网站原创摘 要:计算机取证具有特殊性,只有对计算机取证以及计算机证据有深入了解,才能更好的开展工作.本文就如何确保计算机证据采集的标准性、真实性与合法性所使用的相应技术方法进行的了探讨,并且就现今计算机取证可能出现的问题以及计算机取证将来发展形势作出了研究.
关 键 词:发展;研究;计算机证据;犯罪
中图分类号:TP399
伴随着科技的发展,时代的进步,计算机网络技术也得到了迅猛的发展和广泛的应用,在信息快速传播的今天,计算机网络的安全隐患也越来越需要我们重视.对此,我们需要制定完善的网络法制法规以及使用合理的技术控制手段,以此来解决计算机网络日益恶化的信息安全问题.本文就计算机动态和静态取证,以及计算机网络取证将来发展的趋势展开了分析与研究.
1计算机取证过程
计算机进行证据提取是指对计算机进行入侵、窃取、诈骗、控制、破坏等等一系列行为,使用计算机硬件或者软件上的技术,按照正规法律程序的流程,对法庭认可的、有说服力的、储存在计算机或者相关网络中电子信息数据进行证据提取、传输、存储、认证与提交的一系列过程.计算机取证的本质可以理解为对计算机软件或硬件系统进行检测借此还原入侵控制系统事件过程.
通常,计算机取证分为六个步骤:第一步是现场调查,进行现场保护、搜索、寻找物理证据,具体实行需要到达现场,进行现场保护调查,看证据能否取走,不能取走做好记录,分析其原因,检查计算机是否安全,比如;调查最后一次计算器启动情况,网络信息记录等等,然后关掉计算机,查看能否做镜像处理,分析问题发生原因,对已获得信息数据进行深入剖析,整理以及存档,然后上交法庭.第二步是识别计算机获取的证据,对已获得证据进行分门别类和分析获得信息方法.第三步是进行数据传输,把已经获得的数据信息完整的保存到计算机取证分析仪器上面.第四步存储数据,把原信息数据进行原封不动的保存,保证其完整性.第五步分析计算机取证,以可显示方法分析,确保分析结果的精确度.第六步是按照相关的法律程序向有关部门提交证据.
| 有关论文范文主题研究: | 关于计算机的论文范文数据库 | 大学生适用: | 专升本论文、自考毕业论文 |
|---|---|---|---|
| 相关参考文献下载数量: | 44 | 写作解决问题: | 学术论文怎么写 |
| 毕业论文开题报告: | 论文任务书、论文题目 | 职称论文适用: | 刊物发表、职称评初级 |
| 所属大学生专业类别: | 学术论文怎么写 | 论文题目推荐度: | 优质选题 |
2计算机提取证据的技术
2.1计算机静态取证
在大多数犯罪案例当中有入侵计算机目的、作案使用工具以及犯罪信息数据储存器三种角色.但是无论是哪一种角色,在计算机犯罪过程当中都会遗留大量犯罪证据,计算机网络静态取证也可以称为计算机医学,是把计算机当成犯罪场所,应用先进的科学技术,对其犯罪行为进行解剖,通过计算机硬件上保留的信息,提起诉讼并作为呈堂证供.
静态取证可以分为获得物理证据与信息发现两部分.获得物理证据是指调查人员到犯罪现场,发现并扣留有关的计算机犯罪设施;信息发现指的是通过相关文件、日志等原始数据来发现的相关凭证,和其他证据一样计算机证据也务必要具有可靠性、安全性、真实性等符合法律法规的特点.
复原计算机信息技术,这主要是把罪犯销毁或者通过删除的计算机软件信息进行还原.首先计算机是通过它硬件磁盘的表层磁性来保留记录数据的,需要强调的是,在编写数据的时候,磁盘表面介质不能彻底脱离最初状态的影响.打个比方,如果我们把“1”编写到磁盘上,那么磁力强度就该是“1”,但是我们把“1”编写在原来是“0”的位置,我们所得到的介质磁力强度将会是“0.95”左右,而本身是“1”的位置磁盘介质强度大约就为“1.05”这样.磁盘一般的会把两个位置的值都认定为“1”.但是我们利用类似磁盘显微镜的专业设备,就能通过技术手段,还原一层或两层的原始数据.另外,因为新改写的数据几乎难到达写在原有一样地方的精准度,所以即便是经过多次覆盖,我们照样可以通过磁盘显微镜这样的技术给找出来.这样的结论可以给调查注入更多可能,让被格式化的数据恢复成为现实.
因为硬盘格式化仅仅是把进入过的文件表系统重新构造.如果文件格式化的时候硬盘上已经有数据存在,那么在格式化之后,被格式化的数据依然会被硬盘所记录,另一方面格式化会引发另一个全新的索引列表,指向没有分配的数据模块.删除文件的操作并不能在真正意义上把文件进行彻底的删除,而是把组成文件的数据簇还回到系统当中.对于一般意义上的计算机写读操作来说,这些数据簇是看不见的,在目录项也寻找不到,但是能够从空闲列表当中获得.这便使计算机取证的效率获得极大的提升.
对于加锁解密技术研究,计算机取证常常会碰到需要将加密数据解密的情况.在现阶段使用的技术有很多,如防火墙、安全路由器、口令提取、安全网关、入侵检测、系统脆弱性扫描软件等,主要手段是进行口令提取,而口令搜索范围涵盖物理搜索或是逻辑搜索,从电子文档之中搜索文明口令;网络监听,在网络中寻找文明口令;进行口令提取,然后进行恢复口令,很多电脑系统口令基本都是按文明的形式在相应的规定区域或是注册表,可以在相关区域获得口令,再用钥匙恢复机制在高级管理员处得到口令.
2.2计算机动态取证
动态取证是为了更好的完善网络防御技术以及入侵检测系统漏洞,把取证技术与防火墙相融合,把一切计算机的犯罪过程进行及时数据的截获和分析,科学的分析犯罪分子目的,采取积极有效的措施,在够能保证自身系统安全的前提下,把计算机证据保存、鉴定、提交的过程.计算机动态取证是在全方面获得真实数据的同时,对犯罪分子的出发点、目的、作案方法进行剖析,从而制定出积极有效的应对方案,由外至内形成安全防御体系.
计算机动态取证的方法主要是根据网络信号使用取证技术对犯罪分子进行跟踪,或者是经由网络信息数据分析获得证据的方法.当中涵盖了IP、MAC地址跟踪与识别技术、鉴定技术、以及网络监听、漏洞扫描等手段.在当下网络犯罪趋势直线上升的今天,计算机动态取证在取证技术中有着不可替代的位置.
首先了解电子邮件动态取证技术.电子邮件结构简单,几乎全是使用文本进行存储和发送,规定信息只能在中间系统进过.信息的主要构成部分是以字符构成,头信息含有发送以及接收地址.因此可以在文本发送信息路径上进行研究借此获取信息.其次是获得IP技术,可以获得IP的技术多种多样,主要有对ping命令的使用、还原混乱IP、使用扫描IP地址工具、通过区域怎么写作器逆向查询、MAC硬件地址获取以及ISP供应商的地址提供以上手段都可以进行IP地址的获取.最后动态取证也可以使用人工智能以及数据挖掘方式,计算机储存量越多,网络进行传输的效率越高.对于计算机存储以及庞大的网络传输量,可以根据NFAT标准,按照其开发的系统(ES),把其融入到检测系统或者防火墙,对于网络传送的数据进行分析以及发现的犯罪行为进行证据提取.
3计算机取证发展趋势
计算机取证是根据计算机网络犯罪的出现而发展起来的,现在所采用的技术和手段也越来越多种多样,相对的我国所使用的计算机取证技术也应当得到相应的提升,加入更多先进技术,比如反向跟踪、入侵锁定、数据挖掘等等.务必要把这些取证技术融入到检测系统与防火墙当中,对于网络安全实施动态取证的技术开发.首先现今网络罪犯基本是无孔不入,通常除了计算机外,其他的存储电子工具也成为这些犯罪分子的目标,比如手机、局域网、平板电脑等等,而犯罪证据将以各种不同的形式留在以上所述设备之中,对此需要针对不同设备使用不同的取证方法.其次实现计算机取证的专业化与智能化提高,这样可以大大加强计算机取证的工作效率.最后应该建立标准化的计算机取证体制,随着网络科技的发展完善,对于网络犯罪我们应该及时采取措施,以便于计算机取证,比如设立计算机取证人员上岗资格、建立相应的网络法律法规等等,使网络罪犯得到相应的惩罚.
306;39-40.
作者简介:刘蓉(1983.1-),男,湖南益阳人,工学硕士,研究方向:计算机取证.
作者单位:长沙局,长沙410000