計算機取證技術(shù)應用

　　計算機取證技術(shù)應用【1】

　　摘 要：本文介紹了計算機取證技術(shù)概念、計算機取證人員在取證過(guò)程中應遵循的原則及操作規范，分析了當前計算機取證應用的主要技術(shù)，討論了計算機取證的發(fā)展趨勢。

　　關(guān)鍵詞：計算機取證;取證技術(shù);電子證據

　　隨著(zhù)計算機技術(shù)的發(fā)展，計算機的應用已經(jīng)成為人們工作和生活中不可或缺的一部分。

　　計算機及信息技術(shù)給我們帶來(lái)便利的同時(shí)，也為犯罪分子提供了新型的犯罪手段，與計算機相關(guān)的違法犯罪行為也相應隨之增加。

　　在實(shí)際案件中，涉及需要計算機取證的案件也日益增加，特別是在2012年3月14日，第十一屆全國人民代表大會(huì )第五次會(huì )議審議通過(guò)了《關(guān)于修改(中華人民共和國刑事訴訟法)的決定》，將“電子數據”作為一種獨立的證據種類(lèi)加以規定，第一次以基本法律的形式確認了電子證據在刑事訴訟中的法律地位。

　　由于電子證據的易丟失、易被篡改、偽造、破壞、毀滅等特性，為了避免破壞證據和原始數據，取證人員在對計算機進(jìn)行取證工作過(guò)程中，必須嚴格按照規范程序操作，并遵守一定的原則。

　　1 計算機取證的定義

　　當前對計算機取證還沒(méi)有較為全面統一和標準化的定義，許多專(zhuān)家學(xué)者和機構站在不同的角度給計算機取證下的定義都有所不同。

　　當前相對較為全面且被大部分人認可的定義是：計算機取證是指對相關(guān)電子證據的確定、收集、保護、分析、歸檔以及法庭出示的過(guò)程，這里的相關(guān)電子證據是指存儲在計算機及相關(guān)外部設備中能夠為法庭接受的、足夠可靠和有說(shuō)服力的電子證據。

　　2 計算機取證規范

　　由于電子證據具有易破壞性等特點(diǎn)，取證人員在進(jìn)行計算機取證時(shí)應有嚴格的規范程序要求，取證過(guò)程應當遵守一定的基本原則：首先是證據的取得必須合法。

　　其次取證人員的計算機取證工作必須有嚴格操作規范。

　　最后，取證工作應當在監督下執行，并且有相應的操作記錄，必要時(shí)應當有第三方介入。

　　3 取證技術(shù)的應用

　　電子證據主要來(lái)源有三個(gè)方面：一是來(lái)自主機系統設備及其附件方面的證據;二是來(lái)自網(wǎng)絡(luò )系統方面的證據;三是來(lái)自其他各種類(lèi)型的數字電子設備的證據。

　　根據計算機取證所處的階段不同，可以采用不同的取證技術(shù);當前計算機取證應用的主要技術(shù)可以分為以下幾個(gè)方面：

　　3.1 磁盤(pán)復制技術(shù)

　　取證過(guò)程不允許在原始磁盤(pán)設備上面進(jìn)行直接操作。

　　因為在原始磁盤(pán)設備上面直接提取數據可能會(huì )損壞磁盤(pán)上的原始數據，造成不可逆的數據破壞或數據永久性丟失。

　　通過(guò)鏡像方式做磁盤(pán)整盤(pán)復制或制作磁盤(pán)鏡像文件對原始數據進(jìn)行位對位的精確復制，復制時(shí)可以對數據或者設備進(jìn)行校驗(如MD5或者SHA2)確認所獲取的數據文件與原始磁盤(pán)介質(zhì)中的文件數據完全一致，并且未被修改過(guò)。

　　通過(guò)磁盤(pán)鏡像復制的數據不同于一般的復制粘貼，鏡像方式復制的數據包括磁盤(pán)的臨時(shí)文件 ，交換文件，磁盤(pán)未分配區，及文件松弛區等信息，這信息對于某些特定案件的取證是必須的。

　　3.2 信息搜索與過(guò)濾技術(shù)

　　信息搜索與過(guò)濾技術(shù)就是從大量的信息數據中獲取與案件直接或者間接相關(guān)的犯罪證據，如文本、圖像、音視頻等文件信息。

　　當前應用較多的技術(shù)有：數據過(guò)濾技術(shù)、數據挖掘技術(shù)等。

　　3.3 數據恢復技術(shù)

　　數據恢復技術(shù)[3]是指通過(guò)技術(shù)手段，把保存在磁盤(pán)、存儲卡等電子設備上遭到破壞和丟失的數據還原為正常數據的技術(shù)。

　　從操作層面上看，可以將數據恢復技術(shù)分為軟件恢復技術(shù)、硬件恢復技術(shù)。

　　3.4 隱形文件識別與提取技術(shù)

　　隨著(zhù)技術(shù)的高速發(fā)展，犯罪嫌疑人的反偵查意識也在提高。

　　嫌疑人經(jīng)常會(huì )對重要的數據文件采用偽裝、隱藏等技術(shù)手段使文件隱形，以逃避偵查。

　　案件中常見(jiàn)的技術(shù)應用有數據隱藏技術(shù)、水印提取技術(shù)、和文件的反編譯技術(shù)。

　　3.5 密碼分析與解密技術(shù)

　　密碼分析與解密技術(shù)是借助各種類(lèi)型的軟件工具對已加密的數據進(jìn)行解密。

　　常見(jiàn)的技術(shù)有口令搜索、加密口令的暴力破解技術(shù)、網(wǎng)絡(luò )偷聽(tīng)技術(shù)、密碼破解技術(shù)、密碼分析技術(shù)。

　　其中密碼分析技術(shù)包括對明文密碼、密文密碼以及密碼文件的分析與破解。

　　3.6 網(wǎng)絡(luò )追蹤技術(shù)

　　網(wǎng)絡(luò )追蹤技術(shù)是根據IP報文信息轉發(fā)及路由信息來(lái)判斷信息源在網(wǎng)絡(luò )中的位置，有時(shí)還需要對所獲取的數據包進(jìn)行技術(shù)分析才能追蹤到攻擊者的真實(shí)位置。

　　常用的追蹤技術(shù)有連接檢測、日志記錄分析、ICMP追蹤、標記信息技術(shù)與信息安全文法等。

　　3.7 日志分析技術(shù)

　　日志文件由日志記錄組成，每條日志記錄描述了一次單獨的系統事件[4]。

　　日志文件記錄著(zhù)大量的用戶(hù)行為使用痕跡，在計算機取證過(guò)程中充分利用日志文件提取有用的證據數據，是進(jìn)行日志分析的關(guān)鍵。

　　3.8 互聯(lián)網(wǎng)數據挖掘技術(shù)

　　數據挖掘[5]是一種數據分析方法，它可以對大量的業(yè)務(wù)數據進(jìn)行搜索和分析并提取關(guān)鍵性數據，從而來(lái)揭示隱藏在其中的、未知的有效證據信息，或對已知的證據信息進(jìn)行驗證。

　　根據網(wǎng)絡(luò )數據的特點(diǎn)可以分成靜態(tài)獲取和動(dòng)態(tài)獲取。

　　靜態(tài)獲取是從海量的網(wǎng)絡(luò )數據中獲取有關(guān)計算機犯罪的證據信息。

　　動(dòng)態(tài)獲取[6]是對網(wǎng)絡(luò )信息數據流的實(shí)時(shí)捕獲。

　　4 結束語(yǔ)

　　計算機取證技術(shù)是一個(gè)迅速發(fā)展的研究領(lǐng)域，有著(zhù)良好的應用前景。

　　特別是在2012年3月，新的刑事訴訟法對“電子數據”的法律地位加以獨立規定，計算機取證技術(shù)的重要性顯得更為突出。

　　當前，國內在計算機取證技術(shù)上的研究力量也正在逐漸加強，相關(guān)取證技術(shù)及法律法規的研究也越來(lái)越多的受到重視，但在程序上還缺乏一套統一的計算機取證流程，對于取證人員的培養和取證機構的建設還需要進(jìn)一步加強。

　　參考文獻：

　　[1]麥永浩，孫國梓，許榕生，戴士劍.計算機取證與司法鑒定[M].清華大學(xué)出版社，2009(01).

　　[2]殷聯(lián)甫.網(wǎng)絡(luò )與計算機安全叢書(shū)計算機取證技術(shù)[M].北京：科學(xué)出版社，2008(02).

　　[3]戴士劍，戴森，房金信.數據恢復與硬盤(pán)修理[M].電子工業(yè)出版社，2012：1-79.

　　[4]姜燕.計算機取證中日志分析技術(shù)綜述[J].電子設計工程，2013(06).

　　[5]百度百科.數據挖掘[EB/OL].http：/pic/link?url=t1Ag0_5CVBuM2BM7c3cd43a_Vevhe0MS0-Tz16RdalTyB4XTB9vulAP0A2AK281o，2013-11-22

　　[6](美)Harlan Carvey著(zhù) 卡羅王智慧，崔孝晨，陸道宏 譯.Windows取證分析：Windows forensic analysis[M].北京：科學(xué)出版社，2009.

　　計算機取證技術(shù)【2】

　　摘 要：近幾年來(lái)，隨著(zhù)計算機網(wǎng)絡(luò )的普及，計算機網(wǎng)絡(luò )病毒也愈來(lái)愈猖獗，依靠計算機網(wǎng)絡(luò )系統的犯罪現象越來(lái)越突出，已成為較嚴重的技術(shù)問(wèn)題。

　　由于犯罪手段愈加隱秘，犯罪技術(shù)愈加先進(jìn)，傳統的破案方法已難以將其繩之以法，就必須依靠計算機取證技術(shù)，對犯罪現象進(jìn)行有效打擊。

　　為此，本文對計算機取證技術(shù)進(jìn)行相關(guān)研究，具有重要的實(shí)際意義。

　　關(guān)鍵詞：計算機;取證技術(shù)

　　計算機犯罪是一種與時(shí)代同步發(fā)展的技術(shù)犯罪，加上計算機犯罪具有較強的隱蔽性及匿名性，使得偵查計算機犯罪具有較大困難。

　　尤其隨著(zhù)計算機網(wǎng)絡(luò )技術(shù)的日益更新，對網(wǎng)絡(luò )攻擊水平也在不斷提高，新的攻擊手段及工具層出不窮，對網(wǎng)絡(luò )信息安全造成了極大威脅。

　　鑒于此種現象，迫使我們必須改變傳統的防御技術(shù)，變被動(dòng)為主動(dòng)，嚴厲打擊犯罪分子的囂張氣焰，從根本上降低犯罪率。

　　計算機取證技術(shù)作為一種先進(jìn)技術(shù)，就能夠解決這一問(wèn)題，能夠嚴厲打擊犯罪分子。

　　1 計算機取證概述

　　所謂計算機取證是指對計算機入侵、破壞及攻擊等犯罪行為，依靠計算機硬軟件技術(shù)，并遵循國家相關(guān)法律規范，對犯罪行為提取證據，并對其進(jìn)行分析及保存。

　　從技術(shù)角度看，計算機取證可對入侵計算機的系統進(jìn)行破解及掃描，對入侵的過(guò)程進(jìn)行重建。

　　計算機取證也稱(chēng)之為電子取證、數字取證或計算機法醫學(xué)，主要包括兩個(gè)階段，即獲取數據、發(fā)現信息。

　　其中獲取數據是指取證人員針對入侵現象，尋找相關(guān)的計算機硬件;而發(fā)現信息則是指從獲取的數據中尋找相關(guān)的犯罪證據，該證據與傳統的證據一樣具有較高的可靠性及真實(shí)性。

　　計算機取證流程分為以下幾個(gè)步驟：取證準備――現場(chǎng)勘查――數據分析――證據呈遞四大步驟，每一步驟都有自己的特點(diǎn)。

　　如：數據分析是將與犯罪相關(guān)的事實(shí)數據相繼找出來(lái)，與案件取得相關(guān)性。

　　2 分析計算機取證技術(shù)

　　計算機取證技術(shù)主要分為蜜罐網(wǎng)絡(luò )取證系統、數字圖像邊緣特性濾波取證系統、分布式自治型取證系統及自適應動(dòng)態(tài)取證系統。

　　2.1 蜜罐網(wǎng)絡(luò )取證系統

　　從當前來(lái)看，蜜罐網(wǎng)絡(luò )取證系統已受到很多計算機研究者的重視，并對其進(jìn)行研究分析，通過(guò)布置安全的蜜網(wǎng)，就能夠正確收集大量的攻擊行為。

　　通過(guò)近幾年的研究，一種主動(dòng)的蜜罐系統被提出來(lái)，該系統能夠自動(dòng)生成一個(gè)供給目的的匹配對象，并對入侵的信息研究較為深入。

　　蜜罐取證系統結構中每一個(gè)蜜罐都是虛擬的，并配備有合法的外部的IP地址，可看成一個(gè)獨立的機器，對不同的操作系統進(jìn)行模仿，并能夠收集相關(guān)日志數據，最終實(shí)現日志與蜜罐的分離。

　　通過(guò)蜜罐系統可根據攻擊者在蜜罐中的時(shí)間，獲取更多有關(guān)攻擊的信息，進(jìn)而采取有效的防范措施，最終提升系統的安全性。

　　2.2 數字圖像邊緣特性濾波取證系統

　　所謂的數字圖像邊緣特性濾波取證系統是指攻擊者對圖像的篡改，要想對圖像進(jìn)行正確的取證則需要對圖像的篡改手段進(jìn)行詳細的掌握，最為主要的就是對圖像的合成及潤飾的檢測。

　　對于圖像的合成主要采用同態(tài)濾波放大人工的模糊邊界，在一定頻域中對圖像的亮度進(jìn)行壓縮，并對圖像的對比度進(jìn)行增強，進(jìn)而使得人工模糊操作中的模糊邊界得到放大，提高取證的準確性。

　　當圖像采用同態(tài)濾波之后，模糊邊緣就能夠得到方法，并利用腐蝕運算，除掉圖像自然邊緣，對其偽造區域進(jìn)行正確定位。

　　另一方面則是潤飾的檢測。

　　利用形態(tài)學(xué)濾波的方式，構造合適的結構元素，包括結構元素的形狀、大小等。

　　結構元素大小適宜選擇三像素的方形結構，其檢測步驟為：首先，采取適當的同態(tài)濾波函數，對預取證圖像的邊緣進(jìn)行擴展處理;然后，將經(jīng)過(guò)濾波之后的圖像信息提取出來(lái);最后，選取腐蝕運算將經(jīng)過(guò)增強處理的圖像模糊拼接邊緣提取出來(lái)，最終對圖像的偽造區域進(jìn)行定位。

　　2.3 分布式自治型取證系統

　　管理的證據收集及集中式的處理是較為普遍的證據收集方式，具有復雜的層次結構，但該設計的缺點(diǎn)為網(wǎng)絡(luò )寬帶不足且單點(diǎn)失效，極易發(fā)生性能瓶頸，進(jìn)而無(wú)法正確收集大量的攻擊信息。

　　鑒于以上存在的缺點(diǎn)，特研究出一種分布式自治型的取證系統，該系統采用三層的分布方式，通過(guò)各個(gè)取證字點(diǎn)能夠獨立地完成證據的收集。

　　2.4 自適應動(dòng)態(tài)取證系統

　　所謂自適應動(dòng)態(tài)取證系統是指對網(wǎng)絡(luò )數據流進(jìn)行分析及捕捉，對網(wǎng)絡(luò )運行狀態(tài)進(jìn)行實(shí)時(shí)的監控。

　　當前，所使用的自適應取證系統是基于A(yíng)gent的自治軟件實(shí)體，在需要的時(shí)候能夠被動(dòng)或主動(dòng)地從一個(gè)網(wǎng)絡(luò )結點(diǎn)向另一網(wǎng)絡(luò )節點(diǎn)轉移，在任意點(diǎn)都能夠對執行過(guò)程進(jìn)行中斷。

　　通過(guò)利用該軟件構造檢測取證的異構環(huán)境，有效將取證技術(shù)與網(wǎng)絡(luò )安全系統相結合起來(lái)，實(shí)現自適應識別、分析及獲取可疑網(wǎng)絡(luò )信息，智能分析攻擊者的入侵動(dòng)機。

　　此外，可確保系統網(wǎng)絡(luò )安全的條件下，獲取相應的證據。

　　該取證系統最為重要的是能夠根據攻擊者的攻擊手段而改變，隨時(shí)調整防范對策。

　　3 計算機取證技術(shù)的發(fā)展方向

　　盡管計算機取證技術(shù)在當前應用較為廣泛，但仍存在一些局限性，如取證軟件的局限性、反取證技術(shù)的局限性。

　　其中反取證技術(shù)的局限性則表現以下三方面：其一，數據的擦除主要是采用Klismafile工具進(jìn)行的，該工具并不是一個(gè)完美的解決問(wèn)題工具，這主要是因為被該工具修改后的目錄文件極易可能出現目錄項大小不同的現象，影響取證信息的搜集。

　　其二，對數據加密時(shí)，為了能夠長(cháng)期保存數據，就必須使用數據隱藏與其他技術(shù)聯(lián)合使用，可使用別人不知道的文件進(jìn)行加密處理，盡管對其進(jìn)行加密了，但在運行時(shí)則需要執行一個(gè)文本解密程序來(lái)解密已經(jīng)加密的代碼，而這個(gè)代碼極易被黑客程序所破解，就有可能需要另一個(gè)解密程序。

　　其三，數據的隱藏。

　　為了能夠有效地逃避取證，一些攻擊者就對不能夠刪除的文件進(jìn)行隱藏，讓調查者不易檢查出來(lái)，往往將數據文件隱藏在磁盤(pán)上。

　　隱藏的文件往往在調查者不知到哪里尋找相關(guān)證據時(shí)才有效，故僅僅適用于短期的數據保存。

　　計算機取證技術(shù)在今后一段時(shí)期內，則應向智能化及標準化方向發(fā)展，所謂智能化是指必須將計算機取證技術(shù)與人工智能技術(shù)緊密聯(lián)合起來(lái)，若僅僅依靠人工來(lái)操作，不僅工作效率低下，而且取證信息有可能失去真實(shí)性。

　　為此，則必須通過(guò)人工智能，對攻擊者的犯罪手段進(jìn)行提前預測，采取相應的措施，從而提取犯罪信息，并對信息進(jìn)行綜合分析。

　　標準化則是指所使用的取證軟件及技術(shù)必須不斷更新，并制定嚴格的取證規程。

　　這主要是因為當前很多取證工具軟件在實(shí)際的應用過(guò)程中，往往升級較慢，對于一些先進(jìn)的黑客技術(shù)則無(wú)能為力，使得越來(lái)越多的攻擊者越來(lái)越猖獗，為此，則需要對取證工具進(jìn)行有效的驗證，確保取證工具的規范化及標準化。

　　4 結束語(yǔ)

　　總而言之，計算機取證技術(shù)在保護消費者利益，打擊犯罪行為上具有重要的應用前景。

　　利用計算機取證系統能夠較好地發(fā)現計算機存在的漏洞，并對其進(jìn)行修復，這樣一來(lái)，就能夠較好地確保計算機的安全性，最大限度減少犯罪行為。

　　此外，不僅需要相關(guān)計算機取證技術(shù)，而且還需要相關(guān)的法律制裁，需建立一套完整的法律保障系統，切實(shí)保護國家安全信息及消費者利益。

　　參考文獻：

　　[1]楊繼武.對計算機取證技術(shù)的一些探討[J].制造業(yè)自動(dòng)化，2012，34(5)：67-69，83.

　　[2]熊杰.計算機主機隱秘信息取證技術(shù)研究[J].軟件導刊，2013，12(4)：157-159.

　　[3]冷繼兵.計算機的取證技術(shù)與發(fā)展方向研究[J].煤炭技術(shù)，2013，32(7)：182-184.

　　[4]王文奇，苗鳳君，潘磊等.網(wǎng)絡(luò )取證完整性技術(shù)研究[J].電子學(xué)報，2010，38(11)：2529-2534.

　　[5]熊杰.計算機主機隱秘信息取證技術(shù)研究[J].軟件導刊，2013，12(4)：157-159.

【計算機取證技術(shù)應用】相關(guān)文章：

計算機應用技術(shù)論文06-08

計算機應用技術(shù)論文（實(shí)用）10-18

計算機應用技術(shù)專(zhuān)業(yè)論文07-16

計算機應用技術(shù)規劃書(shū)12-21

計算機應用技術(shù)論文【推薦】10-18

計算機應用技術(shù)論文【精品】07-03

計算機應用技術(shù)論文15篇[精品]06-08

【精】計算機應用技術(shù)論文15篇06-22

計算機網(wǎng)絡(luò )技術(shù)的發(fā)展與應用論文08-26