計算機取證中易失性數據的收集分析論文

　　摘 要：摘要：計算機中有些數據的存在有很強的時(shí)效性，因此在取證中需要及時(shí)的收集這種易丟失的數據，本文首先介紹了易失性數據的相關(guān)概念、特點(diǎn)、等級、易失性數據的收集與保全原則和一些常見(jiàn)的易失性數據收集工具，然后重點(diǎn)討論了如何通過(guò)專(zhuān)用的取證工具盤(pán)對計算機中易失性數據的收集。

　　關(guān)鍵詞：關(guān)鍵詞：計算機取證；易失性數據；收集

　　中圖分類(lèi)號：TP274 文獻標識碼：A 文章編號：

　　1．引言

　　在計算機犯罪中，由于一些犯罪證據非常容易被徹底的刪除銷(xiāo)毀，從而給計算機取證帶來(lái)了非常大的難度。一般來(lái)說(shuō)，從計算機證據的時(shí)態(tài)性分類(lèi)，可將計算機證據分為三種；即易失性數據，硬盤(pán)數據和網(wǎng)絡(luò )數據。其中，易失性數據是指，系統在某一時(shí)刻的詳細狀態(tài)信息，包括用戶(hù)登入列表，登入日期時(shí)間，運行進(jìn)程列表以及網(wǎng)絡(luò )連接列表等信息。但是，這些數據都具有很強的時(shí)態(tài)性，而其證據分析難度低，因此，獲取這些證據的緊急性最高，所以必須最先獲取，以免意外情況造成易失性數據的丟失。

　　2．易失性數據的相關(guān)知識

　　2.1 易失性數據的特點(diǎn)

　�。�1）隱蔽性。計算機系統中的各個(gè)地方都可能存在著(zhù)計算機證據，而數據在計算機中是以二進(jìn)制代碼形式進(jìn)行存儲和傳輸的，所以人們不能直接感知，隱蔽性很強。

　�。�2）客觀(guān)性。如果沒(méi)有外界對數據故意的篡改，計算機證據將很少受影響而發(fā)生變化，所以，一般計算機證據具有較強的證明力，能準確是反映案件的事實(shí)。

　�。�3）脆弱易逝性。計算機證據很容易受外界刻意的竊取、修改和銷(xiāo)毀，且幾乎不留痕跡。此外，計算機中的有些數據是動(dòng)態(tài)存在的，所以，它有很強的時(shí)效性，這些數據可能隨著(zhù)時(shí)間的推移而改變或消失。

　　2.2 易失性數據的等級劃分

　　當從正處于運行的計算機中收集計算機證據時(shí)，一定要考慮各軟硬件中數據易丟失的順序，即易失性數據的等級。對易丟失等級越高的數據，如果不及時(shí)處理，那么這些數據被修改、丟失的可能性就越大。各種數據的易失性數據等級如圖1所示：

　　圖1 易失性數據的等級

　　3．易失性數據的收集和保全

　　3.1 易失性數據的收集

　　易失性數據收集必須遵循如下原則：

　�。�1）保證數據的原始性。即數據是從計算機上逐位比特的復制。

　�。�2）保證在數據分析和數據傳遞過(guò)程中的完整性。

　�。�3）保持證據的連續性。即在證據從最初的獲取狀態(tài)到被提交到法庭的過(guò)程中，必須能詳細說(shuō)明期間證據狀態(tài)的所有變化。

　�。�4）取證過(guò)程的合法性。整個(gè)取證過(guò)程必須受到全程的監督。

　�。�5）取證過(guò)程和結論能夠在另外一名取證人員的操作下重現。

　　3.2 易失性數據的收集步驟

　　易失性數據收集可按如下步驟進(jìn)行：

　�。�1）取證準備。即取證工具的準備、調查小組的建立和收集策略的建立等。

　�。�2）建立概要文檔。包括建立取證概要文檔和證據收集日志等。

　�。�3）決策的核實(shí)。主要包括：①確定調查人員在證據收集過(guò)程中的權力范圍。②確定證據收集的主要方式。

　�。�4）確定易失性數據收集策略。包括確定易失性數據的類(lèi)型、確定證據工具和技術(shù)、確定收集信息的輸出和存儲的位置以及建立可信的命令解釋程序。

　�。�5）易失性數據的收集。

　　3.3 易失性數據保全原則

　　證據的保全即數據的保護與保存，在計算機取證的整個(gè)過(guò)程中，必須保護所有的數據不能被修改，不能使數據受到任何的破壞。因此，為了證據證明力的最大化，就必須確保數據絕對的安全。在易失性數據保全過(guò)程中，必須注意以下幾個(gè)原則：

　�。�1）合法性；包括了方法的合法性和程序的合法性，即證據保全中應與必要的訴訟程序緊密聯(lián)系，同時(shí)證據收集、保全及分析的過(guò)程中的合理性等。

　�。�2）效率和成本。保全效率是指在保全的全過(guò)程中必須嚴格按照法定的時(shí)間要求進(jìn)行，根據實(shí)際情況確定電子證據保全的方法與過(guò)程；保全成本是指保全過(guò)程中可能需要大量的設備和技術(shù)支持，使得保全的成本非常很高。

　�。�3）及時(shí)性。電子證據具有很強的實(shí)效性，如果未在特定的時(shí)間內及時(shí)保全數據，可能照成證據消失而無(wú)法提取。

　�。�4）完整性。包括電子證據數據本身完整未被改動(dòng)以及其所在的計算機系統的完整性。

　�。�5）最小破壞。即在電子證據保全的過(guò)程中，最大限度的保護設備以及系統不被改動(dòng)和破壞，保證證據的原始性。

　　4．易失性數據收集范疇及實(shí)施

　　4.1 易失性數據包含的范疇

　　易失性數據主要包含的數據有：（1）描述計算機的基本配置信息的系統概要文件。如：計算機操作系統的版本、型號、安裝時(shí)間、系統目錄、系統注冊用戶(hù)、物理內存、安裝的硬件及其配置和安裝的應用軟件等。（2）當前系統的日期、時(shí)間等記錄。（3）計算機從上一次啟動(dòng)到現在一共運行的時(shí)間，用于確定收集的易失性數據是否具有一定的價(jià)值。（4）當前系統運行進(jìn)程列表，可能會(huì )發(fā)現一些惡意進(jìn)程、未授權的軟件及已終止的合法進(jìn)程。（5）登錄用戶(hù)最近的活動(dòng)記錄。（6）啟動(dòng)文件和剪貼板中的數據。

　　4.2 易失性數據收集的實(shí)施

　　在取證過(guò)程中，首先要準備一個(gè)專(zhuān)用的取證工具盤(pán)，如I盤(pán)，里面包含常用的取證工具：如cmd.exe、MD5sum.exe、date.exe、time.exe、systeminfo.exe、psinfo.exe、netstat、Listdlls.exe、PsLoggedOn.exe、ipconfig.exe等。然后按下面的方法進(jìn)行數據的收集，最后將所有數據都保存到工具盤(pán)中。

　�。�1）首先，在取證前使用MD5sum.exe對專(zhuān)用取證工具盤(pán)計算MD5散列值，并生成到指定的文本文件中，這樣可對取證前的工具盤(pán)內的文件通過(guò)MD5值來(lái)判斷是否作了改變。

　�。�2）取證開(kāi)始之前，使用date.exe和time.exe命令獲取計算機本地日期和時(shí)間，將結果生成到指定的文本文件中，并存儲到取證工具盤(pán)，如圖2所示：

　　圖2 獲取前系統當的日期和時(shí)間

　�。�3）使用systeminfo.exe獲取系統概要文件（包括系統初始安裝時(shí)間、運行時(shí)間、BIOS版本、登錄服務(wù)器、系統目錄、注冊用戶(hù)等信息）并生成文本文件保存到指定的取證工具盤(pán)中，如圖3所示：

　　圖3 運行systeminfo.exe命令

　�。�4）使用psinfo.exe建立一個(gè)系統概要文件，獲取計算機的軟件信息。

　�。�5）確定當前運行的進(jìn)程文件�？墒褂胣etstat命令確定當前進(jìn)程的可執行文件。使用ListDLLs可確定執行進(jìn)程的命令行。使用pslist確定進(jìn)程的執行時(shí)間。

　�。�6）使用PsLoggedOn.exe可獲取本地和遠程登錄的用戶(hù)信息。如賬戶(hù)登錄、注銷(xiāo)的時(shí)間和駐留的系統的時(shí)間等。

　�。�7）使用ipconfig獲取計算機的TCP/IP配置。

　�。�8）取證結束后，再次計算取證工具盤(pán)的MD5散列值。

　�。�9）取證結束后，再次獲取本地日期和時(shí)間。

　　5．總結

　　本文首先介紹了易失性數據收集的概念、特點(diǎn)、等級、計算機證據的收集與保全規則和一些常見(jiàn)的易失性數據收集工具，然后重點(diǎn)討論了計算機易失性數據的收集方法。當前，我國計算機犯罪的相關(guān)法律和條例還不太完善，隨著(zhù)信息技術(shù)的高速發(fā)展、計算機犯罪技術(shù)的手段也在不斷的提高，計算機取證將面臨更大的挑戰。

　　參考文獻

　　[1] 李宵聲.計算機取證中增強電子證據時(shí)態(tài)性方案[J]. 通信技術(shù),2008,4:127-128

　　[2] 楊永川. 計算機取證[M]. 高等教育出版社,2008

　　[3] 劉凌. 淺談?dòng)嬎銠C靜態(tài)取證與計算機動(dòng)態(tài)取證[J]. 計算機與現代化,2009,6:102-105

　　[4] 鐘秀玉. 計算機動(dòng)態(tài)取證系統模型研究[J]. 微計算機信息,2006,24:42-45

【計算機取證中易失性數據的收集分析論文】相關(guān)文章：

計算機犯罪偵查中基于Email取證線(xiàn)索發(fā)現論文08-24

大數據在旅游網(wǎng)站設計中的應用分析論文10-10

計算機在銀行審計中的應用分析論文08-24

數據挖掘在ＣＲＭ中的應用分析06-09

計算機系統審計的物證收集技術(shù)與方法的研究分析論文10-29

物資管理在電建企業(yè)中的重要性分析的論文10-18

關(guān)于數據安全在電子信息產(chǎn)品中的重要性論文10-15

計算機數據庫論文09-11

計算機數據庫論文07-21

研究性學(xué)習在生物教學(xué)中的實(shí)施分析論文08-19