。客户端获取相应的数据后,可以选择在本地由客户端直接进行分析,或是将大规模的数据传至服务中心进行分析。
3.3 云取证中间件
中间件即服务中心和客户端取证工具中间的部件,负责传递两者间的数据和指令。云取证服务中心可以通过中间件向客户端或是第三方软件传递调取指令,同时客户端软件和第三方软件也可以将数据传输至服务中心。
另外需要提到的是,为了保证取证系统工作的公开和透明,系统的每一部分都应该是在相关的工作人员的监控下进行工作的。
云计算的研究尚未成熟,与之相对应的云计算取证技术更加是刚刚处于起步阶段,本文所进行的研究和设计仍然处于比较低级的阶段,系统复杂度和算法复杂度导致系统在实际工作中还是有很大的限制的,但是对今后的系统设计发展寻求新的解决方案提供了一个很好的思路。
参考文献
[1]许榕生,昊海燕,刘宝旭.计算机取证概述[J].计算机工程与应用,2001.
[2]钱桂琼,杨泽明,许榕生.计算机取证的研究与设计[J].计算机工程,2002.
基于涉密网的计算机取证模型分析 篇8
1 模型设计和分析
1.1 模型原理以及系统构成
这篇文章提出的在Agent动态远程控制的基础上针对涉密网设计一种计算机取证模型, 其原理就是通过证据收集以及分析两大部分筛选出可以利用的信息, 达到一定的目的。
Agent控制中心具备多中功能, 除了能够进行取证控制以及身份认证以外, 还可以通过远程触发、隐蔽通信等技术来实现对取证内容的控制, 从而保证取证端以及被取证端身份的认定、被取证端的取证程序触发和隐蔽通信等程序的正常运作。数据库的服务器中含有证据库、证据仓库、知识库以及规则库等, 其中证据库中存放经过数据发掘和融合以后能够作为司法证据的信息;证据仓库中存放Agent收集的syslog相关日志;知识库中存放与入侵知识有关的专家知识;而规则库中则存放着Snort检测规则。证据分析中的主要任务是对Agent传递的原始证据进行过滤, 并且进行后期的分类、整合, 还要做好严密的认证和保全工作。
1.2 证据收集
(1) 自动加载:在证据收集过程中, 当控制中心对Agent发出指令或者通过自动检测发现设备的异常以后, 就需要采取相关的措施来保证取证系统的正常运行, 一般情况下采取的措施是对取证端的注册表进行修改。Agent终端将设置一个守护程序, 通过系统服务的方式来保证终端运行, 并且在服务过程中进行数据的自动收集和加载。
(2) 进程隐藏:这一环节是为了防止入侵者察觉, 通常会利用隐蔽技术对操作进程进行隐藏。
(3) 文件隐藏:隐藏文件需要借助API特定函数, 对输出缓冲区的文件记录进行修改。
(4) 线程监控:该环节主要是借助相关技术来对程序进行抗查杀保护。
(5) 主机信息收集:利用Agent来收集主机的信息以及参数。
(6) 日志收集:借助syslog协议收集并且存储和网络设备有关的日志, 并且日志传送到证据分析中的原始证据数据库中。
(7) 数据预处理:因为日志文件数量非常庞大, 并且还记录了一部分与安全性无关的数据信息, 因此要想提高主机入侵的检测效率, 并且保证数据传输的速度, 就需要对数据进行预处理, 借助Agent来筛选收集到的日志和文件, 并按照规范的格式统一反馈到入侵检测Agent中。
(8) 加密认证:由于计算机的取证过程不能进行任何的篡改, 因此数据在传送过程中要做好严密的防护工作, 以抵抗黑客的非法侵入。除此之外还要加强远程数据传输的机密性, 做好全面的加密认证。
(9) 网络入侵的检测:网络数据收集过程中, Agent会对每一个截取到的数据包进行解包, 检测Agent会将解包后的内容与规则库的规则对比, 对比相符的则被判定为入侵事件, 并送往证据分析中心进行储存, 方便进一步分析提取。
(10) 隐藏通信:DES加密技术、隧道技术能够和证据的接收端进行密钥的商定, 并且进行隐藏通信, 从而保证通信数据的安全。
以上各模块的应用能够在保证取证工作正常进行的基础上强化信息的保密工作, 让取证端和被取证端的信息通信能够安全进行, 还可以使取证端按照自己的需求实行取证控制。
1.3 证据分析
(1) 日志文件;由Agent收集的日志其中包括典型应用日志、数据库日志、网络设备日志以及OS日志等, 这些日志信息在保存到数据仓库之前需要进行格式化处理, 还可以在日志信息上进行签名。该种处理能够保证原始数据不被任意修改, 也提高了数据保存的安全性。
(2) 数据库:取证模型包含证据的证据库、知识库、规则库、日志仓库, 其中规则库是检测入侵数据的, 日志仓库的主要用途是进行原始日志的收集和存储, 日志仓库能够通过数据的挖掘形成具有一定法律效应的数据库。
(3) 数据挖掘:数据挖掘主要通过聚类的方法对日志的相关数据进行分析研究。
(4) 证据的提取与融合:将上一步获得的证据和主机中的参考证据进行融合。
(5) 证据保全和提交:在司法有需要时可以保全并且提交证据库中存储的证据, 在进行保全时可以借助加密、异地储存等方法来进行。由于提交时的信息来源不同, 因此可以通过证据的融合, 查出单台主机无法发现的协作攻击, 可以抵抗其他复杂的攻击方式, 并且生成相关的入侵数据。
2 重要技术的分析
2.1 证据信息的提取
当取证模型处于Agent动态远程控制下时, 模型中包括的证据信息有IDS日志、可选择的蜜罐日志等, 还能通过syslog协议进行数据的继续收集。Syslog协议如今已经成为一种工业标准, 能够记录服务器、交换机、路由器等网络设备系统中的各种事件。管理人员可以随时进行记录的查看, 从而观测系统的状况。该协议还能够对远程传送的日志记录进行接收, 并且进行自动的排序从而整合成多个系统记录。该记录一般以文件的形式储存, 因此可以在系统不需要全部连接的情况下查看记录。Syslog将UDP作为传输的协议, 利用目的端口将进行所有的安全设备日志管理配置的传送, 最后由syslog软件系统的日志服务器对其数据进行接收。
Agent控制中心配置的syslog日志服务器能够实现Agent的一部分功能, 网络设备在将日志信息以UDP的方式传输给远程服务器后, 接收的时候必须要经过syslog的监听, 并且根据配置文件中的相关配置处理本机, 来接收访问系统的日志信息, 并将特定的事件写入指定文件中, 为后台数据库管理提供相关数据, 这就意味着要将所有事件进行记录, 为日后数据库用offline对远程设备事件进行分析提供便利。
2.2 证据数据库的创建
日志仓库能够在服务器MYSQL数据库中存放, 但syslog协议则不行, syslog协议中创建证据数据库需要专业人员进行专门控制。
2.3 证据的分析
模型中在对证据分析之前要把收集的原始证据以及人工智能检测的可能证据储存到证据仓库中, 并运用数据挖掘的类聚方法对日志数据进行分析, 将其中的抽象或物理对象进行集合, 按照相似程度进行分组。经过聚类发展而形成的簇是一组相似数据对象的集合, 这些对象在和同一簇其他对象相似的同时, 和其他簇的对象有很大的差别, 因此通过类聚分析能够了解数据的分布, 并按照簇的分类来观察每个类别的特点, 从而进行深层次的分析研究。
3 结语
通过理论分析, 在Agent动态远程控制的基础上引入A g e n t入侵检验方法以及syslog协议, 把代理分布到涉密网设备中以扩大取证范围的同时, 还能够避免性能瓶颈的产生, 从而将系统处理的能力和速度进行稳步的提高。模型不仅能对涉密网的网络流量进行监控, 还能对系统用户行为进行监控, 及时记录下容易丢失的数据, 并准确获取入侵证据, 解决了收集证据的困难, 提高证据的可靠性, 利用将不同证据融合的数据分析方法, 增加了证据数据的可信度, 更加确保了证据的有效性。
参考文献
[1]黄步根.计算机取证中系统分析技术研究[J].信息网络安全, 2011 (3) .
[2]周敏, 付国瑜, 龚箭.计算机取证模型研究[J].计算机安全, 2010 (1) .
检察机关引导取证制度的改进 篇9
当前,由于法律规定的不完善,给检察机关介入侦查引导取证工作造成不少困扰。主要问题是检察机关引导取证的介入时间、介入目的和介入方式不明确。“以审判为中心”的诉讼制度要求构建新型的侦诉关系,强化公诉对侦查的引导和规制功能。检察机关从应对法庭质疑和律师挑战的角度,有针对性地引导侦查人员收集、补充证据,更加注重证据的真实性、合法性和证据链条的完整性,从整体上提高追诉质量。
一、明确三个事项,夯实检察机关介入侦查的基础
1.明确检察机关介入侦查的任务。检察机关在受理刑事案件前,通过提前了解案情,熟悉证据,为批捕、审查起诉做好准备;通过参与现场勘查,共同讨论案件,对侦查机关提出继续侦查和取证的建议,引导侦查机关合法、及时、全面地收集证据;依法履行侦查监督职能,及时纠正侦查活动的违法行为。
2.明确检察机关介入侦查的时间。对于重大、疑难、复杂的刑事案件或在本地区有影响的刑事案件立案后,检察机关可以派员介入侦查;对于其他刑事案件,在对犯罪嫌疑人采取强制措施后,检察机关可以提前介入侦查。
3.明确检察机关介入侦查的范围。检察机关介入侦查案件的范围:(1)重特大、疑难、复杂刑事案件(如暴力、恐怖、严重伤害、杀人等案件);(2)在本地区有重大影响的刑事案件;(3)上级机关或领导交办、督办的刑事案件;(4)立案监督案件;(5)侦检双方认为有必要提前介入的其他刑事案件。
二、建立三项制度,打造检察机关介入侦查的抓手
1.建立公诉引导侦查区域负责制度。对于重大、疑难、复杂、敏感案件,由公诉部门适时介入侦查,以出庭公诉标准引导侦查的取证方向、内容、形式,实行公诉办案组与县(市)、区公安机关侦查部门划片结对、区域负责,建立起长期、固定的引导侦查取证工作模式,及时解决侦诉矛盾和意见分歧,确保公诉人员对重特大案件第一时间参与侦查机关现场勘查,第一时间参与侦查机关首次讯问,避免提前介入工作无章可循、流于形式。
2.建立重大刑事案件现场重建及现场行为分析制度。与公安机关共同制定《关于在重大刑事案件移送审查起诉材料中增加现场行为分析的规定》,将犯罪过程分为犯罪准备、实施、清理掩盖现场、逃离现场四个阶段,由提前介入检察人员在重大刑事案件案发后,根据现场勘查初步取得的证据,引导侦查机关对照四个阶段所需调取证据目录,深挖现有证据蕴含信息,帮助侦查人员分析犯罪目的、动机等,完成案发现场重建和确定犯罪嫌疑人,为全面收集和固定证据奠定基础。
3.建立侦查机关所外提讯事前通报制度。对于侦查机关抓获犯罪嫌疑人后24小时内不能送看守所关押或者关押后需要提出所外的,侦查机关要事前通报公诉部门,由公诉部门对不能送押或所外提讯事由进行审查、监督,并要求所外提讯一律制作同步录音录像,既严防非法审讯,也有效防止犯罪嫌疑人把所外提讯作为被刑讯逼供、指供或者诱供的借口而随意翻供,做实非法证据排除和证据合法性证明。
三、进行三方面沟通,畅通检察机关介入侦查的渠道
1.进行办案信息交流。为了保障检察机关对案件的知情权,加强公检两家的相互沟通和信息交流,公安机关应当将属于检察机关介入侦查的刑事案件立案、破案的情况,定期地向检察机关侦查监督部门通报或报送备案材料,以便检察机关及时掌握案件情况,对符合介入侦查引导取证的案件适时介入,引导取证。
2.对引导取证进行反馈。对于介入侦查引导取证的案件,检察机关承办人员及时填写“介入侦查引导取证情况意见表”。经检察机关介入侦查引导取证的案件,公安机关在提请批捕、移送审查起诉的材料中应予以反映。同时,对于经介入侦查引导取证,但公安机关最终未报捕,而作出其他处理决定的案件,也应及时将情况反馈给检察机关,以便检察机关认真审查其处理是否得当。
浅谈计算机取证 篇10
随着计算机技术的迅速发展和计算机领域的广泛应用, 以计算机信息系统为犯罪对象和以计算机为犯罪工具的各类新型犯罪活动越来越多。计算机取证就是研究如何打击计算机犯罪、提取和分析计算机犯罪证据并证明该证据是原始的、完整的、合法的、有效的新型学科。
2 计算机取证相关概念和特点
2.1 计算机取证定义
计算机取证是指运用先进的技术手段, 按照一些预先定义的程序及符合法律规范的方式全面检测计算机系统, 提取、存储、保护、分析并将与计算机犯罪相关的证据归档并呈送给法庭的过程。其目的是对犯罪分子怎样入侵计算机以及在入侵成功后所做的事情进行一次重现。
2.2 计算机取证特点
2.2.1 数字性。
计算机证据的物质载体是电子元件和磁性材料等, 改变数据或程序, 从物理表示上, 只是集成电路的电子矩阵的正负电平或磁性材料磁体发生了变化。
2.2.2 脆弱性。
由于计算机信息容易被修改, 并且对其进行不可修复的修改后不会留有痕迹, 从而使其变得十分脆弱。
2.2.3 多态性。
由于计算机证据的表现形式多样, 即不同形态的输出材料都来源于同一计算机存储的信息本身。虽然不同证据的表现形式并不能说明其在审查判断上有根本的区别, 但是不同形态的证据材料的审查规则是不同的。
2.2.4 人机交互性。
计算机证据的形成, 在不同环节上, 由不同的操作人员执行, 这在不同程度上都可能影响计算机系统的运行。因此, 为了保证证据的可靠性和真实性, 应该从技术和管理角度上严格控制人机系统。
2.2.5 复合性。
证据的符合性是指当证据可以以多种形式表现, 在诉讼过程中采纳某一种证据形式时, 应当既考虑证据生成过程中的可靠程度又考虑这一证据的表现形式是否被删改过。
2.3 计算机取证的基本原则
根据计算机取证的如上特点, 计算机取证的基本原则是:
2.3.1 合法性原则。按照法定程序公开合法的收集与提取证据, 要求提取的证据具有法律效力。
2.3.2 及时准确性原则。尽早收集证据, 确保其没有受到任何破坏, 同时正确运用已有的先进技术和相关取证工具获取准确的证据。
2.3.3 备份原则。对于计算机证据至少应制作两个副本, 原始媒体应妥善保管, 用副本进行证据的提取和分析。
2.3.4 证据连续性原则。证据被正式提交时, 必须能够证明证据从最初获取到提交之间的状态, 包括移交、保管、开封、拆卸等过程说明。
2.3.5 严格管理原则。计算机证据的移交、保管、开封、拆卸等过程必须由侦查人员和保管人员共同完成, 拍照制作详细笔录。同时计算机证据的媒体或介质应远离磁场、高温、灰尘、潮湿及腐蚀性环境, 以备随时使用。
3 计算机取证过程
计算机证据的获取一般分为两大步骤, 第一步是实体物理设备或软件系统的获取, 即计算机系统的获取;第二步是证据分析。具体操作步骤一般是:保护和勘察现场;证据的保全和收集;恢复证据和分析证据;证据的保存和提交。在实际的调查取证过程中, 会面临各种不同的应用环境, 静态取证环境和动态取证环境有差别, 其取证步骤和方式也有一定的差异。
3.1 静态取证
在静态取证环境中, 取证人员往往处于被动方式, 在案发后才前往犯罪现场, 对犯罪现场情况和计算机设备信息毫不知情, 不能确定是否能从物理证据中获取有用的电子证据, 这是属于事后调查取证摸索和探索的过程, 对于时效性的要求不高。
3.2 动态取证
在动态取证环境中, 要注意单机动态取证和网络动态取证的区别:
3.2.1
单机动态取证其取证环境和静态取证环境差不多, 也是属于事后调查取证, 但是在取证过程中需要特别注意取证策略和方法, 重点获取计算机运行状态信息、内存和缓存交换空间等资料信息, 其时效性的要求比静态取证要高一些。
3.2.2
网络动态取证就比较复杂, 与静态取证相比, 网络取证具有以下特点: (1) 在网络环境下数据分布广泛, 涉及的网络设备比较多, 当计算机犯罪发生网络犯罪时, 不可避免地在多个地方留下痕迹, 而这些痕迹是很难销毁干净的。 (2) 网络上的数据是动态, 这个特性也就决定了网络取证的实时性和连续性。 (3) 由于网络的连通性, 决定了取证人员可以通过网络实时监听和获取犯罪嫌疑人计算机的网络活动, 对其进行不间断的监控, 从而收集罪嫌疑人的犯罪电子证据。这个特性相对静态举证具有主动获取证据的特点。 (4) 网络取证具有主动取证和事后取证的双重特性。
4 计算机反取证技术
自从计算机诞生之日起, 计算机取证技术和计算机反取证技术之间的对抗就一直存在, 并不断升级。就静态取证技术和动态取证技术来说, 静态取证技术是基础, 动态取证技术是延伸、发展和创新。这两种取证技术可以分别单独使用, 也可以混合使用。
4.1 静态取证技术与反取证技术
静态取证主要是对计算机存储设备中的数据进行保全、恢复、分析主要涉及到数据保护技术、磁盘镜像拷贝技术、隐藏数据识别和提取技术、数据恢复技术、数据分析技术、磁力显微镜技术、加解密技术和数据挖掘技术。针对计算机静态取证技术, 目前反取证技术主要有:数据摧毁技术、数据加密技术、数据擦除技术、数据隐藏技术和数据混淆技术, 这些技术可以单独使用也可以混合使用。
4.2 动态取证技术与反取证技术
因为静态取证技术涉及到基础研究, 因此在静态取证中所涉及到的技术大部分都适用动态取证, 也是属于动态取证技术中的一部分。在动态取证中最具特色的取证技术有入侵检测取证技术、网络追踪技术、信息搜索与过滤技术、陷阱网络取证技术、动态获取内存信息技术、人工智能和数据挖掘技术, IP地址获取技术等技术。针对计算机动态取证技术, 其反取证技术除包含静态反取证技术的相关内容外, 还有以下反取证技术:数据转换技术、数据混淆技术、防止数据创建技术, 以及相关的黑客木马技术等。同这些技术可以单独使用也可以混合使用, 这些技术的使用在一定程度上给取证人员带来了一定的困难。
结束语
虽然计算机取证概念从提出到现在已经发展近20年, 在国内也发展近10年, 计算机取证技术已经得到了一定的发展, 但目前的研究多着眼于入侵防范, 对于入侵后的取证技术的研究相对滞后。因此, 需要更深入的研究以适应计算机取证技术领域扩大化、学科融合化、标准化、智能化等发展趋势。
参考文献
[1]于波, 涂敏.计算机取证分析[J].计算机与现代化, 2006.
[2]陈龙.计算机取证技术[M].武汉:武汉大学出版社, 2007.
[3]王俊.论计算机取证相关问题[J].中国司法鉴定, 2008.
[4]戴士剑.计算机取证技术体系研究[A].第二届中国计算机取证技术峰会, 2006.