文档库 最新最全的文档下载
当前位置:文档库 › 计算机取证

计算机取证

计算机取证
计算机取证

编号

云南警官学院

毕业论文

课题名称浅析基于网络的计算机犯罪证据取证

学生姓名段志琼

学号030255

专业计算机科学与技术

班级03级计本一区队

指导教师张士军

2007年5月

目录

目录 (2)

摘要 (4)

第一章计算机犯罪证据概述 (5)

1.1计算机犯罪的概念 (5)

1.2计算机犯罪的特征 (5)

1.3计算机犯罪证据的概念 (5)

1.4计算机犯罪证据的特征 (5)

第二章计算机网络犯罪证据概述 (6)

2.2计算机网络犯罪证据概念及特征 (6)

2.2计算机网络犯罪证据的采集原理 (6)

第三章网络犯罪证据采集步骤方法 (8)

3.1电子证据采集 (8)

3.2电子证据的确定 (9)

3.3电子证据的收集 (9)

3.3.1网络电子证据采集的基本方法 (10)

3.4电子证据的保护 (13)

3.5电子证据的分析 (13)

3.6归档 (14)

第四章常见的计算机取证软件工具 (15)

第五章电子证据采集时的注意事项 (17)

5.1咨询证人使用计算机的习惯 (17)

5.2可以通过质疑获取目标计算机网络上的相关信息 (17)

5.3咨询管理员或与计算机相关的人确保相关信息 (17)

5.4不能对硬盘或媒介进行任何操作 (17)

5.5保护介质进行病毒扫描 (17)

5.6牢记“已删除”并不意味删 (18)

5.7对不同类型的计算机采取不同策略 (18)

第六章结论与展望 (19)

致谢 (20)

参考文献 (21)

摘要

目前,计算机技术的迅速发展改变了人们的生活方式、生产方式与管理方式。同时,也为违法犯罪分子提供了新的犯罪空间和手段。以计算机信息系统为犯罪对象和工具的各类新型犯罪活动越来越多,造成的危害也越来越大。在尚未发达、健全的技术条件下如何获取与计算机犯罪相关的电子证据,将犯罪分子绳之以法,已成为司法和计算机科学领域中亟待解决的热门课题。为了解决这种日益突出的计算机犯罪现象,需要有更为发达与成熟的取证技术来与之抗衡。而在计算机取证技术中证据的采集问题在打击计算机犯罪的实施中成为了关键。

本论文首先介绍了计算机犯罪证据的概念、特征,网络犯罪的概念、特征,再重点探讨了网络犯罪证据采集的方法步骤,最后就网络犯罪证据取证介绍了一些常见的取证软件工具并总结了一些取证时应注意的事项。

关键词:计算机犯罪、计算机网络犯罪、电子证据、IP地址

第一章计算机犯罪证据概述

1.1计算机犯罪的概念

在学术研究上,关于计算机犯罪迄今为止尚无统一的定义(大致说来,计算机犯罪概念可归为五种:相关说、滥用说、工具说、工具对象说和信息对象说)。根据刑法条文的有关规定和我国计算机犯罪的实际情况,计算机犯罪是指行为人违反国家规定,故意侵入国家事务、国防建设、尖端科学技术等计算机信息系统,或者利用各种技术手段对计算机信息系统的功能及有关数据、应用程序等进行破坏。制作、传播计算机病毒。影响计算机系统正常运行且造成严重后果的行为。

1.2计算机犯罪的特征

相较其他的犯罪类型而言,计算机犯罪呈现了其独有的特征。计算机犯罪具有犯罪主体的专业化、犯罪行为的智能化、犯罪客体的复杂化、犯罪对象的多样化、危害后果的隐蔽性等特点。使计算机犯罪明显有别于传统一般刑事犯罪。

1.3计算机犯罪证据的概念

计算机犯罪证据一般也称为电子证据,是指在计算机或计算机系统运行过程中产生的,以其记录的内容来证明案件事实的电磁记录物。电子证据在计算机屏幕上的表现形式是多样的,尤其是多媒体技术的出现,更使电子证据综合了文本、图形、图像、动画、音频及视频等多种媒体信息,这种以多媒体形式存在的计算机证据几乎涵盖了所有传统证据类型。

1.4计算机犯罪证据的特征

与传统证据一样,计算机犯罪证据即电子证据必须是:可信的、准确的、完整的、符合法律法规的,即可为法庭所接受的。但是,电子证据还具有与传统证据有别的其它特点:例如有表现形式的多样性、储存介质的电子性、证明准确度的高精密性、内容的不稳定性等。

第二章计算机网络犯罪证据概述

计算机犯罪一般有两种方式,一是基于单机的计算机犯罪,即实现犯罪的计算机未联入网络,而是利用计算机储存有关的犯罪信息;另一种是基于网络的计算机犯罪,是以计算机为工具,利用网络为媒介实施的犯罪行为。这样计算机犯罪证据的采集的对象也有所不同,一是基于单机的采集,另一个是基于网络的采集。而单机作为接入计算机网络的最基本设备。因此单机取证也成为了计算机网路取证不可缺少的一部分。

2.1计算机网络犯罪证据概念及特征

计算机网络犯罪相对而言是个新生事物,是行为人以网络为媒介、以网络或连结在网络上的计算机系统作为犯罪场所或犯罪对象,依靠网络通讯技术支持,通过对犯罪起作用的那些数字、字母或电子信号等信息的控制、处理和使用,达到破坏、获利、传播等目的,造成巨大经济损失、政治影响或其他严重危害社会后果之行为。

网络犯罪的主体是一般主体,既可以是自然人,也可以是法人,主观方面表现为故意,侵犯的客体是为刑法所保护的而为网络犯罪所侵犯的一切社会主义关系,表现为违反有关计算机网络管理法律、法规,侵入国家事务、国防建设、尖端科学技术领域的计算机系统,对计算机信息系统功能、数据和应用程序进行删除、修改,或者破坏计算机系统软件、硬件设备等侵害计算机系统安全的行为,以及利用计算机实施偷窥、复制、更改或者删除计算机信息,诈骗、教唆犯罪,网络色情传播,以及犯罪网络侮辱、诽谤与恐吓等犯罪。

2.2计算机网络犯罪证据的采集原理

计算机犯罪证据的采集就是对计算机犯罪的证据进行获取、保存、分析和出示,它实质上是一个详细扫描计算机以及重建入侵事件的过程。

当攻击发生后就在计算机系统中留下了痕迹(数据),攻击被检测到后侦察人员就进行侦察寻找、提取、分析证据数据完成调查工作,之后就进入相关的法律裁定阶段了。

其取证周期的状态转移模型如图2.1所示:

图2.1计算机取证周期的状态转移模型

第三章网络犯罪证据采集步骤方法

网络犯罪的证据采集是以抓取网络流量并对之进行分析为特征。是从多样化、动态传输中的数据源里以科学可证实的技术来获取、融合、识别、检查、关联、分析及归档数据证据,其目的是发现与案情相关企图关联的事实或恶意非授权行为及为重构事件提供信息与依据。其数据获取流程如下图所示:

图3.1网络数据获取流程

3.1电子证据采集

取证前,首先要对目标计算机系统进行保护,要做的事是冻结计算机系统,不给犯罪分子破坏证据提供机会。避免发生任何的更改系统设置、硬件损坏、数据破坏或病毒感染的情况。常用的保护措施及手段,如磁盘镜象或对电子证据进行md5(hash)验证①。磁盘镜象即在一个磁盘通道上有两个成对的磁盘驱动器,同一数据分别写在两台硬盘上,如果一台硬盘驱动器损坏,另一台硬盘能单独运行,不会造成数据丢失和系统停止。磁盘镜象仅适用硬盘驱动器损坏的保护,

①在论坛上、软件发布时经常用,是为了保证文件的正确性,防止一些人盗用程序,加些木马或者篡改版权,设计的一套验证系统。

磁盘通道控制板的损坏不能得到保护。而Hash算法在信息安全领域中具有加密、数字签名、文件鉴别等用途,其算法是将任意长度的输入变换成固定长度的输出。常见的算法有MD5、Shal等.可以利用生日攻击法等对其进行攻击。

3.2电子证据的确定

现在存储介质容量越来越大,必须在海量的数据中区分哪些是电子证据,相对计算机取证来说哪些是垃圾数据。因此,根据系统的破坏程度,应确定哪些由犯罪者留下的活动记录作为主要的电子证据,确定这些记录存在哪里、是怎样存储的。基本手段是各种格式文件的查看,只能使用只读方式,然后查看文件信息,搜索所需电子证据。

3.3电子证据的收集

(1)调查员要记录系统的硬件配置,把各硬件之间的连接情况记录在案,以便计算机系统移到安全的地方保存和分析的时候能重新恢复到初始的状态。

(2)用磁盘镜像工具(如Safe back、SnapBack DatArret和DIBS RAID等)对目标系统磁盘驱动中的所有数据进行字符流的镜像备份。镜像备份后就可对计算机证据进行处理,万一对收集来的电子证据产生疑问时,可用镜像备份的数据恢复到系统的原始状态,作为分析数据的原始参考数据,使得分析的结果具有可信性。(3)用取证工具(如EnCase①)收集相关的电子证据,对系统的日期和时间进行记录归档,对可能作为证据的数据通过加密手段发送给取证服务器进行分析。对

UNIX系统可能还需要一些命令做辅助,收集有关信息,对操作情况要做记录归档。对关键的证据数据用光盘备份,有条件的可以直接将电子证据打印成文件证据。

根据目前的研究,在缺乏自主知识产权的计算机取证工具的前提下,收集电子证据上传到取证服务器统一保护和分析,采用基于代理(Agent)的C/S结构②。client端即目标系统端程序采用主动搜索和被动接受两种相结合的方式将电子证据上传给取证服务器。定义已知常见的电子证据来源如系统名称、时期时间、系统日志、应用软件日志、邮件数据、临时文件信息、Email数据等,利用程序的自动搜索功能,将可疑为电子证据的文件或数据罗列出来,由调查员确认发送给取证服务器。对数据量特别大的电子证据文件如网络防火墙和NIDS的日志,可由调查员先对其光盘备份进行原始数据保全,然后将可疑为入侵者IP的相关信息挖掘出来发送给取证服务器。由受害方提供的其它相关信息也可通过client端程序上传。

Server端的取证服务器采用LDAP目录形式组织上传的电子证据,由控制台对电子证据进行管理。各类电子证据上传时,将相关的文件证据存入取证服务器

①其原理是用C++编写的容量大约为1M的程序,它能调查Windows,Macintosh,Anux,Unix或DOS机器的硬盘,把硬盘中的文件镜像或只读的证据文件。EnCase对硬盘驱动镜像后重新组织文件结构,采用Windows GUI显示文件的内容。

②它是软件系统体系结构,通过它可以充分利用两端硬件环境的优势,将任务合理分配到Client端和Server 端来实现,降低了系统的通讯开销。

特定目录并将存放目录、文件类型(是系统日志,应用日志,还是邮件文件或是其它临时文件等)、来源(IP)等信息存入取证服务器的数据库中。

控制台主要用于电子证据加密上传的密钥分配,电子证据的审计与分析、产生报告并打印,结案后管理员对电子证据的处理等

3.3.1网络电子证据采集的基本方法

(一)IP地址的获取

IP地址是揭示犯罪嫌疑人身份和地理位置的重要线索,通过对系统日志、E-Mail头信息的分析和对被调查对象进行直接通信等方法可以获得对方的IP地址,进而可以利用TraceRoute①、VisualRoute②等ICMP命令③和全球IP地址分配表定位该IP地址的位置,并采取适当的措施。

下面介绍几种方法:

(1)使用ping或traceroute命令。

Ping是一个简单又非常有用的程序,它使用了因特网信息控制协议的ECHO—REQUEST数据报。该数据报向目标主机发送请求并监听目标主机的应答。我们可以使用ping这样的命令来判断一台机器是否在线,然后使用What′s Up Gold这样的程序继续检查这台运行着的机器。但是,ping的这种行为很容易被源端的系统发现。假设对方是一个比较高明的罪犯,它会对到自己机器的任何连接进行监视,从而发现你在调查他。

(2)混乱地址的恢复

很多高明的罪犯使用伪造或混乱的地址发送信息,这种混乱的地址一般是一个10位长度的整数,例如http://2280853951。我们可以采用数学的方法变换成正常格式:把2280853951转换成十六进制为87F311BF,然后依次把每两位十六进制数都转换成十进制数并加上点号,不足两位在后边加0,从而得到正常的IP地址:135.17.243.191,反过来也可以把正常的IP地址转换成十进制数。

当然,也可以使用ping命令:C:\>Ping2280853951得到结果Ping 135.17.243.191with32bytes of data.

运行结果如下图所示:

①用于网络测试、评估和管理。它应主要用于手动故障隔离。它试图跟踪IP信息包至某个因特网主机的路由。

②网络路径结点回溯分析工具,以在世界地图上显示连结的路径的方式,让你知道当无法连上某些IP时的真正问题所在。

③是“Internet Control Message Protocol”(Internet控制消息协议)的缩写。它是TCP/IP协议族的一个子协议,用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据,但是对于用户数据的传递起着重要的作用。

图 3.2运行结果

(3)使用IP扫描工具程序

目前,IP扫描工具很多,而且大部分是开发源代码的,例如solarwins2001 engineers edition就有扫描IP的功能。

(4)由DNS获取IP地址

大多数的域名服务器都支持逆向查询,也可以使用工具软件进行手工解析,一流的工具就是nslookup,它可以基于Windows、UNIX和NT使用,可以进行正向和逆向查询。

(5)MAC(介质访问控制)地址的获取

MAC地址只能使用在硬件层上,IP地址和MAC地址的转换是通过查找ARP 表来实现的,该表是由地址解析协议(Address Resolution Protocol,ARP)自动创建的。需要指出的是,MAC地址也不能绝对信赖,因为现在已经有了很多软件可以对MAC地址进行修改,而在UNIX中,可以通过命令改变MAC地址。所以,有时虽然找到的MAC地址与我们所掌握的并不一致,但也不能说明这台主机不是嫌疑主机。

(6)在IPS(入侵防御系统)的支持下获取IP

一个互联网服务提供商一般通过RADIUS协议①支持拨号路由器和中央用户目录之间的验证请求,这一协议可以用于用户身份认证,也可以用于记帐。RADIUS 服务器通常是互联网服务提供商可以为跟踪罪犯提供记录的唯一设备,所以对取证工作非常重要,该服务器通常会将每一个注册请求的记录保存一年以上。一般情况下,IPS都愿意提供这种日志,因为它们也不想让人利用它们的系统从事非法活动。

(二)针对电子邮件和新闻组的证据采集

电子邮件和新闻组的共同特征是:都是简单的应用协议和文本储存转发,只允许信息在多个中间系统上穿过,信息的主体由可打印的字符构成,头信息中包含了从发送者到接收者之间的路径。所以,可以对信息发送路径上的痕迹进行分析以获取证据。

(1)从电子邮件中获取证据

①是一种分布的,客户端/服务器系统,实现安全网络,反对未经验证的访问。

电子邮件中获取证据的关键是要了解电子邮件协议中的邮件信息的储存位置,例如接收邮件时,对于仅储存收到信息的POP3协议(邮局协议),我们必须访问工作站才能对邮件进行跟踪。基于网页进行发送和接收HTTP协议将发送和接收到的信息储存到服务器上,但可以手工下载到本地,有助于鉴别假冒行为。微软的邮件应用编程接口(Mail、API、MAPI)能够储存所有的信息。发送邮件时,采用的协议是SMTP(简单邮件传输协议),网络黑客最先学会的技术之一就是如何通过Internet到SMTP服务器的25端口手工发送邮件信息。它们可以插入任何信息到你要发送的邮件的头文件中,包括伪造的源地址和目标地址,也可能在配置邮箱时选择手工输入发信人地址。由于SMTP没有强壮的认证机制,在没有使用PGP(邮件加密软件)或者S/MIME(安全多功能互联网邮件扩展)来添加数字签名的情况下,邮件信息的可信度非常低。

跟踪伪造的电子邮件的主要方法时请求IPS的帮助。而取证人员必须学会解读邮件的头文件、一般的邮件服务程序,如FOXMAIL、OUTLOOK、OUTLOOK EXPRESS等都可以通过选中某邮件再执行菜单命令(如文件菜单中的属性或查看菜单中的选项)来查看详细的头信息。跟踪电子邮件还可以使用专用工具,如Netscan Tools(专用测试软件)。在使用Eudora(邮件软件)作为客户端软件时要想看到头文件只需在“Blah Blah Blah”按钮上单击鼠标即可。

(三)网络入侵的证据采集

入侵追踪的最终目的是能够定位攻击源的位置,推断出攻击报文在网络中的串行路线,从而找到攻击者。IP报文入侵追踪技术包括连接检测,日志记录,ICMP 追踪法,标记报文等,可以追溯到发送带有假冒源地址报文的攻击者的真实位置,还可以发现在网络连接链中“前一跳”的信息,特点实需要利用路由器作为中间媒介。

(1)网络输入输出系统取证技术

可以使用NetBIOS①的nbtstat命令②来跟踪嫌疑人。该命令可以获取嫌疑人的机器所在的域名和MAC地址等,并且可以将获取到的信息打印出来。最常用的技术时入侵检测技术(IDS),一般有两种方式,基于网络的和基于主机的。基于网络的IDS一般安置在一个网段内,检查网段内每台主机的流量,寻找未授权活动的证据。例如,可以使用一台单独的、集中式的入侵检测引擎,记录所有的日志信息,并基于多个运程传感器所提供的数据报警,这些传感器位于多个不同的局域网段中。基于主机的IDS在单个主机上执行监测功能。IDS一般分为检测特定事件和检测模式变化。检测特定事件的IDS需要定期更新特征数据库,因为它无法对数据库以外的事件发出警报。检测模式变化的模型使用人工智能技术,创建一个系统,用来监测反常行为,当超出了正常模式时,就可以报警。IDS 对取证的最大帮助是它提供的日志或记录功能可以被用来监视和记录犯罪嫌疑人的行为。

(2)网络入侵追踪技术

入侵追踪的最终目标是能够定位攻击源的位置,推断出攻击报文在网络中的串行线路,从而找到攻击者。IP报文入侵追踪技术包括连接检测、日志记录、ICMP 追踪法、标记报文法等,可以追溯到发送带有假冒源地址报文的攻击者的真实位

①一般指用于局域网通信的一套API。

②用于显示与IP、TCP、UDP和ICMP协议相关的统计数据,一般用于检验本机各端口的网络连接情况。

置,还可以发现在网络连接链中“前一跳”的信息,特点是需要利用路由器作为中间媒介。

(3)人工智能和数据挖掘技术

计算机的存储容量越来越大,网络的传输速度越来越快。对于计算机内存储的和网络中传输的大量数据,可以应用数据挖掘技术以发现和特定的犯罪有关的数据。也有专家提出了NFAT(Network Forensics Analysis Tools)即网络取证系统及工具的设计框架和标准,核心是开发专家系统(ES,Expert System)并配合入侵检测系统或者防火墙,对网络数据流进行实时提取和分析,对于发现的异常情况进行可视化报告。

3.4电子证据的保护

由于电子证据可能被不留痕迹的修改或破坏,应用适当的储存介质(如Mess storage或CD-ROM)进行原始的镜像备份。考虑到在计算机取证中有些案例可能要花上两三年时间来解决,取证调查时可将镜像备份的介质打上封条放在安全的地方。对获取的电子证据采用安全措施进行保护,非相关人员不准操作存放电子证据的计算机。不轻易删除或修改与证据无关的文件以免引起有价值的证据文件的永久丢失。

3.5电子证据的分析

由于原始的电子证据是存放在磁盘等介质里,具有不可见性,需要借助计算机的辅助程序来查看。同时,没有相当IT知识的人也很难理解电子证据的信息。因此,对电子证据的分析并得出结果报告是电子证据能否在法庭上展示,作为起诉计算机犯罪者的犯罪证据的重要过程。分析需要很深的专业知识,应由专业的取证专家来分析电子证据。

(1)做一系列的关键字搜索获取最重要的信息。因为目前的硬盘容量非常大,取证专家不可能手动查看和评估每一个文件。因此需要一些自动取证的文本搜索工具来帮助发现相关的信息。

(2)对文件属性、文件的数字摘要和日志进行分析,根据已经获得的文件或数据的用词、语法和写作(编程)风格,推断出其可能的作者。如果政策允许可利用数据解密技术和密码破译技术,对电子介质中的被保护信息进行强行访问以获取重要信息。

(3)评估windows交换文件,file slack,未分配的空间。因为这些地方往往存放着犯罪者容易忽视的证据。在这方面,专业的取证公司NTI的IPFilter①和Guidance Software公司的EnCase都可以帮助取证专家获取重要的信息。用恢复工具如EasyRecovery恢复被删除的文件,尤其是被犯罪者删除的日志文件,以发现其踪迹。

(4)对电子证据做一些智能相关性的分析,即发掘同一事件的不同证据间的联系。随着计算机分步式技术的发展,犯罪者往往在同一时间段内对目标系统做分步式的攻击以分散管理员的注意力。在分析电子证据时,应对其进行关联分析。如在某一时间段内,来自攻击者的IP在不同系统中留下的痕迹按一定的顺序将其罗列出来,并评估它们的相关性。

①就是IP黑名单,可以阻挡这些恶意IP偷窥我们。

(5)取证专家完成电子证据的分析后应给出专家证明,这与侦查普通犯罪时法医的角色没有区别。

3.6归档

在计算机取证的最后阶段,应整理取证分析的结果供法庭做为诉公证据。主要对涉及计算机犯罪的日期和时间、硬盘的分区情况、操作系统和版本、运行取证工具时数据和操作系统的完整性、计算机病毒评估情况、文件种类、软件许可证以及取证专家对电子证据的分析结果和评估报告等进行归档处理。尤其值得注意的是,在处理电子证据的过程中,为保证证据的可信度,必须对各个步骤的情况进行归档以使证据经的起法庭的质询。

第四章常见的计算机取证软件工具

数字证据主要来自两个方面,一个是主机系统方面的,另一个是网络方面的。证据获职工具就是用来从这些证据源中得到准确的数据。

为了能有效地分析证据,首先必须安全、全面地获取证据,以保证证据信息的完整性和安全性。证据获取工具的体系结构如下图所示。

图4.1证据获取工具的体系结构

计算机取证过程一般时系统取证工具和网络取证工具相结合来使用的。

一般有用于检测分区的PartitionMagic(诺顿公司出的磁盘分区管理软件)、杀毒软件、各种压缩工具软件等。还有一些专用的工具软件如:

(1)文件浏览器:这类工具是专门用来查看数据文件的阅读工具。只用于查看而没有编辑和恢复功能,从而体积较小并可以防止证据的破坏。比较好的软件是Quik View Plus(http://www.jasc.com)。它可以识2000种以上文件类型,可以浏览各种电子邮件文档。比起WordPerfect的频繁转换要方便的多。Conversion Plus可以用于在Windows系统下浏览Macintosh文件。

(2)图片检查工具:ThumbsPlus是一个功能很全面的进行图片检查的工具。

(3)反删除工具:主要是诺顿工具。

(4)CD-ROM工具:使用CD-RDiagnostics可以看到一般情况下看不到的数据。

(5)文件搜索工具:dtSearch是一个很好的用于文本搜索的工具,特别是

具有搜索Outlook的.pst文件的能力。

(6)驱动器映像程序:可以满足取证分析(即逐位拷贝建立整个驱动器的映像)的磁盘映像软件包括:SafeBack(http://https://www.wendangku.net/doc/17850362.html,)、SnapBack(http://www.cdp.com)、Ghost(http://symantec.com)、dd(UNIX 中的标准工具)等等。常用的网络信息获收工具有windump、iris、tcpdunlp、ngrep、snort、snittit、dsniif、grave.robber等。

还有一些获取本地网络状态信息的工具,如netstat、route、arp等。Fport运行在Windows平台上,可以识别系统中哪个应用软件在与别的计算机通信或在监听别的计算机。

第五章电子证据采集时的注意事项

计算机网络犯罪证据的采集与一般的犯罪现场拍摄照片、采集指纹、提取血样或轮胎纹理相类似,和自然界里一样,并不知道那些数据作为证据,所以采集阶段的任务就是采集所有的证据数据,保证证据数据的完整性,因此在采集过程中要注意几点:

5.1咨询证人使用计算机的习惯

侦查人员在采集数据前首先应该咨询证人使用计算机的习惯。例如,他们是否为系统作了独立的备份?他们是否使用磁盘或光盘从其他系统上复制了一些信息作为备份或其他目的之用?他们的文档储存在什么地方?他们是否使用过便携式计算机、PDA(掌上电脑)或移动电话?等等问题来大概的了解情况。

5.2可以通过质疑获取目标计算机网络上的相关信息

可以通过质疑获取目标计算机网络上的相关信息。例如,处理的是何种类型的网络?网络是如何配置的?操作系统是什么?计算机类型是什么?有哪些应用程序?使用的备份系统是什么类型?磁带何时被重写?系统管理员是谁?是否存在远程访问?使用何种电子邮包?是否使用了防火墙?是否有电子邮件服务器?等等问题。

5.3咨询管理员或与计算机相关的人确保相关信息

咨询管理员或与计算机相关的人确保相关信息,再次确保掌握了关于备份系统的所有信息和数据所有的储存位置。通常的办法是获取6个月到几年内的备份磁带(或其他介质)。要切实掌握用于创建备份的硬件/软件的信息。

5.4不能对硬盘或媒介进行任何操作

不能对硬盘或媒介进行任何操作,甚至不要启动它们。登陆一个典型的Windows操作系统大约会改变400到600个文件的日期和时间。不能让非取证专家介入,否则他们可能会在无意中破坏证据,改变一些可能至关重要的日期,例如最近访问或修改日期等。遭破坏的证据可能完全不被法庭所接受,或者至少会被视为是可疑的,因为不是经专业的计算机取证程序获取的。

5.5保护介质进行病毒扫描

必须保护所有的介质,对所有的介质进行病毒扫描。一旦发现病毒,合理的

应对措施是记录所有的相关信息并通报产生病毒的一方。绝不能从原始数据上清除病毒,但是除了如果病毒会影响数据产生,可以在获取的数据镜像上清除病毒。

5.6牢记“已删除”并不意味删

牢记“已删除”并不意味着真的删除了。在计算机术语中,已删除意味着磁盘上曾被某以特殊文件占有的空间现在可以用来重写了。一般地删除文件操作,即使在清空回收站后,要不是将硬盘低级格式化或将硬盘空间装满,仍可将“删除”的文件恢复过来。在windows操作系统下的windows swap(page)file(一般用户不曾意识到它的存在),大概有20-200M的容量,记录着字符处理、Email消息、Internet浏览行为、数据库事务处理以及几乎其他任何有关Windows会话工作信息。另外在Windows下还存在着file slack,记录着大量Email碎片、字符处理碎片、目录树镜像以及潜在的工作会话碎片。这些都可以用计算机取证软件来收集作为潜在的电子证据。

5.7对不同类型的计算机采取不同策略

对不同类型的计算机采取不同的策略。下面分3种情况来讨论如何收集计算机内的所有数据。

(1)运行微软Dos、Windows操作系统的计算机:如果现场的计算机正在运行,调查人员应该根据不同情况来决定是立即拔掉计算机的电源线以切断计算机的电源和通信,还是在关机前取得该计算机内存中的证据。例如当发现犯罪嫌疑人正在给同伙发一封告警的电子邮件,此时,该电子邮件的内容可能仅存在内存中,计算机断电后该信息就会丢失,在这种情况下,就必须立即使用一张空白的软盘将内存中的证据数据保存下来。

(2)运行微软Windows NT操作系统的工作站或服务器:Windows NT拥有更高的安全级别,支持多用户并且提供了较为安全的隐私保护,这样使取证工作增加了难度。NTFS分区管理使Windows NT操作系统限制了从硬盘上存取数据的权限。但是,用Linux操作系统启动盘可以绕过Windows NT并启动计算机,而且可以用Linux命令完全复制硬盘中的所有数据。值得注意的是,通过配置Windows NT可以阻止从其他磁盘启动计算机。对于这种更为复杂的情况,调查人员应该寻求专家或专门机构的帮助。

(3)运用UNIX操作系统的工作站或服务器:在UNIX操作系统下收集电子证据的步骤和前两种情况一样,先保存内存中的数据,再关机,然后用另一种操作系统启动计算机,最后对硬盘数据进行完全复制。

第六章结论与展望

由于电子证据和网络系统的特殊性,计算机网络犯罪的取证方法步骤有自身的特点,在采集过程中需要特别注意网络犯罪证据独有的特征。论文开始先概述计算机犯罪、犯罪证据以及网络犯罪的基本相关知识,然后再就单机取证也是网路取证不可缺少的一部分的认识上重点的系统的研究了网络犯罪证据从确定、保护、采集、分析到归档的具体方法步骤。这是整篇论文的中心重点部分。另外还介绍了一些常见的取证软件工具和总结了一些网络犯罪证据取证时需要注意的方面,当然也是单机取证是需要注意的方面。单机取证也成为了计算机网路取证不可缺少的一部分。

计算机取证科学是一个迅速成长的研究领域,它在国家安全、消费者保护和犯罪调查方面有着重要的应用前景。本文只是从计算机犯罪中的网络犯罪角度探讨了网络犯罪证据的采集方法步骤,相信这一领域的研究将会向着深入和综合两方面不断前进,使取证科学发挥更大作用。

致谢

虽然经历过了大学四年的学习,但是在实际的做毕业论文的过程中还是体现了自己的能力不足。因此在此论文完成之际,特别的要向张士军老师表示衷心的感谢!他在写论文的过程中给了我很大的帮助。同时还要特别感谢王惟、陈阳等同学在学习设备上的借予和帮助,还有其他我们区队的同学的大力支持和关心。

Encase,FTK几种计算机取证工具的比较

數位鑑識工具之比較 --以Encase 5.0、FTK 1.6及Helix 1.8工具鑑識職業駭客專門替人植入木馬破解密碼入侵案件為例 林宜隆1、歐啟銘2 1中央警察大學資訊管理學系 教授 2中央警察大學資訊管理學系 研究生 摘 要 網際網路的迅速發展之下,為我們帶來了許多便利,許多生活上所需要的東西都可以從網路上取得,例如:網路購物、網路轉帳等…但隨著這些便利的網路應用,也使得一些人利用這些便利做一些非法的應用。 許多案例是員工監守自盜,將客戶的個人資料賣給詐騙集團,也有些因為公司或機關保護客戶個人資料不夠周全,讓駭客透過網路或是其他方式,竊取客戶個人資料。 被駭客入侵後,如何取得駭客再受害者電腦做了什麼事,以及駭客從何而來,並且將這些證據可以作為法庭上證據,證明自己被攻擊,以及透過這些證據抓到攻擊者,也是非常重要的。 本研究採用國內、外執法機關使用的Encas e、FTK及Helix,作為研究的主要鑑識工具,並比較相關數位鑑識工具,使用框架理論分析真實案例,透過案例驗證數位證據處理原則及工具的完整性、一致性、正確性。 關鍵詞:網路犯罪、數位鑑識、駭客入侵

A comparative study on cyber Forensic tools - with Encase 5.0, FTK1.6 and Helix 1.8 tool Forensic professional hacker plant for people into trojan horse and explain password invade the case for the example Lin I-Long 1、Ou Chi Ming2* 1,2 Department of Information Management Center Police University ABSTRACT The constant development of the computers and the internet has resulted in more and more real life uses and applications. Examples are embanks, network auctions, web-cams and the internet phone. However, many internet crimes and problems also spawned along the side. One of the most common cases are the employees themselves embezzle its own company's personal information and to sell them to a fraud organization. In other cases, some companies or an organization simply doesn’t have the technical capability to protect their client's information away from the hackers. It is crucial to keep detailed information on the possible origin of the hacker and the specific damages the hacker had caused. These will become extremely vital evidences on the court. They may also be used to help arrest the attacker. The research use the cyber forensic tools which the most bureau of investigation use. We focus on the cyber forensic tools Encas e、FT K、Helix and compare them . We identify the completeness, integrity and correctness of tools and procedure by case. Keywords:cybercrime、cyber forensic、Trojan Horse

计算机取证技术实验报告

中南大学 计算机取证技术 实验报告 学生姓名 学院信息科学与工程学院 专业班级 完成时间

目录 1. 实验一事发现场收集易失性数据 (3) 1.1 实验目的 (3) 1.2 实验环境和设备 (3) 1.3 实验内容和步骤 (3) 2. 实验二磁盘数据映像备份 (8) 2.1 实验目的 (8) 2.2 实验环境和设备 (8) 2.3 实验内容和步骤 (9) 3. 实验三恢复已被删除的数据 (16) 3.1 实验目的 (16) 3.2 实验环境和设备 (16) 3.3 实验内容和步骤 (16) 4. 实验四进行网络监视和流量分析 (20) 4.1 实验目的 (20) 4.2 实验环境和设备 (20) 4.3 实验内容和步骤 (20) 5. 实验五分析Windows系统中隐藏的文件和Cache信息 (23) 5.1 实验目的 (23) 5.2 实验环境和设备 (24) 5.3 实验内容和步骤 (24) 6. 实验七数据解密 (28) 6.1 实验目的 (28) 6.2 实验环境和设备 (29) 6.3 实验内容和步骤 (29) 7.实验总结 (32)

计算机取证技术 1.实验一事发现场收集易失性数据 1.1 实验目的 1.会创建应急工具箱,并生成工具箱校验和; 2.能对突发事件进行初步调查,做出适当的响应; 3.能在最低限度地改变系统状态的情况下收集易失性数据。 1.2 实验环境和设备 1.Windows XP 或 Windows 2000 Professional 操作系统; 2.网络运行良好; 3.一张可用的软盘(或U盘)和PsTools工具包。 1.3 实验内容和步骤 1.创建应急工作盘,用命令md5sum创建工具盘上所有命令的校验和,生成文本文件commandsums.txt:

计算机取证简答题综合题

三、简答题 1.在计算机取证的过程中,不管发生了什么紧急情况,调查者都必须遵循的原则是什么答:①不要改变原始记录 ②不要在作为证据的计算机上执行无关的程序 ③不要给犯罪者销毁证据的机会 ④详细记录所有的取证活动 ⑤妥善保存取得的物证 2.当Windows系统受到入侵攻击,而需要对系统进行取证分析的操作会引起易失性数据。主要的易失性数据包括哪些 答:①系统日期和时间②当前运行的活动进程 ③当前的网络连接④当前打开的端口 ⑤当前打开的套接字上的应用程序⑥当前登录用户 系统中初始响应指的是什么现场数据收集的主要步骤包括哪些 答:1.初始响应指的是收集受害者机器上的易失性数据, 并据此进行取证分析的过程 2.现场数据收集包括一下3步: ①打开一个可信的命令解释程序 ②数据收集的准备工作 ③开始收集易失性数据 4.描述你知道的证据获取技术包括哪些 答:①对计算机系统和文件的安全获取技术; ②避免对原始介质进行任何破坏和干扰; ③对数据和软件的安全搜集技术; ④对磁盘或其它存储介质的安全无损伤备份技术; ⑤对已删除文件的恢复、重建技术; ⑥对磁盘空间、未分配空间和自由空间中包含的信息的发掘技术; ⑦对交换文件、缓存文件、临时文件中包含的信息的复原技术; ⑧计算机在某一特定时刻活动内存中的数据的搜集技术; ⑨网络流动数据的获取技术等 5.基本过程模型有哪些步骤 答:①保证安全并进行隔离; ②对现场信息进行记录; ③全面查找证据; ④对证据进行提取和打包; ⑤维护证据监督链 6. 电子证据与传统证据的区别有哪些 答:①计算机数据无时无刻不在改变; ②计算机数据不是肉眼直接可见的,必须借助适当的工具; ③搜集计算机数据的过程,可能会对原始数据造成很严重的修改, 因为打开文件、打印文件等一般都不是原子操作; ④电子证据问题是由于技术发展引起的, 因为计算机和电信技术的发展非常迅猛, 所以取证步骤和程序也必须不断调整以适应技术的进步。

计算机取证关键技术分析

计算机取证关键技术分析 金波,陶明明 公安部第三研究所上海200035 上海金诺网络安全技术发展股份有限公司上海 200122 摘要: 电子证据是一种新的证据类型,为提高电子证据的证据力,本文分析了电子取证的取证程序与取证的关键技术,提出了取证的一般性原则、数据采集方法、取证的设备和装置要求。 关键词: 计算机取证, 电子证据, Analysis for Key Technology of Computer Forensic Jin Bo, Tao Mingming The Third Research Institute of Ministry of Public Security, 200035 Shanghai Kingnet Security Inc., 200122 Shanghai Abstract:. Electronic evidence is a sort of new style evidence. To improve the probative value of electronic evidence, the paper analysis computer forensic process and key technology, provided the rule of computer forensic, data acquire method and the requirement of forensic device. Keywords: Computer Forensic, Electronic Evidence

1概述 随着计算机和互联网络技术的迅速发展,电子商务、网络教育、各类网络服务和电子政务在经济社会的人际交往、经营活动中被大量应用。随之,各类经济纠纷、民事纠纷和刑事案件也会时有出现。判定或处置各类纠纷和刑事案件过程中,电子文挡已经成为重要证据之一。 许多计算机化的产品中都会存有电子证据,例如:移动电话、PDA、路由器等,也有许多形式的存储介质,包括:硬盘、光盘、U盘等。另外,网线、电缆甚至空气也能携带数字信息,通过适当的设备,就能将这些数字信息提取出来,以备使用。本文以计算机证据的重要载体—硬盘为例,研究分析计算机取证中的关键技术要求,包括:取证的一般性原则、数据采集方法、取证的设备和装置要求。 2取证程序 电子证据处理总共分3个阶段:证据获取、证据分析和证据表现[1]。 证据获取阶段的工作是固定证据。电子证据容易修改,一旦决定需要获取电子证据,应该首先进行证据固定,防止有用证据的丢失。在本阶段要求将电子证据的状态固定起来,使之在后续的分析、陈述过程中不会改变。并能够在法庭展示证据固定的有效性,比如展示原始证据和固定后证据的Hash校验值。 证据分析阶段的工作是分析证据与案件的关联性。电子证据包含的数据量往往很大,而且数据类型往往杂乱无章,收集的所有证据需要进行提取、整理和筛选后才能被使用。在本阶段要求能够对证据进行全面分析,并在全面分析的基础上能够进行数据挖掘和整合,使之清晰呈现案情相关信息。 证据表现阶段要就电子证据与案件的关联性进行陈述。在此阶段要求能够证实电子证据取得的途径、分析过程,并合理引用电子证据分析结果对案情进行陈述。 3证据获取 当采集电子证据时,应将注意力放在计算机内容而不是硬件上。当从计算机中采集数据时有两种选择,一种是采集所需要的数据,另一种是采集所有的数据。采集所需要的数据有遗失线索和损害证据的风险,因此一般情况下,取证人员将从涉案的计算机硬盘中完整采集

计算机取证中的数据恢复技术综述

计算机取证中的数据恢复技术综述 摘要 传统数据恢复已经有很多成熟的技术,通过分析计算机取证中数据恢复技术与传统数据恢复的关系,我们证明了在计算机取证中应用数据恢复技术的可行性,实践也证明了其有效性和重要性。本文主要在介绍和分析磁盘在FAT32和NTFS两种不同文件系统的分区结构的前提下,在综述了各种计算机取证中基于FAT32和基于NTFS的数据恢复技术和原理、基于闪存的数据恢复技术、基于新型存储设备SSD固态盘的数据恢复技术。然后讨论了未来计算机取证中数据恢复技术的发展趋势和挑战,即文件碎片的重组和恢复和基于SSD的数据恢复。相比传统数据恢复,计算机取证中的数据恢复有其自己的特点和要求,最后本文从法律角度,总结了数据恢复技术在计算机取证中应用时所需要遵循的原则和流程规范。 关键字:计算机取证、数据恢复 Abstract Traditional data recovery has a lot of mature technologies, According to analysis the relationship between data recovery in computer forensics and traditional data recovery, feasibility of applying data recovery techniques to computer forensics has been proved,much practice also has proved its effectiveness and importance. This paper describes and analyzes the different disk partition structure respectively in the FAT32 and NTFS file systems, then reviews a variety of data recovery techniques and principles respectively based on FAT32 and NTFS, flash-based data recovery techniques, SSD-based data recovery techniques in computer forensics. Next we discuss the trends and challenges of data recovery technology in computer forensics in the future, namely restructuring and recovery of file fragmentation and SSD-based data recovery. Compared to traditional data recovery, data recovery in computer forensics has own characteristics and requirements, and finally from a legal point of view, this paper summed up the principles and process specifications that need to be followed when data recovery techniques are applied to computer forensics . Keywords: computer forensics, data recovery

国内外计算机取证设备对比与分析

国内外计算机取证设备对比与分析 作者简介: 王玉福(1974 年), 男, 山东省平度市人, 大学本科, 主要研究领域为计算机取证软硬件设备; 摘要: 对电子证据的获取、分析和发现是打击各种犯罪行为的一种全新手段。随着国内涉及计算机取证的案件不断增多,法律部门越来越需要精确、高速、多功能、智能化、适应于不同场合的专业计算机取证设备来武装自己。多年来,国外科研机构、院校、军警部门一直在努力加强计算机取证技术的研究,研制开发了各种各样的软硬件产品;国内科研机构也注意加强年来也出现一些专业的计算机取证产品。如何充分地利用这些已有的计算机取证工具,提高国内法律部门的计算机取证水平,有效地打击犯罪行为具有重要的意义。本文通过对比国内外各种计算机取证工具的特点,分析发现不同取证工具的使用优势,便于同行对不同取证设备的认识。 关键词: * 计算机取证; 设备评测* 硬盘作为计算机最主要的信息存储介质,是计算机取证的重要获取内容,也是目前各种计算机取证工具的主要方向。目前国内外市场上,用于硬盘拷贝、数据获取的专业产品较多:有为司法需要而特殊设计的MD5 、SF-5000 、SOLO II 硬盘拷贝机,有适合IT 业硬盘复制需要的SONIX 、Magic JumBO DD-212 、Solitair Turbo 、Echo 硬盘拷贝机;有以软件方式实现硬盘数据全面获取的取证分析软件,如FTK 、Encase 、Paraben's Forensic Replicator ;有综合软件获取和硬拷贝方式的取证勘察箱,如Image MASSter Road MASSter 、“天宇”移动介质取证箱、“网警”计算机犯罪取证勘察箱;此外,还有通过USB 接口、1394 接口、PCMCIA 、并口等方式的硬盘获取设备及附件,如LinkMasster II 、CloneCard 、USB WriteProtect 、Desktop WriteProtect 、“天宇”全能拷贝王等等。 在上述众多的计算机取证产品中,每一种产品都有其自身的特点和可利用的优势。计算机取证人员可以根据不同的工作需要和工作环境选用不同的取证工具。而为了实现最佳的取证效果,应当充分挖掘各种产品的功能,合理组合各种取证工具,形成一套设备精简、功能强大的专业计算机取证勘查工具集合。本文就目前部分国内外计算机硬盘取证专业设备的性能特点进行介绍。 ?手持式硬盘取证设备 手持式硬盘取证设备的主要特点是体积小、重量轻,便于携带和使用。在各种取证设备中,手持式硬盘取证设备拷贝速度最快,最高可达3.3GB/ 分钟。多数手持式拷贝机以硬盘直接拷贝为主要方法,要将疑犯计算机的硬盘取出,直接与拷贝机连接,实现对硬盘数据的全面复制。考虑到不同环境下的不同取证需要,新型拷贝机除硬盘直接拷贝方式外,还增加了USB 接口拷贝方式、SATA 硬盘拷贝、PCMCIA 接口拷贝,增强了拷贝机的功能和使用灵活性,促进了计算机取证技术的发展。正因为具有便于携带和拷贝功能强的特点,手持式拷贝机成为司法取证的首选设备。 国际市场上手持式硬盘拷贝机大致可分为两代产品。以SF-5000 、SOLO II 、SolitareTurbo 为代表的第一代拷贝机,拷贝速度最高可达 1.8GB/ 分钟。以Forensic MD5 、Sonix 、

计算机取证分析

摘要 信息技术的不断发展给人们的生活带来了巨大的改变,网络已经越来越渗透到人们的现实生活与 工作当中。然而,网络在为人民生活和工作带来便利的同时,也引发了无数网络犯罪。 计算机静态取证便是针对网络犯罪而出现的一种电子取证技术,而随着网络犯罪形式和手段的千变万化,计算机静态取证已不能满足打击网络犯罪的需求, 为适应信息化发展的要求,建立安全网络环境和严厉打击网络犯罪行为势在必行,本论文针对计算机动态取证技术进行分析,主要浅谈电子动态取证采集系统的实现、网络证据收集和网络数据分析 等几个方面。通过对计算机取证基本概念、特点和技术的基础研究,对计算机动态取证进行分析。关键词:电子取证动态取证动态电子证据采集网络数据协议 目录

一、概述 (一)、研究背景 目前,人类社会已经迈入了网络时代,计算机与互联网已经与老百姓的日常工作、学习与工作息息相关,社会信息化对政治、经济、文化和科技等各项社会生活产生了深远的影响。然而,网络技术给人类社会带来有利影响的同时,也带来了负面的影响。 在国外,1988年11月美国国防部的军用九三级网络遭受莫里斯病毒袭击,致使美国Internet网络上6000多台计算机感染,直接经济损失9600万美元。2000年5月,“爱虫”病毒通过电子邮件传播,在世界各地迅速蔓延,造成全世界空前的计算机系统破坏。而在国内,人们利用计算机网络犯罪的案例也层出不穷。2002年,作案人吕薜文通过盗用他人账号,对中国公众多媒体通信网广州主机进行了攻击,并对其部分文件进行删除、修改、增加等一系列非法操作,造成严重后果。2008年4月,作案人赵哲窜至上海某证券攻击营业部,利用该营业部电脑安全防范上的漏洞,修改该营业部部分股票交易数据,致使股价短时间内剧烈震荡。 计算机以及其他信息设备越来越多的被运用到犯罪活动中,尽管随着入侵检测系统的广泛使用降低了非法使用计算机资源所带来的损失,但网络犯罪依然不可忽视。针对网络环境安全,本文旨在研究探讨网络开放环境下的电子证据的动态收集与分析。(二)、国内外研究现状 目前,虽然我国各省市级公安机关有专门的部门处理计算机犯罪案例,然而在处理案件的技术上所用到的只是国外一些常见的取证工具,如今计算机犯罪手段变化多端,这样所获取的电子证据缺乏说服力,未能给破案带来实质性的帮助。而类似美国等发达国家地区,无论是在电子取证技术上、人们的意识形态和有关计算机证据的法律建设都在于我国之上,许多专门的计算机取证部门、实验室和公司开发了很多极其实用的取证产品。例如,计算机司法领域的行业领袖Logicube、突出的计算机取证服务提供商ICS、Vogon和Guidance等公司不断研发和推进它们的专业取证产品,对打击计算机犯罪提供了有效的工具。 因此,我国应该自主开发能够有效打击计算机及网络犯罪的专业电子产品,健全相关法律法规,以应对日益增加的犯罪活动,使得用户的权益不受侵犯。开展计算机取证技术的研究,无疑对我国的社会发展乃至整个世界的计算机科学发展都有着极其重要的意义。 (三)、论文研究内容 与时俱进的时代性不仅体现在社会与经济的快速发展,同时体现于社会各个领域的全面进步,计算机取证已经成为当今社会不可置旁的话题,执法机关对计算机取证

计算机取证技术期末考试

一、选择题(每小题2分,共20分) 1、以下有关EasyRecovery的说法不正确的是() A. EasyRecovery在恢复数据时并不向硬盘写任何东西,而是在内存中镜像文件的FAT表和目录区。 B. 使用该软件时一定要注意将恢复出来的数据保存在其他的硬盘空间内。 C. 该软件能够对FAT和NTFS分区中的文件删除、格式化分区进行数据恢复。 D. 它主要是对数据进行硬件恢复。 2、以下不属于在数据恢复中需要使用的软件的是()。 A. PC3000 B. FinalData C. Encase D. FixRAR 3、以下不属于电子证据特点的是() A. 电子证据的脆弱性 B. 电子证据的隐蔽性 C. 电子证据的不可挽救性 D.电子证据对系统的依赖性 4、以下不属于计算机取证过程中分析过程的是() A. 协议分析 B. 镜像技术 C. 数据挖掘 D. 过程还原 5、以下属于计算机取证技术的发展趋势的是() A. 动态取证技术 B. 计算机取证挖掘算法和柔性挖掘技术 C. 取证工具和过程的标准化 D. 以上都是 6、以下关于硬盘的逻辑结构说法不正确的是() A. 每个盘片有两个面,这两个面都是用来存储数据的。 B. 随着读写磁头沿着盘片半径方向上下移动,每个盘片被划分成若干个同心圆磁道。 C. 磁道被划分成若干个段,每个段称为一个扇区。扇区的编号是按0,1,……顺序进行的。 D. 硬盘柱面、磁道、扇区的划分表面上是看不到任何痕迹的。 7、以下不属于文件系统的是()。 A. LINUX B.NTFS C. FAT32 D.EXT2 8、以下不属于数据分析技术的是()。 A. 对已删除文件的恢复、重建技术 B. 关键字搜索技术 C. 日志分析 D. 特殊类型文件分析 9、以下()命令可以用来测试本地主机的网络连接是否通畅。 A. traceroute B. ping C. ipconfig D. pslist 10、在大多数黑客案件中,嗅探工具常被用来捕捉通过网络的流量以重建诸如上网和访问网络文件等功能,以下()是这类工具。 A. FTK B. sniffer pro C. Quick View Plus D.NTI-DOC 二、填空题(每空2分,共40分) 1、当执行删除文件操作时,系统做了两方面的工作:一是将目录区中该文件的第一个字符改为“E6H”来表示该文件已经被删除;二是将文件所占的文件簇在()中对应表项值全部置“0”。文件分配表 2、计算机对硬盘的读写是以()为基本单位的;()是数据存储和磁盘管理的最基本单位。扇区、簇 3、硬盘上的数据按照其不同的特点和作用大致可分为5部分:主引导扇区、操作系统引导扇区、文件分配表、目录区和数据区。其中()包括硬盘主引导记录MBR和硬盘分区表DPT;将()中起始单元的和FAT表结合分析可以知道文件在硬盘中的具体位置和大小。主引导扇区、目录区 4、操作系统启动分为5个阶段:预引导阶段、引导阶段、加载内核阶段、初始化内核阶段和登录。其中()阶段彩色的Windows XP的logo以及进度条显示在屏幕中央。初始化内

计算机取证分析

计算机取证分析 内部编号:(YUUT-TBBY-MMUT-URRUY-UOOY-DBUYI-0128)

摘要 信息技术的不断发展给人们的生活带来了巨大的改变,网络已经越来越渗透到人们的现实生活与工作当中。然而,网络在为人民生活和工作带来便利的同时,也引发了无数网络犯罪。 计算机静态取证便是针对网络犯罪而出现的一种电子取证技术,而随着网络犯罪形式和手段的千变万化,计算机静态取证已不能满足打击网络犯罪的需求, 为适应信息化发展的要求,建立安全网络环境和严厉打击网络犯罪行为势在必行,本论文针对计算机动态取证技术进行分析,主要浅谈电子动态取证采集系统的实现、网络证据收集和网络数据分析等几个方面。通过对计算机取证基本概念、特点和技术的基础研究,对计算机动态取证进行分析。 关键词:电子取证动态取证动态电子证据采集网络数据协议 目录

一、概述 (一)、研究背景 目前,人类社会已经迈入了网络时代,计算机与互联网已经与老百姓的日常工作、学习与工作息息相关,社会信息化对政治、经济、文化和科技等各项社会生活产生了深远的影响。然而,网络技术给人类社会带来有利影响的同时,也带来了负面的影响。 在国外,1988年11月美国国防部的军用九三级网络遭受莫里斯病毒袭击,致使美国Internet网络上6000多台计算机感染,直接经济损失9600万美元。2000年5月,“爱虫”病毒通过电子邮件传播,在世界各地迅速蔓延,造成全世界空前的计算机系统破坏。而在国内,人们利用计算机网络犯罪的案例也层出不穷。2002年,作案人吕薜文通过盗用他人账号,对中国公众多媒体通信网广州主机进行了攻击,并对其部分文件进行删除、修改、增加等一系列非法操作,造成严重后果。2008年4月,作案人赵哲窜至上海某证券攻击营业部,利用该营业部电脑安全防范上的漏洞,修改该营业部部分股票交易数据,致使股价短时间内剧烈震荡。 计算机以及其他信息设备越来越多的被运用到犯罪活动中,尽管随着入侵检测系统的广泛使用降低了非法使用计算机资源所带来的损失,但网络犯罪依然不可忽视。针对网络环境安全,本文旨在研究探讨网络开放环境下的电子证据的动态收集与分析。 (二)、国内外研究现状 目前,虽然我国各省市级公安机关有专门的部门处理计算机犯罪案例,然而在处理案件的技术上所用到的只是国外一些常见的取证工具,如今计算机犯罪手段变化多端,这样所获取的电子证据缺乏说服力,未能给破案带来实质性的帮助。而类似美国等发达国家地区,无论是在电子取证技术上、人们的意识形态和有关计算机证据的法律建设都在于我国之上,许多专门的计算机取证部门、实验室和公司开发了很多极其实用的取证产品。例如,计算机司法领域的行业领袖Logicube、突出的计算机取证服务提供商ICS、Vogon和Guidance等公司不断研发和推进它们的专业取证产品,对打击计算机犯罪提供了有效的工具。 因此,我国应该自主开发能够有效打击计算机及网络犯罪的专业电子产品,健全相关法律法规,以应对日益增加的犯罪活动,使得用户的权益不受侵犯。开展计算机取证技术的研究,无疑对我国的社会发展乃至整个世界的计算机科学发展都有着极其重要的意义。

电子证据综述

电子证据的法律地位综述 论电子证据的法律地位 摘要:随着现代科技的日新月异和信息技术的不断革新,网络成了

人们生活不可或缺的一部分。与此同时,和网络、信息有关的交易日渐频繁,在法律领域,自然而然地产生了电子形式的证据。电子证据的出现给现有的证据制度甚至整个法制带来了冲击。 关键字:电子证据定义法律地位 一、电子证据的概念 学者们对电子证据的定义并不统一,主要分歧在电子证据与计算机挣据、与视听资料的关系上。 国家信息中心电子数据鉴定中心副主任对电子证据的解释是:电子证据主要是指利用电子信息内容证明案件事实的证据,包括各种存储介质中的文本、图片、音频、或视频文件及网络中传输的信息流。存储介质是电子证据的载体,可以是计算机软、硬盘;磁盘阵列;移动存储设备MO、移动硬盘、U盘、ZIP盘等;计算机用磁带;各种CD-R、CD-RW记录光盘;各种数码相机用的Flashcard、Memory Stick、Mrcrodrive等存储卡,甚至包括手机和MP3等。 蒋平先生认为,电子证据是以电子数据存在的、接触信息技术或者信息设备形成的用作证据使用的一切数据及其派生物。① 何家弘教授认为,电子证据是以电子形式存在的,用作证据使用的一切材料及其派生物②。 笔者认为,电子证据是以电子形式存在的,用作证据使用的一切材料及其派生物。它不仅仅局限于借助计算机设备形成的证据,好包括借助电话机、录音机、摄像机、手机等现代设备形成的证据。因此,广义的电子技术在外延上比计算机证据大,实际上将计算机证据囊括其中,而狭义的电子证据,与计算机证据范围基本相当。 二、电子证据的法律地位 电子证据是否具有独立的法律地位,学界认识是不一致的。目前,我国学术界主要有以下观点: (一)书证说早在1982年就提出“计算机记录作为证据时相当于书面文件” ①蒋平、杨莉莉:《电子证据》,清华大学出版社、中国人民公安大学出版社2007年版,第18页。 ②何家弘、刘品新:《电子证据法研究》,法律出版社2002年版,第5页。

计算机取证技术复习

计算机取证技术复习 一.填空题 1.计算机取证模型主要包 括:、、 、。 2.在证据收集的过程中必须收集的易失性证据主要 有:、、、、、。 3.目前的计算机反取证技术主要有:、。 4.在Windows工作模式下显示系统的基本信息,包 括:、、 及。 5.隐藏术通常通过两种方法对数据进行保 护:; 。 6.在MACtimes中的Mtime指;Atime 指; Ctime指。 7、防止密码破译的措施:;;。 8、目前主要数据分析技术具体包括: :;;; 。 9、安全管理主要包括三个方面:、、。 10、计算机信息系统的安全管理主要基于三个原 则:、、 。 11.系统信息安全包 括:;;; ;。 12.任何材料要成为证据,均需具备三性:; 和。 13. 计算机取证是指对能够为法庭接受的、足够可靠和有说服性的,存在于计算机和相关外设中的电子证据的、、和 的过程。 14.DES是对称密钥加密的算法, DES算法大致可以分成四个部 分:;;和; 15、目前,反取证技术分为三类:、、。 16、网络安全管理的隐患有:;; ;。 二.判断 1.取证的目的是为了据此找出入侵者(或入侵的机器),并解释入侵的过程。()

2.网络入侵取证系统中,日志文件是可以很轻易被人修改的,但是这种修改是很容易被发现的。() 3.硬盘由很多盘片组成,每个盘片被划分为若干个同心圆,称为磁道。() 4.硬盘在存储数据之前,一般需经过低级格式化,分区和高级格式化这三个步骤之后才能使用,其作用是在物理硬盘上建立一定的数据逻辑结构。() 5.初始响应在数据收集过程中,能将收集到的证据写回到被入侵机器的硬盘上。() 6.数据遭受物理损坏后,失效的数据彻底无法使用。() 7.数据备份是指将计算机硬盘上的原始数据复制到可移动媒体上,如磁带,光盘等。() 8.计算机反取证就是删除或者隐藏入侵证据使取证工作失效。() 9.用数字加密技术对数据进行保护主要有两种方式:保密和证明数据的完整性。() 10.Windows文件删除分为逻辑删除和物理删除两种。() 11.防火墙本身具有较强的抗攻击能力,它是提供信息安全服务,实现网络和信息安全的基础设施。() 12.安全机制分为两类,一类是与安全服务有关;另一类与管理功能有关。()13.数据流加密是指把数据划分为定长的数据块,再分别加密。数据块加密是指加密后的密文前部分,用来参与报文后面部分的加密。() 14.让一台计算机能辨别某个特定的文件系统的过程称为装载文件系统。() 三、简答题 1、在计算机取证的过程中,不管发生了什么紧急情况,调查者都必须遵循的原则是什 么? 2、当Windows系统受到入侵攻击,而需要对系统进行取证分析的操作会引起易失性数 据。主要的易失性数据包括哪些? 3.Windows系统中初始响应指的是什么?现场数据收集的主要步骤包括哪些? 4、描述你知道的证据获取技术包括哪些? 5、基本过程模型有哪些步骤? 6. 电子证据与传统证据的区别有哪些? 7. Windows系统取证方法的主要流程是什么? 9. 日志分析有哪些?包括什么内容? 10. Windows 2000/XP安全管理的常用方法有哪些?(至少写出6个) 四、综合题 1. Windows系统下取证方法的主要流程是什么?我们文件数据一般的隐藏术有哪些,谈谈你的看法? 2. 阐述事件响应过程模型执行步骤及其工作内容? 3.简述硬盘的结构与数据组织,写出一般文件的删除与恢复方法? 4. 在Windows系统下的文件删除与恢复的操作是什么? 5.计算机取证模型有哪些?分别阐述其特点?

计算机取证技术综述

龙源期刊网 https://www.wendangku.net/doc/17850362.html, 计算机取证技术综述 作者:袁铠锋 来源:《科教导刊·电子版》2017年第14期 摘要随着计算机信息技术的不断发展与成熟,计算机网络逐渐成为了各行各业在开展工作时不可缺少的重要工具,各种依托计算机信息而实施的计算机网络犯罪现象也日益猖狂起来。本文围绕几种常见的计算机取证技术介绍、计算机取两个证技术的发展方向以及未来展望两个方面展开讨论,对计算机取证技术进行了综述,并提出了一些笔者自己的见解,希望能够对今后计算机取证技术的研究提供一些理论建议。 关键词计算机取证技术数据信息可靠性 中图分类号:TP309 文献标识码:A 1几种常见的计算机取证技术介绍 在美国地区,至少有百分之七十的法律部门都已经设置了专门的计算机取证实验室,取证专家在实验室内对各种从犯罪现场收集的数据信息进行分析,从中提取中与作案相关的信息。 由于取证时刻上具有一定的潜在属性,因此我们可将计算机取证分为两组不同的模式,分别为静态取证模式以及动态取证模式。其中,静态取证指的是对各种潜在证据进行提取,如存储在各种未运行状态媒介中的证据;而动态取证指的是对各种存储有网络以及运行媒介中的证据进行提取。由于网络数据以及计算机系统数据在属性上具有本质区别,因此人们在取证过程中使用的取证方式往往也会分为两种,分别为依托计算机系统的取证以及依托网络数据的取证。 1.1预备取证技术 一般情况下,计算机系统以及网络系统中存在的数据在使用后均会被删除,即使是各种潜在数据也可能面临被黑客删除的风险,所以说在事发后从受害者计算机中获得的数据并不一定真实可靠,这就使得事发前的预备取证能力越来越得到关注。预备取证的目标在于构建一个科学可靠的系统,对于各种可疑数据进行自动搜索、识别、汇集以及过滤,同时对于各种可靠数据进行自动存储、保留以及分析。预备取证系统的建立能够确保安全事件发生后的证据数量、真实度、可靠度同时实现最大化。 布拉德等学者针对企业构建预备取证技系统的基本原理进行了总结,具体如下:(1)小安全漏洞原理:一个极小的安全漏洞便可以导致系统的安全防护完全失效;(2)小用户世界原理:对于一些特殊的用户而言,个别的设备以及系统便可满足他们的使用需求;(3)安全策略行为违反递减原理:随着用户对于系统知识的不断了解以及掌握,各种完全违反行为的发生频率也逐渐增加。

电子取证技术的三大方向

电子取证技术的三大方向 计算机取证是对计算机犯罪证据的识别获取、传输、保存、分析和提交认证过程,实质是一个详细扫描计算机系统以及重建入侵事件的过程。 国内外计算机取证应用发展概况 现在美国至少有70%的法律部门拥有自己的计算机取证实验室,取证专家在实验室内分析从犯罪现场获取的计算机(和外设),并试图找出入侵行为。 在国内,公安部门打击计算机犯罪案件是近几年的事,有关计算机取证方面的研究和实践才刚起步。中科院主攻取证机的开发,浙江大学和复旦大学在研究取证技术、吉林大学在网络逆向追踪,电子科技大学在网络诱骗、北京航空航天大学在入侵诱骗模型等方面展开了研究工作。但还没有看到相关的阶段性成果报道。 计算机取证的局限性以及面临的问题 (1)目前开发的取证软件的功能主要集中在磁盘分析上,如磁盘映像拷贝,被删除数据恢复和查找等工具软件开发研制。其它取证工作依赖于取证专家人工进行,也造成了计算机取证等同于磁盘分析软件的错觉。 (2)现在计算机取证是一个新的研究领域,许多组织、公司都投入了大量人力进行研究。但没有统一标准和规范,软件的使用者很难对这些工具的有效性和可靠性进行比较。也没有任何机构对计算机取证和工作人员进行认证,使得取证权威性受到质疑。 计算机取证发展研究 计算机取证技术随着黑客技术提高而不断发展,为确保取证所需的有效法律证据,根据目前网络入侵和攻击手段以及未来黑客技术的发展趋势,以及计算机取证研究工作的不断深入和改善,计算机取证将向智能化、专业化和自动化方向发展 计算机取证的相关技术发展 从计算机取证的过程看,对于电子证据的识别获取可以加强动态取证技术研究,将计算机取证结合到入侵检测、防火墙、网络侦听等网络安全产品中进行动态取证技术研究;对于系统日志可采用第三方日志或对日志进行加密技术研究;对于电子证据的分析,是从海量数据中获取与计算机犯罪有关证据,需进行相关性分析技术研究,需要高效率的搜索算法、完整性检测算法优化、数据挖掘算法以及优化等方面的研究。 对入侵者要进行计算机犯罪取证学的入侵追踪技术研究,目前有基于主机追踪方法的Caller ID,基于网络追踪方法的IDIP、SWT产品。有学者针对网络层的追踪问题,提出基于聚类的流量压缩算法,研究基于概率的追踪算法优化研究,对于应用层根据信息论和编码理论,提出采用数字水印和对象标记的追踪算法和实现技术,很有借鉴意义。在调查被加密的可执行文件时,需要在计算机取证中针对入侵行为展开解密技术研究。 计算机取证的另一个迫切技术问题就是对取证模型的研究和实现,当前应该开始着手分析网络取证的详细需求,建立犯罪行为案例、入侵行为案例和电子证据特征的取证知识库,有学者提出采用XML和OEM数据模型、数据融合技术、取证知识库、专家推理机制和挖掘引擎的取证计算模型,并开始着手研究对此模型的评价机制。 计算机取证的标准化研究 计算机取证工具应用,公安执法机关还缺乏有效的工具,仅只利用国外一些常用的取证工具或者自身技术经验开发应用,在程序上还缺乏一套计算机取证的流程,提出的证据很容易遭到质疑。对计算机取证应该制定相关法律、技术标准,制度以及取证原则、流程、方法等,到目前为止,还没有专门的机构对计算机

计算机取证研究综述

Aug. 2005, Volume 2, No.8 (Serial No.9) 通讯和计算机 Journal of Communication and Computer, ISSN1548-7709, USA 1 计算机取证研究综述* 丁丽萍1, 王永吉 2 (1,2 中国科学院软件研究所互联网软件技术实验室,北京 100080; 1 北京人民警察学院公安科技教研部,北京 100029; 1 中国科学院研究生院,北京 100039) 摘 要:计算机取证是法学、刑事侦查学和计算机科学的交叉学科,对于计算机取证和电子证据的研究必须体现这一交叉学科的特点。本文总结了近年来国内外的研究情况,提出了今后的研究重点和方向。 关键词:计算机取证;研究;现状;挑战;方向 * 本文得到中国科学院百人计划资助项目,国家自然科学基金资助项目(No.60373053),中国科学院与英国皇家学会联合资助项目(No.20030389, No.20032006)和教育部留学回国人员科研启动基金资助项目(教外司留[2003]406号)资助。 1 丁丽萍(1965- ),女,山东青州人,博士生,副教授;研究方向:计算机取证学;E-mail: dingliping@https://www.wendangku.net/doc/17850362.html,. 2 王永吉(1962- ),男,辽宁盖州人,研究员,博士生导师,中科院2002年引进海外杰出人才“百人计划”入选者;研究方向:实时系统,网络优化,计算机取证学,智能软件工程,优化理论,机器人和控制理论等。 1. 引 言 1991年,在美国召开的国际计算机专家会议上首次提出了计算机取证(Computer Forensics )这一术语[1]。十几年来,随着计算机技术的发展,计算机取证学的研究不断深入,几乎每年都召开以计算机取证为主题的学术会议,例如,1993年、1995年、1996年和1997年分别在美国和澳大利亚、新西兰召开了以计算机取证为主题的国际会议。从总体上看,2000年之前的计算机取证研究主要侧重于取证工具的研究,2000年以后,开始了对计算机取证基础理论的研究。毕业于中国科学院软件所的孙波博士认为计算机取证的发展可以分为奠基时期、初步发展时期和理论完善时期三个阶段。他对这三个阶段的划分和分析也体现了前期的取证工具研究和近期的理论研究的特点。2001年6月在法国召开的第十三届全球FIRST (Forum of Incident Response and Security Teams )年会的主题就是入侵系统恢复和分析取证理论,2002年的美国夏威夷FIRST 年会提出了计算机取证协议和程序的标准化问题。我国的计算机取证研究无论是取证工具还是基础理论的研究都处于起步阶段。本文第二部分分析了计算机取证的基础理论的研究现状;第三部分探讨了计算机取证技术的研究情况;第四部分列举了目前的取证工具;第五部分对计算机取证法律法规进行了讨论;最后一部分提出了计算机取证面临的挑战和今后的发展方向。 2. 基础理论研究现状 目前,国内外对计算机取证技术的理论研究集中在对计算机取证的产生、发展、现状和未来的发展趋势预测等的研究,计算机取证的有关概念、特点、原则、标准、规范等的研究以及对各种现有技术在计算机取证中的应用的研究。理论研究从总体上看还处于起步阶段。 有关理论研究的资料在IOCE(International Organization on Computer Evidence, 国际计算机证据组织)的网站https://www.wendangku.net/doc/17850362.html,/上都可以查到。 2.1有关的概念和特点 对概念和特点的研究主要集中在电子证据的概念和特点、计算机取证的概念和特点上。 2.1.1电子证据的概念和特点 电子证据,即计算机证据。目前,对电子证据的定义很多,没有形成统一的定论。比较典型的有:文献[2]认为计算机证据是存储有电子数据的电、磁、光记录物,这些电子数据是在计算机系统运行

相关文档