计算机取证实验室

计算机取证实验室（精选7篇）

计算机取证实验室 篇1

摘要：本文在分析当前公安一线部门对计算机取证技术人才迫切需求的基础上, 探讨了公安院校的计算机取证实验教学, 并对作为实验教学重要组成部分的计算机取证实验室的建设进行分析, 在计算机取证实验教学的理论研究上具有一定的参考价值。

关键词：计算机取证技术,实验教学,计算机取证实验室

0 引言

当前社会, 随着信息技术的迅猛发展和广泛应用, 计算机已逐渐融入到人们的日常工作和生活之中, 并且人们对其依赖程度也越来越高。正是在这个社会大背景下, 以计算机作为作案工具的计算机犯罪活动也逐渐增多和日益猖獗。公安机关要有效地打击计算机犯罪, 就需要从作案计算机中获取到充分可靠的数据信息, 计算机取证便由此应运而生。计算机取证是计算机学和法学所交叉的一门综合性应用学科, 通过计算机相关技术原理和方法的运用, 对存储在计算机等相关存储介质中的数据信息进行提取和分析, 并以其作为法庭证据从而确定犯罪事实。

目前国内外都十分重视对计算机取证领域的研究。在美国, 至少有70%的法律部门拥有自己的计算机取证实验室, 相关专门从事计算机取证工作的公司也开发了实用的计算机取证产品, 如Guidance公司研发的基于Windows下的用于系统分析和数据收集的Encase, Computer Forensics Ltd开发的数据镜像备份系统DIBS, 这些产品都能有效地对从犯罪现场得到的数据进行分析和取证。我国在计算机取证领域的研究虽然尚处于起步阶段, 但随着国家对计算机取证技术研究的重视程度逐渐提高, 相关研究机构和公司也陆续开发推广了具有自主知识产权的计算机取证产品。但是计算机取证工作专业性极强, 取证设备种类也多种多样, 使得计算机取证进行研究的难度相对较高, 从而导致从事计算机取证工作的一线公安人才十分匮乏, 因此培养计算机取证领域的人才培养格外重要。公安院校作为培养公安人才的高等学府, 无疑成为了培养计算机取证人才的主阵地。

本文基于以上研究背景, 对具有重要研究意义的计算机取证实验教学所涉及的相关问题进行了探讨。

1计算机取证实验教学计算机取证是一门实践性很强的综合性学科, 在教授学生相关理论内容的同时, 更要注重计算机取证实验教学课程的开展, 从而使学生在理论学习和实验操作同步进行的过程中掌握计算机取证相关技术。

计算机取证课程旨在培养计算机取证领域的专业人才, 因此计算机取证实验教学的任务是加强学生的基础理论知识、培养学生的取证技术应用能力。使学生通过实验教学内容的学习, 能够熟练使用常用的计算机取证软硬件工具和掌握计算机取证工作的各个流程, 从而全方位地学习到计算机取证技术的基本技能。同时, 在实验教学中, 还能培养学生良好的团队协作精神和严谨的科研态度, 为学生向高素质专业人才方向的发展提供了平台。

2 计算机取证实验室的建设

计算机取证实验教学的正常开展需要有良好的实验环境, 因此计算机取证实验室的建设作为实验教学的前提和重要组成部分, 为实验教学提供了硬件基础。

2.1 以教学为基本职能的实验室建设

高等院校作为国家专业技术领域人才培养的前沿阵地, 承担着教学、科研以及社会服务三项职能, 其中教学是基本职能。而作为我国高等院校重要组成部分的公安院校, 也必然以教学这一基本职能进行公安领域专业人才的教育培养。因此, 与培养计算机取证人才密切相关的计算机取证实验室在建设上首先要满足实验教学的需求, 使学生在熟悉认识电子数据恢复、电子数据擦除、数据文件加解密、数据文件修复、手机取证、手机数据恢复等常用的计算机取证软硬件工具的实验学习过程中掌握计算机取证技术的基本应用技能。在具体实验操作上, 通过实验教学, 是学生提高对电子数据证据进行发现、提取、分析、生成报告的取证操作能力。总之, 计算机取证实验室的建设要以符合实验教学的需求为基本出发点, 从而为计算机取证实验教学提供实验内容丰富而全面的基础平台。

2.2 取证实验室功能区域的划分

计算机取证实验室需要符合实验教学的基本需求, 能够使学生在实验的过程中全方位、多角度地了解与取证技术相关的各种实验内容。参考国内取证领域相关公司对计算机取证实验室的划分方法, 将计算机取证实验室主要划分为图1所示的各功能区域。

以上九个功能区域是计算机取证实验室完整的组成部分, 基本涵盖了计算机取证实验教学各个方面的内容, 通过对各功能区域的学习了解, 能够使学生掌握计算机取证工作的整个工作流程。但是另一方面, 由于各个公安院校在建设发展过程中的特殊性, 不可能所有院校的计算机取证实验室都包含九个功能区, 而是根据各院校的自身情况, 建设符合本校实际需要的计算机取证实验室, 从而方便计算机取证实验教学的开展。

3 计算机取证实验教学的进一步探讨

计算机取证是一门实践性很强的公安专业学科, 因此也决定着计算机取证实验教学有着与别的实验教学课程不同的教学特点和教学方法[5]。在具体的教学过程中, 可以让学生在模拟的犯罪现场环境中进行分组实验。部分学生模拟某一犯罪活动, 其余学生对该犯罪活动进行模拟的取证分析, 通过在取证分析的模拟实验过程中掌握取证工作的流程和方法, 以及熟练使用取证设备和工具。

另外, 实验教学课程的安排要能够激发学生对计算机取证的学习兴趣, 使学生在实验的过程中提高其应急响应和现场取证能力。

4 结束语

计算机取证是计算机学和法学交叉的一门综合性应用学科, 而由于取证工作较强的专业性, 使得从事取证工作的专业人才相对匮乏, 因此计算机取证实验课程的开设和取证技术人才的培养尤为重要。这就要求公安院校要做好计算机取证实验课程的建设工作, 设计出合理的符合取证人才培养需求的实验教学体系, 提供功能较为完善的计算机取证实验室环境, 并从教学、科研、社会服务等不同的角度发挥计算机取证实验室的功能。

参考文献

[1]胡继光.计算机取证实验教学研究[J].电信科学, 2010, (11) :193-195.

[2]宋蕾, 王俊.国内外数字取证服务体系现状及发展趋势[J].铁道警官高等专科学校学报, 2011, 1 (21) :82-85

[3]贾学明, 殷启新.公安院校计算机证据取证教育体系探讨[J].云南警官学院学报, 2007, (04) :16-18.

[4]孙树峰, 黄松, 郑伟进.计算机犯罪现场中的取证技术及应用[J].上海公安高等专科学校学报, 2008, 18 (1) :66-69.

[5]宋秀丽, 陈龙, 邓红耀.计算机取证课程实验教学探讨[J].实验室研究与探索, 2007, 26 (6) :47-51

计算机取证实验室 篇2

计算机取证研究的重点在于如何从被入侵计算机系统的硬盘等永久性存储介质上提取犯罪证据,而对计算机取证中的物理内存取证分析方法的研究则相对较少,起步也较晚。国外对该领域的研究工作从2005年才开始[1,17],而国内迄今为止公开发表的有关物理内存取证分析方法的研究论文则少之又少[18,19]。由于有相当一部分的计算机犯罪证据无法从计算机系统的硬盘等永久性存储介质上提取,必须从计算机系统的物理内存中获取,包括入侵者的IP地址、正在运行的恶意进程信息、蠕虫、木马程序等等,而且一旦关机,这些信息将全部丢失。因此研究计算机取证中的物理内存取证分析方法对于推动计算机取证技术的发展、有效打击计算机犯罪具有非常重要的现实意义。

本文在介绍物理内存取证分析的基本概念及相关研究现状的基础上,重点研究了Windows 系统物理内存取证分析的关键技术,并给出了具体的分析实例,最后指出了目前物理内存取证分析技术存在的问题以及进一步的工作。

1 相关研究工作现状

2005年夏季,数字取证研究工作组DFRWS(Digital Forensic Research Workshop)发起了一次“内存分析挑战赛”,其目的在于鼓励内存取证分析技术的研究和相关工具的开发。DFRWS网站(www.dfrws.org)上提供了两个物理内存镜像文件(dfrws2005-physical-memory1.dmp和dfrws2005-physical-memory2.dmp,这两个镜像文件是用自启动取证工具Helix[2]从一台被入侵的Windows2000系统中获取的),参加挑战赛的选手要根据DFRWS提供的案件背景资料[3],通过分析这两个内存镜像文件来回答一些问题[3]。

最后,Chris Betz、George M.Garner和Robert-Jan Mora组合共同赢得了比赛,他们提供的分析报告[3]反映出他们对内存取证技术的研究取得了令人满意的结果,并且他们还开发了与之相适应的取证工具memparser[4]和kntlist。

这次挑战赛之后,其他一些研究人员沿着他们的思路,继续研究和工具开发工作。Andreas Schuster[5]在他的英文Blog中公开了他的一部分研究成果和实现的工具,同时公布的还有不同Windows版本中EPROCESS和ETHREAD结构的格式。Joe Stewart则在TRUMAN Project[6]中提供了一个名为pmodump.pl的Perl脚本工具,该工具可以从物理内存镜像中提取指定进程所使用的内存,这对恶意软件分析非常有用。2006年秋,Mariusz Burdach 在BlackHat[7]大会上提供了一些关于内存取证方面的信息。2006年夏,Nebraska大学的研究员Tim Vidas[8]发布了一个名为pro-cloc.pl的Perl脚本,该脚本可以从内存镜像或者崩溃转储文件中提取运行的进程列表。

2008年,数字取证研究工作组又组织了一次“Linux内存分析挑战赛”[9],其目的是推动Linux内存分析技术的发展,结果有五组参赛人员提交了最终的分析报告,取得了令人满意的结果[10]。

国内研制成功的物理内存取证分析工具主要有上海盘石数码信息技术有限公司研制的“盘石计算机现场取证系统”和山东省科学院计算中心研制的“计算机在线取证系统”等产品,但这些产品的具体技术细节都没有公开发布。

2Windows系统物理内存取证分析的关键技术

Windows系统物理内存取证分析的关键技术主要包括两个方面:一是如何获取物理内存,生成物理内存镜像文件;二是如何对物理内存镜像文件进行分析,从中找出重要的入侵证据。

2.1 如何获取物理内存

目前获取物理内存的方法主要有以下二种:

2.1.1 基于硬件的方法[1,17]

(1) 使用Tribble设备

2004年2月,《数字调查杂志》上刊登了Grand Idea Studio公司的研究人员Brian Carrier和Joe Grand的一篇研究文章,题目是“数字调查中基于硬件的内存获取过程(A Hardware-Based memory Acquisition Procedure for Digital Investigation,Journal of Digital Investigations,March 2004)”。在这篇文章中,Brian Carrier和Joe Grand提出了一种用名为“Tribble”的硬件扩展卡来获取系统物理内存的方法,可以用Tribble将系统的物理内存复制到外接存储设备中。这样调查人员就可以在既不引入任何新代码(不会更改系统内存)又不使用系统中代码(系统中的代码可能存在rootkit)的情况下完成系统物理内存的获取工作。作者构建了一个原理性(proof-of-concept)的Tribble设备,设计了一个可以插入到系统总线的PCI扩展卡。另外还设计了一些能获取系统物理内存的设备,主要用于系统硬件调试,也可以用于取证调查。

使用Tribble这类硬件设备的优点在于操作方便、易于理解。使用这种方法获取物理内存镜像不需要引入额外的代码,减少了获取的内容被篡改、覆盖的可能性;最大缺点在于硬件必须事先安装到系统中,所以Tribble设备还不能被广泛使用。

(2) 使用FireWire设备

FireWire(中文直译为“火线”)是以原苹果公司开发的技术为基础发展而来的一种高速I/O技术,它可连接外围设备与计算机。该技术于1995年被正式接纳为 IEEE 1394工业标准(FireWire 400)。凭借其强大的传输性能:可传输音频、视频、时间码,甚至是可用来控制机器的特性,FireWire现已成为数字音视频设备、外部硬件及其他高速外设产品的理想接口,其最高传输速度可达到400MB/S。

利用FireWire设备的特殊性能,使用相应的软件,调查人员可以获取系统的物理内存镜像。FireWire设备使用直接存储器访问(DMA)技术,可以不通过CPU直接访问系统内存。

使用FireWire设备的优点是现在许多计算机系统的主板上都集成了FireWire/IEEE1394接口,可以方便地直接访问系统内存;缺点是通过火线接口制作物理内存镜像可能会导致系统死机或者丢失部分内存中的信息。

2.1.2 基于软件的方法[1,11,17,18]

(1) 使用Microsoft崩溃转储技术

Windows NT、2000和XP都提供一种内置的“崩溃转储”功能来获取系统的物理内存镜像。在生成崩溃转储时,系统会被冻结,物理内存中的数据(加上大约4KB的头部信息)会被写入磁盘,这样就完整地保存了系统状态,并且保证从开始进行崩溃转储之时起,系统状态不会被人为地修改。

(2) 使用虚拟机技术

VMWare是一款非常流行的虚拟机软件,使用它可以在一台计算机硬件上创建多台虚拟计算机。当运行VMWare会话时,可以挂起(suspend)这个会话,也就是暂时“冻结”系统。当一个VMWare会话被挂起时,VMWare会将系统的“物理内存”镜像以DD格式存放到一个扩展名为.vmem的文件中。使用这种方法的优点是挂起一个VMWare会话的操作非常简单快捷,而且对系统内存的影响最小。

(3) 使用专用软件

目前用于物理内存转储的专用软件有许多种,这里主要介绍几种较常见的软件。

1) DD UNIX系统中数据转储工具DD的用途广泛,可以复制文件,也可以制作整个硬盘的镜像。GMG System公司发布了一个可以免费下载的取证获取工具包[12],其中包含可用于Windows系统的改进版DD工具(该工具支持Windows 2000和Windows XP SP1,不支持Windows XP SP2、Windows Vista和Windows Server 2003 SP1等系统)。在用户模式下访问DevicePhysicalMemory对象,该工具可以获取Windows系统的物理内存。运行下面的命令可以将本地系统的物理内存镜像到ram.img文件:

dd if=。PhysicalMemory of=ram.img bs=4096 conv=noerror

2) KntDD 由于DD不支持Windows XP SP2、Windows Vista和Windows Server 2003 SP1等系统,因此,GMG System公司又开发了一个称为KntDD的新工具用于生成物理内存镜像。KntDD包含在KntTools工具包中(http://www.gmgsystemsinc.com/knttools/),KntTools仅授权司法工作人员和安全专业人士使用。

3) Nigilant32 Nigilant32(www.agilerm.net/publications_4.html)是一个由Agile Risk Management开发的取证工具,具有浏览硬盘内容、获取物理内存镜像、获取当前正在运行的进程和打开的端口的“快照”等功能。当Nigilant32装入内存时,仅占用小于1MB的内存空间,因此对物理内存的影响非常小。目前Nigilant32仍处于测试状态,但用户可以免费下载使用。

4) Helix Helix是一个可由CDROM直接启动的功能强大的计算机取证工具,首发于2003年,目前世界著名的计算机取证机构SANS将Helix作为取证培训工具。Helix可在因特网上免费下载,下载网址是http://www.e-fense.com/helix/,下载下来的是一个ISO镜像文件,将其刻录到光盘上即可。Helix实际上是一个重新修改过的Knoppix(Knoppix是一个Linux 发行版本,网址:http://www.knopper.net/Knoppix/index-en.html)系统,其中增加了有关应急响应和计算机取证的内容。

2.2 如何分析物理内存

成功获取物理内存以后,接下来的工作就是要对镜像文件进行分析,从中提取有用的入侵证据。一般来说,我们可以从镜像文件中提取以下信息[13](这些信息是指在生成镜像文件那个时刻的信息):

(1) 所有正在内存中运行的进程;

(2) 所有的载入模块和DLL(动态链接库),包括被植入的各种恶意程序;

(3) 所有正在运行的设备驱动程序,包括隐藏的rootkits;

(4) 每个进程打开的所有文件;

(5) 每个进程打开的所有注册表的键值;

(6) 每个进程打开的所有网络套接字(sockets),包括IP地址和端口信息;

(7) 用户名和口令;

(8) 正在使用的email和web地址;

(9) 正在编辑的文件内容。

在拿到系统的物理内存镜像之后,该如何着手进行分析呢 2005年夏季之前,调查人员在获取内存镜像之后,标准处理流程是使用strings.exe[14]提取字符串或使用grep工具进行搜索,目的是得到email地址、IP地址等信息,或者是两种方法同时使用。虽然使用这种方法确实能得到一些信息(例如,用户名“附近”保存的类似口令的字符串),但是这种方法不能提供信息的上下文环境。例如,字符串是从哪里来的?哪个进程在使用这个字符串?

2005年的DFRWS内存分析挑战赛带动了对内存信息的进一步研究和分析。通过定位特定进程(或内存中的其他对象)及进程使用的内存,调查人员可以更深入地理解其中的信息,并且在分析时可以忽略正常进程,集中精力分析“不常见的”进程和数据。因此,目前物理内存取证分析的重点在于分析内存中的进程及进程所使用的内存,并从中找出有用的入侵证据。

2.2.1 Windows系统进程基础[1,17]

在Windows系统中,每个进程都用一个EProcess(Executive Process)结构来表示[11],它包含进程的多个属性以及指向进程相关的其他属性和数据结构的指针。由于数据结构就是字节序列,序列中有特殊的含义和目的,所以需要调查人员对其进行分析。在对EProcess结构进行分析时必须注意:对于不同版本的Windows操作系统来说,EProcess的大小和结构可能是不同的。甚至对于同一个版本的Windows操作系统来说,如果SP补丁包版本不同,EProcess的大小和结构也有可能不同。

EProcess结构中最重要的一个成员是指向进程环境块(PEB)的指针。进程环境块中包含大量的信息,对取证比较重要的信息有:

(1) 指向PPEB_LDR_DATA结构(其中存放的是进程的加载器使用的数据)的指针,PPEB_LDR_DATA结构中包含进程中使用的动态链接库的指针。

(2) 指向可执行文件镜像加载基地址(ImageBaseAddress,在PEB偏移0x008处)的指针,通过这个指针可以找到内存中可执行文件的起始位置。

(3) 指向包含进程参数结构(ProcessParameters,在PEB偏移0x010处)的指针,该结构包含进程中加载的动态链接库的路径、可执行文件镜像的原始路径以及创建进程时传递进来的参数等信息。

如果能从物理内存镜像中提取这些信息,对于案件的侦查是很有帮助的。

2.2.2 分析实例

2006年,Harlan Carvey编写了几个用于辅助分析Windows系统物理内存镜像的工具。由于当时可用的镜像是DFRWS2005内存分析挑战赛提供的Windows2000系统,因此这几个工具都是针对Windows2000系统的。Harlan Carvey编写的这几个工具都是Perl命令行脚本,分别是lsproc.pl、lspd.pl、lspm.pl和lspi.pl。在参考文献[17]的配套光盘中提供了与这几个Perl命令行脚本对应的可执行文件lsproc.exe、lspd.exe、lspm.exe和lspi.exe,同时还提供了实验用的物理内存镜像文件win2000.vmem。

(1) 用lsproc列出镜像中所有的进程

Lsproc是列举进程(List Process)的缩写,该脚本的作用是列出镜像中所有的进程。运行lsproc只需一个参数,即物理内存镜像文件的路径:

D:ch3code>lsproc win2000.vmem(该命令运行时间较长,约需10分钟左右)

(2) 用lspd列出指定进程的详细信息

Lspd可以列出进程更详细的信息。Lspd依赖lsproc的输出以获取信息。运行lspd时需要二个参数:镜像文件的路径名和lsproc输出的需要分析的进程偏移量:

(3) 用lspm获取指定进程的内存数据

Lspm.pl工具可以自动提取进程所使用的内存数据,并将其写到当前目录的一个文件中。

(4) 用lspi提取指定进程的可执行文件镜像

当进程开始启动的时候,对应的可执行文件会被读入内存。Lspi.pl是一个Perl脚本,它可以定位进程可执行文件的起始地址,如果该地址指向一个有效的可执行文件,Lspi.pl就会根据PE头部数据结构中的内容定位内存中的数据并重组可执行文件内容。

3 存在问题及进一步的工作

物理内存取证分析技术是一个全新的研究领域,该研究起步较晚。尽管目前研究有一定的进展,也有一定的成果,但总的来说还不够成熟,还存在许多问题,具体表现在:

(1) 缺乏可靠、实用的获取物理内存的硬件设备。用硬件方法获取系统的物理内存是比较理想的方案,因为这种方法对系统的物理内存几乎没有影响,不会破坏或者覆盖物理内存的内容,可以得到非常完整的物理内存。目前几种获取物理内存的硬件设备如Tribble和FireWire等还有很多不完善的地址,还需要进一步改进。

(2) 目前获取系统物理内存的软件工具较多,但用这些工具获取物理内存不可避免地会破坏甚至覆盖物理内存的内容。如何改进这些软件工具,使其对物理内存的影响降至最小,是目前需要重点研究的一个问题。

(3) 目前比较成熟的物理内存取证分析工具较少,需要进一步的研究和开发。

(4) 目前物理内存取证分析技术的研究重点是针对Windows系统的,而针对UNIX、Linux和Macintosh等系统的研究较少。由于目前UNIX、Linux和Macintosh等系统的应用也比较广泛,因此也必须加强对这些系统的物理内存取证分析技术的研究。

针对上述存在的问题,进一步的工作应包括以下几个方面:

(1) 重点研究获取系统物理内存的硬件设备;

(2) 改进现有的获取系统物理内存的软件工具,使其对物理内存的影响降至最小;

(3) 加强物理内存取证分析工具的研发工作;

(4) 加强对UNIX、Linux和Macintosh等系统的物理内存取证分析技术的研究;

(5) 通过因特网远程获取物理内存也是未来的一个重要研究方向。

计算机取证模型分析 篇3

计算机取证过程必须遵循严格的程序流程, 否则将导致获取证据的可信度降低或缺乏合法性, 为此人们提出了许多种计算机取证模型, 以规范取证过程、指导取证产品研发。但是, 种种原因导致现有的取证模型不能满足实际取证工作的需要, 使用相关模型也很难收集到符合证据要求的证据。

1 基于过程的计算机取证模型

1.1 综合计算机取证模型

基于过程的计算机取证模型有多种形式, 基本过程模型、事件响应过程模型、法律执行过程模型、过程抽象模型等都是早期的计算机取证模型, 其显著特点是按线性过程组织各阶段, 若在各阶段存在交叉、反复工作内容, 模型的适应性将大打折扣。为了消除这些缺点, 有人提出了综合计算机取证模型, 这一模型是把前几个模型的计算机取证过程组织成5个步骤, 在调查阶段允许反复, 对于物理调查能够解决的问题也可以直接总结结束, 该模型组成框图如图1所示。

该模型准备阶段的主要任务是操作准备和设备准备;部署阶段主要提供侦查和确认机制, 其中包括侦查、通报和确认、授权;物理犯罪现场调查阶段主要是收集和分析物理证据并重构犯罪行为, 具体工作有保护现场、调查取证、记录归档、进一步搜索取证、重构和出示等;数字犯罪现场调查阶段主要是收集和深入分析物理调查阶段获取的数字证据, 它包括和物理调查阶段类似的内容;总结阶段是对取证的整个过程进行总结, 进一步提高证据的证明能力。

1.2 增强的计算机取证模型

综合计算机取证模型仅解决了犯罪现场调查阶段的工作重叠问题, 而在实际工作中各阶段都可能出现反复, 如随着部署阶段工作深入可能发现准备不充分, 随着物理犯罪现场调查工作的开展可能发现部署存在偏差, 对于这些情况也应立即补救, 所以有人对综合模型进行改进, 提出了增强的计算机取证模型, 如图2所示。

该模型对取证过程进行了重新整合, 将调查纳入部署阶段, 并增加反馈阶段以强化法律程序的关联性使证据的价值有所提高。具体工作阶段的内容为:

准备人力、物力和财力;部署阶段包括:侦查和确认、物理犯罪现场调查、数字犯罪现场调查、确认和授权、提交证据;反馈阶段要鉴定前面已经获取的物理犯罪证据, 以完成法律程序, 主要工作有数字犯罪现场的进一步调查分析和获得进一步调查的法律授权;实施阶段要调查主要的犯罪现场, 获取和分析有关的证据并识别潜在的作案人;总结阶段要注意发现取证过程中的问题并提出改进措施。

从以上内容不难发现, 基于过程的计算机取证模型普遍存在以下问题:

缺乏基本的需求分析;取证过程无时间性约束;对交叉、重复工作表述不明确;取证全程缺乏有效的监督机制;取证过程的法律约束不明确;很难开发与之对应的工具软件等。

2 基于层次的计算机取证模型

有人认为取证的关键是获取证据, 所以计算机取证过程应包括证据发现、固定、提取、分析、表述5个阶段, 每一阶段对应不同的取证工作, 以此构建的模型称为层次模型。

证据发现层:通过侦查和现场勘察搜集最原始证据的过程是发现层的主要内容, 把一般的犯罪侦查技术与计算机技术相结合进行深入研究, 可以形成专门的计算机证据发现技术。

证据固定层:为了防止证据自然、人为毁灭, 收集的证据需要用一定的形式固定下来, 并妥善保管, 以便在分析、认定案件时使用。固定证据的主要目的是解决证据的完整性和可验证性, 计算机中的某些信息瞬息万变或易丢失, 若不及时固定很难使其成为证据。

证据提取层:从本质上说提取就是从众多的未知和不确定性中找到确定的东西, 通过数据恢复、残缺数据提取、解码、解密、过滤等技术将原始抽象数据表达成可以理解的信息。

证据分析层:分析证据是计算机取证的核心和关键。即通过关联分析证实信息的存在、信息的来源以及信息传播途径, 重构犯罪行为、动机以及嫌疑人特征。

证据表达层:证据表达是将获取的信息转换成有证明能力、且能被法庭接受的证据的过程, 证据表达的本质是对取证过程全面分析、汇总结果、形成完整证据链, 所以至关重要, 稍有不慎可能前功尽弃。

层次模型突出了与法律关联的特征, 忽略或降低了技术支持的重要性, 与过程模型相比层次模型存在除法律约束以外的所有问题, 且操作流程表示模糊, 可操作性较差。

3 多维计算机取证模型

提出多维计算机取证模型者认为:“一个通用的计算机取证模型应该是随时间变化的, 应该随着犯罪分子犯罪手段的升级而改变, 而且, 更为重要的是:为了保证所获取的证据的可采性必须对整个的取证过程进行全程的审计监督。”这一模型将取证工作置于三维立体空间, 形成取证策略、取证需求与时间关联的关系, 并将取证策略分为数据层、证据获取层和取证监督层。

数据层是取证工作的基础, 其中的知识库是依照法律法规和归纳犯罪行为形成的规则库, 主要用于证据的获取, 该知识库可以随着时间的变化实时更新。知识库包含的原始数据是取证准备阶段、物理取证阶段获取并经过初步筛选的数据。

证据获取层是该模型的主要部分, 也是取证工作的核心。在这一层, 需要在原始数据和知识库的支持下, 对本层取证需求施加时间性约束, 以确定取证策略, 所有策略都必须接受来自上一层的监督, 以保证取证操作的合法性。

取证监督层主要进行全程监督, 以保证所获取证据的可靠性、合法性。取证监督的合法、可靠是提高证据可信度的前提, 所以监督技术或机制必须被法律接受。

多维计算机取证模型是在总结现有模型的基础上形成的, 所以模型框架中包括了取证准备、物理取证、数字取证、取证全程监督和证据呈堂、总结等阶段。其中取证准备、物理取证、数字取证、证据呈堂成线性流程关系, 取证监督、总结与其他阶段成网状关系, 试图解决技术与法律恰当融合的问题。

从功能性上看, 多维计算机取证模型是以增加知识库解决基本需求分析, 增加时间约束、监督机制似乎也解决了技术变化和法律约束问题, 但同时它又提出了另外的问题, 如置于证据获取层之外的监督层、数据层的技术跟进与取证策略相适应的问题;保证取证监督本身的法律效应问题;线性工作流程与立体模型的适应问题;缺乏可操作性的取证策略等等, 所以多维计算机取证模型也只是停留在理论研究层面的一种形式。

4 满足实际工作需要的计算机取证模型

首先我们认为指导开发计算机取证工具软件的取证模型和计算机取证工作模型不能混为一谈, 它们有关联同时又存在本质的差别, 即便都是计算机取证工作模型也会因为工作性质的不同而不同。计算机犯罪侦查关注的重点是发现犯罪线索, 网络安全事件调查的关键是获取事件行为的证据, 网络安全应急响应则需要根据事件的性质提供相应的应急策略, 虽说如此, 计算机取证工作也有大致相同基本形式, 这里我们就以此为基础探讨计算机取证工作模型。

4.1 计算机取证工作模型

计算机取证工作流程多为线性组织, 说明以工作过程为基础构建计算机取证工作模型是可行的, 纯线性过程不可能完全满足工作需求, 必须增加必要的循环和分支, 在此基础上再考虑如何有效解决过程模型存在的问题。证据的基本属性是客观性、关联性和合法性。客观性指证据必须是客观存在的事实, 关联性指证据必须是与案件有关联的事实, 合法性指证据必须是来源和形式合法的事实。由于不同工作阶段需要强调不同的法律属性, 因此可以考虑附加不同的约束条件, 如在准备阶段附加检测工具对环境影响性分析, 确保使用工具收集信息不受工具本身的影响;在网络监控阶段附加来源合法性约束, 保证收集信息的合法性。鉴于此, 我们认为适合实际工作需要的计算机取证模型可以用图3表示。

取证准备:需要不断收集充实取证工具, 并对工具使用时的客观性进行详细分析, 保证使用工具不影响作用对象又能最大限度挖掘信息资源。

现场工作:包括现场保护、现场访问、易失性数据收集、制作司法鉴定附件等, 若发现侵入痕迹和预留“后门”, 即可进行网络监控。该阶段应附加证据来源合法性约束。

数据分析:对司法鉴定附件进行解剖分析, 并与其他信息相印证, 以决定下一步的工作流向, 或实施网络监控、或重新收集相关证据、或形成证据。该阶段附加关联性约束条件。

网络监控:是重要的证据收集手段, 使用监控工具可以获取相关信息, 但必须保证证据来源合法性。

形成证据:是计算机取证的关键环节, 尽管前面各环节做了大量的约束, 此处若不能形成形式合法的证据, 也终将不能被法庭接受, 所以必须保证形成证据的形式合法性。

4.2 特点

与其他计算机取证模型相比, 该模型有以下特点:

工作目的明确:增加证据形成工作阶段, 能时刻提醒取证者, 工作过程要围绕工作目的, 因此也容易最终形成满足法庭要求的证据。

法律约束清晰:按性质给出不同工作阶段的法律约束条件, 既明确了法律性约束问题, 又便于操作。

工作阶段转换明了:对可能重复工作表述明确, 取证人员很容易根据需要选择操作内容。

与实际工作对应:工作流程简洁明了, 配之于详细地操作细节, 会特别适合应用于实际的计算机取证工作。

4.3 形式化描述

基于Petri网的计算机取证工作模型包含6种元素:一组工作过程位置P、一组控制R、一组分析控制A、一组转换T、输入函数I及输出函数O, 即C= (P, R, A, T, I, O) , 其中:

图4是用Petri网描述的计算机取证工作模型, 其中的分析控制是为了克服输出二义性而增加的控制性元素, P6是最终结果。

5 结语

本文在分析了多种计算机取证模型的基础上, 提出了受证据属性约束的计算机取证模型, 该模型更贴近计算机取证的实际工作过程, 符合计算机证据提取的需要, 最后给出了模型的形式化描述。

摘要：现有的计算机取证模型普遍存在不符合证据要求的缺陷, 或可操作性较差不能用于实践。本文在分析多种计算机取证模型的基础上, 提出了改进的计算机取证模型, 在该模型的不同阶段使用不同的证据属性控制, 可以使取证流程符合证据要求。

关键词：计算机取证,取证模型,证据属性,约束,形式化描述

参考文献

[1]Brian Carrier, Eugene H Spafford. (2003) Getting Physical with the Investigative Process.International Journal of Digital Evidence.Fall2003.Volume2.Isssue2.

[2]樊崇义.证据法学.北京:法律出版社.2001.

[3]丁丽萍, 王永吉.多维计算机取证模型研究.信息网络安全.2005.

浅析计算机取证技术 篇4

关键词：计算机取证,电子证据,计算机反取证

1 计算机取证的概念和特点

计算机取证(Computer Forensics)就是将计算机调查和分析技术应用于对潜在的、有法律效力的证据的确定与获取。它能够为法庭接受的、足够可靠和有说服力的、存在于计算机和相关外设中的电子证据(Electronic Evidence)的确定、收集、保护、分析、归档的过程。

电子证据也称为计算机证据,是指在计算机或计算机系统运行过程中产生的,以其记录的内容来证明事实的电磁记录物。电子证据的表现形式是多样的,尤其是多媒体技术的出现,更使电子证据综合了文本、图形、图像、动画、音频及视频等多种媒体信息,这种以多媒体形式存在的计算机证据几乎涵盖了所有传统证据类型。

与传统证据一样,电子证据必须是:可信的、准确的、完整的、符合法律法规的。同时我们不难发现,电子证据还具有与传统证据有别的其它特点:(1)磁介质数据的脆弱性:电子证据非常容易被修改,并且不易留痕迹;(2)电子证据的无形性:计算机数据必须借助于其他一些输出设备才能看到结果;(3)高科技性:证据的产生、传输、保存都要借助高科技含量的技术与设备;(4)人机交互性:计算机证据的形成,在不同的环节上有不同的计算机操作人员的参与,它们在不同程度上都可能影响计算机系统的运转;(5)电子证据是由计算机和电信技术引起的,由于其它技术的不断发展,所以取证步骤和程序必须不断调整以适应技术的进步。

2 计算机取证的过程

计算机取证包括物理证据获取和信息发现两个阶段。物理证据获取是指调查人员到计算机(或网络终端)犯罪或入侵的现场,寻找并扣留相关的硬件设备;信息发现是指从原始数据(包括文件,日志等)中寻找可以用来证明或者反驳的证据,即电子证据。

2.1 物理证据的获取

物理证据的获取是全部取证工作的基础。获取物理证据是最重要的工作,保证原始数据不受任何破坏。无论在任何情况下,调查者都应牢记:(1)不要改变原始记录;(2)不要在作为证据的计算机上执行无关的操作;(3)不要给犯罪者销毁证据的机会;(4)详细记录所有的取证活动;(5)妥善保存得到的物证。

由于证据可能存在于系统日志、数据文件、寄存器、交换区、隐藏文件、空闲的磁盘空间、打印机缓存、网络数据区和计数器、用户进程存储器、文件缓存区等不同的位置。要收集到所有的资料是非常困难的。关键的时候要有所取舍。所以在物理证据获取时,面对调查队伍自身的素质问题和设备时,还要注意以下两个问题:(1)目前硬盘的容量越来越大,固定过程相应变得越来越长,因此取证设备要具有高速磁盘复制能力;(2)技术复杂度高是取证中另一十分突出的问题。

2.2 信息发现

在任何案例中,计算机入侵者或多或少都会留下蛛丝马迹,前面所说的电子证据就是这些高科技入侵者留下的蛛丝马迹。这些电子证据的物理存在构成了我们取证的物质基础,但是如果不把它提炼出来,它只是一堆无意义的数据。我们研究计算机入侵取证就是将这些看似无意义的数据变成与入侵者进行斗争的利器,将入侵者留在计算机中的"痕迹"作为有效的诉讼证据提供给法庭,以便将其绳之以法。

3 计算机取证的发展

计算机取证技术随着黑客技术提高而不断发展,为确保取证所需的有效法律证据,根据目前网络入侵和攻击手段以及未来黑客技术的发展趋势,以及计算机取证研究工作的不断深入和改善,计算机取证将向以下几个方向发展:(1)取证工具向智能化、专业化和自动化方向发展。计算机取证科学涉及到多方面知识,现在许多工作依赖于人工实现,大大降低取证速度和取证结果的可靠性。(2)取证工具和过程标准化,因为没有统一的标准和规范,软件的使用者都很难对工具的有效性和可靠性进行比较。另外,到现在为止,还没有任何机构对计算机取证机构和工作人员的资质进行认证,使得认证结果的权威性受到质疑;利用无线局域网和手机、PDA、便携式计算机进行犯罪的案件逐年上升,这些证据会以不同形式分布在计算机、路由器、入侵检测系统等不同设备上,要找到这些工具就需要针对不同的硬件和信息格式做出相应的专门的取证工具。(3)取证技术的相关法律不断趋于完善。我国有关计算机取证的研究与实践尚在起步阶段,只有一些法律法规涉及到了部分计算机证据,目前在法律界对电子证据作为诉公证据也存在一定的争议。

4 计算机取证技术的局限性

计算机取证技术的发展是近年来计算机安全领域内取得的重大成果。然而,在实际取证过程中计算机取证技术还存在着很大的局限性。我们所讨论的技术都是在理想条件下实施的:(1)有关的电子证据必须没有被覆盖;(2)取证软件必须能够找到这些数据。并能知道它代表的内容。但从当前阶段的实施效果来看,不甚理想。

5 结束语

计算机取证技术已经得到了一定的发展,但目前的研究多着眼于入侵防范,对于入侵后的取证技术的研究相对滞后;同时,计算机理论和技术的发展使得目前计算机取证技术呈现出领域扩大化、学科融合化、标准化、智能化等发展趋势。而仅仅通过现有的网络安全技术打击计算机犯罪已经不能够适应当前的形势。因此需要发挥社会道德的引导作用、完善法律的约束力量去对付形形色色的计算机案例。

参考文献

[1]王玲,钱华林.计算机取证技术及其发展趋势[J].软件学报,2003,14(9):1635-1644.

[2]赵小敏,陈庆章.计算机取证的研究现状和展望[J].计算机安全,2003(10).

[3]苏成.计算机安全,2006(1).

[4]钟秀玉.计算机取证问题分析与对策[J].电脑开发与应用,2005(3).

[5]赵小敏,陈庆章.打击计算机犯罪新课题──计算机取证技术[J].信息网络安全,2002,9.

计算机取证技术的探究 篇5

关键词：犯罪,取证技术,计算机

1计算机取证概述

1.1计算机取证的定义

电子取证(计算机取证)是指利用计算机软硬件技术,以符合法律规范的方式对计算机入侵、破坏、欺诈、攻击等犯罪行为进行证据获取、保存、分析和出示的过程。

1.2计算机取证的发展

1.2.1国内基本情况

目前我国只有少数法律涉及电子证据问题,规定电子证据收集、保全、认证等方面内容的主要是有关地方法规、部门规章和司法解释,法律效力较弱,且规定的内容零散不成体系,没有建立完备、系统、可操作性强、具有较强法律效力的电子证据法律制度。在我国的法律体系中,电子证据立法多表现为取证规则,电子证据认证规则规定的较少。

就电子取证领域而言,我国的电子取证技术发展的时间并不长,应用也不及国外广泛,但值得一提的是,经过十余年的努力,我国的电子取证技术已经从最初的电子取证软件发展成如今的专业电子取证工具及配套解决方案的应用。此外,为应对计算机犯罪的多样化,我国的电子取证工具正逐步向智能化、专业化和自动化方向发展。

1.2.2国外状况

国际上在计算机取证方而已有比较深入的研究,并且有公司推出了相关的应用产品。美国已建成和计划建设的计算机取证实验室共开对外,用来做恐怖活动追踪和计算机犯罪调查。美国计算机犯罪取证先驱DanFarmer和WietseVenema编写了能够有助于取证检查的一些工具,还有一些进行数据恢复的软件能辅助进行取证检查。

2计算机取证的相关技术

计算机取证属于法学、刑事侦查学和计算机科学与技术等多学科的交叉研究领域,需要从这些不同学科的角度及其相互关系等基础上进行研究。要求其每一步工作都必须按相关规定和控制流程完成,所得结论必须严谨务实,经得起考验,能够反复验证确认的。

根据计算机取证的过程,涉及到的相关技术如下:

(1) 电子证据勘察技术(2) 物理证据获取技术(3) 电子证据采集技术(4) 电子证据保存技术(5) 电子证据分析技术(6) 电子证据提交技术

3计算机静态取证技术

3.1取证的基本原则

根据电子数据取证的基本特点可分为四点:

(1) 不损害原则,要尽早的固定和获取证据,并保证证据的完整性。

(2) 避免使用原始数据。

(3) 记录所有操作,取证的全部过程必须是受到监督。

(4) 遵守相关的法律法规。

3.2取证的步骤

在静态取证中为确保证据的可靠性和安全性,能够提取到具有司法有效性的法律证据,计算机静态取证可分为六个步骤: 存储设备的保护、电子证据确定、收集、保护、分析和归档。

1) 存储设备的保护利用专业的物证封存工具将涉及到的计算机硬盘等存储设备保存,并作标记,避免物理损坏和病毒感染破坏数据。

2) 电子证据的确定通过关键词及特征文件,提取海量数据中的电子证据,并确定这些电子证据的文件形式及存储位置。

3) 电子证据的收集通过复制或镜像的方式将原始证据数据存储到目标盘后, 用取证大师等相关工具收集电子证据,并对操作情况记录归档。

4) 电子证据的保存利用光盘刻录和镜像制作等方式将证据数据保存,并做备份,为避免其他人随意操作电子证据存储设备,造成数据破坏或丢失,需将其放置安全独立的存储柜中。

5) 电子证据的分析使用取证大师、 EnCase等专业计算机取证分析软件对提到的电子证据进行分析鉴定。

6) 电子证据的归档整理计算机取证分析的结果,供法庭作为诉讼的电子证据。

3.3取证的模型

静态取证系统按操作过程分为两个步骤:

1) 现场数据的分析和数据采集。现场对目标主机内存的数据进行分析,根据恶意代码的特点,集中分析一个进程空间的某一段数据,分析的结果以文档或报表等形式提交。

2) 数据集中综合分析。对计算机存储设备中的数据进行恢复和分析,主要涉及到数据恢复技术、数据分析技术、磁力显微镜技术、加解密技术和数据挖掘技术。

4计算机动态取证技术

计算机动态取证是一种计算机逻辑取证,通过对获取到的计算机犯罪行为数据分析和整理,判断入侵者的企图,并能做出相应措施,如切断链接或诱敌深入,在确保系统安全的情况下获取最大量的证据,并将证据鉴定、保全、提交的过程。

4.1取证的基本原则

计算机动态取证对时间上要求非常严格,一般而言,其证据的提取基本上与入侵检测同时进行,时间上相差很小。

4.2取证的步骤

计算机动态取证是在进行网络入侵检测的同时进行证据的提取,所以其进行取证的步骤为:

1) 证据的获取证据的提取是发生在入侵检测的同时,一旦网络入侵被检测系统发现,立即启动取证系统进行证据的提取工作。

2) 证据的转移这里的证据转移是指将从入侵主机目标主机. 提取的证据安全转移到证据服务器中的过程。

3) 证据的存档证据的存档指的是证据在证据服务器中的保存。被提取的证据须以一定的格式保存在证据服务器中,证据服务器与局域网内的主机是通过安全传输方式进行连接的,而且仅响应这些主机的请求。

4) 证据的调查分析进行司法调查时, 从证据服务器中查看目标主机上提取的相关证据,进行有关调查分析。

5) 证据的呈供动态计算机取证技术中的证据呈供与其在静态取证技术中的过程是基本一致的,也是将所有的调查结果与相应的证据上报法庭,这一阶段应依据政策法规行事,对不同的机构采取不同的方式。

4.3取证的模型

在动态取证中,通过有效的即时监控入侵发生,一方面可对其进行同步调查取证,提取入侵痕迹,并做详细记录。另一方利用安全响应系统,根据不同的入侵行为, 采取不同的措施。这样既能保证取证的实时性和连续性,又可以将系统的损失降为最小。

一般的网络攻击都要遵循同一种行为模式,即嗅探、入侵、破坏和掩盖入侵足迹等几个攻击阶段。对每一个不同的阶段,网络入侵取证可以采用不同的取证方法,并执行不同的响应措施。

5结束语

计算机取证科学是刚刚兴起一门学科,也正在不断地发展着,特别是现代信息技术不断发展与更新,所以,取证技术也必将要跟随着发展壮大,绝对不可能一劳永逸,这就要求取证技术要有长远发展的科技战略,与时俱进,跟得上科技几部的步伐,也需要我们不断的进行研究和探索。

计算机数据取证修复技术研究 篇6

1 计算机数据取证修复技术的应用范围

1) 可以保护计算机系统, 避免发生任的改变、伤害、数据破坏或病毒感染。

2) 可修复系统中已经被删除但仍存在于磁盘上文件, 或尽可能恢复已删除文件。

3) 最大程度地显示隐藏文件, 临时文件和交换文件的内容。

4) 可访问被保护或加密文件的内容。

2 取证中数据修复技术研究

该文主要研究的是系统破坏和文件被删除条件下数据获取技术。在该应用领域, 利用数据修复技术可完成两方面内容的修复:一类是引导扇区数据内容的修复, 另一类是数据区数据内容的修复。

2.1 引导扇区数据内容的修复

前一类内容的修复又可以细分为主引导扇区 (MBR) 内容的修复和分区引导扇区 (DBR) 内容的修复。无论是MBR、DBR修复工作都不是直接对要找的真正数据区数据的修复, 所以我们把它称作间接修复技术, 当机器死机, 找不到硬盘时, 这种间接修复技术是很有效的一种方法。

2.1.1 引导区MBR数据修复

当MBR区数据破坏后, 计算机出现不能启动现象, 只有重写MBR区数据, 才可以达到对MBR区修复目的。第一步需要解决的问题就是如何确定MBR区的数据值, 第二步考虑的问题是数据值与磁盘物理位置对应问题。第三步通过编程式实现数据修复[2]。

MBR主要数据集中在1BE~1DD地址字段内。其中偏移地址为1BEH~1FD的64个字节单元内容为分区表所在区域, 而1BE~1DD地址字段恰为分区表项前2项共计32个字节的内容。实验部分数据见图1引导扇区数据界面图。

通过获取的MBR与DBR数据, 并经过分析与验证得到如下参数对应关系, MBR偏移地址内容如表1 MBR偏移地址内容表所示。

2.1.2 分区引导区DBR数据修复

1) 可变数据修复

DBR的非固定数据获取规则:BPB偏移地址为18、1A、1C、20、24处内容分别为[18]=MBR[1C4]&0X3F终止扇区号;[1A]=MBR[1C3]+1终止头号;[1C]双字=MBR[1C6];[20]双字=MBR[1CA];[24]=FAT32大小 (扇区数) 。

设FAT32表的大小为F32, 把每簇扇区数设为CLU。因为, 盘占总扇区数=非数据区+数据区=BPB[0X0E]+F32*BPB[0X10]+数据区, 数据区=F32*0X80*CLU。所以, 盘占总扇区数=BPB[0X0E]+F32*BPB[0X10]+F32*0X80*CLU;F32= (盘占总扇区数-BPB[0X0E]) / (BPB[0X10]+0X80*CLU) 2DBR

2) 分区引导区DBR其它数据获取规则

对bt[0x200]中的BPB表偏移量为0B~24中中的各项数据获取, 如图2 bt[0x200]中的BPB表偏移量数据值获取图所示。

2.2 数据区数据内容的修复

数据区数据内容的修复技术常用于已删除长文件的恢复。

1) 已删除长文件的特点

改变了目录项文件名属性字节的内容, 增加了删除标志E5内容写入目录项的首字节, 而目录项其它字节内容及真正数据文件并没有变化。

2) 文件恢复原理

根据被删除文件的特点, 我们知道文件目录项中除首字节被E5改写以外, 原有的其它字节数据并没有改变, 且目录项结构中20-21-26-27偏移地址内容可以确定文件起簇始号, 目录项的28~31偏移地址内容为的文件长度属性内容。可以唯一确定文件的起始地址及文件长度数据, 所以我们可以根据文件的起始地址 (运用簇号与扇区号之间的换算公式) , 找到丢失数据将其拷贝到新建的文件中实现数据恢复。

3) 文件恢复方法与步骤

(1) 查文件分区引导扇区数据通过DEBUG读取分区引导扇区数据, 确定逻辑扇区号与簇号对应的关系:

逻辑扇区号= (簇号-2) *Byte[0DH]+Word[0EH]+Byte[10H]*DWord[24]= (簇号-2) *8+20H+2*1130H= (簇号-2) *8+2280

(2) 查文件目录项数据因被删除文件的首簇号为2, 代入上述公式中, 可确定预找文件的目录项所在逻辑地址。

(3) 确定文件实体参数

文件实体的初始位置:起始逻辑扇区号= (11C5FH-2) *8+20H+2*1130H=90568H;

文件实体长度扇区数:长度扇区数=文件实体长度/200H=16BAA0H/200H=B5EH, 有余则加1;

确认文件单位步长:读取的单位步长为7EH个扇区, 单位步长的个数=B5EH/7EH=17H;

计算单位步长的余数:单位步长的余数=B5EH%7EH=0CH, 16BAA0H-17H*7EH*200H=16BAA0H-16A400H=16A0H;

对文件进行读写操作:根据起始逻辑扇区号与长度数据, 利用汇编语言的读写功能对硬盘中文件实体数据进行读写操, 并将所读数据以新建好的空文件进行保存来获取文件实体数据。

3 结论

本文通过对磁盘数据信息的解读、分析归纳、推导等方式, 得出了引导区与数据区信息重新获取的方法。很好的解决了重新获取被恶意破坏的文件信息。文章介绍的修复内容全面, 涵盖应用范围广, 对计算机取证技术是一种有益的补充与拓展。

参考文献

[1]顾艳林.计算机取证技术的运用和分析[J].中国管理信息化, 2012 (2) :15.

计算机取证与司法鉴定 篇7

1 司法鉴定新式的取证

1.1 计算机的鉴定

从现状看, 更多领域借助计算机用作司法鉴定。计算机辅助的司法鉴定含有如下特性:接纳当事人及机关委托, 拥有资质的选定机构采纳新颖的微机技术用作鉴定。这种鉴定针对于非法毁损系统的完整及安全性、干扰常态运转的多样行为, 鉴定得出行为程度、行为的危害等。司法鉴定历经变革, 日渐采纳了创设的新途径。网络拓展覆盖的总范围, 网络性的电子产品被融汇至平日生活。在鉴定领域中, 电子类的多样证据也占有更高的总体比值。相比于常规范围内的常见证据, 电子证据经由的取证流程也更缜密, 有待增添专业取证配备的优良技术。唯有全方位予以把控, 司法鉴定选取的电子证据才会更为可靠且专业, 提升真实性。

计算机鉴定及取证针对于诉讼性的各类活动, 采纳专门手段来鉴定并且判别案情。在诉讼框架内, 司法鉴定应被看作必备的流程及步骤, 依循设定好的一致指标。司法鉴定可借助于计算机特有的新式手段, 获取电子证据。这样摒除了证据获取中的偏差, 更便于获取独立且客观的计算机证据。计算机取证整合多流程特有的证据链, 包含操作规程、构建的取证模型、法学的解析、设定的评价指标。从技术视角看, 计算机取证涵盖了初期的查验、网络证据必备的处理、可依循的规范。

经过取证后, 依照根本性的法学机理递推, 可得明晰的证据报告。司法鉴定应把计算机取证当作参照。在鉴定实务中, 计算机取证应被归入新热点。在鉴定架构内, 计算机取证依循了根本性的尝试, 构建完整框架。计算机新式取证采纳智能特性的新手段, 软硬件都提升了原先的智能性。取证及新颖技术彼此整合, 便于遏制且打击多样态的潜在性犯罪。由此可见, 司法鉴定及现今新式取证应紧密融汇成整体, 而前沿及交叉性的探析还会持久发展, 更能便于案情鉴定。

1.2 取证的根本规则

价格认定应能做到全面且公正。在取证后, 还要审查证据的真实性、关联性和合法性。调取计算机证据, 这类证据可被用作当庭呈现。证据应被看作断案中的侧重点, 便于查明实情。取证要依循拟定的流程从严予以展开, 经过先期调研, 获取并且留存多样的必备证据。计算机取证密切关乎案件实情, 要从严且合法。诉讼不可缺失缜密的前期取证, 然而计算机可获取的新式证据更易被删改, 相比更脆弱。与此同时, 电子证据布设于分散性的较多地点, 自身也很隐蔽。为此, 应能依循如下规则妥善获取证据。

1.2.1 取证应当合法

在凭借计算机取证时, 价格认定唯有吻合根本法规才会被视作有效。主体应当合法, 对象也应合法。若有必要查验某一微机设备, 那么唯有案情密切关联这一设备才可着手取证。与此同时, 取证选定的各步骤都应吻合法规, 采纳必备的合法流程用作取证。唯有全面合法, 获取的电子性证据才可真正予以采纳。价格认定特有的范围内, 应能搜集得出合法性的认定证据, 提取认定证据也应依循给出的流程。运用证据前, 也应妥善予以审查。唯有获取可调用的价格证据, 才可审慎追查隐含性的价格认定责任。针对形态多样的价格证据, 取证中还应妥善移交并且保留;在拆卸及开封某些证据前, 还要再次予以确认封存的证据完整。取证应当真实, 注重选取可采的认定价格证据。

1.2.2 善于留存必要的备份

获取原始证据, 还要妥善留存副本性的载体。要封存初始采集到的文件, 提取而后固定初期证据。针对复制品, 应当妥善留存。电子证据很脆弱, 很容易改动或是删除, 因此要注重实时性的取证。应当依循备份安全原则, 尽量留存更多的价格信息备份。某些证据配备了本身的副本, 解析并提取隐含性的副本证据。妥善保留证据, 便于日后交由法庭来判案。认定价格可采的证据较难获取, 同时也更易丢失。获取价格证据也应精准并且及时, 抽取价格浮动中的认定要点。价格证据是否可用作采纳, 这种认定密切关乎证据是否精准。因此, 适当运用技术, 确保提取出来的价格证据是合适的。

1.2.3 取证流程应能确保安全, 防控潜在的多样损失

针对细化的取证环节, 应能增设专人来慎重监管。提交法庭时, 证据应被看作连续性的, 认定价格的证据表征了各阶段内的认定难点, 是判断的参照。案情进展中, 证据也应随之不断完善, 记录完整的案件进程。实际上, 证据链若能维持初期的完好形态, 更能利于判断。侦查人员应能密切协同其他监督者, 共同记下完备且详尽的取证经过;要妥善保留可获取的证据, 远离潮湿及温度偏高的区域;避免灰尘堆积, 避免磁场的辐射, 综合防控以杜绝损失。

2 计算机协助下的取证技术

某些证据并没能衔接至网络, 对此可选单机取证。获取这些证据时, 要慎重恢复起初的数据, 妥善保留数据。可借助于数据挖掘, 再现原本隐含的某些信息。可恢复的信息含有:已被格式化的、犯罪人删掉的。经过再现及恢复, 即可重新得出完备的犯罪信息。截至目前, 仍有待创设配备的取证软件, 过滤并且查出信息。针对管理类、刑事民事类的多样案件, 可选取网络取证。网络取证注重查看各时段的数据流, 妥善保护现有资源及网络用户。从这个视角看, 网络取证防控非法入侵、连续性的其他犯罪。

破解信息要选定必备的正确途径, 经常可采纳数据挖掘及再现。有些状态下, 调取的公开性文件隐含私密性的犯罪信息, 这样更能便于破解。网络融汇虚假的各类信息, 也增添了原先的执法难度。计算机取证若能配备便于搜集及操控的新式软件, 将会增添现存的智能性。对于有必要予以复核的事项, 价格认定机构还应申请、听取专家及相关部门建议。此外, 特殊情形下还可借助手机获取证据。若取证环境健全, 则可恢复或者提取服务商、运营商及用户供应的一切信息。经过提取后, 归纳这些手机信息即可呈现出原本的犯罪过程。先要获取必备的证物, 而后才可进入提取信息步骤。如果程序适当, 手机获取的电子性证据同样可用作断定犯罪, 是有效的证据。

相比常规性的证据, 价格认定可采纳的电子证据更加分散且隐蔽, 同时也很脆弱。计算机取证可得的价格证据跨越较长的时段, 空间也尤为分散。到达现场后, 就应迅速断定可疑性的某台电脑, 断掉外在衔接的一切联系。切断网络后, 即可避免反复性的重启, 维持现存状态下的运行程序及操作系统。在这样的基础上, 描绘明晰的拓扑图以便于展示网络, 查找潜在性的隐含物证。价格认定常选的物证含有光盘、打印的资料、价格相关的手册。获取并且识别鉴定对象时, 要确保物证是连续且完备的, 同时要详尽录入原先取证得出的初期证据。

计算机取证可采纳的鉴定流程及方式含有差异, 记录下来的多样轨迹也都表现出彼此的不同。实际上, 取证鉴定不可凭借单一性的量化解析, 应当采纳先进完善的配套仪器。要善用多样性的取证技术, 如恢复数据、破解并且解析密码、过滤及搜索隐含的信息、追踪网络等, 以获取地址。若能规范取证, 那么呈现给法庭的价格证据也将是完善的。唯有依照给定的各步骤谨慎取证, 证据才更为可信且完整, 才更易获取法庭的认同。

3 结语

现今, 信息化日渐融入多样的日常生活, 各行业也接纳了新式运作。计算机犯罪显现出猖獗的态势, 若没能妥善予以取证并且遏制, 那么将会伤害到更广范围内的生产生活。计算机鉴定及取证含有复杂及交错的多环节, 取证人员应提升综合科目水准, 调用全方位的综合知识来构建完备的证据网络。计算机取证便于鉴定得出案情真相, 协助更顺利的办案。未来实践中, 司法鉴定构建起来的总体架构仍有待完善, 计算机取证也应依循设定的流程及步骤, 确保合法取证。

参考文献

[1]杜江, 田燕.浅谈计算机取证与司法鉴定[J].计算机光盘软件与应用, 2013 (1) :150, 154.

[2]杨静.关于计算机取证鉴定标准体系的研究[J].湖北警官学院学报, 2014 (10) :170-172.

[3]麦永浩.“毒王”是如何现形的?——计算机取证与司法鉴定案例解析[J].中国信息安全, 2011 (10) :49-51.

[4]马国富, 王子贤, 王揆鹏.基于证据链的电子司法鉴定模型[J].河北大学学报 (自然科学版) , 2013 (3) :317-323.

[5]吴常青, 王彪.电子数据鉴定相关问题探讨[J].中国司法鉴定, 2012 (6) :123-126.

[6]贾志城.计算机取证及其鉴定原则研究[J].中国包装, 2014 (7) :49-51.

[7]马国富, 马胜利, 王子贤, 等.数据恢复在电子数据取证与司法鉴定中的应用[J].河北大学学报 (自然科学版) , 2015 (5) :538-545.