计算机应用论文

计算机取证技术应用

时间:2021-01-31 09:00:34 计算机应用论文 我要投稿

计算机取证技术应用

  计算机取证技术应用【1】

  摘 要:本文介绍了计算机取证技术概念、计算机取证人员在取证过程中应遵循的原则及操作规范,分析了当前计算机取证应用的主要技术,讨论了计算机取证的发展趋势。

  关键词:计算机取证;取证技术;电子证据

  随着计算机技术的发展,计算机的应用已经成为人们工作和生活中不可或缺的一部分。

  计算机及信息技术给我们带来便利的同时,也为犯罪分子提供了新型的犯罪手段,与计算机相关的违法犯罪行为也相应随之增加。

  在实际案件中,涉及需要计算机取证的案件也日益增加,特别是在2012年3月14日,第十一届全国人民代表大会第五次会议审议通过了《关于修改(中华人民共和国刑事诉讼法)的决定》,将“电子数据”作为一种独立的证据种类加以规定,第一次以基本法律的形式确认了电子证据在刑事诉讼中的法律地位。

  由于电子证据的易丢失、易被篡改、伪造、破坏、毁灭等特性,为了避免破坏证据和原始数据,取证人员在对计算机进行取证工作过程中,必须严格按照规范程序操作,并遵守一定的原则。

  1 计算机取证的定义

  当前对计算机取证还没有较为全面统一和标准化的定义,许多专家学者和机构站在不同的角度给计算机取证下的定义都有所不同。

  当前相对较为全面且被大部分人认可的定义是:计算机取证是指对相关电子证据的确定、收集、保护、分析、归档以及法庭出示的过程,这里的相关电子证据是指存储在计算机及相关外部设备中能够为法庭接受的、足够可靠和有说服力的电子证据。

  2 计算机取证规范

  由于电子证据具有易破坏性等特点,取证人员在进行计算机取证时应有严格的规范程序要求,取证过程应当遵守一定的基本原则:首先是证据的取得必须合法。

  其次取证人员的计算机取证工作必须有严格操作规范。

  最后,取证工作应当在监督下执行,并且有相应的操作记录,必要时应当有第三方介入。

  3 取证技术的应用

  电子证据主要来源有三个方面:一是来自主机系统设备及其附件方面的证据;二是来自网络系统方面的证据;三是来自其他各种类型的数字电子设备的证据。

  根据计算机取证所处的阶段不同,可以采用不同的取证技术;当前计算机取证应用的主要技术可以分为以下几个方面:

  3.1 磁盘复制技术

  取证过程不允许在原始磁盘设备上面进行直接操作。

  因为在原始磁盘设备上面直接提取数据可能会损坏磁盘上的原始数据,造成不可逆的数据破坏或数据永久性丢失。

  通过镜像方式做磁盘整盘复制或制作磁盘镜像文件对原始数据进行位对位的精确复制,复制时可以对数据或者设备进行校验(如MD5或者SHA2)确认所获取的数据文件与原始磁盘介质中的文件数据完全一致,并且未被修改过。

  通过磁盘镜像复制的数据不同于一般的复制粘贴,镜像方式复制的数据包括磁盘的临时文件 ,交换文件,磁盘未分配区,及文件松弛区等信息,这信息对于某些特定案件的取证是必须的。

  3.2 信息搜索与过滤技术

  信息搜索与过滤技术就是从大量的信息数据中获取与案件直接或者间接相关的犯罪证据,如文本、图像、音视频等文件信息。

  当前应用较多的技术有:数据过滤技术、数据挖掘技术等。

  3.3 数据恢复技术

  数据恢复技术[3]是指通过技术手段,把保存在磁盘、存储卡等电子设备上遭到破坏和丢失的数据还原为正常数据的技术。

  从操作层面上看,可以将数据恢复技术分为软件恢复技术、硬件恢复技术。

  3.4 隐形文件识别与提取技术

  随着技术的高速发展,犯罪嫌疑人的反侦查意识也在提高。

  嫌疑人经常会对重要的数据文件采用伪装、隐藏等技术手段使文件隐形,以逃避侦查。

  案件中常见的技术应用有数据隐藏技术、水印提取技术、和文件的反编译技术。

  3.5 密码分析与解密技术

  密码分析与解密技术是借助各种类型的软件工具对已加密的数据进行解密。

  常见的技术有口令搜索、加密口令的暴力破解技术、网络偷听技术、密码破解技术、密码分析技术。

  其中密码分析技术包括对明文密码、密文密码以及密码文件的分析与破解。

  3.6 网络追踪技术

  网络追踪技术是根据IP报文信息转发及路由信息来判断信息源在网络中的位置,有时还需要对所获取的数据包进行技术分析才能追踪到攻击者的真实位置。

  常用的追踪技术有连接检测、日志记录分析、ICMP追踪、标记信息技术与信息安全文法等。

  3.7 日志分析技术

  日志文件由日志记录组成,每条日志记录描述了一次单独的系统事件[4]。

  日志文件记录着大量的用户行为使用痕迹,在计算机取证过程中充分利用日志文件提取有用的证据数据,是进行日志分析的关键。

  3.8 互联网数据挖掘技术

  数据挖掘[5]是一种数据分析方法,它可以对大量的业务数据进行搜索和分析并提取关键性数据,从而来揭示隐藏在其中的、未知的有效证据信息,或对已知的证据信息进行验证。

  根据网络数据的特点可以分成静态获取和动态获取。

  静态获取是从海量的网络数据中获取有关计算机犯罪的证据信息。

  动态获取[6]是对网络信息数据流的实时捕获。

  4 结束语

  计算机取证技术是一个迅速发展的研究领域,有着良好的应用前景。

  特别是在2012年3月,新的刑事诉讼法对“电子数据”的法律地位加以独立规定,计算机取证技术的重要性显得更为突出。

  当前,国内在计算机取证技术上的研究力量也正在逐渐加强,相关取证技术及法律法规的研究也越来越多的受到重视,但在程序上还缺乏一套统一的计算机取证流程,对于取证人员的培养和取证机构的建设还需要进一步加强。

  参考文献:

  [1]麦永浩,孙国梓,许榕生,戴士剑.计算机取证与司法鉴定[M].清华大学出版社,2009(01).

  [2]殷联甫.网络与计算机安全丛书计算机取证技术[M].北京:科学出版社,2008(02).

  [3]戴士剑,戴森,房金信.数据恢复与硬盘修理[M].电子工业出版社,2012:1-79.

  [4]姜燕.计算机取证中日志分析技术综述[J].电子设计工程,2013(06).

  [5]百度百科.数据挖掘[EB/OL].http://baike.baidu.com/link?url=t1Ag0_5CVBuM2BM7c3cd43a_Vevhe0MS0-Tz16RdalTyB4XTB9vulAP0A2AK281o,2013-11-22

  [6](美)Harlan Carvey著 卡罗王智慧,崔孝晨,陆道宏 译.Windows取证分析:Windows forensic analysis[M].北京:科学出版社,2009.

  计算机取证技术【2】

  摘 要:近几年来,随着计算机网络的普及,计算机网络病毒也愈来愈猖獗,依靠计算机网络系统的犯罪现象越来越突出,已成为较严重的技术问题。

  由于犯罪手段愈加隐秘,犯罪技术愈加先进,传统的破案方法已难以将其绳之以法,就必须依靠计算机取证技术,对犯罪现象进行有效打击。

  为此,本文对计算机取证技术进行相关研究,具有重要的实际意义。

  关键词:计算机;取证技术

  计算机犯罪是一种与时代同步发展的技术犯罪,加上计算机犯罪具有较强的隐蔽性及匿名性,使得侦查计算机犯罪具有较大困难。

  尤其随着计算机网络技术的日益更新,对网络攻击水平也在不断提高,新的攻击手段及工具层出不穷,对网络信息安全造成了极大威胁。

  鉴于此种现象,迫使我们必须改变传统的防御技术,变被动为主动,严厉打击犯罪分子的嚣张气焰,从根本上降低犯罪率。

  计算机取证技术作为一种先进技术,就能够解决这一问题,能够严厉打击犯罪分子。

  1 计算机取证概述

  所谓计算机取证是指对计算机入侵、破坏及攻击等犯罪行为,依靠计算机硬软件技术,并遵循国家相关法律规范,对犯罪行为提取证据,并对其进行分析及保存。

  从技术角度看,计算机取证可对入侵计算机的系统进行破解及扫描,对入侵的过程进行重建。

  计算机取证也称之为电子取证、数字取证或计算机法医学,主要包括两个阶段,即获取数据、发现信息。

  其中获取数据是指取证人员针对入侵现象,寻找相关的计算机硬件;而发现信息则是指从获取的数据中寻找相关的犯罪证据,该证据与传统的'证据一样具有较高的可靠性及真实性。

  计算机取证流程分为以下几个步骤:取证准备――现场勘查――数据分析――证据呈递四大步骤,每一步骤都有自己的特点。

  如:数据分析是将与犯罪相关的事实数据相继找出来,与案件取得相关性。

  2 分析计算机取证技术

  计算机取证技术主要分为蜜罐网络取证系统、数字图像边缘特性滤波取证系统、分布式自治型取证系统及自适应动态取证系统。

  2.1 蜜罐网络取证系统

  从当前来看,蜜罐网络取证系统已受到很多计算机研究者的重视,并对其进行研究分析,通过布置安全的蜜网,就能够正确收集大量的攻击行为。

  通过近几年的研究,一种主动的蜜罐系统被提出来,该系统能够自动生成一个供给目的的匹配对象,并对入侵的信息研究较为深入。

  蜜罐取证系统结构中每一个蜜罐都是虚拟的,并配备有合法的外部的IP地址,可看成一个独立的机器,对不同的操作系统进行模仿,并能够收集相关日志数据,最终实现日志与蜜罐的分离。

  通过蜜罐系统可根据攻击者在蜜罐中的时间,获取更多有关攻击的信息,进而采取有效的防范措施,最终提升系统的安全性。

  2.2 数字图像边缘特性滤波取证系统

  所谓的数字图像边缘特性滤波取证系统是指攻击者对图像的篡改,要想对图像进行正确的取证则需要对图像的篡改手段进行详细的掌握,最为主要的就是对图像的合成及润饰的检测。

  对于图像的合成主要采用同态滤波放大人工的模糊边界,在一定频域中对图像的亮度进行压缩,并对图像的对比度进行增强,进而使得人工模糊操作中的模糊边界得到放大,提高取证的准确性。

  当图像采用同态滤波之后,模糊边缘就能够得到方法,并利用腐蚀运算,除掉图像自然边缘,对其伪造区域进行正确定位。

  另一方面则是润饰的检测。

  利用形态学滤波的方式,构造合适的结构元素,包括结构元素的形状、大小等。

  结构元素大小适宜选择三像素的方形结构,其检测步骤为:首先,采取适当的同态滤波函数,对预取证图像的边缘进行扩展处理;然后,将经过滤波之后的图像信息提取出来;最后,选取腐蚀运算将经过增强处理的图像模糊拼接边缘提取出来,最终对图像的伪造区域进行定位。

  2.3 分布式自治型取证系统

  管理的证据收集及集中式的处理是较为普遍的证据收集方式,具有复杂的层次结构,但该设计的缺点为网络宽带不足且单点失效,极易发生性能瓶颈,进而无法正确收集大量的攻击信息。

  鉴于以上存在的缺点,特研究出一种分布式自治型的取证系统,该系统采用三层的分布方式,通过各个取证字点能够独立地完成证据的收集。

  2.4 自适应动态取证系统

  所谓自适应动态取证系统是指对网络数据流进行分析及捕捉,对网络运行状态进行实时的监控。

  当前,所使用的自适应取证系统是基于Agent的自治软件实体,在需要的时候能够被动或主动地从一个网络结点向另一网络节点转移,在任意点都能够对执行过程进行中断。

  通过利用该软件构造检测取证的异构环境,有效将取证技术与网络安全系统相结合起来,实现自适应识别、分析及获取可疑网络信息,智能分析攻击者的入侵动机。

  此外,可确保系统网络安全的条件下,获取相应的证据。

  该取证系统最为重要的是能够根据攻击者的攻击手段而改变,随时调整防范对策。

  3 计算机取证技术的发展方向

  尽管计算机取证技术在当前应用较为广泛,但仍存在一些局限性,如取证软件的局限性、反取证技术的局限性。

  其中反取证技术的局限性则表现以下三方面:其一,数据的擦除主要是采用Klismafile工具进行的,该工具并不是一个完美的解决问题工具,这主要是因为被该工具修改后的目录文件极易可能出现目录项大小不同的现象,影响取证信息的搜集。

  其二,对数据加密时,为了能够长期保存数据,就必须使用数据隐藏与其他技术联合使用,可使用别人不知道的文件进行加密处理,尽管对其进行加密了,但在运行时则需要执行一个文本解密程序来解密已经加密的代码,而这个代码极易被黑客程序所破解,就有可能需要另一个解密程序。

  其三,数据的隐藏。

  为了能够有效地逃避取证,一些攻击者就对不能够删除的文件进行隐藏,让调查者不易检查出来,往往将数据文件隐藏在磁盘上。

  隐藏的文件往往在调查者不知到哪里寻找相关证据时才有效,故仅仅适用于短期的数据保存。

  计算机取证技术在今后一段时期内,则应向智能化及标准化方向发展,所谓智能化是指必须将计算机取证技术与人工智能技术紧密联合起来,若仅仅依靠人工来操作,不仅工作效率低下,而且取证信息有可能失去真实性。

  为此,则必须通过人工智能,对攻击者的犯罪手段进行提前预测,采取相应的措施,从而提取犯罪信息,并对信息进行综合分析。

  标准化则是指所使用的取证软件及技术必须不断更新,并制定严格的取证规程。

  这主要是因为当前很多取证工具软件在实际的应用过程中,往往升级较慢,对于一些先进的黑客技术则无能为力,使得越来越多的攻击者越来越猖獗,为此,则需要对取证工具进行有效的验证,确保取证工具的规范化及标准化。

  4 结束语

  总而言之,计算机取证技术在保护消费者利益,打击犯罪行为上具有重要的应用前景。

  利用计算机取证系统能够较好地发现计算机存在的漏洞,并对其进行修复,这样一来,就能够较好地确保计算机的安全性,最大限度减少犯罪行为。

  此外,不仅需要相关计算机取证技术,而且还需要相关的法律制裁,需建立一套完整的法律保障系统,切实保护国家安全信息及消费者利益。

  参考文献:

  [1]杨继武.对计算机取证技术的一些探讨[J].制造业自动化,2012,34(5):67-69,83.

  [2]熊杰.计算机主机隐秘信息取证技术研究[J].软件导刊,2013,12(4):157-159.

  [3]冷继兵.计算机的取证技术与发展方向研究[J].煤炭技术,2013,32(7):182-184.

  [4]王文奇,苗凤君,潘磊等.网络取证完整性技术研究[J].电子学报,2010,38(11):2529-2534.

  [5]熊杰.计算机主机隐秘信息取证技术研究[J].软件导刊,2013,12(4):157-159.

【计算机取证技术应用】相关文章:

计算机取证技术应用论文12-25

计算机应用与技术05-30

计算机数据恢复技术应用01-25

计算机技术应用论文12-25

计算机技术的应用12-03

计算机人脸识别技术及其应用01-25

计算机模拟技术及其应用论文12-25

计算机信息技术的应用12-19

分析计算机视觉技术的应用06-05