计算机取证技术论文(2)

计算机取证技术论文2

计算机取证技术研究

随着计算机和网络技术的飞速发展计算机犯罪和网络安全等问题越来越突出并逐渐引起人们的关注。介绍了计算机取证的特点、原理和步骤,最后对基于单机和设备以及基于网络的两种取证技术进行了深入研究。

关键词:计算机取证数据恢复加密解密蜜罐网络

随着计算机和网络技术的快速发展,计算机和网络在人类政治、经济、文化和国防事务中发挥着越来越重要的作用,计算机犯罪和网络安全等问题也越来越突出。虽然采取了硬件防火墙、入侵检测系统、网络隔离等一系列防护设备和措施,以及授权机制、访问控制机制、日志机制、数据备份等安全防范措施,但仍不能保证系统的绝对安全。

计算机取证技术(Computer forensics technology)是指利用先进的技术手段,按照预先设定的程序,并符合法律规范,对计算机软硬件系统进行全面检测,发现、存储、保护和分析与计算机犯罪有关的证据,以及具有足够可信度并能被法院采信的电子证据。计算机取证的目的是找出入侵者,并解释或再现整个入侵过程。

一、计算机取证的特点

电子证据和传统证据一样,必须是可信的、准确的、完整的、有说服力的、符合法律规范的。此外,电子证据具有以下特征:

1.数字化。电子证据不同于传统的物证,肉眼无法直接看到,必须结合一定的工具。从根本上说,电子证据的载体都是电子元器件,电子证据本身只是一个按特殊顺序组合的二元信息串。

2.脆弱。计算机数据可能一直在变化。系统运行过程中,数据不断刷新重写,特别是如果嫌疑人有一定的计算机水平,对计算机使用痕迹进行不可逆的破坏性操作,很难再现现场。此外,取证人员在收集电子证据的过程中,不可避免地会打开文件和程序,这些操作很可能对现场造成一级破坏。

3.多态性。电子证据的多态性是指电子证据可以表现为多种形式,可以是打印机缓冲区中的数据、各种计算机存储介质上的声音、视频、图像和文字、网络交换和传输设备中的历史记录等。这些不同的形式可能成为提交的证据类型。法院在采信证据时,不仅要考虑电子证据的生成过程和收集过程是否可靠,还要确保电子证据没有被伪造、篡改、替换。

4.人机交互。电脑由人操作。单靠电子证据未必能还原整个犯罪过程,必须结合人为操作才能形成完整的记录。在收集证据和还原现场的过程中,考虑人的思维模式和行为习惯,有可能事半功倍。

二、计算机取证的原则和步骤

(一)计算机取证的主要原则

1.时效性原则。必须尽快收集电子证据,确保其未被破坏,并要求证据的获取及时。

2.确定?一连串的证据?的完整性。也称证据保全,即在证据正式提交法庭时,必须能够说明最初的取得状态与法庭上出现的状态之间的任何变化,包括证据的移交、保管、拆封、装卸等过程。

3.安全性原则。如果允许且可行,最好将电脑证据复印两份以上,且原始证据必须有专人负责,存放地点必须远离强磁、强腐蚀、高温、高压、粉尘、潮湿等恶劣环境,防止证据被破坏。

4.整个过程是可以控制的。检查取证全过程都要监督。在证据转移、保管、开箱、装卸过程中,必须由两人以上完成,每个环节都要保证真实可信、不间断,防止证据被故意销毁。

(二)计算机取证的主要步骤

1.厂址调查

勘查主要是获取物证。首先,我们应该保护电脑系统。如果目标计算机仍然连接到网络,我们应该立即断开网络,以避免数据被远程破坏。如果目标计算机仍处于打开状态,则不能立即关闭。保持工作状态有利于取证。例如,一些数据可能会保留在内存缓冲区中,这往往是犯罪分子错过的最后一个重要证据。如果设备需要拆除或移动,必须拍照存档,方便日后还原犯罪现场。

2.获取电子证据

包括静态数据采集和动态数据采集。静态数据包括现有的正常文件、删除文件、隐藏文件和加密文件等。、以及应该由系统或应用程序最大程度地使用的临时文件或隐藏文件。动态数据包括计算机寄存器、缓存、路由表、任务进程、网络连接及其端口等。必须快速仔细地收集动态数据,如果不小心,可能会被新的操作和文件覆盖所取代。

3.保护证据的完整性和原始性

在取证过程中,要注意采取措施保护证据,提取的各种数据要进行复制和备份。提取出来的物理设备,如光盘硬盘等存储设备,路由器、交换机等网络设备,打印机等外围设备,在移动和拆除过程中必须有专人拍照、摄像,然后进行封存。对于提取的电子信息,应使用MD5、SHA等哈希算法保护和验证其完整性。以上任何一项操作都必须由两人或两人以上同时签字确认。

4.分析和提交结果

这是计算机取证的关键和核心。打印目标计算机系统的综合分析结果,包括所有相关文件列表和发现的文件数据,然后给出分析结论,包括系统整体情况、发现的文件结构、数据、作者信息以及调查中发现的其他可疑信息。在做好各种标记和记录后,以证据的形式,按照法定程序,正式提交司法机关。

三、计算机取证相关技术

计算机取证涉及的技术非常广泛,几乎涵盖了信息安全的所有领域。从证据来源来看,计算机取证技术大致可以分为两类:基于单机和设备的计算机取证技术和基于网络的计算机取证技术。

(1)基于单机设备的取证技术

1.数据恢复技术

数据恢复技术主要用于恢复被用户删除或格式化的磁盘擦除电子证据。对于删除操作,只是标记文件对应的存储位置,文件占用的磁盘空间信息在没有新文件重写的情况下依然存在,普通用户看似没有了,但实际上可以通过恢复文件标记来恢复数据。对于格式化操作,它只初始化文件系统的各种表,而不实际操作数据本身。通过重建分区表和引导信息,可以恢复删除的数据。实验表明,技术人员在数据恢复工具的帮助下,可以恢复被覆盖7次的数据。

2.加密和解密技术

通常,犯罪分子会对相关证据进行加密。对于取证人员来说,必须对加密的数据进行解密,才能使原始信息成为有效的电子证据。计算机取证中使用的密码破解技术和方法主要包括密码分析、密码破解、密码搜索、密码提取和密码恢复。

3.数据过滤和数据挖掘技术

计算机取证获得的数据可能是文本、图片、音频或视频。这些类型的文件可能隐藏犯罪信息,犯罪分子可以通过隐写术将信息嵌入这些类型的文件中。如果犯罪分子结合加密技术对信息进行处理,然后嵌入到文件中,恢复原始信息将会非常困难,这就需要开发更好的数据挖掘工具,正确筛选出所需的电子证据。

基于网络的取证技术

基于网络的取证技术是利用网络追踪和定位犯罪分子或通过网络通信数据获取证据的技术,包括以下技术:

1.IP地址和MAC地址获取和识别技术

使用ping命令向目标主机发送请求并监听ICMP回复,这样可以判断目标主机是否在线,然后使用其他高级命令继续深入检查。也可以使用IP扫描工具获取IP,或者使用DNS的反向查询方式获取IP地址,也可以通过互联网服务提供商ISP的支持获取IP。

MAC地址属于硬件层面,IP地址和MAC的转换是通过查找地址解析协议的ARP表来实现的。当然MAC和IP地址一样,可能会被修改,所以一度泛滥。ARP欺骗?特洛伊木马通过修改IP地址或MAC来达到目的。

2.网络IO系统取证技术

即网络输入输出系统,使用netstat命令跟踪嫌疑人,可以获取嫌疑人电脑的域名和MAC地址。最具代表性的入侵检测技术是IDS,分为检测特定事件和检测模式变化。它对取证最大的帮助是可以提供日志或录音功能,可以用来监控和记录犯罪行为。

3.电子邮件取证技术

电子邮件使用简单的应用协议和文本存储和转发。报头信息包含发送方和接收方之间的路径。通过分析头路径可以获得证据。关键是要知道邮件信息在邮件协议中的存储位置。对于POP3协议,我们必须访问工作站来获取报头信息。基于HTTP协议发送的邮件一般存储在邮件服务器上。微软操作系统的邮件服务通常采用SMTP协议。黑客可以很容易地将任何信息,包括伪造的源地址和目的地址,插入到使用SMTP协议的消息头信息中。跟踪邮件的主要方法是向ISP寻求帮助或使用NetScanTools等特殊工具。

4.蜜罐网络取证技术

蜜罐是指虚假的敏感数据,可以是网络、计算机或后台服务,也可以是虚假的密码和数据库。蜜罐网络是由多个能够收集和交换信息的蜜罐组成的网络系统。通过数据控制、数据捕获和数据收集,研究人员控制和分析蜜罐网络中的攻击。蜜罐网络的关键技术包括网络欺骗、攻击捕获、数据控制、攻击分析和特征提取、预警和防御技术。目前广泛使用的是主动蜜罐系统,它可以根据攻击者的攻击目的提供相应的欺骗服务,延迟入侵者在蜜罐中的时间,从而获取更多的信息并采取针对性的措施,保证系统的安全性。

参考资料:

【1】卢希颖。浅析计算机取证技术[J],福建计算机,2008(3)。

[2]刘玲。浅谈计算机静态取证和计算机动态取证[J],计算机与现代化,2009(6)。

你看到了吗?计算机取证技术论文?人们仍然看到:

1.计算机犯罪与收集技术研究论文

2.Android手机取证技术论文

3.计算机安全毕业论文

4.计算机安全论文

5.计算机安全范文