当前位置：文档库 › 软件侵权的计算机取证方法研究

软件侵权的计算机取证方法研究

Encase,FTK几种计算机取证工具的比较

數位鑑識工具之比較 --以Encase 5.0、FTK 1.6及Helix 1.8工具鑑識職業駭客專門替人植入木馬破解密碼入侵案件為例林宜隆1、歐啟銘2 1中央警察大學資訊管理學系教授 2中央警察大學資訊管理學系研究生摘要網際網路的迅速發展之下，為我們帶來了許多便利，許多生活上所需要的東西都可以從網路上取得，例如：網路購物、網路轉帳等…但隨著這些便利的網路應用，也使得一些人利用這些便利做一些非法的應用。許多案例是員工監守自盜，將客戶的個人資料賣給詐騙集團，也有些因為公司或機關保護客戶個人資料不夠周全，讓駭客透過網路或是其他方式，竊取客戶個人資料。被駭客入侵後，如何取得駭客再受害者電腦做了什麼事，以及駭客從何而來，並且將這些證據可以作為法庭上證據，證明自己被攻擊，以及透過這些證據抓到攻擊者，也是非常重要的。本研究採用國內、外執法機關使用的Encas e、FTK及Helix，作為研究的主要鑑識工具，並比較相關數位鑑識工具，使用框架理論分析真實案例，透過案例驗證數位證據處理原則及工具的完整性、一致性、正確性。關鍵詞：網路犯罪、數位鑑識、駭客入侵

A comparative study on cyber Forensic tools - with Encase 5.0, FTK1.6 and Helix 1.8 tool Forensic professional hacker plant for people into trojan horse and explain password invade the case for the example Lin I-Long 1、Ou Chi Ming2* 1，2 Department of Information Management Center Police University ABSTRACT The constant development of the computers and the internet has resulted in more and more real life uses and applications. Examples are embanks, network auctions, web-cams and the internet phone. However, many internet crimes and problems also spawned along the side. One of the most common cases are the employees themselves embezzle its own company's personal information and to sell them to a fraud organization. In other cases, some companies or an organization simply doesn’t have the technical capability to protect their client's information away from the hackers. It is crucial to keep detailed information on the possible origin of the hacker and the specific damages the hacker had caused. These will become extremely vital evidences on the court. They may also be used to help arrest the attacker. The research use the cyber forensic tools which the most bureau of investigation use. We focus on the cyber forensic tools Encas e、FT K、Helix and compare them . We identify the completeness, integrity and correctness of tools and procedure by case. Keywords：cybercrime、cyber forensic、Trojan Horse

计算机取证技术实验报告

中南大学计算机取证技术实验报告学生姓名学院信息科学与工程学院专业班级完成时间

目录 1. 实验一事发现场收集易失性数据 (3) 1.1 实验目的 (3) 1.2 实验环境和设备 (3) 1.3 实验内容和步骤 (3) 2. 实验二磁盘数据映像备份 (8) 2.1 实验目的 (8) 2.2 实验环境和设备 (8) 2.3 实验内容和步骤 (9) 3. 实验三恢复已被删除的数据 (16) 3.1 实验目的 (16) 3.2 实验环境和设备 (16) 3.3 实验内容和步骤 (16) 4. 实验四进行网络监视和流量分析 (20) 4.1 实验目的 (20) 4.2 实验环境和设备 (20) 4.3 实验内容和步骤 (20) 5. 实验五分析Windows系统中隐藏的文件和Cache信息 (23) 5.1 实验目的 (23) 5.2 实验环境和设备 (24) 5.3 实验内容和步骤 (24) 6. 实验七数据解密 (28) 6.1 实验目的 (28) 6.2 实验环境和设备 (29) 6.3 实验内容和步骤 (29) 7.实验总结 (32)

计算机取证技术 1.实验一事发现场收集易失性数据 1.1 实验目的 1.会创建应急工具箱，并生成工具箱校验和； 2.能对突发事件进行初步调查，做出适当的响应； 3.能在最低限度地改变系统状态的情况下收集易失性数据。 1.2 实验环境和设备 1.Windows XP 或 Windows 2000 Professional 操作系统； 2.网络运行良好； 3.一张可用的软盘（或U盘）和PsTools工具包。 1.3 实验内容和步骤 1.创建应急工作盘，用命令md5sum创建工具盘上所有命令的校验和，生成文本文件commandsums.txt：

计算机取证简答题综合题

三、简答题 1.在计算机取证的过程中，不管发生了什么紧急情况，调查者都必须遵循的原则是什么答：①不要改变原始记录 ②不要在作为证据的计算机上执行无关的程序 ③不要给犯罪者销毁证据的机会 ④详细记录所有的取证活动 ⑤妥善保存取得的物证 2.当Windows系统受到入侵攻击，而需要对系统进行取证分析的操作会引起易失性数据。主要的易失性数据包括哪些答：①系统日期和时间②当前运行的活动进程 ③当前的网络连接④当前打开的端口 ⑤当前打开的套接字上的应用程序⑥当前登录用户系统中初始响应指的是什么现场数据收集的主要步骤包括哪些答：1.初始响应指的是收集受害者机器上的易失性数据，并据此进行取证分析的过程 2.现场数据收集包括一下3步： ①打开一个可信的命令解释程序 ②数据收集的准备工作 ③开始收集易失性数据 4.描述你知道的证据获取技术包括哪些答：①对计算机系统和文件的安全获取技术； ②避免对原始介质进行任何破坏和干扰； ③对数据和软件的安全搜集技术； ④对磁盘或其它存储介质的安全无损伤备份技术； ⑤对已删除文件的恢复、重建技术； ⑥对磁盘空间、未分配空间和自由空间中包含的信息的发掘技术； ⑦对交换文件、缓存文件、临时文件中包含的信息的复原技术； ⑧计算机在某一特定时刻活动内存中的数据的搜集技术； ⑨网络流动数据的获取技术等 5.基本过程模型有哪些步骤答：①保证安全并进行隔离； ②对现场信息进行记录； ③全面查找证据； ④对证据进行提取和打包； ⑤维护证据监督链 6. 电子证据与传统证据的区别有哪些答：①计算机数据无时无刻不在改变； ②计算机数据不是肉眼直接可见的，必须借助适当的工具； ③搜集计算机数据的过程，可能会对原始数据造成很严重的修改，因为打开文件、打印文件等一般都不是原子操作； ④电子证据问题是由于技术发展引起的，因为计算机和电信技术的发展非常迅猛，所以取证步骤和程序也必须不断调整以适应技术的进步。

计算机取证关键技术分析

计算机取证关键技术分析金波，陶明明公安部第三研究所上海200035 上海金诺网络安全技术发展股份有限公司上海 200122 摘要：电子证据是一种新的证据类型，为提高电子证据的证据力，本文分析了电子取证的取证程序与取证的关键技术，提出了取证的一般性原则、数据采集方法、取证的设备和装置要求。关键词：计算机取证, 电子证据, Analysis for Key Technology of Computer Forensic Jin Bo, Tao Mingming The Third Research Institute of Ministry of Public Security, 200035 Shanghai Kingnet Security Inc., 200122 Shanghai Abstract:. Electronic evidence is a sort of new style evidence. To improve the probative value of electronic evidence, the paper analysis computer forensic process and key technology, provided the rule of computer forensic, data acquire method and the requirement of forensic device. Keywords: Computer Forensic, Electronic Evidence

1概述随着计算机和互联网络技术的迅速发展，电子商务、网络教育、各类网络服务和电子政务在经济社会的人际交往、经营活动中被大量应用。随之，各类经济纠纷、民事纠纷和刑事案件也会时有出现。判定或处置各类纠纷和刑事案件过程中，电子文挡已经成为重要证据之一。许多计算机化的产品中都会存有电子证据，例如：移动电话、PDA、路由器等，也有许多形式的存储介质，包括：硬盘、光盘、U盘等。另外，网线、电缆甚至空气也能携带数字信息，通过适当的设备，就能将这些数字信息提取出来，以备使用。本文以计算机证据的重要载体—硬盘为例，研究分析计算机取证中的关键技术要求，包括：取证的一般性原则、数据采集方法、取证的设备和装置要求。 2取证程序电子证据处理总共分3个阶段：证据获取、证据分析和证据表现[1]。证据获取阶段的工作是固定证据。电子证据容易修改，一旦决定需要获取电子证据，应该首先进行证据固定，防止有用证据的丢失。在本阶段要求将电子证据的状态固定起来，使之在后续的分析、陈述过程中不会改变。并能够在法庭展示证据固定的有效性，比如展示原始证据和固定后证据的Hash校验值。证据分析阶段的工作是分析证据与案件的关联性。电子证据包含的数据量往往很大，而且数据类型往往杂乱无章，收集的所有证据需要进行提取、整理和筛选后才能被使用。在本阶段要求能够对证据进行全面分析，并在全面分析的基础上能够进行数据挖掘和整合，使之清晰呈现案情相关信息。证据表现阶段要就电子证据与案件的关联性进行陈述。在此阶段要求能够证实电子证据取得的途径、分析过程，并合理引用电子证据分析结果对案情进行陈述。 3证据获取当采集电子证据时，应将注意力放在计算机内容而不是硬件上。当从计算机中采集数据时有两种选择，一种是采集所需要的数据，另一种是采集所有的数据。采集所需要的数据有遗失线索和损害证据的风险，因此一般情况下，取证人员将从涉案的计算机硬盘中完整采集

计算机取证

计算机取证概述一、背景计算机和网络在社会、政治、经济、文化、军事等领域的应用越来越普遍，与计算机有关的犯罪也越来越多。要打击并遏制犯罪，执法机关必须依照法律的要求获取证据，特别是法庭依据合法的证据来对犯罪事实的认定。很多犯罪的证据与计算机技术相关，计算机取证就是为打击与计算机有关的犯罪提供证据的科学方法和手段。计算机取证的目的就是要通过分析计算机和网络活动，从而获得与犯罪有关人员的行为。计算机在相关的犯罪案例中可以为被入侵的目标、作案的工具和犯罪信息的存储等角色。无论作为那种角色，在计算机中都会留下大量与犯罪有关的数据，进而依据有关科学与技术原理和方法找到证明某个事实的证据。由于计算机技术应用的深入，计算机取证逐步发展为数字取证。（一）数字取证的定义数字取证是从计算机取证逐步发展而来。 Lee Ｇarber在IEEE Security发表的文章中认为，计算机取证就是分析硬盘、光盘、软盘、zip盘、Jazz盘、内存缓冲以及其他存储形式的存储介质以发现犯罪证据的过

程。计算机取证资深专家Judd Robbins给出如下定义，计算机取证是将计算机调查和分析技术应用于对潜在的、有法律效力的证据的确定与获取。计算机紧急事件响应组CERT和取证咨询公司NTI进一步扩展了该定义，计算机取证包括了对以磁介质编码信息方式存储的计算机证据的保护、确认、提取和归档。 SANS公司认为，计算机取证是使用软件和工具，按照一些预定的程序，全面地检查计算机系统，以提取和保护有关计算机犯罪的证据。我国的陈龙等人认为，计算机取证是运用计算机及其相关科学和技术的原理和方法获取与计算机相关证据以证明某个客观事实的过程。它包括计算机证据的确定、收集、保护、分析、归档以及法庭出示。（二）计算机司法鉴定的定义司法鉴定是鉴定人运用科学技术或专门知识对涉及诉讼的专门性问题进行检验、鉴别和判断并提供鉴定结论的活动。司法鉴定是鉴定人向委托人提供鉴定结论的一种服务。计算机司法鉴定的检验、鉴别和判断等活动是计算机取证的一部分，而计算机取证的概念要丰富，除计算机司法鉴定的内容外，还要包括对犯罪现场的勘查，如证据的发现、提取、保存、运输等。

计算机取证分析

摘要信息技术的不断发展给人们的生活带来了巨大的改变，网络已经越来越渗透到人们的现实生活与工作当中。然而，网络在为人民生活和工作带来便利的同时，也引发了无数网络犯罪。计算机静态取证便是针对网络犯罪而出现的一种电子取证技术，而随着网络犯罪形式和手段的千变万化，计算机静态取证已不能满足打击网络犯罪的需求，为适应信息化发展的要求，建立安全网络环境和严厉打击网络犯罪行为势在必行，本论文针对计算机动态取证技术进行分析，主要浅谈电子动态取证采集系统的实现、网络证据收集和网络数据分析等几个方面。通过对计算机取证基本概念、特点和技术的基础研究，对计算机动态取证进行分析。关键词：电子取证动态取证动态电子证据采集网络数据协议目录

一、概述（一）、研究背景目前，人类社会已经迈入了网络时代，计算机与互联网已经与老百姓的日常工作、学习与工作息息相关，社会信息化对政治、经济、文化和科技等各项社会生活产生了深远的影响。然而，网络技术给人类社会带来有利影响的同时，也带来了负面的影响。在国外，1988年11月美国国防部的军用九三级网络遭受莫里斯病毒袭击，致使美国Internet网络上6000多台计算机感染，直接经济损失9600万美元。2000年5月，“爱虫”病毒通过电子邮件传播，在世界各地迅速蔓延，造成全世界空前的计算机系统破坏。而在国内，人们利用计算机网络犯罪的案例也层出不穷。2002年，作案人吕薜文通过盗用他人账号，对中国公众多媒体通信网广州主机进行了攻击，并对其部分文件进行删除、修改、增加等一系列非法操作，造成严重后果。2008年4月，作案人赵哲窜至上海某证券攻击营业部，利用该营业部电脑安全防范上的漏洞，修改该营业部部分股票交易数据，致使股价短时间内剧烈震荡。计算机以及其他信息设备越来越多的被运用到犯罪活动中，尽管随着入侵检测系统的广泛使用降低了非法使用计算机资源所带来的损失，但网络犯罪依然不可忽视。针对网络环境安全，本文旨在研究探讨网络开放环境下的电子证据的动态收集与分析。（二）、国内外研究现状目前，虽然我国各省市级公安机关有专门的部门处理计算机犯罪案例，然而在处理案件的技术上所用到的只是国外一些常见的取证工具，如今计算机犯罪手段变化多端，这样所获取的电子证据缺乏说服力，未能给破案带来实质性的帮助。而类似美国等发达国家地区，无论是在电子取证技术上、人们的意识形态和有关计算机证据的法律建设都在于我国之上，许多专门的计算机取证部门、实验室和公司开发了很多极其实用的取证产品。例如，计算机司法领域的行业领袖Logicube、突出的计算机取证服务提供商ICS、Vogon和Guidance等公司不断研发和推进它们的专业取证产品，对打击计算机犯罪提供了有效的工具。因此，我国应该自主开发能够有效打击计算机及网络犯罪的专业电子产品，健全相关法律法规，以应对日益增加的犯罪活动，使得用户的权益不受侵犯。开展计算机取证技术的研究，无疑对我国的社会发展乃至整个世界的计算机科学发展都有着极其重要的意义。（三）、论文研究内容与时俱进的时代性不仅体现在社会与经济的快速发展，同时体现于社会各个领域的全面进步，计算机取证已经成为当今社会不可置旁的话题，执法机关对计算机取证

国内外计算机取证设备对比与分析

国内外计算机取证设备对比与分析作者简介: 王玉福(1974 年), 男, 山东省平度市人, 大学本科, 主要研究领域为计算机取证软硬件设备; 摘要: 对电子证据的获取、分析和发现是打击各种犯罪行为的一种全新手段。随着国内涉及计算机取证的案件不断增多，法律部门越来越需要精确、高速、多功能、智能化、适应于不同场合的专业计算机取证设备来武装自己。多年来，国外科研机构、院校、军警部门一直在努力加强计算机取证技术的研究，研制开发了各种各样的软硬件产品；国内科研机构也注意加强年来也出现一些专业的计算机取证产品。如何充分地利用这些已有的计算机取证工具，提高国内法律部门的计算机取证水平，有效地打击犯罪行为具有重要的意义。本文通过对比国内外各种计算机取证工具的特点，分析发现不同取证工具的使用优势，便于同行对不同取证设备的认识。关键词: * 计算机取证; 设备评测* 硬盘作为计算机最主要的信息存储介质，是计算机取证的重要获取内容，也是目前各种计算机取证工具的主要方向。目前国内外市场上，用于硬盘拷贝、数据获取的专业产品较多：有为司法需要而特殊设计的MD5 、SF-5000 、SOLO II 硬盘拷贝机，有适合IT 业硬盘复制需要的SONIX 、Magic JumBO DD-212 、Solitair Turbo 、Echo 硬盘拷贝机；有以软件方式实现硬盘数据全面获取的取证分析软件，如FTK 、Encase 、Paraben's Forensic Replicator ；有综合软件获取和硬拷贝方式的取证勘察箱，如Image MASSter Road MASSter 、“天宇”移动介质取证箱、“网警”计算机犯罪取证勘察箱；此外，还有通过USB 接口、1394 接口、PCMCIA 、并口等方式的硬盘获取设备及附件，如LinkMasster II 、CloneCard 、USB WriteProtect 、Desktop WriteProtect 、“天宇”全能拷贝王等等。在上述众多的计算机取证产品中，每一种产品都有其自身的特点和可利用的优势。计算机取证人员可以根据不同的工作需要和工作环境选用不同的取证工具。而为了实现最佳的取证效果，应当充分挖掘各种产品的功能，合理组合各种取证工具，形成一套设备精简、功能强大的专业计算机取证勘查工具集合。本文就目前部分国内外计算机硬盘取证专业设备的性能特点进行介绍。 ?手持式硬盘取证设备手持式硬盘取证设备的主要特点是体积小、重量轻，便于携带和使用。在各种取证设备中，手持式硬盘取证设备拷贝速度最快，最高可达3.3GB/ 分钟。多数手持式拷贝机以硬盘直接拷贝为主要方法，要将疑犯计算机的硬盘取出，直接与拷贝机连接，实现对硬盘数据的全面复制。考虑到不同环境下的不同取证需要，新型拷贝机除硬盘直接拷贝方式外，还增加了USB 接口拷贝方式、SATA 硬盘拷贝、PCMCIA 接口拷贝，增强了拷贝机的功能和使用灵活性，促进了计算机取证技术的发展。正因为具有便于携带和拷贝功能强的特点，手持式拷贝机成为司法取证的首选设备。国际市场上手持式硬盘拷贝机大致可分为两代产品。以SF-5000 、SOLO II 、SolitareTurbo 为代表的第一代拷贝机，拷贝速度最高可达 1.8GB/ 分钟。以Forensic MD5 、Sonix 、

计算机取证技术期末考试

一、选择题（每小题2分，共20分） 1、以下有关EasyRecovery的说法不正确的是（） A. EasyRecovery在恢复数据时并不向硬盘写任何东西，而是在内存中镜像文件的FAT表和目录区。 B. 使用该软件时一定要注意将恢复出来的数据保存在其他的硬盘空间内。 C. 该软件能够对FAT和NTFS分区中的文件删除、格式化分区进行数据恢复。 D. 它主要是对数据进行硬件恢复。 2、以下不属于在数据恢复中需要使用的软件的是（）。 A. PC3000 B. FinalData C. Encase D. FixRAR 3、以下不属于电子证据特点的是（） A. 电子证据的脆弱性 B. 电子证据的隐蔽性 C. 电子证据的不可挽救性 D.电子证据对系统的依赖性 4、以下不属于计算机取证过程中分析过程的是（） A. 协议分析 B. 镜像技术 C. 数据挖掘 D. 过程还原 5、以下属于计算机取证技术的发展趋势的是（） A. 动态取证技术 B. 计算机取证挖掘算法和柔性挖掘技术 C. 取证工具和过程的标准化 D. 以上都是 6、以下关于硬盘的逻辑结构说法不正确的是（） A. 每个盘片有两个面，这两个面都是用来存储数据的。 B. 随着读写磁头沿着盘片半径方向上下移动，每个盘片被划分成若干个同心圆磁道。 C. 磁道被划分成若干个段，每个段称为一个扇区。扇区的编号是按0,1，……顺序进行的。 D. 硬盘柱面、磁道、扇区的划分表面上是看不到任何痕迹的。 7、以下不属于文件系统的是（）。 A. LINUX B.NTFS C. FAT32 D.EXT2 8、以下不属于数据分析技术的是（）。 A. 对已删除文件的恢复、重建技术 B. 关键字搜索技术 C. 日志分析 D. 特殊类型文件分析 9、以下（）命令可以用来测试本地主机的网络连接是否通畅。 A. traceroute B. ping C. ipconfig D. pslist 10、在大多数黑客案件中，嗅探工具常被用来捕捉通过网络的流量以重建诸如上网和访问网络文件等功能，以下（）是这类工具。 A. FTK B. sniffer pro C. Quick View Plus D.NTI-DOC 二、填空题（每空2分，共40分） 1、当执行删除文件操作时，系统做了两方面的工作：一是将目录区中该文件的第一个字符改为“E6H”来表示该文件已经被删除；二是将文件所占的文件簇在（）中对应表项值全部置“0”。文件分配表 2、计算机对硬盘的读写是以（）为基本单位的；（）是数据存储和磁盘管理的最基本单位。扇区、簇 3、硬盘上的数据按照其不同的特点和作用大致可分为5部分：主引导扇区、操作系统引导扇区、文件分配表、目录区和数据区。其中（）包括硬盘主引导记录MBR和硬盘分区表DPT；将（）中起始单元的和FAT表结合分析可以知道文件在硬盘中的具体位置和大小。主引导扇区、目录区 4、操作系统启动分为5个阶段：预引导阶段、引导阶段、加载内核阶段、初始化内核阶段和登录。其中（）阶段彩色的Windows XP的logo以及进度条显示在屏幕中央。初始化内

计算机取证分析

计算机取证分析内部编号：（YUUT-TBBY-MMUT-URRUY-UOOY-DBUYI-0128）

计算机取证技术复习

计算机取证技术复习一.填空题 1.计算机取证模型主要包括：、、、。 2.在证据收集的过程中必须收集的易失性证据主要有：、、、、、。 3.目前的计算机反取证技术主要有：、。 4．在Windows工作模式下显示系统的基本信息，包括：、、及。 5．隐藏术通常通过两种方法对数据进行保护：；。 6．在MACtimes中的Mtime指；Atime 指； Ctime指。 7、防止密码破译的措施：；；。 8、目前主要数据分析技术具体包括：：；；；。 9、安全管理主要包括三个方面：、、。 10、计算机信息系统的安全管理主要基于三个原则：、、。 11.系统信息安全包括：；；；；。 12.任何材料要成为证据，均需具备三性：；和。 13. 计算机取证是指对能够为法庭接受的、足够可靠和有说服性的，存在于计算机和相关外设中的电子证据的、、和的过程。 14．DES是对称密钥加密的算法， DES算法大致可以分成四个部分：；；和； 15、目前，反取证技术分为三类：、、。 16、网络安全管理的隐患有：；；；。二．判断 1.取证的目的是为了据此找出入侵者（或入侵的机器），并解释入侵的过程。（）

2.网络入侵取证系统中，日志文件是可以很轻易被人修改的，但是这种修改是很容易被发现的。（） 3.硬盘由很多盘片组成，每个盘片被划分为若干个同心圆，称为磁道。（） 4.硬盘在存储数据之前，一般需经过低级格式化，分区和高级格式化这三个步骤之后才能使用，其作用是在物理硬盘上建立一定的数据逻辑结构。（） 5.初始响应在数据收集过程中，能将收集到的证据写回到被入侵机器的硬盘上。（） 6.数据遭受物理损坏后，失效的数据彻底无法使用。（） 7.数据备份是指将计算机硬盘上的原始数据复制到可移动媒体上，如磁带，光盘等。（） 8.计算机反取证就是删除或者隐藏入侵证据使取证工作失效。（） 9.用数字加密技术对数据进行保护主要有两种方式：保密和证明数据的完整性。（） 10.Windows文件删除分为逻辑删除和物理删除两种。（） 11.防火墙本身具有较强的抗攻击能力，它是提供信息安全服务，实现网络和信息安全的基础设施。（） 12.安全机制分为两类，一类是与安全服务有关；另一类与管理功能有关。（）13．数据流加密是指把数据划分为定长的数据块，再分别加密。数据块加密是指加密后的密文前部分，用来参与报文后面部分的加密。（） 14.让一台计算机能辨别某个特定的文件系统的过程称为装载文件系统。（）三、简答题 1、在计算机取证的过程中，不管发生了什么紧急情况，调查者都必须遵循的原则是什么？ 2、当Windows系统受到入侵攻击，而需要对系统进行取证分析的操作会引起易失性数据。主要的易失性数据包括哪些？ 3.Windows系统中初始响应指的是什么？现场数据收集的主要步骤包括哪些？ 4、描述你知道的证据获取技术包括哪些？ 5、基本过程模型有哪些步骤？ 6. 电子证据与传统证据的区别有哪些？ 7. Windows系统取证方法的主要流程是什么？ 9. 日志分析有哪些？包括什么内容？ 10. Windows 2000/XP安全管理的常用方法有哪些？（至少写出6个）四、综合题 1. Windows系统下取证方法的主要流程是什么？我们文件数据一般的隐藏术有哪些,谈谈你的看法? 2. 阐述事件响应过程模型执行步骤及其工作内容？ 3.简述硬盘的结构与数据组织，写出一般文件的删除与恢复方法？ 4. 在Windows系统下的文件删除与恢复的操作是什么？ 5.计算机取证模型有哪些？分别阐述其特点？

电子取证技术的三大方向

电子取证技术的三大方向计算机取证是对计算机犯罪证据的识别获取、传输、保存、分析和提交认证过程，实质是一个详细扫描计算机系统以及重建入侵事件的过程。国内外计算机取证应用发展概况现在美国至少有70%的法律部门拥有自己的计算机取证实验室，取证专家在实验室内分析从犯罪现场获取的计算机（和外设），并试图找出入侵行为。在国内，公安部门打击计算机犯罪案件是近几年的事，有关计算机取证方面的研究和实践才刚起步。中科院主攻取证机的开发，浙江大学和复旦大学在研究取证技术、吉林大学在网络逆向追踪，电子科技大学在网络诱骗、北京航空航天大学在入侵诱骗模型等方面展开了研究工作。但还没有看到相关的阶段性成果报道。计算机取证的局限性以及面临的问题（1）目前开发的取证软件的功能主要集中在磁盘分析上，如磁盘映像拷贝，被删除数据恢复和查找等工具软件开发研制。其它取证工作依赖于取证专家人工进行，也造成了计算机取证等同于磁盘分析软件的错觉。（2）现在计算机取证是一个新的研究领域，许多组织、公司都投入了大量人力进行研究。但没有统一标准和规范，软件的使用者很难对这些工具的有效性和可靠性进行比较。也没有任何机构对计算机取证和工作人员进行认证，使得取证权威性受到质疑。计算机取证发展研究计算机取证技术随着黑客技术提高而不断发展，为确保取证所需的有效法律证据，根据目前网络入侵和攻击手段以及未来黑客技术的发展趋势，以及计算机取证研究工作的不断深入和改善，计算机取证将向智能化、专业化和自动化方向发展计算机取证的相关技术发展从计算机取证的过程看，对于电子证据的识别获取可以加强动态取证技术研究，将计算机取证结合到入侵检测、防火墙、网络侦听等网络安全产品中进行动态取证技术研究；对于系统日志可采用第三方日志或对日志进行加密技术研究；对于电子证据的分析，是从海量数据中获取与计算机犯罪有关证据，需进行相关性分析技术研究，需要高效率的搜索算法、完整性检测算法优化、数据挖掘算法以及优化等方面的研究。对入侵者要进行计算机犯罪取证学的入侵追踪技术研究，目前有基于主机追踪方法的Caller ID，基于网络追踪方法的IDIP、SWT产品。有学者针对网络层的追踪问题，提出基于聚类的流量压缩算法，研究基于概率的追踪算法优化研究，对于应用层根据信息论和编码理论，提出采用数字水印和对象标记的追踪算法和实现技术，很有借鉴意义。在调查被加密的可执行文件时，需要在计算机取证中针对入侵行为展开解密技术研究。计算机取证的另一个迫切技术问题就是对取证模型的研究和实现，当前应该开始着手分析网络取证的详细需求，建立犯罪行为案例、入侵行为案例和电子证据特征的取证知识库，有学者提出采用XML和OEM数据模型、数据融合技术、取证知识库、专家推理机制和挖掘引擎的取证计算模型，并开始着手研究对此模型的评价机制。计算机取证的标准化研究计算机取证工具应用，公安执法机关还缺乏有效的工具，仅只利用国外一些常用的取证工具或者自身技术经验开发应用，在程序上还缺乏一套计算机取证的流程，提出的证据很容易遭到质疑。对计算机取证应该制定相关法律、技术标准，制度以及取证原则、流程、方法等，到目前为止，还没有专门的机构对计算机

计算机取证研究综述

Aug. 2005, Volume 2, No.8 (Serial No.9) 通讯和计算机 Journal of Communication and Computer, ISSN1548-7709, USA 1 计算机取证研究综述* 丁丽萍1, 王永吉 2 (1,2 中国科学院软件研究所互联网软件技术实验室，北京 100080; 1 北京人民警察学院公安科技教研部，北京 100029; 1 中国科学院研究生院，北京 100039) 摘要：计算机取证是法学、刑事侦查学和计算机科学的交叉学科，对于计算机取证和电子证据的研究必须体现这一交叉学科的特点。本文总结了近年来国内外的研究情况，提出了今后的研究重点和方向。关键词：计算机取证；研究；现状；挑战；方向 * 本文得到中国科学院百人计划资助项目，国家自然科学基金资助项目(No.60373053)，中国科学院与英国皇家学会联合资助项目(No.20030389, No.20032006)和教育部留学回国人员科研启动基金资助项目(教外司留[2003]406号)资助。 1 丁丽萍(1965- )，女，山东青州人，博士生，副教授；研究方向：计算机取证学；E-mail: dingliping@https://www.wendangku.net/doc/117537369.html,. 2 王永吉(1962- )，男，辽宁盖州人，研究员，博士生导师，中科院2002年引进海外杰出人才“百人计划”入选者；研究方向：实时系统，网络优化，计算机取证学，智能软件工程，优化理论，机器人和控制理论等。 1. 引言 1991年，在美国召开的国际计算机专家会议上首次提出了计算机取证（Computer Forensics ）这一术语[1]。十几年来，随着计算机技术的发展，计算机取证学的研究不断深入，几乎每年都召开以计算机取证为主题的学术会议，例如，1993年、1995年、1996年和1997年分别在美国和澳大利亚、新西兰召开了以计算机取证为主题的国际会议。从总体上看，2000年之前的计算机取证研究主要侧重于取证工具的研究，2000年以后，开始了对计算机取证基础理论的研究。毕业于中国科学院软件所的孙波博士认为计算机取证的发展可以分为奠基时期、初步发展时期和理论完善时期三个阶段。他对这三个阶段的划分和分析也体现了前期的取证工具研究和近期的理论研究的特点。2001年6月在法国召开的第十三届全球FIRST （Forum of Incident Response and Security Teams ）年会的主题就是入侵系统恢复和分析取证理论，2002年的美国夏威夷FIRST 年会提出了计算机取证协议和程序的标准化问题。我国的计算机取证研究无论是取证工具还是基础理论的研究都处于起步阶段。本文第二部分分析了计算机取证的基础理论的研究现状；第三部分探讨了计算机取证技术的研究情况；第四部分列举了目前的取证工具；第五部分对计算机取证法律法规进行了讨论；最后一部分提出了计算机取证面临的挑战和今后的发展方向。 2. 基础理论研究现状目前，国内外对计算机取证技术的理论研究集中在对计算机取证的产生、发展、现状和未来的发展趋势预测等的研究，计算机取证的有关概念、特点、原则、标准、规范等的研究以及对各种现有技术在计算机取证中的应用的研究。理论研究从总体上看还处于起步阶段。有关理论研究的资料在IOCE(International Organization on Computer Evidence, 国际计算机证据组织)的网站https://www.wendangku.net/doc/117537369.html,/上都可以查到。 2.1有关的概念和特点对概念和特点的研究主要集中在电子证据的概念和特点、计算机取证的概念和特点上。 2.1.1电子证据的概念和特点电子证据，即计算机证据。目前，对电子证据的定义很多，没有形成统一的定论。比较典型的有：文献[2]认为计算机证据是存储有电子数据的电、磁、光记录物，这些电子数据是在计算机系统运行

计算机取证实验报告

《计算机取证技术》实验报告实验一实验题目：用应急工具箱收集易失性数据实验目的：（1）会创建应急工具箱，并生成工具箱校验和。（2）能对突发事件进行初步调查，做出适当的响应。（3）能在最低限度地改变系统状态的情况下收集易失性数据。实验要求：（1）Windows XP 或Windows 2000 Professional操作系统。（2）网络运行良好。（3）一可用U盘（或其他移动介质）和PsTools工具包。实验主要步骤：

（1）将常用的响应工具存入U盘，创建应急工具盘。应急工具盘中的常用工具有cmd.exe; netstat.exe; fport.exe; nslookup.exe; nbtstat.exe; arp.exe; md5sum.exe; netcat.exe; cryptcat.exe; ipconfig.exe; time.exe; date.exe等。（2）用命令md5sum(可用fsum.exe替代)创建工具盘上所有命令的校验和，生成文本文件commandsums.txt保存到工具盘中，并将工具盘写保护。（3）用time 和date命令记录现场计算机的系统时间和日期，第（4）、（5）、（6）、（7）和（8）步完成之后再运行一遍time 和date命令。（4）用dir命令列出现场计算机系统上所有文件的目录清单，记录文件的大小、访问时间、修改时间和创建时间。（5）用ipconfig命令获取现场计算机的IP地址、子网掩码、默认网关，用ipconfig/all 命令获取更多有用的信息：如主机名、DNS服务器、节点类型、网络适配器的物理地址等。（6）用netstat显示现场计算机的网络连接、路由表和网络接口信息，检查哪些端口是打开的，以及与这些监听端口的所有连接。（7）用PsTools工具包中的PsLoggedOn命令查看当前哪些用户与系统保持着连接状态。（8）用PsTools工具包中的PsList命令记录当前所有正在运行的进程和当前的连接。实验结果：

计算机取证实用教程

《计算机取证实用教程》内容简介在这本教材里，编者阐述了计算机取证的概念和内容，介绍了计算机取证的技术与工具，剖析了主流的磁盘分区和文件系统，分析了数据恢复的基本原理和关键技术。本书所讨论的设备对象涵盖了计算机、移动智能终端和网络设备；分析的操作系统包含了：三种主流的计算机操作系统（Windows、Linux和Mac OS X），两种占据了绝大部分市场份额的的移动智能终端操作系统（Android和iOS），网络设备中最具代表性的思科IOS操作系统。本书从取证原理、相关技术和常用工具等方面系统地介绍了计算机取证的核心内容，并辅以必需的预备知识介绍，使读者能够在短时间内了解计算机取证的主要内容和通用程序，掌握计算机取证的的基础理论和技术方法。全书通俗易懂的原理分析、图文并茂的流程说明，能够令读者在学习过程中感受到良好的实践体验。本书既可以作为高等院校计算机科学与技术、信息安全、法学、侦查学等专业计算机取证、电子数据检验鉴定等课程的教材，也可作为计算机取证从业人员的培训和参考用书。对于信息安全技术与管理人员、律师和司法工作者、信息安全技术爱好者，本书也具有很高的参考价值。

前言信息技术的迅猛发展，计算机和网络应用的全方位普及，不断改变着人们工作、学习和生活的习惯和方式，政府运作、商贸往来乃至个人休闲娱乐都已进入了网络模式。在企事业单位内部调查、民事纠纷、刑事诉讼等案/事件的举证中，数字证据正在发挥越来越大的作用，成为信息化时代的证据之王。信息技术的专业性和数字证据来源的多样性，决定了计算机取证的复杂性。本书编者试图凭借多年的教学和实践经验，将博大精深的计算机取证知识体系提炼为通俗易懂、循序渐进的篇章。只会操作自动取证软件，无法成为独当一面的优秀取证分析师。本书的编写旨在培养读者掌握技术原理基础上的实践技能，同时注重提高读者对相关知识的自主学习能力，为胜任不同类型的计算机取证工作奠定牢固的理论基础。计算机取证的目的是发现与案/事件相关联的行为及其结果，为证明案/事件事实和重现案/事件提供依据。要了解案/事件的全貌并重建案/事件，计算机取证所关注的设备对象不仅仅是传统的计算机，也包括移动智能终端，还涉及各种网络互连设备和网络安全设备。系统而全面的知识结构，是本书的一大亮点。第1章是计算机取证和数字证据的基本知识介绍。第2章分析了计算机取证所涉及的相关技术，并介绍了计算机取证的常用工具。第3章详细剖析了DOS和GPT两种分区体系以及FAT、NTFS、ExtX和HFS+四种文件系统。在此基础上，第4章给出了主流分区体系和文件系统的数据恢复要领以及典型的数据恢复实例。第5、6、7章分别讨论了Windows、Linux和Mac OS X取证。Linux在服务器领域尤其是大型服务器领域的主导地位毋庸置疑，本书侧重于分析服务器端的Linux取证。对于Mac OS X取证，主要从客户端的角度探析；而对Windows取证的阐述则涵盖了服务器端和客户端的取证焦点问题。第8章探讨了以路由器和交换机为代表的网络设备取证，这是目前业内甚少涉足的一个领域。第9、10章讨论的是移动智能终端的取证。以智能手机为代表的移动智能设备正在逐步取代传统的便携式个人计算机，成为互联网的终端，这导致了移动智能终端的取证需求日益增长。这两章分别以智能手机为例，介绍了两大主流移动操作系统（Android和iOS）取证的原理、技术和方法。最后一章给出了几个取证分析的典型实训案例。文伯聪设计本书的整体结构，编写了第1、8章并负责全书统稿；吴琪编写了第6章的3-6节和第9章，并参与其他各章内容的审阅；刘文编写了第5章、第11章的3-5节；彭建新编写了第2章、第6章的1-2节第11章的1、2节；林素娥编写了第3、4章；张萍编写了第7章和第10章。本书内容丰富，教师或读者可以有针对性地选择教学的内容。在本书的编写过程中，文伯聪设计了全书的整体结构，编写了第6章和第8章，并负责全书统稿；吴琪编写了第1章和第9章，并参与了其他各章节内容的审阅；彭建新编写了第2章、第10章和第11章的1、2节；刘文编写了第5章、第11章的3～5节；林素娥编写了第3章；张萍编写了第4章和第7章。在本书的编写过程中，编者参考和吸收了大量专家学者和业界同行的研究成果和实践经验，在此表达衷心的感谢！