计算机取证技术

点赞:7131 浏览:30502 近期更新时间:2023-12-22 作者:网友分享原创网站原创

中图分类号:G64 文献标识码:A 文章编号:1008-925X(2011)05-0141-02摘 要:本章概述了计算机取证技术,分别介绍了静态取证和动态取证的定义、原则和模型,从而得出了动态计算机取证的几个优点.

关 键 词:静态取证 动态取证

1.计算机取证概述

1.1计算机取证的定义

计算机取证,是指对计算机入侵、破坏、欺诈、攻击等犯罪行为,利用计算机软硬件技术,按照符合法律规范的方式,进行识别、保存、分析和提交数字证据的过程.

1.2计算机取证的发展

计算机取证的发展可以划分为奠基时期、初步发展时期和理论完善时期等3个阶段.

始于1984年的奠基时期,计算机取证的基本思想、基本概念、基本标准及基本原则逐步建立.90年代中后期为计算机取证的初步发展期,在市场的强烈需求下,出现了一大批以Encase等工具为代表的计算机取证工具,使得计算机取证技术逐渐为人们所认识和接受.始于1999年的理论完善时期开始对计算机取证程序及取证标准等基本理论和基本问题进行进一步的研究.

1.3计算机取证的相关技术

计算机取证过程充满了复杂性和多样性,这使得相关技术也显得复杂和多样.依据计算机取证的过程,涉及到的相关技术大体如下:

(1)电子证据监测技术电子数据的监测技术就是要监测各类系统设备以及存储介质中的电子数据,分析是否存在可作为证据的电子数据.

(2)物理证据获取技术它是全部取证工作的基础,在获取物理证据时最重要的工作是保证所保存的原始证据不受任何破坏.

(3)电子证据收集技术电子数据收集技术是指遵照授权的方法,使用授权的软硬件设备,将已收集的数据进行保全,并对数据进行一些预处理,然后完整安全的将数据从目标机器转移到取证设备上.

(4)电子证据保存技术在取证过程中,应对电子证据及整套的取证机制进行保护.只有这样,才能保证电子证据的真实性、完整性和安全性.

(5)电子证据处理技术电子证据处理指对已收集的电子数据证据进行过滤、模式匹配、隐藏数据挖掘等的预处理工作.

(6)电子证据提交技术依据法律程序,以法庭可接受的证据形式提交电子证据及相应的文档说明.

综上所述,计算机取证技术是由多种科技范畴组合而成的边缘科学.

2.静态计算机取证技术

2.1取证的基本原则

根据电子证据易破坏性的特点,确保电子证据可信、准确、完整并符合相关的法律法规,计算机取证主要遵循以下几点原则:

(1)尽早搜集电子证据,并保证其没有受到任何破坏:

(2)必须确保“证据链”的完整性,即在证据被正式提交时,必须能够说明在证据从最初的获取状态到在法庭上出现状态之间的任何变化:

(3)整个检查、取证过程必须是受到监督的.

2.2取证的步骤

一般来说,为确保获取有效的法律证据,并保证其安全性和可靠性,计算机取证一般应包括保护目标系统、电子证据确定、收集、保护、分析和归档等六个步骤.

(1)保护目标计算机系统

是冻结计算机系统,避免发生任何的更改系统设置、硬件损坏、数据破坏或病毒感染的情况.

(2)电子证据的确定

对于计算机取证来说,需从存储在大容量介质的海量数据中区分哪些是电子证据,以便确定那些由犯罪者留下的活动记录作为主要的电子证据,并确定这些记录存在哪里、是怎样存储的.

(3)电子证据的收集

取证人员在计算机犯罪现场收集电子证据的工作包括收集系统的硬件配置信息和网络拓扑结构,备份或打印系统原始数据,以及收集关键的证据数据到取证设备.

(4)电子证据的保护

采取有效措施保护电子证据的完整性和真实性,包括用适当的储存介质进行原始备份:对存放在取证怎么写作器上的电子证据采用加密、物理隔离、建立安全监控系统实时监控取证系统的运行状态等安全措施进行保护.

(5)电子证据的分析

对电子证据分析是对文件属性、文件的数字摘 要和日志进行分析:分析操作系统交换文件、文件碎片和未分配空间中的数据:对电子证据做一些智能相关性的分析,即发掘同一事件的不同证据问的联系:完成电子证据的分析后给出专家证明.

(6)归档

对涉及计算机犯罪的日期和时间、硬盘分区情况、操作系统和版本、运行取证时数据和操作系统的完整性、计算机病毒评估情况、文件种类、软件许可证以及取证专家对电子证据的分析结果和评估报告等进行归档处理,形成能提供给法庭的电子证据.

2.3取证的模型

静态取证系统按操作过程分为两个步骤:现场数据的分析和数据采集:进行数据集中综合分析.一种较好的方法是现场对目标主机内存的数据进行分析,根据恶意代码的特点,集中分析一个进程空间的某一段数据,分析的结果以文档或报表等形式提交.

3.动态计算机取证技术

计算机动态取证是将取证技术结合到防火墙、入侵检测中,对所有可能的计算机犯罪行为进行实时数据获取和分析,智能分析入侵者的企图,采取措施切断链接或诱敌深入,在确保系统安全的情况下获取最大量的证据,并将证据鉴定、保全、提交的过程.

3.1取证的基本原则

动态计算机取证对时间上要求非常严格,一般而言,其证据的提取基本上与入侵检测同时进行,时间上相差很小.

3.2取证的步骤

动态计算机取证是在进行网络入侵检测的同时进行证据的提取,所以其进行取证的步骤为:

(1)证据的获取

证据的提取是发生在入侵检测的同时,一旦网络入侵被检测系统发现,立即启动取证系统进行证据的提取工作.

(2)证据的转移

这里的证据转移是指将从入侵主机(目标主机)提取的证据安全转移到证据怎么写作器中的过程.

(3)证据的存档

证据的存档指的是证据在证据怎么写作器中的保存.被提取的证据须以一定的格式保存在证据怎么写作器中,证据怎么写作器与局域网内的主机是通过安全传输方式进行连接的,而且仅响应这些主机的请求.

(4)证据的调查分析

进行司法调查时,从证据怎么写作器中查看目标主机上提取的相关证据,进行有关调查分析.

(5)证据的呈供


动态计算机取证技术中的证据呈供与其在静态取证技术中的过程是基本一致的,也是将所有的调查结果与相应的证据上报法庭,这一阶段应依据政策法规行事,对不同的机构采取不同的方式.

3.3取证的模型

在动态取证中,通过实时监控攻击发生,一方面可以进行实时同步取证,对入侵做详细记录.另一方面激活响应系统,根据不同的攻击,采取不同的措施.这样一方面使取证更具有实时性和连续性,其证据更具有法律效力;另一方面,利用响应系统可以将系统的损失降为最小.

一般的网络攻击都要遵循同一种行为模式,即嗅探、入侵、破坏和掩盖入侵足迹等几个攻击阶段.对每一个不同的阶段,网络入侵取证可以采用不同的取证方法,并执行不同的响应措施.

计算机取证技术参考属性评定
有关论文范文主题研究: 计算机取证相关论文范文 大学生适用: 研究生论文、学术论文
相关参考文献下载数量: 21 写作解决问题: 怎么写
毕业论文开题报告: 文献综述、论文选题 职称论文适用: 论文发表、中级职称
所属大学生专业类别: 怎么写 论文题目推荐度: 经典题目

4.结束语

传统的取证工具大部分是静态取证,即事件发生后对目标系统的静态取证.随着计算机入侵攻击技术的不断发展,这种事后静态取证的方法已经不能满足要求,需要对其进行改进,因此提出了动态取证.