計(jì)算機(jī)取證技術(shù)論文(2)

計(jì)算機(jī)取證技術(shù)論文

　　計(jì)算機(jī)取證技術(shù)論文篇二

　　計(jì)算機(jī)取證技術(shù)研究

　　摘要：隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，計(jì)算機(jī)犯罪和網(wǎng)絡(luò)安全等問題也越來越突出，也逐漸引起重視。文章對計(jì)算機(jī)取證的特點(diǎn)、原則和步驟進(jìn)行了介紹，最后從基于單機(jī)和設(shè)備、基于網(wǎng)絡(luò)的兩類取證技術(shù)進(jìn)行了深入研究。

　　關(guān)鍵詞：計(jì)算機(jī)取證 數(shù)據(jù)恢復(fù) 加密解密 蜜罐網(wǎng)絡(luò)

　　隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，計(jì)算機(jī)和網(wǎng)絡(luò)在人類的政治、經(jīng)濟(jì)、文化和國防軍事中的作用越來越重要，計(jì)算機(jī)犯罪和網(wǎng)絡(luò)安全等問題也越來越突出，雖然目前采取了一系列的防護(hù)設(shè)備和措施，如硬件防火墻、入侵檢測系統(tǒng)、、網(wǎng)絡(luò)隔離等，并通過授權(quán)機(jī)制、訪問控制機(jī)制、日志機(jī)制以及數(shù)據(jù)備份等安全防范措施，但仍然無法保證系統(tǒng)的絕對安全。

　　計(jì)算機(jī)取證技術(shù)是指運(yùn)用先進(jìn)的技術(shù)手段，遵照事先定義好的程序及符合法律規(guī)范的方式，全面檢測計(jì)算機(jī)軟硬件系統(tǒng)，查找、存儲、保護(hù)、分析其與計(jì)算機(jī)犯罪相關(guān)的證據(jù)，并能為法庭接受的、有足夠可信度的電子證據(jù)。計(jì)算機(jī)取證的目的是找出入侵者，并解釋或重現(xiàn)完整入侵過程。

　　一、計(jì)算機(jī)取證的特點(diǎn)

　　和傳統(tǒng)證據(jù)一樣，電子證據(jù)也必須是可信的、準(zhǔn)確的、完整的以及令人信服并符合法律規(guī)范的，除此之外，電子證據(jù)還有如下特點(diǎn)：

　　1.數(shù)字性。電子證據(jù)與傳統(tǒng)的物證不同，它是無法通過肉眼直接看見的，必須結(jié)合一定的工具。從根本上講，電子證據(jù)的載體都是電子元器件，電子證據(jù)本身只是按照特殊順序組合出來的二進(jìn)制信息串。

　　2.脆弱性。計(jì)算機(jī)數(shù)據(jù)每時(shí)每刻都可能發(fā)生改變，系統(tǒng)在運(yùn)行過程中，數(shù)據(jù)是不斷被刷新和重寫的，特別是如果犯罪嫌疑人具備一定的計(jì)算機(jī)水平，對計(jì)算機(jī)的使用痕跡進(jìn)行不可還原的、破壞性操作后，現(xiàn)場是很難被重現(xiàn)的。另外取證人員在收集電子證據(jù)過程中，難免會進(jìn)行打開文件和程序等操作，而這些操作很可能就會對現(xiàn)場造成原生破壞。

　　3.多態(tài)性。電子證據(jù)的多態(tài)性是指電子證據(jù)可以以多種形態(tài)表現(xiàn)，它既可以是打印機(jī)緩沖區(qū)中的數(shù)據(jù)，也可以是各種計(jì)算機(jī)存儲介質(zhì)上的聲音、視頻、圖像和文字，還可以是網(wǎng)絡(luò)交換和傳輸設(shè)備中的歷史記錄等等，這些不同形態(tài)都可能成為被提交的證據(jù)類型。法庭在采納證據(jù)時(shí)，不僅要考慮該電子證據(jù)的生成過程、采集過程是否可靠，還要保證電子證據(jù)未被偽造篡改、替換剪輯過。

　　4.人機(jī)交互性。計(jì)算機(jī)是通過人來操作的，單靠電子證據(jù)本身可能無法還原整個(gè)犯罪過程，必須結(jié)合人的操作才能形成一個(gè)完整的記錄，在收集證據(jù)、還原現(xiàn)場的過程中，要結(jié)合人的思維方式、行為習(xí)慣來通盤考慮，有可能達(dá)到事半功倍的效果。

　　二、計(jì)算機(jī)取證的原則和步驟

　　(一)計(jì)算機(jī)取證的主要原則

　　1.及時(shí)性原則。必須盡快收集電子證據(jù)，保證其沒有受到任何破壞，要求證據(jù)的獲取具有一定的時(shí)效性。

　　2.確保“證據(jù)鏈”的完整性。也稱為證據(jù)保全，即在證據(jù)被正式提交法庭時(shí)，必須能夠說明證據(jù)從最初的獲取狀態(tài)到法庭上出現(xiàn)的狀態(tài)之間的任何變化，包括證據(jù)的移交、保管、拆封、裝卸等過程。

　　3.保全性原則。在允許、可行的情況下，計(jì)算機(jī)證據(jù)最好制作兩個(gè)以上的拷貝，而原始證據(jù)必須專門負(fù)責(zé)，所存放的位置必須遠(yuǎn)離強(qiáng)磁、強(qiáng)腐蝕、高溫、高壓、灰塵、潮濕等惡劣環(huán)境，以防止證據(jù)被破壞。

　　4.全程可控原則。整個(gè)檢查取證的過程都必須受到監(jiān)督，在證據(jù)的移交、保管、拆封和裝卸過程中，必須由兩人或兩人以上共同完成，每一環(huán)節(jié)都要保證其真實(shí)性和不間斷性，防止證據(jù)被蓄意破壞。

　　(二)計(jì)算機(jī)取證的主要步驟

　　1.現(xiàn)場勘查

　　勘查主要是要獲取物理證據(jù)。首先要保護(hù)計(jì)算機(jī)系統(tǒng)，如果發(fā)現(xiàn)目標(biāo)計(jì)算機(jī)仍在進(jìn)行網(wǎng)絡(luò)連接，應(yīng)該立即斷開網(wǎng)絡(luò)，避免數(shù)據(jù)被遠(yuǎn)程破壞。如果目標(biāo)計(jì)算機(jī)仍處在開機(jī)狀態(tài)，切不可立即將其電源斷開，保持工作狀態(tài)反而有利于證據(jù)的獲取，比如在內(nèi)存緩沖區(qū)中可能殘留了部分?jǐn)?shù)據(jù)，這些數(shù)據(jù)往往是犯罪分子最后遺漏的重要證據(jù)。如果需要拆卸或移動設(shè)備，必須進(jìn)行拍照存檔，以方便日后對犯罪現(xiàn)場進(jìn)行還原。

　　2.獲取電子證據(jù)

　　包括靜態(tài)數(shù)據(jù)獲取和動態(tài)數(shù)據(jù)獲取。靜態(tài)數(shù)據(jù)包括現(xiàn)存的正常文件、已經(jīng)刪除的文件、隱藏文件以及加密文件等，應(yīng)最大程度的系統(tǒng)或應(yīng)用程序使用的臨時(shí)文件或隱藏文件。動態(tài)數(shù)據(jù)包括計(jì)算機(jī)寄存器、Cache緩存、路由器表、任務(wù)進(jìn)程、網(wǎng)絡(luò)連接及其端口等，動態(tài)數(shù)據(jù)的采集必須迅速和謹(jǐn)慎，一不小心就可能被新的操作和文件覆蓋替換掉。

　　3.保護(hù)證據(jù)完整和原始性

　　取證過程中應(yīng)注重采取保護(hù)證據(jù)的措施，應(yīng)對提取的各種資料進(jìn)行復(fù)制備份，對提取到的物理設(shè)備，如光盤硬盤等存儲設(shè)備、路由器交換機(jī)等網(wǎng)絡(luò)設(shè)備、打印機(jī)等外圍設(shè)備，在移動和拆卸過程中必須由專人拍照攝像，再進(jìn)行封存。對于提取到的電子信息，應(yīng)當(dāng)采用MD5、SHA等Hash算法對其進(jìn)行散列等方式進(jìn)行完整性保護(hù)和校驗(yàn)。上述任何操作都必須由兩人以上同時(shí)在場并簽字確認(rèn)。

　　4.結(jié)果分析和提交

　　這是計(jì)算機(jī)取證的關(guān)鍵和核心。打印對目標(biāo)計(jì)算機(jī)系統(tǒng)的全面分析結(jié)果，包括所有的相關(guān)文件列表和發(fā)現(xiàn)的文件數(shù)據(jù)，然后給出分析結(jié)論，具體包括：系統(tǒng)的整體情況，發(fā)現(xiàn)的文件結(jié)構(gòu)、數(shù)據(jù)、作者的信息以及在調(diào)查中發(fā)現(xiàn)的其他可疑信息等。在做好各種標(biāo)記和記錄后，以證據(jù)的形式并按照合法的程序正式提交給司法機(jī)關(guān)。

　　三、計(jì)算機(jī)取證相關(guān)技術(shù)

　　計(jì)算機(jī)取證涉及到的技術(shù)非常廣泛，幾乎涵蓋信息安全的各個(gè)領(lǐng)域，從證據(jù)的獲取來源上講，計(jì)算機(jī)取證技術(shù)可大致分為基于單機(jī)和設(shè)備的計(jì)算機(jī)取證技術(shù)、基于網(wǎng)絡(luò)的計(jì)算機(jī)取證技術(shù)兩類。

　　(一)基于單機(jī)和設(shè)備的取證技術(shù)

　　1.數(shù)據(jù)恢復(fù)技術(shù)

　　數(shù)據(jù)恢復(fù)技術(shù)主要是用于將用戶刪除或格式化的磁盤擦除的電子證據(jù)恢復(fù)出來。對于刪除操作來說，它只是將文件相應(yīng)的存放位置做了標(biāo)記，其文件所占的磁盤空間信息在沒有新的文件重新寫入時(shí)仍然存在，普通用戶看起來已經(jīng)沒有了，但實(shí)際上通過恢復(fù)文件標(biāo)記可以進(jìn)行數(shù)據(jù)恢復(fù)。對于格式化操作來講，它只是將文件系統(tǒng)的各種表進(jìn)行了初始化，并未對數(shù)據(jù)本身進(jìn)行實(shí)際操作，通過重建分區(qū)表和引導(dǎo)信息，是可以恢復(fù)已經(jīng)刪除的數(shù)據(jù)的。實(shí)驗(yàn)表明，技術(shù)人員可以借助數(shù)據(jù)恢復(fù)工具，把已經(jīng)覆蓋過7次的數(shù)據(jù)重新還原出來。

　　2.加密解密技術(shù)

　　通常犯罪分子會將相關(guān)證據(jù)進(jìn)行加密處理，對取證人員來講，必須把加密過的數(shù)據(jù)進(jìn)行解密，才能使原始信息成為有效的電子證據(jù)。計(jì)算機(jī)取證中使用的密碼破解技術(shù)和方法主要有：密碼分析技術(shù)、密碼破解技術(shù)、口令搜索、口令提取及口令恢復(fù)技術(shù)。

　　3.數(shù)據(jù)過濾和數(shù)據(jù)挖掘技術(shù)

　　計(jì)算機(jī)取證得到的數(shù)據(jù)，可能是文本、圖片、音頻或者視頻，這些類型的文件都可能隱藏著犯罪信息，犯罪分子可以用隱寫的方法把信息嵌入到這些類型的文件中。若果犯罪分子同時(shí)結(jié)合加密技術(shù)對信息進(jìn)行處理，然后再嵌入到文件中，那么想要還原出原始信息將變得非常困難，這就需要開發(fā)出更優(yōu)秀的數(shù)據(jù)挖掘工具，才能正確過濾出所需的電子證據(jù)。

　　(二)基于網(wǎng)絡(luò)的取證技術(shù)

　　基于網(wǎng)絡(luò)的取證技術(shù)就是利用網(wǎng)絡(luò)跟蹤定位犯罪分子或通過網(wǎng)絡(luò)通信的數(shù)據(jù)信息資料獲取證據(jù)的技術(shù)，具體包括以下幾種技術(shù)：

　　1.IP地址和MAC地址獲取和識別技術(shù)

　　利用ping命令，向目標(biāo)主機(jī)發(fā)送請求并監(jiān)聽ICMP應(yīng)答，這樣可以判斷目標(biāo)主機(jī)是否在線，然后再用其他高級命令來繼續(xù)深入檢查。也可以借助IP掃描工具來獲取IP，或者利用DNS的逆向查詢方法獲取IP地址，也可以通過互聯(lián)網(wǎng)服務(wù)提供商ISP的支持來獲取IP。

　　MAC地址屬于硬件層面，IP地址和MAC的轉(zhuǎn)化是通過查找地址解析協(xié)議ARP表來實(shí)現(xiàn)的，當(dāng)然，MAC跟IP地址一樣，也可能被修改，如此前一度橫行的“ARP欺騙”木馬，就是通過修改IP地址或MAC來達(dá)到其目的的。

　　2.網(wǎng)絡(luò)IO系統(tǒng)取證技術(shù)

　　也就是網(wǎng)絡(luò)輸入輸出系統(tǒng)，使用netstat命令來跟蹤嫌疑人，該命令可以獲取嫌疑人計(jì)算機(jī)所在的域名和MAC地址。最具代表性的是入侵檢測技術(shù)IDS，IDS又分為檢測特定事件的和檢測模式變化的，它對取證最大幫助是它可以提供日志或記錄功能，可以被用來監(jiān)視和記錄犯罪行為。

　　3.電子郵件取證技術(shù)

　　電子郵件使用簡單的應(yīng)用協(xié)議和文本存儲轉(zhuǎn)發(fā)，頭信息包含了發(fā)送者和接受者之間的路徑，可以通過分析頭路徑來獲取證據(jù)，其關(guān)鍵在于必須了解電子郵件協(xié)議中的郵件信息的存儲位置。對于POP3協(xié)議，我們必須訪問工作站才能獲取頭信息;而基于HTTP協(xié)議發(fā)送的郵件，一般存儲在郵件服務(wù)器上;而微軟操作系統(tǒng)自帶的郵件服務(wù)通常采用SMTP協(xié)議。對于采用SMTP協(xié)議的郵件頭信息，黑客往往能輕易在其中插入任何信息，包括偽造的源地址和目標(biāo)地址。跟蹤?quán)]件的主要方法是請求ISP的幫助或使用專用的如NetScanTools之類的工具。

　　4.蜜罐網(wǎng)絡(luò)取證技術(shù)

　　蜜罐是指虛假的敏感數(shù)據(jù)，可以是一個(gè)網(wǎng)絡(luò)、一臺計(jì)算機(jī)或者一項(xiàng)后臺服務(wù)，也可以虛假口令和數(shù)據(jù)庫等。蜜罐網(wǎng)絡(luò)則是由若干個(gè)能收集和交換信息的蜜罐組成的網(wǎng)絡(luò)體系，研究人員借助數(shù)據(jù)控制、數(shù)據(jù)捕獲和數(shù)據(jù)采集等操作，對誘捕到蜜罐網(wǎng)絡(luò)中的攻擊行為進(jìn)行控制和分析。蜜罐網(wǎng)絡(luò)的關(guān)鍵技術(shù)包括網(wǎng)絡(luò)欺騙、攻擊捕獲、數(shù)據(jù)控制、攻擊分析與特征提取、預(yù)警防御技術(shù)。目前應(yīng)用較多是主動蜜罐系統(tǒng)，它可以根據(jù)入侵者的攻擊目的提供相應(yīng)的欺騙服務(wù)，拖延入侵者在蜜罐中的時(shí)間，從而獲取更多的信息，并采取有針對性的措施，保證系統(tǒng)的安全性。

　　參考文獻(xiàn)：

　　[1]盧細(xì)英.淺析計(jì)算機(jī)取證技術(shù)[J],福建電腦,2008(3).

　　[2]劉凌.淺談計(jì)算機(jī)靜態(tài)取證與計(jì)算機(jī)動態(tài)取證[J],計(jì)算機(jī)與現(xiàn)代化,2009(6).

　　
看了“計(jì)算機(jī)取證技術(shù)論文”的人還看：

1.計(jì)算機(jī)犯罪及取征技術(shù)的研究論文

2.安卓手機(jī)取證技術(shù)論文

3.計(jì)算機(jī)安全畢業(yè)論文

4.計(jì)算機(jī)安全論文

5.計(jì)算機(jī)安全論文范文