相关热词搜索:
计算机取证技术论文
计算机取证技术论文 计算机取证技术论文篇一 计算机取证技术 中图分类号:G64 文献标识码:A 文章编号:1008-925X(2011)05-0141-02摘要:本章概述了计算机取证技术,分别介绍了静态 取证和动态取证的定义、原则和模型,从而得出了动态计算机取证的几个优点。
关键词:静态取证 动态取证 1、计算机取证概述 1.1计算机取证的定义 计算机取证,是指对计算机入侵、破坏、欺诈、攻击等犯罪行为,利 用计算机软硬件技术,按照符合法律规范的方式,进行识别、保存、分析和提交 数字证据的过程。
1.2计算机取证的发展 计算机取证的发展可以划分为奠基时期、初步发展时期和理论完善时 期等3个阶段。
始于1984年的奠基时期,计算机取证的基本思想、基本概念、基本标 准及基本原则逐步建立。90年代中后期为计算机取证的初步发展期,在市场的强 烈需求下,出现了一大批以Encase等工具为代表的计算机取证工具,使得计算机 取证技术逐渐为人们所认识和接受。始于1999年的理论完善时期开始对计算机取 证程序及取证标准等基本理论和基本问题进行进一步的研究。
1.3计算机取证的相关技术 计算机取证过程充满了复杂性和多样性,这使得相关技术也显得复杂 和多样。依据计算机取证的过程,涉及到的相关技术大体如下:
(1)电子证据监测技术电子数据的监测技术就是要监测各类系统设备以及存储介质中的电子数据,分析是否存在可作为证据的电子数据。
(2)物理证据获取技术它是全部取证工作的基础,在获取物理证据时 最重要的工作是保证所保存的原始证据不受任何破坏。
(3)电子证据收集技术电子数据收集技术是指遵照授权的方法,使用 授权的软硬件设备,将已收集的数据进行保全,并对数据进行一些预处理,然后 完整安全的将数据从目标机器转移到取证设备上。
(4)电子证据保存技术在取证过程中,应对电子证据及整套的取证机 制进行保护。只有这样,才能保证电子证据的真实性、完整性和安全性。
(5)电子证据处理技术电子证据处理指对已收集的电子数据证据进行 过滤、模式匹配、隐藏数据挖掘等的预处理工作。
(6)电子证据提交技术依据法律程序,以法庭可接受的证据形式提交 电子证据及相应的文档说明。
综上所述,计算机取证技术是由多种科技范畴组合而成的边缘科学。
2、静态计算机取证技术 2.1取证的基本原则 根据电子证据易破坏性的特点,确保电子证据可信、准确、完整并符 合相关的法律法规,计算机取证主要遵循以下几点原则:
(1)尽早搜集电子证据,并保证其没有受到任何破坏:
(2)必须确保“证据链”的完整性,即在证据被正式提交时,必须能够说 明在证据从最初的获取状态到在法庭上出现状态之间的任何变化:
(3)整个检查、取证过程必须是受到监督的。
2.2取证的步骤 一般来说,为确保获取有效的法律证据,并保证其安全性和可靠性, 计算机取证一般应包括保护目标系统、电子证据确定、收集、保护、分析和归档 等六个步骤。(1)保护目标计算机系统 是冻结计算机系统,避免发生任何的更改系统设置、硬件损坏、数据 破坏或病毒感染的情况。
(2)电子证据的确定 对于计算机取证来说,需从存储在大容量介质的海量数据中区分哪些 是电子证据,以便确定那些由犯罪者留下的活动记录作为主要的电子证据,并确 定这些记录存在哪里、是怎样存储的。
(3)电子证据的收集 取证人员在计算机犯罪现场收集电子证据的工作包括收集系统的硬 件配置信息和网络拓扑结构,备份或打印系统原始数据,以及收集关键的证据数 据到取证设备。
(4)电子证据的保护 采取有效措施保护电子证据的完整性和真实性,包括用适当的储存介 质进行原始备份:对存放在取证服务器上的电子证据采用加密、物理隔离、建立 安全监控系统实时监控取证系统的运行状态等安全措施进行保护。
(5)电子证据的分析 对电子证据分析是对文件属性、文件的数字摘要和日志进行分析:分 析操作系统交换文件、文件碎片和未分配空间中的数据:对电子证据做一些智能 相关性的分析,即发掘同一事件的不同证据问的联系:完成电子证据的分析后给 出专家证明。
(6)归档 对涉及计算机犯罪的日期和时间、硬盘分区情况、操作系统和版本、 运行取证时数据和操作系统的完整性、计算机病毒评估情况、文件种类、软件许 可证以及取证专家对电子证据的分析结果和评估报告等进行归档处理,形成能提 供给法庭的电子证据。2.3取证的模型 静态取证系统按操作过程分为两个步骤:现场数据的分析和数据采 集:进行数据集中综合分析。一种较好的方法是现场对目标主机内存的数据进行 分析,根据恶意代码的特点,集中分析一个进程空间的某一段数据,分析的结果 以文档或报表等形式提交。
3、动态计算机取证技术 计算机动态取证是将取证技术结合到防火墙、入侵检测中,对所有可 能的计算机犯罪行为进行实时数据获取和分析,智能分析入侵者的企图,采取措 施切断链接或诱敌深入,在确保系统安全的情况下获取最大量的证据,并将证据 鉴定、保全、提交的过程。
3.1取证的基本原则 动态计算机取证对时间上要求非常严格,一般而言,其证据的提取基 本上与入侵检测同时进行,时间上相差很小。
3.2取证的步骤 动态计算机取证是在进行网络入侵检测的同时进行证据的提取,所以 其进行取证的步骤为:
(1)证据的获取 证据的提取是发生在入侵检测的同时,一旦网络入侵被检测系统发现, 立即启动取证系统进行证据的提取工作。
(2)证据的转移 这里的证据转移是指将从入侵主机(目标主机)提取的证据安全转移 到证据服务器中的过程。
(3)证据的存档 证据的存档指的是证据在证据服务器中的保存。被提取的证据须以一 定的格式保存在证据服务器中,证据服务器与局域网内的主机是通过安全传输方式进行连接的,而且仅响应这些主机的请求。
(4)证据的调查分析 进行司法调查时,从证据服务器中查看目标主机上提取的相关证据, 进行有关调查分析。
(5)证据的呈供 动态计算机取证技术中的证据呈供与其在静态取证技术中的过程是 基本一致的,也是将所有的调查结果与相应的证据上报法庭,这一阶段应依据政 策法规行事,对不同的机构采取不同的方式。
3.3取证的模型 在动态取证中,通过实时监控攻击发生,一方面可以进行实时同步取 证,对入侵做详细记录。另一方面激活响应系统,根据不同的攻击,采取不同的 措施。这样一方面使取证更具有实时性和连续性,其证据更具有法律效力;另一 方面,利用响应系统可以将系统的损失降为最小。
一般的网络攻击都要遵循同一种行为模式,即嗅探、入侵、破坏和掩 盖入侵足迹等几个攻击阶段。对每一个不同的阶段,网络入侵取证可以采用不同 的取证方法,并执行不同的响应措施。
4、结束语 传统的取证工具大部分是静态取证,即事件发生后对目标系统的静态 取证。随着计算机入侵攻击技术的不断发展,这种事后静态取证的方法已经不能 满足要求,需要对其进行改进,因此提出了动态取证。
计算机取证技术论文篇二 计算机取证技术研究 摘要:随着计算机和网络技术的飞速发展,计算机犯罪和网络安全等 问题也越来越突出,也逐渐引起重视。文章对计算机取证的特点、原则和步骤进 行了介绍,最后从基于单机和设备、基于网络的两类取证技术进行了深入研究。关键词:计算机取证 数据恢复 加密解密 蜜罐网络 随着计算机和网络技术的飞速发展,计算机和网络在人类的政治、经 济、文化和国防军事中的作用越来越重要,计算机犯罪和网络安全等问题也越来 越突出,虽然目前采取了一系列的防护设备和措施,如硬件防火墙、入侵检测系 统、、网络隔离等,并通过授权机制、访问控制机制、日志机制以及数据备份等 安全防范措施,但仍然无法保证系统的绝对安全。
计算机取证技术是指运用先进的技术手段,遵照事先定义好的程序及 符合法律规范的方式,全面检测计算机软硬件系统,查找、存储、保护、分析其 与计算机犯罪相关的证据,并能为法庭接受的、有足够可信度的电子证据。计算 机取证的目的是找出入侵者,并解释或重现完整入侵过程。
一、计算机取证的特点 和传统证据一样,电子证据也必须是可信的、准确的、完整的以及令 人信服并符合法律规范的,除此之外,电子证据还有如下特点:
1.数字性。电子证据与传统的物证不同,它是无法通过肉眼直接看见 的,必须结合一定的工具。从根本上讲,电子证据的载体都是电子元器件,电子 证据本身只是按照特殊顺序组合出来的二进制信息串。
2.脆弱性。计算机数据每时每刻都可能发生改变,系统在运行过程中, 数据是不断被刷新和重写的,特别是如果犯罪嫌疑人具备一定的计算机水平,对 计算机的使用痕迹进行不可还原的、破坏性操作后,现场是很难被重现的。另外 取证人员在收集电子证据过程中,难免会进行打开文件和程序等操作,而这些操 作很可能就会对现场造成原生破坏。
3.多态性。电子证据的多态性是指电子证据可以以多种形态表现,它 既可以是打印机缓冲区中的数据,也可以是各种计算机存储介质上的声音、视频、 图像和文字,还可以是网络交换和传输设备中的历史记录等等,这些不同形态都 可能成为被提交的证据类型。法庭在采纳证据时,不仅要考虑该电子证据的生成 过程、采集过程是否可靠,还要保证电子证据未被伪造篡改、替换剪辑过。
4.人机交互性。计算机是通过人来操作的,单靠电子证据本身可能无 法还原整个犯罪过程,必须结合人的操作才能形成一个完整的记录,在收集证据、还原现场的过程中,要结合人的思维方式、行为习惯来通盘考虑,有可能达到事 半功倍的效果。
二、计算机取证的原则和步骤 (一)计算机取证的主要原则 1.及时性原则。必须尽快收集电子证据,保证其没有受到任何破坏, 要求证据的获取具有一定的时效性。
2.确保“证据链”的完整性。也称为证据保全,即在证据被正式提交法 庭时,必须能够说明证据从最初的获取状态到法庭上出现的状态之间的任何变化, 包括证据的移交、保管、拆封、装卸等过程。
3.保全性原则。在允许、可行的情况下,计算机证据最好制作两个以 上的拷贝,而原始证据必须专门负责,所存放的位置必须远离强磁、强腐蚀、高 温、高压、灰尘、潮湿等恶劣环境,以防止证据被破坏。
4.全程可控原则。整个检查取证的过程都必须受到监督,在证据的移 交、保管、拆封和装卸过程中,必须由两人或两人以上共同完成,每一环节都要 保证其真实性和不间断性,防止证据被蓄意破坏。
(二)计算机取证的主要步骤 1.现场勘查 勘查主要是要获取物理证据。首先要保护计算机系统,如果发现目标 计算机仍在进行网络连接,应该立即断开网络,避免数据被远程破坏。如果目标 计算机仍处在开机状态,切不可立即将其电源断开,保持工作状态反而有利于证 据的获取,比如在内存缓冲区中可能残留了部分数据,这些数据往往是犯罪分子 最后遗漏的重要证据。如果需要拆卸或移动设备,必须进行拍照存档,以方便日 后对犯罪现场进行还原。
2.获取电子证据 包括静态数据获取和动态数据获取。静态数据包括现存的正常文件、 已经删除的文件、隐藏文件以及加密文件等,应最大程度的系统或应用程序使用 的临时文件或隐藏文件。动态数据包括计算机寄存器、Cache缓存、路由器表、任务进程、网络连接及其端口等,动态数据的采集必须迅速和谨慎,一不小心就 可能被新的操作和文件覆盖替换掉。
3.保护证据完整和原始性 取证过程中应注重采取保护证据的措施,应对提取的各种资料进行复 制备份,对提取到的物理设备,如光盘硬盘等存储设备、路由器交换机等网络设 备、打印机等外围设备,在移动和拆卸过程中必须由专人拍照摄像,再进行封存。
对于提取到的电子信息,应当采用MD5、SHA等Hash算法对其进行散列等方式 进行完整性保护和校验。上述任何操作都必须由两人以上同时在场并签字确认。
4.结果分析和提交 这是计算机取证的关键和核心。打印对目标计算机系统的全面分析结 果,包括所有的相关文件列表和发现的文件数据,然后给出分析结论,具体包括:
系统的整体情况,发现的文件结构、数据、作者的信息以及在调查中发现的其他 可疑信息等。在做好各种标记和记录后,以证据的形式并按照合法的程序正式提 交给司法机关。
三、计算机取证相关技术 计算机取证涉及到的技术非常广泛,几乎涵盖信息安全的各个领域, 从证据的获取来源上讲,计算机取证技术可大致分为基于单机和设备的计算机取 证技术、基于网络的计算机取证技术两类。
(一)基于单机和设备的取证技术 1.数据恢复技术 数据恢复技术主要是用于将用户删除或格式化的磁盘擦除的电子证 据恢复出来。对于删除操作来说,它只是将文件相应的存放位置做了标记,其文 件所占的磁盘空间信息在没有新的文件重新写入时仍然存在,普通用户看起来已 经没有了,但实际上通过恢复文件标记可以进行数据恢复。对于格式化操作来讲, 它只是将文件系统的各种表进行了初始化,并未对数据本身进行实际操作,通过 重建分区表和引导信息,是可以恢复已经删除的数据的。实验表明,技术人员可 以借助数据恢复工具,把已经覆盖过7次的数据重新还原出来。2.加密解密技术 通常犯罪分子会将相关证据进行加密处理,对取证人员来讲,必须把 加密过的数据进行解密,才能使原始信息成为有效的电子证据。计算机取证中使 用的密码破解技术和方法主要有:密码分析技术、密码破解技术、口令搜索、口 令提取及口令恢复技术。
3.数据过滤和数据挖掘技术 计算机取证得到的数据,可能是文本、图片、音频或者视频,这些类 型的文件都可能隐藏着犯罪信息,犯罪分子可以用隐写的方法把信息嵌入到这些 类型的文件中。若果犯罪分子同时结合加密技术对信息进行处理,然后再嵌入到 文件中,那么想要还原出原始信息将变得非常困难,这就需要开发出更优秀的数 据挖掘工具,才能正确过滤出所需的电子证据。
(二)基于网络的取证技术 基于网络的取证技术就是利用网络跟踪定位犯罪分子或通过网络通 信的数据信息资料获取证据的技术,具体包括以下几种技术:
1.IP地址和MAC地址获取和识别技术 利用ping命令,向目标主机发送请求并监听ICMP应答,这样可以判 断目标主机是否在线,然后再用其他高级命令来继续深入检查。也可以借助IP扫 描工具来获取IP,或者利用DNS的逆向查询方法获取IP地址,也可以通过互联网 服务提供商ISP的支持来获取IP。
MAC地址属于硬件层面,IP地址和MAC的转化是通过查找地址解析 协议ARP表来实现的,当然,MAC跟IP地址一样,也可能被修改,如此前一度横 行的“ARP欺骗”木马,就是通过修改IP地址或MAC来达到其目的的。
2.网络IO系统取证技术 也就是网络输入输出系统,使用netstat命令来跟踪嫌疑人,该命令可 以获取嫌疑人计算机所在的域名和MAC地址。最具代表性的是入侵检测技术IDS, IDS又分为检测特定事件的和检测模式变化的,它对取证最大帮助是它可以提供 日志或记录功能,可以被用来监视和记录犯罪行为。3.电子邮件取证技术 电子邮件使用简单的应用协议和文本存储转发,头信息包含了发送者 和接受者之间的路径,可以通过分析头路径来获取证据,其关键在于必须了解电 子邮件协议中的邮件信息的存储位置。对于POP3协议,我们必须访问工作站才 能获取头信息;而基于HTTP协议发送的邮件,一般存储在邮件服务器上;而微软操 作系统自带的邮件服务通常采用SMTP协议。对于采用SMTP协议的邮件头信息, 黑客往往能轻易在其中插入任何信息,包括伪造的源地址和目标地址。跟踪邮件 的主要方法是请求ISP的帮助或使用专用的如NetScanTools之类的工具。
4.蜜罐网络取证技术 蜜罐是指虚假的敏感数据,可以是一个网络、一台计算机或者一项后 台服务,也可以虚假口令和数据库等。蜜罐网络则是由若干个能收集和交换信息 的蜜罐组成的网络体系,研咳嗽苯柚 菘刂啤⑹ 莶痘窈褪 莶杉 炔僮鳎 杂詹兜矫酃尥 缰械墓セ餍形 锌刂坪头治觥C酃尥 绲墓丶 际醢 ㄍ 缙燮 ⒐セ鞑痘瘛⑹ 菘刂啤⒐セ鞣治鲇胩卣魈崛 ⒃ぞ 烙 际酢D壳坝τ媒 隙嗍侵鞫 酃尴低常 梢愿 萑肭终叩墓セ髂康奶峁┫嘤Φ钠燮 瘢 涎 尤肭终咴诿酃拗械氖奔洌 佣 袢「 嗟男畔ⅲ ⒉扇∮姓攵孕缘拇胧 Vは 低车陌踩 浴
