計算機取證技術應用
計算機取證技術應用【1】
摘 要:本文介紹了計算機取證技術概念、計算機取證人員在取證過程中應遵循的原則及操作規范,分析了當前計算機取證應用的主要技術,討論了計算機取證的發展趨勢。
關鍵詞:計算機取證;取證技術;電子證據
隨著計算機技術的發展,計算機的應用已經成為人們工作和生活中不可或缺的一部分。
計算機及信息技術給我們帶來便利的同時,也為犯罪分子提供了新型的犯罪手段,與計算機相關的違法犯罪行為也相應隨之增加。
在實際案件中,涉及需要計算機取證的案件也日益增加,特別是在2012年3月14日,第十一屆全國人民代表大會第五次會議審議通過了《關于修改(中華人民共和國刑事訴訟法)的決定》,將“電子數據”作為一種獨立的證據種類加以規定,第一次以基本法律的形式確認了電子證據在刑事訴訟中的法律地位。
由于電子證據的易丟失、易被篡改、偽造、破壞、毀滅等特性,為了避免破壞證據和原始數據,取證人員在對計算機進行取證工作過程中,必須嚴格按照規范程序操作,并遵守一定的原則。
1 計算機取證的定義
當前對計算機取證還沒有較為全面統一和標準化的定義,許多專家學者和機構站在不同的角度給計算機取證下的定義都有所不同。
當前相對較為全面且被大部分人認可的定義是:計算機取證是指對相關電子證據的確定、收集、保護、分析、歸檔以及法庭出示的過程,這里的相關電子證據是指存儲在計算機及相關外部設備中能夠為法庭接受的、足夠可靠和有說服力的電子證據。
2 計算機取證規范
由于電子證據具有易破壞性等特點,取證人員在進行計算機取證時應有嚴格的規范程序要求,取證過程應當遵守一定的基本原則:首先是證據的取得必須合法。
其次取證人員的計算機取證工作必須有嚴格操作規范。
最后,取證工作應當在監督下執行,并且有相應的操作記錄,必要時應當有第三方介入。
3 取證技術的應用
電子證據主要來源有三個方面:一是來自主機系統設備及其附件方面的證據;二是來自網絡系統方面的證據;三是來自其他各種類型的數字電子設備的證據。
根據計算機取證所處的階段不同,可以采用不同的取證技術;當前計算機取證應用的主要技術可以分為以下幾個方面:
3.1 磁盤復制技術
取證過程不允許在原始磁盤設備上面進行直接操作。
因為在原始磁盤設備上面直接提取數據可能會損壞磁盤上的原始數據,造成不可逆的數據破壞或數據永久性丟失。
通過鏡像方式做磁盤整盤復制或制作磁盤鏡像文件對原始數據進行位對位的精確復制,復制時可以對數據或者設備進行校驗(如MD5或者SHA2)確認所獲取的數據文件與原始磁盤介質中的文件數據完全一致,并且未被修改過。
通過磁盤鏡像復制的數據不同于一般的復制粘貼,鏡像方式復制的數據包括磁盤的臨時文件 ,交換文件,磁盤未分配區,及文件松弛區等信息,這信息對于某些特定案件的取證是必須的。
3.2 信息搜索與過濾技術
信息搜索與過濾技術就是從大量的信息數據中獲取與案件直接或者間接相關的犯罪證據,如文本、圖像、音視頻等文件信息。
當前應用較多的技術有:數據過濾技術、數據挖掘技術等。
3.3 數據恢復技術
數據恢復技術[3]是指通過技術手段,把保存在磁盤、存儲卡等電子設備上遭到破壞和丟失的數據還原為正常數據的技術。
從操作層面上看,可以將數據恢復技術分為軟件恢復技術、硬件恢復技術。
3.4 隱形文件識別與提取技術
隨著技術的高速發展,犯罪嫌疑人的反偵查意識也在提高。
嫌疑人經常會對重要的數據文件采用偽裝、隱藏等技術手段使文件隱形,以逃避偵查。
案件中常見的技術應用有數據隱藏技術、水印提取技術、和文件的反編譯技術。
3.5 密碼分析與解密技術
密碼分析與解密技術是借助各種類型的軟件工具對已加密的數據進行解密。
常見的技術有口令搜索、加密口令的暴力破解技術、網絡偷聽技術、密碼破解技術、密碼分析技術。
其中密碼分析技術包括對明文密碼、密文密碼以及密碼文件的分析與破解。
3.6 網絡追蹤技術
網絡追蹤技術是根據IP報文信息轉發及路由信息來判斷信息源在網絡中的位置,有時還需要對所獲取的數據包進行技術分析才能追蹤到攻擊者的真實位置。
常用的追蹤技術有連接檢測、日志記錄分析、ICMP追蹤、標記信息技術與信息安全文法等。
3.7 日志分析技術
日志文件由日志記錄組成,每條日志記錄描述了一次單獨的系統事件[4]。
日志文件記錄著大量的用戶行為使用痕跡,在計算機取證過程中充分利用日志文件提取有用的證據數據,是進行日志分析的關鍵。
3.8 互聯網數據挖掘技術
數據挖掘[5]是一種數據分析方法,它可以對大量的業務數據進行搜索和分析并提取關鍵性數據,從而來揭示隱藏在其中的、未知的有效證據信息,或對已知的證據信息進行驗證。
根據網絡數據的特點可以分成靜態獲取和動態獲取。
靜態獲取是從海量的網絡數據中獲取有關計算機犯罪的證據信息。
動態獲取[6]是對網絡信息數據流的實時捕獲。
4 結束語
計算機取證技術是一個迅速發展的研究領域,有著良好的應用前景。
特別是在2012年3月,新的刑事訴訟法對“電子數據”的法律地位加以獨立規定,計算機取證技術的重要性顯得更為突出。
當前,國內在計算機取證技術上的研究力量也正在逐漸加強,相關取證技術及法律法規的研究也越來越多的受到重視,但在程序上還缺乏一套統一的計算機取證流程,對于取證人員的培養和取證機構的建設還需要進一步加強。
參考文獻:
[1]麥永浩,孫國梓,許榕生,戴士劍.計算機取證與司法鑒定[M].清華大學出版社,2009(01).
[2]殷聯甫.網絡與計算機安全叢書計算機取證技術[M].北京:科學出版社,2008(02).
[3]戴士劍,戴森,房金信.數據恢復與硬盤修理[M].電子工業出版社,2012:1-79.
[4]姜燕.計算機取證中日志分析技術綜述[J].電子設計工程,2013(06).
[5]百度百科.數據挖掘[EB/OL].http:/pic/link?url=t1Ag0_5CVBuM2BM7c3cd43a_Vevhe0MS0-Tz16RdalTyB4XTB9vulAP0A2AK281o,2013-11-22
[6](美)Harlan Carvey著 卡羅王智慧,崔孝晨,陸道宏 譯.Windows取證分析:Windows forensic analysis[M].北京:科學出版社,2009.
計算機取證技術【2】
摘 要:近幾年來,隨著計算機網絡的普及,計算機網絡病毒也愈來愈猖獗,依靠計算機網絡系統的犯罪現象越來越突出,已成為較嚴重的技術問題。
由于犯罪手段愈加隱秘,犯罪技術愈加先進,傳統的破案方法已難以將其繩之以法,就必須依靠計算機取證技術,對犯罪現象進行有效打擊。
為此,本文對計算機取證技術進行相關研究,具有重要的實際意義。
關鍵詞:計算機;取證技術
計算機犯罪是一種與時代同步發展的技術犯罪,加上計算機犯罪具有較強的隱蔽性及匿名性,使得偵查計算機犯罪具有較大困難。
尤其隨著計算機網絡技術的日益更新,對網絡攻擊水平也在不斷提高,新的攻擊手段及工具層出不窮,對網絡信息安全造成了極大威脅。
鑒于此種現象,迫使我們必須改變傳統的防御技術,變被動為主動,嚴厲打擊犯罪分子的囂張氣焰,從根本上降低犯罪率。
計算機取證技術作為一種先進技術,就能夠解決這一問題,能夠嚴厲打擊犯罪分子。
1 計算機取證概述
所謂計算機取證是指對計算機入侵、破壞及攻擊等犯罪行為,依靠計算機硬軟件技術,并遵循國家相關法律規范,對犯罪行為提取證據,并對其進行分析及保存。
從技術角度看,計算機取證可對入侵計算機的系統進行破解及掃描,對入侵的過程進行重建。
計算機取證也稱之為電子取證、數字取證或計算機法醫學,主要包括兩個階段,即獲取數據、發現信息。
其中獲取數據是指取證人員針對入侵現象,尋找相關的計算機硬件;而發現信息則是指從獲取的數據中尋找相關的犯罪證據,該證據與傳統的證據一樣具有較高的可靠性及真實性。
計算機取證流程分為以下幾個步驟:取證準備――現場勘查――數據分析――證據呈遞四大步驟,每一步驟都有自己的特點。
如:數據分析是將與犯罪相關的事實數據相繼找出來,與案件取得相關性。
2 分析計算機取證技術
計算機取證技術主要分為蜜罐網絡取證系統、數字圖像邊緣特性濾波取證系統、分布式自治型取證系統及自適應動態取證系統。
2.1 蜜罐網絡取證系統
從當前來看,蜜罐網絡取證系統已受到很多計算機研究者的重視,并對其進行研究分析,通過布置安全的蜜網,就能夠正確收集大量的攻擊行為。
通過近幾年的研究,一種主動的蜜罐系統被提出來,該系統能夠自動生成一個供給目的的匹配對象,并對入侵的信息研究較為深入。
蜜罐取證系統結構中每一個蜜罐都是虛擬的,并配備有合法的外部的IP地址,可看成一個獨立的機器,對不同的操作系統進行模仿,并能夠收集相關日志數據,最終實現日志與蜜罐的分離。
通過蜜罐系統可根據攻擊者在蜜罐中的時間,獲取更多有關攻擊的信息,進而采取有效的防范措施,最終提升系統的安全性。
2.2 數字圖像邊緣特性濾波取證系統
所謂的數字圖像邊緣特性濾波取證系統是指攻擊者對圖像的篡改,要想對圖像進行正確的取證則需要對圖像的篡改手段進行詳細的掌握,最為主要的就是對圖像的合成及潤飾的檢測。
對于圖像的合成主要采用同態濾波放大人工的模糊邊界,在一定頻域中對圖像的亮度進行壓縮,并對圖像的對比度進行增強,進而使得人工模糊操作中的模糊邊界得到放大,提高取證的準確性。
當圖像采用同態濾波之后,模糊邊緣就能夠得到方法,并利用腐蝕運算,除掉圖像自然邊緣,對其偽造區域進行正確定位。
另一方面則是潤飾的檢測。
利用形態學濾波的方式,構造合適的結構元素,包括結構元素的形狀、大小等。
結構元素大小適宜選擇三像素的方形結構,其檢測步驟為:首先,采取適當的同態濾波函數,對預取證圖像的邊緣進行擴展處理;然后,將經過濾波之后的圖像信息提取出來;最后,選取腐蝕運算將經過增強處理的圖像模糊拼接邊緣提取出來,最終對圖像的偽造區域進行定位。
2.3 分布式自治型取證系統
管理的證據收集及集中式的處理是較為普遍的證據收集方式,具有復雜的層次結構,但該設計的缺點為網絡寬帶不足且單點失效,極易發生性能瓶頸,進而無法正確收集大量的攻擊信息。
鑒于以上存在的缺點,特研究出一種分布式自治型的取證系統,該系統采用三層的分布方式,通過各個取證字點能夠獨立地完成證據的收集。
2.4 自適應動態取證系統
所謂自適應動態取證系統是指對網絡數據流進行分析及捕捉,對網絡運行狀態進行實時的監控。
當前,所使用的自適應取證系統是基于Agent的自治軟件實體,在需要的時候能夠被動或主動地從一個網絡結點向另一網絡節點轉移,在任意點都能夠對執行過程進行中斷。
通過利用該軟件構造檢測取證的異構環境,有效將取證技術與網絡安全系統相結合起來,實現自適應識別、分析及獲取可疑網絡信息,智能分析攻擊者的入侵動機。
此外,可確保系統網絡安全的條件下,獲取相應的證據。
該取證系統最為重要的是能夠根據攻擊者的攻擊手段而改變,隨時調整防范對策。
3 計算機取證技術的發展方向
盡管計算機取證技術在當前應用較為廣泛,但仍存在一些局限性,如取證軟件的局限性、反取證技術的局限性。
其中反取證技術的局限性則表現以下三方面:其一,數據的擦除主要是采用Klismafile工具進行的,該工具并不是一個完美的解決問題工具,這主要是因為被該工具修改后的目錄文件極易可能出現目錄項大小不同的現象,影響取證信息的搜集。
其二,對數據加密時,為了能夠長期保存數據,就必須使用數據隱藏與其他技術聯合使用,可使用別人不知道的文件進行加密處理,盡管對其進行加密了,但在運行時則需要執行一個文本解密程序來解密已經加密的代碼,而這個代碼極易被黑客程序所破解,就有可能需要另一個解密程序。
其三,數據的隱藏。
為了能夠有效地逃避取證,一些攻擊者就對不能夠刪除的文件進行隱藏,讓調查者不易檢查出來,往往將數據文件隱藏在磁盤上。
隱藏的文件往往在調查者不知到哪里尋找相關證據時才有效,故僅僅適用于短期的數據保存。
計算機取證技術在今后一段時期內,則應向智能化及標準化方向發展,所謂智能化是指必須將計算機取證技術與人工智能技術緊密聯合起來,若僅僅依靠人工來操作,不僅工作效率低下,而且取證信息有可能失去真實性。
為此,則必須通過人工智能,對攻擊者的犯罪手段進行提前預測,采取相應的措施,從而提取犯罪信息,并對信息進行綜合分析。
標準化則是指所使用的取證軟件及技術必須不斷更新,并制定嚴格的取證規程。
這主要是因為當前很多取證工具軟件在實際的應用過程中,往往升級較慢,對于一些先進的黑客技術則無能為力,使得越來越多的攻擊者越來越猖獗,為此,則需要對取證工具進行有效的驗證,確保取證工具的規范化及標準化。
4 結束語
總而言之,計算機取證技術在保護消費者利益,打擊犯罪行為上具有重要的應用前景。
利用計算機取證系統能夠較好地發現計算機存在的漏洞,并對其進行修復,這樣一來,就能夠較好地確保計算機的安全性,最大限度減少犯罪行為。
此外,不僅需要相關計算機取證技術,而且還需要相關的法律制裁,需建立一套完整的法律保障系統,切實保護國家安全信息及消費者利益。
參考文獻:
[1]楊繼武.對計算機取證技術的一些探討[J].制造業自動化,2012,34(5):67-69,83.
[2]熊杰.計算機主機隱秘信息取證技術研究[J].軟件導刊,2013,12(4):157-159.
[3]冷繼兵.計算機的取證技術與發展方向研究[J].煤炭技術,2013,32(7):182-184.
[4]王文奇,苗鳳君,潘磊等.網絡取證完整性技術研究[J].電子學報,2010,38(11):2529-2534.
[5]熊杰.計算機主機隱秘信息取證技術研究[J].軟件導刊,2013,12(4):157-159.
【計算機取證技術應用】相關文章:
計算機應用技術論文06-08
計算機應用技術論文(實用)10-18
計算機應用技術專業論文07-16
計算機應用技術規劃書12-21
計算機應用技術論文【推薦】10-18
計算機應用技術論文【精品】07-03
計算機應用技術淺談論文11-10
計算機應用技術論文15篇[精品]06-08
【精】計算機應用技術論文15篇06-22
計算機網絡技術的發展與應用論文08-26