国内外计算机取证设备对比与分析
国内外计算机取证设备对比与分析
作者简介: 王玉福(1974 年), 男, 山东省平度市人, 大学本科, 主要研究领域为计算机取证软硬件设备;
摘要: 对电子证据的获取、分析和发现是打击各种犯罪行为的一种全新手段。随着国内涉及计算机取证的案件不断增多,法律部门越来越需要精确、高速、多功能、智能化、适应于不同场合的专业计算机取证设备来武装自己。多年来,国外科研机构、院校、军警部门一直在努力加强计算机取证技术的研究,研制开发了各种各样的软硬件产品;国内科研机构也注意加强年来也出现一些专业的计算机取证产品。如何充分地利用这些已有的计算机取证工具,提高国内法律部门的计算机取证水平,有效地打击犯罪行为具有重要的意义。本文通过对比国内外各种计算机取证工具的特点,分析发现不同取证工具的使用优势,便于同行对不同取证设备的认识。
关键词: * 计算机取证; 设备评测*
硬盘作为计算机最主要的信息存储介质,是计算机取证的重要获取内容,也是目前各种计算机取证工具的主要方向。目前国内外市场上,用于硬盘拷贝、数据获取的专业产品较多:有为司法需要而特殊设计的MD5 、SF-5000 、SOLO II 硬盘拷贝机,有适合IT 业硬盘复制需要的SONIX 、Magic JumBO DD-212 、Solitair Turbo 、Echo 硬盘拷贝机;有以软件方式实现硬盘数据全面获取的取证分析软件,如FTK 、Encase 、Paraben's Forensic Replicator ;有综合软件获取和硬拷贝方式的取证勘察箱,如Image MASSter Road MASSter 、“天宇”移动介质取证箱、“网警”计算机犯罪取证勘察箱;此外,还有通过USB 接口、1394 接口、PCMCIA 、并口等方式的硬盘获取设备及附件,如LinkMasster II 、CloneCard 、USB WriteProtect 、Desktop WriteProtect 、“天宇”全能拷贝王等等。
在上述众多的计算机取证产品中,每一种产品都有其自身的特点和可利用的优势。计算机取证人员可以根据不同的工作需要和工作环境选用不同的取证工具。而为了实现最佳的取证效果,应当充分挖掘各种产品的功能,合理组合各种取证工具,形成一套设备精简、功能强大的专业计算机取证勘查工具集合。本文就目前部分国内外计算机硬盘取证专业设备的性能特点进行介绍。
?手持式硬盘取证设备
手持式硬盘取证设备的主要特点是体积小、重量轻,便于携带和使用。在各种取证设备中,手持式硬盘取证设备拷贝速度最快,最高可达3.3GB/ 分钟。多数手持式拷贝机以硬盘直接拷贝为主要方法,要将疑犯计算机的硬盘取出,直接与拷贝机连接,实现对硬盘数据的全面复制。考虑到不同环境下的不同取证需要,新型拷贝机除硬盘直接拷贝方式外,还增加了USB 接口拷贝方式、SATA 硬盘拷贝、PCMCIA 接口拷贝,增强了拷贝机的功能和使用灵活性,促进了计算机取证技术的发展。正因为具有便于携带和拷贝功能强的特点,手持式拷贝机成为司法取证的首选设备。
国际市场上手持式硬盘拷贝机大致可分为两代产品。以SF-5000 、SOLO II 、SolitareTurbo 为代表的第一代拷贝机,拷贝速度最高可达 1.8GB/ 分钟。以Forensic MD5 、Sonix 、
DD-212 为代表的第二代硬盘拷贝机,拷贝速度最高可达3.3GB/ 分钟。
各种手持式硬盘拷贝机中,通过用途划分可分为司法专用型和民用型两种。
司法专用型以Forensic MD5 、SF5000 、SOLO II 为代表。这些设备通过精确的数据校验机制,实时计算疑犯硬盘和证据硬盘的哈希值,确保疑犯硬盘数据未被改动、疑犯硬盘与证据硬盘完全一致。目前主要的校验方法有MD5 和CRC32 ,基于此种方法进行校验,复制的硬盘能够作为司法证据被部分国家法律认可。但是,由于采用的严格的数据校验机制,司法专用型拷贝机的硬盘拷贝速度也因数据校验时间而受影响。以MD5 拷贝机为例,获取80GB 容量硬盘时,拷贝速度达到3GB/ 分钟,应该可在30 分钟内完成,但由于额外花费了近一倍的数据校验时间,导致最终完成时间为55 分钟。
民用型以Sonix 、DD-212 、Solitare Trubo 、Echo 为代表。这些设备突出的特点是速度快、功能多、使用灵活。但因为不具备精确的数据校验功能,使其无法作为司法取证工具使用。但是如果在一些特殊的条件下,对拷贝精确没有非常严格的要求,那么此类设备将是非常理想的拷贝工具。比如利用Solitare Trubo 复制一个Windows XP 操作系统仅需1-2 分钟即可完成,比软件方式的拷贝速度快数倍。再如Sonix 拷贝机具有硬盘直接拷贝、USB 接口拷贝、SATA 硬盘拷贝、PCMCIA 接口拷贝、双向拷贝、智能拷贝、分区拷贝、硬盘管理等功能,最高拷贝速度可达 3.3GB/ 分钟,是目前所有产品中功能最强、速度最快的拷贝设备。
?市场各种型号手持式硬盘拷贝机简介
?MD5 硬盘拷贝机
MD5 硬盘拷贝机是美国Logicube 公司根据司法部门的特殊需求而设计的最新型计算机硬盘取证设备,2004 年 3 月上市,目前已开始应用于各国司法部门。
MD5 拷贝机与SF5000 相比速度有明显的提高,经实际测试,其最高速度达到3GB/ 分钟。在拷贝方式上,MD5 具有硬盘直接拷贝、USB 接口拷贝、PCMCIA 接口拷贝,并口拷贝等四种方式。其独特的DD 镜像捕获方式支持对疑犯硬盘进行数据镜像,并可在获取成功后直接利用FTK 、ENCASE 进行数据分析。DD 镜像捕获方式可在大容量硬盘中保存多个疑犯硬盘的镜像,解决了疑犯硬盘数量多而证据硬盘数量不足的问题。具备CF 卡,预先设定关键字,进行关键词搜索。支持对其他操作系统,如Linux 、苹果格式硬盘拷贝。由于采用了MD5 和CRC32 数据校验机制,MD5 硬盘拷贝机可确保数据位对位的准确,是一种最精确、功能强的专业计算机取证设备。
优势:启动时间短,拷贝精度高、拷贝速度快、拷贝方式多、关键字搜索、USB 只读保护。
不足:相比SF5000 ,拷别速度提高一倍,但实际完成时间仍然较长。
?SONIX 硬盘拷贝机
Sonix 是美国Logicube 公司最新研制并发布的民用型硬盘拷贝机,2004 年6 月完成。这种硬盘拷贝机具有拷贝速度快、适应范围广、功能多样、体积小巧等特点。
Sonix 拷贝机是目前市场上拷贝速度最快的产品,最高可达3.3GB/ 分钟,复制完成80GB 硬盘仅需30 分钟。拷贝方式支持硬盘直接拷贝、USB 接口拷贝、PCMCIA 接口拷贝,并口拷贝,且所有接口均设计于拷贝机内部,无需再外接任何如USB 适配器、SATA 适配器等额外配件,减少了所需携带的设备数量。数据据获取功能方面,Sonix 支持双向拷贝方式,既可以从内向外方向拷贝数据,以可以从外向内拷贝数据,增加使用灵活性,快速拷贝各种品牌、型号、容量的 2.5” 和 3.5” IDE, EIDE 和Ultra-DMA 硬盘。具有选择性拷贝分区功能,允许选择性拷贝如第一个、第八个分区。支持对所有类型分区进行扇区对扇区的全面拷贝,包含对Mac, Linux, Unix, Sun, OS6 的支持。Sonix 拷贝机据有智能拷贝功能,可跳过硬盘剩余空间,仅拷贝数据区域,加快拷贝速度。拷贝过程中,可自动根
据目标盘容量调整各分区比例。NTFS 智能拷贝方式支持所有基于NT 的文件系统,如Windows 2000/XP 。
在使用方面,Sonix 具有独特的硬盘管理功能,其内置的主盘能够在Windows 环境直接使用和管理。可利用Windows 环境下的工具软件对主盘调整分区、重新格式化;利用Windows 资源管理器对主盘中的数据拷贝或删除;对主盘中的数据进行删除与恢复;对主盘中的数据进行备份或恢复。可将不同来源的硬盘分区组合于一块硬盘中,即可替换现有分区,也可将分区添加到主盘不同位置。
Sonix 是一款适合民用的计算机拷贝工具,但其 3.3GB/ 分钟的拷贝速度和灵活的使用方式,特别适宜某些特殊环境、特殊需要的情况。因此,该设备可以作为计算机取证辅助工具。
优势:启动时间短,拷贝速度快、拷贝方式多,SATA 硬盘、拷贝无需额外配件、双向拷贝、磁盘管理。
不足:拷贝精度同司法专业性相比略显差距,双向拷贝使用不当可能造成意外损失。
?慧全DD-212/DD-128 硬盘拷贝机
DD-212 和DD-128 是台湾慧全公司研制生产的两款不同的民用型硬盘拷贝机。主要特点是拷贝速度快,实测为 2.8GB/ 分钟。
DD-212 型拷贝机可以实现一次同时拷贝2 个IDE 目标硬盘,DD-128 支持SCSI 硬盘和IDE 硬盘的互换拷贝。两款拷贝机同时支持 5.25 寸、 3.5 寸、 2.5 寸IDE 硬盘和SATA 硬盘,DD-128 额外增加了SCSI I/II 、Ultra-SCSI 和SCA-SCSI 硬盘的支持。
两款拷贝机适用于MS-DOS, IBM-DOS, OS/2, NCR, NEC, Windows NT/2000/XP,Windows 95/98/ME, Macintosh, Unix/Xenix , Novell, Linux, FreeBSD, BeOS, HPA 格式及非FAT 格式等不同操作系统。拷贝方式采用同步独立式,硬盘的格式化、复制、快速复制、比较、校验、数据擦除等功能可同时完成。数据拷贝、数据比较和校验功能可单独进行。拷贝功能方面,可选择完全复制、快速复制、分区复制。
优势:拷贝速度快,使用简单,处理坏扇区较好,SCSI 硬盘拷贝, 1 对2 拷贝。
不足:体积较大,拷贝精度不足,硬盘电源线定义不同,绝不可与其他厂商硬盘电源线互换
使用。
?SF-5000 硬盘拷贝机
SF-5000 硬盘拷贝机是美国Logicube 公司研制的司法专业型硬盘取证设备。虽然MD5 拷贝机必将逐步取代SF-5000 拷贝机成为今后司法取证的主流产品,但由于其具有优秀的性能价格比,SF-5000 将继续在世界计算机取证领域中扮演重要的角色。
SF-5000 拷贝机包含有MD5 拷贝机的许多功能,只是拷贝速度相比稍慢,仅达到2GB/ 分钟。此外,不具备MD5 拷贝机的关键词搜索功能、CF 卡插槽和DD 镜像拷贝方式。其独特的CRC-32 校验机制(软件方式和硬件方式)能同时计算疑犯硬盘和证据硬盘的CRC-32 校验值,并通过打印机现场输出报告。SF-5000 拷贝机能够与USB 写保护适配器、Desktop 写保护适配器和CloneCard 配合使用,是一种使用灵活,安全可靠的计算机取证设备。目前,世界各地正有几千台SF-5000 拷贝机被司法部门大量使用,在国内,它也是司法部门抗击计算机犯罪活动最广泛的武器。
优势:启动时间短,拷贝精度高、拷贝方式多、USB 接口只读保护、PCMAIC 接口拷贝。
不足:拷贝完成时间相比其他设备较慢。
?ICS Solo2 Forensics 硬盘拷贝机
Solo2 Forensics 是美国ICS 公司研制的司法专用型硬盘取证设备。从疑犯硬盘到证据硬盘的拷贝速度可以达到1.8GB/ 分钟,具有CRC32 校验机制,可确保数据位对位的准确。由于该公司的SOLO3 尚在开发中,没有成品问世,但由于具有优秀的性能价格比,因此Solo2 目前仍是ICS 公司在各国司法部门中主要推广的产品。
SOLO2 可在对各种IDE 硬盘进行快速拷贝,配合PCMCIA SCSI 适配器可对SCSI 硬盘进行拷贝。能够复制基于任何操作系统的硬盘,如DOS ,Windows3.x ,Windows95/98/2000 ,WindowsNT ,OS/2 ,Macintosh ,
UNIX ,Novell 等。可通过并口与计算机连接,适应硬盘无法拆卸的计算机取证问题。具备坏扇区跳过功能,可加快硬盘的复制完成时间。具有智能拷贝功能,可跳过对硬盘空白区域,仅对数据区域进行拷贝。具备硬盘数据擦除功能。配合ICS 公司提供的东芝1.8 寸硬盘硬盘配器,可直接拷贝 1.8 寸硬盘。配合各种笔记本计算机硬盘转接卡,无需将笔记本计算机的专用转接卡卸除,即可直接利用拷贝机进行快速拷贝。
优势:拷贝精度高、SCSI 接口拷贝、坏扇区跳过、1.8 寸硬盘拷贝、硬盘转接卡品种多。
不足:启动时间相比较长,灵活性不够。
?Solitaire Turbo 硬盘拷贝机
Solitaire Turbo 是美国Logicube 公司研制的一款民用型硬盘拷贝机,能够高速进行硬盘数据的复制工作,速度可达1.8GB/ 分钟。
该设备主要特点:支持双向拷贝,可从内部硬盘向外部端口拷贝,或从外部端口向内部硬盘拷贝,增加了使用灵活性;具备智能拷贝功能,拷贝单独的Windows XP 系统不到 2 分
钟,非常适于进行系统日常维护;可配合USB Adaptor 和CloneCard ,无需拆卸硬盘直接对计算机硬盘进行拷贝。配合USB Adaptor ,可作为USB 硬盘盒使用,直接察看硬盘数据,进行硬盘维护。
由于系统默认从内部向外部端口拷贝,这与所有司法专用型拷贝机使用方式相反,一旦操作失误将会覆盖疑犯硬盘,因此如使用此种设备必须谨慎,或配合硬盘写保护设备以便保护疑犯硬盘数据安全。
优势:拷贝速度高、使用灵活、智能拷贝、USB 接口拷贝、USB 硬盘管理、CloneCard 。
不足:双向拷贝使用不当可能造成意外损失。
?DriveCopy 硬盘拷贝机
DriveCopy 是美国MyKey 公司研制的一种司法专用型硬盘取证设备,拷贝速度约为1.5GB/ 分钟。
该设备的优点是简单易用,只需连接好硬盘,开启电源,即可自动对疑犯硬盘和证据硬盘进行复制,并在拷贝结束后自动提示。拷贝机具备硬盘只读功能,可保护疑犯硬盘数据不被改动。整个拷贝机体积只有两块硬盘大小,有效地节省了空间。由于操作简单,可由任何非专业的人员使用。
优势:操作简单,数据只读。
不足:无进度显示。
?Echo 硬盘拷贝机
Echo 是美国Logicube 公司研制的一种民用型硬盘拷贝设备,拷贝速度接近900MB/ 分钟。
Echo 是目前国内外市场上所能见到的体积最小的硬盘拷贝设备,虽然拷贝速度在所评测的所有拷贝机中相比较慢,但是利用其默认的智能拷贝方式,拷贝Windows 98/ME/2000/XP 的数据文件仍比软件方式快许多,对于系统维护、硬盘数据备份等任务非常有效。Echo 以单向传输数据拷贝,操作非常简单,仅需简单按动几下按钮,既可根据需要以智能拷贝或以全盘拷贝方式进行硬盘复制。同时支持与CloneCard 配合使用,无需拆卸笔记本计算机硬盘,即可通过Pcmcia 接口传输数据。
Echo 作为一款简单易用的硬盘拷贝设备,其1GB 的智能拷贝速度相对于低廉的售价来说,应该具有极高的性价比。
优势:体积最小,操作简单,智能拷贝,CloneCard 拷贝,有拷贝速度和进度显示。
不足:速度较低,无时间显示。
?硬盘拷贝机性能对比
表1 硬盘拷贝机速度对比
直接对拷速度
获取80GB 硬盘完成时间
点评
SONIX
3.3GB/ 分钟
约25 分钟
具有最快的拷贝速度,欠缺精度
DD-212/128
2.8GB/ 分钟
约30 分钟
拷贝速度较快,拷贝精度欠缺
Solitare Trubo
1.8GB/ 分钟
约45 分钟
校验可选,拷贝速度较快,兼容性好
Solo II
1.8GB/ 分钟
约45 分钟
校验可选,拷贝速度较快,兼容性好
MD5
3.0GB/ 分钟
约50 分钟
精度最高,拷贝同时必须校验,实际完成时间较长
DriveCopy
1.5GB/ 分钟
约60 分钟
操作简单,数据只读,速度缺乏优势
SF 5000
1.8GB/ 分钟
约100 分钟
由于拷贝同时进行精确校验,实际完成时间较长
Echo
900MB/ 分钟
约100 分钟
操作简单,硬盘完全拷贝没有优势,智能拷贝出色表2 硬盘拷贝机功能对比
MD5
SONIX
DD-212
DriveCopy
SF 5000
Trubo
Solo II
Echo
直接对拷方式
支持
支持
支持
支持
支持
支持
支持
支持
直接对拷方向
单向
双向
单向
单向
单向
双向
单向
单向
通过USB 口拷贝
需配件
支持
* * 需配件
需配件
* *
通过并口拷贝
支持
支持
* * 支持
支持
支持
支持
通过Pcmcia 接口需配件
需配件
* * 需配件
需配件
* 需配件
复制SCSI 硬盘* * DD-128
* * * 需配件
*
复制SATA 硬盘需配件
支持
需配件
需配件
需配件
需配件
需配件
*
1 对
2 拷贝
* * 支持
* * * 支持
*
USB 硬盘盒方式支持
支持
* * 支持
支持
* *
DD 镜像获取
支持
* * * * * * *
分区选择拷贝
支持
支持
支持
* * 支持
支持
*
智能拷贝
* 支持
支持
* * 支持
支持
支持
数据擦除
支持
支持
支持
* 支持
支持
支持
*
数据只读
需配件
* * 支持
需配件
* 需配件
*
表3 硬盘拷贝机综合评分
拷贝精度对比
拷贝速度+ 完成时间
简单易用性
功能扩展+ 灵活性
评分
SONIX
★★★
★★★★★
★★★★
★★★★★
18
MD5
★★★★★
★★★
★★★★
★★★★
16
Solitare Trubo
★★★
★★★
★★★★
★★★★
14
DD-212/128
★★★
★★★★
★★★★
★★
13
SF 5000
★★★★
★★
★★★★
★★★
13
Solo II
★★★★
★★★
★★★★
★★
13
DriveCopy
★★★
★★★
★★★★★
★★
13
Echo
★★★
★★
★★★★★
★★
12
注:评测标准,总分数为20 分,单项评比满分为5 分,每一个★代表1 分
★★★★★单项评比,性能最好者平5 分,其余得分根据最高分酌减。
?取证勘查箱
计算机取证涉及的各种信息存储介质种类很多,如软盘、硬盘、光盘、USB闪存、数字相机闪存卡、各种大容量软盘(ZIP等)、可扩充硬盘(JAZ等),此外还有不同品牌的掌上电脑和手机,因此要求取证人员必须拥有一套适应范围广、拷贝功能强、携带方便、使用灵活的移动电子取证平台,通过精简、轻便的设备,实现对不同场合、不同需要的案件数据取证目的。目前在国内外计算机取证产品中,取证勘查箱依据其功能和形式主要分为三种:改装型、工控型和组合型。
改装型主要将取证计算机组装于特制的防水、放震工具箱内,优化端口连接方式,将全部端口引于面板上,便于设备的连接使用。由于普通笔记本计算机无法直接连接 3.5寸IDE 硬盘,因此改装型勘查取证箱的最大优点是便于对硬盘的检查和拷贝。对于其他存储介质的检查和取证优势不明显。此种产品代表有美国ICS公司的RoadMasster、厦门美亚柏科公司的网警取证勘查箱、北京天宇晶远移动介质取证箱。
图:改装型代表—ICS公司的RoadMasster
工控型主要利用工业控制机可携带,扩展方便的特点。此种设备端口齐全,具有防震设计,可接插各种台式机功能扩展卡,能够直接运行其他第三方取证分析类软件。缺点是体积大且重。目前美、英一些公司此种产品较多。如LC公司的PDRAC、美国Forensic Computer 公司的Portable Forensic Workhorse。
组合型将各种常见的计算机取证设备合理搭配,放置于特制的箱包中,组成功能全面的取证系统。主流方案是采用笔记本计算机,配合各种外设和专业计算机取证器材。这种方案优点是端口齐全,各种设备使用灵活,便于伪装和携带。
?网警案件取证勘查专用机(美亚柏科)
网警取证勘查专用机属于改装型取证设备,基于PIII/PIV CPU, 具有计算机的全部功能,配有ENCASE 取证软件,能够实现对硬盘的预览和数据获取。取证箱扩展性能好,连接方式灵活,支持3.5 寸IDE 硬盘、2.5 寸IDE 硬盘、SCSI 硬盘的数据获取;支持对CD 、CDR 、CDRW 、DVD 的检查获取;支持对3.5 寸软盘的获取和分析;支持数字存储介质的检查与拷贝;可对各种USB 闪存、大容量存储介质进行拷贝;支持对手机卡(GSM/CDMA )的复制。
优势:接口齐全,具有数据获取和分析功能, 数据只读
不足:稳定性稍差
?计算机犯罪取证勘查箱(金诺网安)
一种组合型计算机取证勘查设备,在笔记本计算机、SF5000 硬盘拷贝机、ENCASE 取
证软件,的基础上,搭配了各种在计算机犯罪调查过程中经常使用的软件和硬件的集成,可满足复杂多变的现场勘查取证需要、实现符合法律程序要求的计算机犯罪调查过程,提供简单易用的电子取证与证据分析的工具,提高计算机犯罪调查的效率。
优势:计算机性能稳定,各种配件较全,具有数据获取和分析功能
不足:灵活性稍差
?Forensic Air-Lite V (Forensic Computer )
Forensic Air-Lite V 是应美政府部门要求研制的一种快速计算机取证设备,可满足严格的证据获取要求,属于改装型设备。该系统配备有可移动的存储设备、DVD RW刻录机、SCSI 卡、SATA卡,能够获取各种接口的SCSI硬盘、IDE硬盘和SATA硬盘。兼容各种证据获取、分析软件,如ENCASE、FTK、SMART、SafeBack、和MSDOS环境下的取证工具。
优势:硬盘获取功能强,硬件可由用户定制升级
不足:组合形式简单,功能单一
?Image MASSter Road MASSter (ICS )
美国ICS公司研制的改装型计算机取证专业设备,具有证据获取、预览和数据分析的功能。采用Windows98操作系统,具有ICS公司专用拷贝软件,能够以1.5GB/分钟的速度进行硬盘直接对拷,可替代SOLO 2拷贝机。疑犯硬盘和证据硬盘的加载和拷贝由专用软件控制,无需关机即可更换硬盘。支持第三方软件对疑犯硬盘和证据硬盘的获取和分析。
优势:硬盘直接拷贝功能,可代替拷贝机,更换硬盘无需关机
不足:CPU、内存等计算机整体配置低,屏幕小
?电子证据取证平台(天宇晶远)
由北京天宇晶远公司研制的组合型取证设备,基于笔记本计算机、SONIX 拷贝机、1394B 取证接口、PDA 取证设备、手机取证设备,配合FTK 、全能取证王软件,实现对电子证据的综合取证平台。全套设备采用灵活的组合方式,充分利用笔记本计算机齐全的接口和优秀的扩展功能,以最少的设备组合实现了全面的证据获取需要。可通过拷贝机和软件方式,有效解决 3.5 寸硬盘、 2.5 寸硬盘、 1.8 寸硬盘、SATA 硬盘、SCSI 硬盘的数据获取问题,同时可针对35 种型号PDA ,38 种手机、GSM/CDMA 手机卡,ZIP 软盘、各种USB 存储设备、PC 卡硬盘、8 种数字相机存储卡进行证据获取和数据拷贝。
优势:拷贝速度快,拷贝方法多样,可解决电子证据种类多。
不足:设备较多,携带不便。
?结束语
通过对目前国内外8 种硬盘拷贝机、5 种取证勘察箱进行评测,我们可以看到国内外的专业计算机取证厂商、科研机构都在努力地加强计算机取证专业设备的开发与改进。国外计
算机取证技术和设备属于成熟阶段,以美国Logicube 、ICS 、Guidence 、Accessdata 为代表的公司不断推出并改进其专业取证、数据分析软硬件产品。而国内科研机构和部分专业公司,也在加强对计算机取证设备的研究,推出了一些适合中国国内司法部门需要的软硬件产品。虽然其中一些产品技术水平含量还比较低,但这种对计算机取证技术发展趋势的关注、研究与投入,还是值得我们去鼓励的。
而作为最终使用计算机取证专业设备的司法部门,面对众多的专业、民用的取证设备,一方面要充分利用各种已有的工具,从中发现作用明显、优秀实用的设备来武装自己,提高打击计算机犯罪行为的能力;另一方面也应该密切与从事计算机取证研究的公司和专业研究机构合作,研制开发出功能更强的软硬件设备,提高国内计算机取证水平,为打击和防范各种计算机犯罪行为、各种恐怖行为的漫延作出努力。
计算机取证常见问题
计算机取证常见问题
计算机取证常见问题 1 根据现行法律规定及司法实践活动,对于数字证据的来源应审查些什么? (1)数字证据的来源是否是客观真实的存在,而不是主观臆断的产物。 (2)数字证据收集的主体,时间,地点,过程,对象等是否合法。 (3)数字证据的内容是否真实反映案件事实。(4)数字证据是否为在正常运行的计算机等设备在正常工作中形成的。 (5)数字证据是否被用户非法输入和控制。(6)自动生成数字证据的计算机程序是否产生了故障。 2 对于数字证据的保全可采用什么样的方法?(1)凡是将可擦写的原始软件和查获的媒体作为证据的,为了保证其证据的不可变性, 应当在现场对所有原始的软件和查获的媒 体采取写保护措施,并由现场见证人和当 事人签名(盖章)并按指印。 (2)勘查中发现的一切有用证据都要及时固定
按照有关规定要求拍摄现场全过程的照片 和录像,制作《现场勘查笔录》及现场图, 并记录现场照相和录像的内容,数量及现 场图的种类和数量。 (3)用打印输出的方式将计算机证据进行文书化,打印后表明提取时间,地点,机器, 提取人,见证人,在计算机证据文书化后, 统一在文书材料右上角加盖印章并逐项填 写。 (4)电子数据的备份一般应当将存储介质中的内容按其物理存放格式进行备份,作为证 据使用的电子数据存储介质应记明案由, 对象,内容,录取,复制的时间,地点, 规格,类别,存储容量,文件格式等,并 复制两个以上的电子数据备份。 (5)妥善保管存储电子数据证据的介质,远离高磁场,高温环境,避免静电,潮湿,灰 尘,挤压和试剂的腐蚀,应使用纸袋装计 算机元件或精密设备不能使用塑料袋防止 静电消磁,证据要集中保存,以备随时重 组试验或展示。
Encase,FTK几种计算机取证工具的比较
數位鑑識工具之比較 --以Encase 5.0、FTK 1.6及Helix 1.8工具鑑識職業駭客專門替人植入木馬破解密碼入侵案件為例 林宜隆1、歐啟銘2 1中央警察大學資訊管理學系 教授 2中央警察大學資訊管理學系 研究生 摘 要 網際網路的迅速發展之下,為我們帶來了許多便利,許多生活上所需要的東西都可以從網路上取得,例如:網路購物、網路轉帳等…但隨著這些便利的網路應用,也使得一些人利用這些便利做一些非法的應用。 許多案例是員工監守自盜,將客戶的個人資料賣給詐騙集團,也有些因為公司或機關保護客戶個人資料不夠周全,讓駭客透過網路或是其他方式,竊取客戶個人資料。 被駭客入侵後,如何取得駭客再受害者電腦做了什麼事,以及駭客從何而來,並且將這些證據可以作為法庭上證據,證明自己被攻擊,以及透過這些證據抓到攻擊者,也是非常重要的。 本研究採用國內、外執法機關使用的Encas e、FTK及Helix,作為研究的主要鑑識工具,並比較相關數位鑑識工具,使用框架理論分析真實案例,透過案例驗證數位證據處理原則及工具的完整性、一致性、正確性。 關鍵詞:網路犯罪、數位鑑識、駭客入侵
A comparative study on cyber Forensic tools - with Encase 5.0, FTK1.6 and Helix 1.8 tool Forensic professional hacker plant for people into trojan horse and explain password invade the case for the example Lin I-Long 1、Ou Chi Ming2* 1,2 Department of Information Management Center Police University ABSTRACT The constant development of the computers and the internet has resulted in more and more real life uses and applications. Examples are embanks, network auctions, web-cams and the internet phone. However, many internet crimes and problems also spawned along the side. One of the most common cases are the employees themselves embezzle its own company's personal information and to sell them to a fraud organization. In other cases, some companies or an organization simply doesn’t have the technical capability to protect their client's information away from the hackers. It is crucial to keep detailed information on the possible origin of the hacker and the specific damages the hacker had caused. These will become extremely vital evidences on the court. They may also be used to help arrest the attacker. The research use the cyber forensic tools which the most bureau of investigation use. We focus on the cyber forensic tools Encas e、FT K、Helix and compare them . We identify the completeness, integrity and correctness of tools and procedure by case. Keywords:cybercrime、cyber forensic、Trojan Horse
大学计算机专业学生自我鉴定
大学计算机专业学生自我鉴定 学习方面,我克服了从高中到大学转变的种种不适,并在各个科目上取得了初步的令人满意的成绩。经过一学期的锻炼,我认识到了大学与高中在学习动机、学习动力以及学习习惯方面的重大区别,并有了一点心得。 1.高中的学习动机十分简单,那就是高考,学生、老师、学校三位一体为高考,可以说是不择手段。而大学,由于奋斗目标突然变得模糊,学习动机也变得模糊起来。学习的目的性偏弱,不知为何而学习,一门心思追求考试的通过。同时,由于高中的知识内容相对简单,知识点相对少,社会联系相对薄弱,知识理解要求程度相对较低,导致我们在高中阶段可以抛开一切只谋书本;相反,由于大学课程紧密,知识难度高,要求理解陈独强,并且学习的效率与效果直接与未来个人的发展前途息息相关,因此,大学的学习压力大,学生的思想负担也相对较重。加之奋斗目标的模糊,使得学习动机不很明显。这一点,是在大学学习中需要的别注意的。 2.学习动力方面,由于高中的终极目标是高考,学生所面对的是多彩缤纷的大学生活,因此或多或少对未来都是乐观的。而大学生直接面对社会,社会竞争所产生的种种现象随着大学的逐步开放渐渐渗透到大学生活中,其中消极的一面尤其容易对大学生的心理健康造成危害。高中阶段由于学习目标以及前景的清晰,使得学生、家长和学校三方面都敢于投入资本进行运作,学生的学习动力也由三方面共同得来。如学生自己的大学憧憬,家长对学生鼓励以及奖励制度,学校对于优等生的种种特殊待遇等等,都有可能成为学生的学习动力;而大学,则变得截然不同:首先,学校方面的动力消失。不得不提到的是,由于学校的前途、专业的就业前景等都已列入大学生的考虑范围,学生对学校失去了高中阶段的绝对信赖,因此,学校方面的支持效果普遍下降。虽然有奖学金等制度的刺激,但追根芥蒂,学生更关心的未来的发展前途,而不是完成学校的所谓各种“指标”;其次,是家长方面动力的削弱。由于大学生大多远离家乡,失去了来自父母方面的直接关心,心理上属于薄弱阶段。一方面,来自家庭的生活方面的支持突然消失,让许多习惯的高中衣食无忧的学生产生强烈的不适应感。学生不由自主将注意力分散到生活中,造成学习动力下降。
计算机取证
计算机取证概述 一、背景 计算机和网络在社会、政治、经济、文化、军事等领域的应用越来越普遍,与计算机有关的犯罪也越来越多。要打击并遏制犯罪,执法机关必须依照法律的要求获取证据,特别是法庭依据合法的证据来对犯罪事实的认定。很多犯罪的证据与计算机技术相关,计算机取证就是为打击与计算机有关的犯罪提供证据的科学方法和手段。 计算机取证的目的就是要通过分析计算机和网络活动,从而获得与犯罪有关人员的行为。计算机在相关的犯罪案例中可以为被入侵的目标、作案的工具和犯罪信息的存储等角色。无论作为那种角色,在计算机中都会留下大量与犯罪有关的数据,进而依据有关科学与技术原理和方法找到证明某个事实的证据。 由于计算机技术应用的深入,计算机取证逐步发展为数字取证。 (一)数字取证的定义 数字取证是从计算机取证逐步发展而来。 Lee Garber在IEEE Security发表的文章中认为,计算机取证就是分析硬盘、光盘、软盘、zip盘、Jazz盘、内存缓冲以及其他存储形式的存储介质以发现犯罪证据的过
程。 计算机取证资深专家Judd Robbins给出如下定义,计算机取证是将计算机调查和分析技术应用于对潜在的、有法律效力的证据的确定与获取。 计算机紧急事件响应组CERT和取证咨询公司NTI进一步扩展了该定义,计算机取证包括了对以磁介质编码信息方式存储的计算机证据的保护、确认、提取和归档。 SANS公司认为,计算机取证是使用软件和工具,按照一些预定的程序,全面地检查计算机系统,以提取和保护有关计算机犯罪的证据。 我国的陈龙等人认为,计算机取证是运用计算机及其相关科学和技术的原理和方法获取与计算机相关证据以证明某个客观事实的过程。它包括计算机证据的确定、收集、保护、分析、归档以及法庭出示。 (二)计算机司法鉴定的定义 司法鉴定是鉴定人运用科学技术或专门知识对涉及诉讼的专门性问题进行检验、鉴别和判断并提供鉴定结论的活动。司法鉴定是鉴定人向委托人提供鉴定结论的一种服务。计算机司法鉴定的检验、鉴别和判断等活动是计算机取证的一部分,而计算机取证的概念要丰富,除计算机司法鉴定的内容外,还要包括对犯罪现场的勘查,如证据的发现、提取、保存、运输等。
计算机取证技术实验报告
中南大学 计算机取证技术 实验报告 学生姓名 学院信息科学与工程学院 专业班级 完成时间
目录 1. 实验一事发现场收集易失性数据 (3) 1.1 实验目的 (3) 1.2 实验环境和设备 (3) 1.3 实验内容和步骤 (3) 2. 实验二磁盘数据映像备份 (8) 2.1 实验目的 (8) 2.2 实验环境和设备 (8) 2.3 实验内容和步骤 (9) 3. 实验三恢复已被删除的数据 (16) 3.1 实验目的 (16) 3.2 实验环境和设备 (16) 3.3 实验内容和步骤 (16) 4. 实验四进行网络监视和流量分析 (20) 4.1 实验目的 (20) 4.2 实验环境和设备 (20) 4.3 实验内容和步骤 (20) 5. 实验五分析Windows系统中隐藏的文件和Cache信息 (23) 5.1 实验目的 (23) 5.2 实验环境和设备 (24) 5.3 实验内容和步骤 (24) 6. 实验七数据解密 (28) 6.1 实验目的 (28) 6.2 实验环境和设备 (29) 6.3 实验内容和步骤 (29) 7.实验总结 (32)
计算机取证技术 1.实验一事发现场收集易失性数据 1.1 实验目的 1.会创建应急工具箱,并生成工具箱校验和; 2.能对突发事件进行初步调查,做出适当的响应; 3.能在最低限度地改变系统状态的情况下收集易失性数据。 1.2 实验环境和设备 1.Windows XP 或 Windows 2000 Professional 操作系统; 2.网络运行良好; 3.一张可用的软盘(或U盘)和PsTools工具包。 1.3 实验内容和步骤 1.创建应急工作盘,用命令md5sum创建工具盘上所有命令的校验和,生成文本文件commandsums.txt:
计算机取证简答题综合题
三、简答题 1.在计算机取证的过程中,不管发生了什么紧急情况,调查者都必须遵循的原则是什么答:①不要改变原始记录 ②不要在作为证据的计算机上执行无关的程序 ③不要给犯罪者销毁证据的机会 ④详细记录所有的取证活动 ⑤妥善保存取得的物证 2.当Windows系统受到入侵攻击,而需要对系统进行取证分析的操作会引起易失性数据。主要的易失性数据包括哪些 答:①系统日期和时间②当前运行的活动进程 ③当前的网络连接④当前打开的端口 ⑤当前打开的套接字上的应用程序⑥当前登录用户 系统中初始响应指的是什么现场数据收集的主要步骤包括哪些 答:1.初始响应指的是收集受害者机器上的易失性数据, 并据此进行取证分析的过程 2.现场数据收集包括一下3步: ①打开一个可信的命令解释程序 ②数据收集的准备工作 ③开始收集易失性数据 4.描述你知道的证据获取技术包括哪些 答:①对计算机系统和文件的安全获取技术; ②避免对原始介质进行任何破坏和干扰; ③对数据和软件的安全搜集技术; ④对磁盘或其它存储介质的安全无损伤备份技术; ⑤对已删除文件的恢复、重建技术; ⑥对磁盘空间、未分配空间和自由空间中包含的信息的发掘技术; ⑦对交换文件、缓存文件、临时文件中包含的信息的复原技术; ⑧计算机在某一特定时刻活动内存中的数据的搜集技术; ⑨网络流动数据的获取技术等 5.基本过程模型有哪些步骤 答:①保证安全并进行隔离; ②对现场信息进行记录; ③全面查找证据; ④对证据进行提取和打包; ⑤维护证据监督链 6. 电子证据与传统证据的区别有哪些 答:①计算机数据无时无刻不在改变; ②计算机数据不是肉眼直接可见的,必须借助适当的工具; ③搜集计算机数据的过程,可能会对原始数据造成很严重的修改, 因为打开文件、打印文件等一般都不是原子操作; ④电子证据问题是由于技术发展引起的, 因为计算机和电信技术的发展非常迅猛, 所以取证步骤和程序也必须不断调整以适应技术的进步。
计算机取证关键技术分析
计算机取证关键技术分析 金波,陶明明 公安部第三研究所上海200035 上海金诺网络安全技术发展股份有限公司上海 200122 摘要: 电子证据是一种新的证据类型,为提高电子证据的证据力,本文分析了电子取证的取证程序与取证的关键技术,提出了取证的一般性原则、数据采集方法、取证的设备和装置要求。 关键词: 计算机取证, 电子证据, Analysis for Key Technology of Computer Forensic Jin Bo, Tao Mingming The Third Research Institute of Ministry of Public Security, 200035 Shanghai Kingnet Security Inc., 200122 Shanghai Abstract:. Electronic evidence is a sort of new style evidence. To improve the probative value of electronic evidence, the paper analysis computer forensic process and key technology, provided the rule of computer forensic, data acquire method and the requirement of forensic device. Keywords: Computer Forensic, Electronic Evidence
1概述 随着计算机和互联网络技术的迅速发展,电子商务、网络教育、各类网络服务和电子政务在经济社会的人际交往、经营活动中被大量应用。随之,各类经济纠纷、民事纠纷和刑事案件也会时有出现。判定或处置各类纠纷和刑事案件过程中,电子文挡已经成为重要证据之一。 许多计算机化的产品中都会存有电子证据,例如:移动电话、PDA、路由器等,也有许多形式的存储介质,包括:硬盘、光盘、U盘等。另外,网线、电缆甚至空气也能携带数字信息,通过适当的设备,就能将这些数字信息提取出来,以备使用。本文以计算机证据的重要载体—硬盘为例,研究分析计算机取证中的关键技术要求,包括:取证的一般性原则、数据采集方法、取证的设备和装置要求。 2取证程序 电子证据处理总共分3个阶段:证据获取、证据分析和证据表现[1]。 证据获取阶段的工作是固定证据。电子证据容易修改,一旦决定需要获取电子证据,应该首先进行证据固定,防止有用证据的丢失。在本阶段要求将电子证据的状态固定起来,使之在后续的分析、陈述过程中不会改变。并能够在法庭展示证据固定的有效性,比如展示原始证据和固定后证据的Hash校验值。 证据分析阶段的工作是分析证据与案件的关联性。电子证据包含的数据量往往很大,而且数据类型往往杂乱无章,收集的所有证据需要进行提取、整理和筛选后才能被使用。在本阶段要求能够对证据进行全面分析,并在全面分析的基础上能够进行数据挖掘和整合,使之清晰呈现案情相关信息。 证据表现阶段要就电子证据与案件的关联性进行陈述。在此阶段要求能够证实电子证据取得的途径、分析过程,并合理引用电子证据分析结果对案情进行陈述。 3证据获取 当采集电子证据时,应将注意力放在计算机内容而不是硬件上。当从计算机中采集数据时有两种选择,一种是采集所需要的数据,另一种是采集所有的数据。采集所需要的数据有遗失线索和损害证据的风险,因此一般情况下,取证人员将从涉案的计算机硬盘中完整采集
计算机专业自我鉴定范文
计算机专业自我鉴定范文 自我鉴定是个人在一个时期、一个年度、一个阶段对自己的学习和工作生活等表现的一个自我总结。自我鉴定可以总结以往思想、工作、学习,展望未来,发扬成绩,克服不足,指导今后工作。以下是资料库网精心整理的自我鉴定范文,供大家阅读参考! 自我鉴定范文精选 从踏入学校门槛的那天起,经过良师的精心指导以及自己的奋力拚搏、艰苦不懈,我逐渐成为了一个能适应社会要求的新时代职业生,并为做一个知识型的社会主义建设者打下坚实的理论基础。 学校期间,我认真学习,发挥自己的特长,挖掘自身的潜力,从而提高了自己的学习能力和分析处理问题的能力,也获得大家的认同。在求学期间, 学而知不足是我学习、工作取得进步的动力。除了必修课程外我还有学专业课Photoshop、flash、dreamweaver、办公软件等等软件。 我最大的特点是,诚实守信,热心待人,勇于挑战自我。为人处世上,我坚持严于律已,宽以待人,良好的人际关系正是建立在理解与沟通基础之上的。同时作为一名即将毕业的20XX年应届计算机业的中专生,我所拥有的是年轻和知识,使我不畏困难,善于思考,但年轻也意味着阅历浅,更需要虚心向学。 一直在追求人格的升华,注重自己的品行。我崇拜有巨大人格魅力的人,并一直希望自己也能做到我也深知,毕业只是求学的一小步,社会才是一所真正的大步。我还要继续努力,凭自己的能力和学识在毕业以后的工作和生活中克服各种困难,不断实现自我的人生价值和追求的目标. 自我鉴定范文参考 工欲善其事,必先利其器"。大学几年,我始终坚持"天道酬勤"的原则,一日三省,自信品格的日趋完善;勇于行事,务实求新,自信工作有所成绩;三更灯火,寒窗苦读,相信学有所成。 在校期间,我始终以提高自身的综合素质为目的,以个人的全面发展为奋斗方
国内外计算机取证设备对比与分析
国内外计算机取证设备对比与分析 作者简介: 王玉福(1974 年), 男, 山东省平度市人, 大学本科, 主要研究领域为计算机取证软硬件设备; 摘要: 对电子证据的获取、分析和发现是打击各种犯罪行为的一种全新手段。随着国内涉及计算机取证的案件不断增多,法律部门越来越需要精确、高速、多功能、智能化、适应于不同场合的专业计算机取证设备来武装自己。多年来,国外科研机构、院校、军警部门一直在努力加强计算机取证技术的研究,研制开发了各种各样的软硬件产品;国内科研机构也注意加强年来也出现一些专业的计算机取证产品。如何充分地利用这些已有的计算机取证工具,提高国内法律部门的计算机取证水平,有效地打击犯罪行为具有重要的意义。本文通过对比国内外各种计算机取证工具的特点,分析发现不同取证工具的使用优势,便于同行对不同取证设备的认识。 关键词: * 计算机取证; 设备评测* 硬盘作为计算机最主要的信息存储介质,是计算机取证的重要获取内容,也是目前各种计算机取证工具的主要方向。目前国内外市场上,用于硬盘拷贝、数据获取的专业产品较多:有为司法需要而特殊设计的MD5 、SF-5000 、SOLO II 硬盘拷贝机,有适合IT 业硬盘复制需要的SONIX 、Magic JumBO DD-212 、Solitair Turbo 、Echo 硬盘拷贝机;有以软件方式实现硬盘数据全面获取的取证分析软件,如FTK 、Encase 、Paraben's Forensic Replicator ;有综合软件获取和硬拷贝方式的取证勘察箱,如Image MASSter Road MASSter 、“天宇”移动介质取证箱、“网警”计算机犯罪取证勘察箱;此外,还有通过USB 接口、1394 接口、PCMCIA 、并口等方式的硬盘获取设备及附件,如LinkMasster II 、CloneCard 、USB WriteProtect 、Desktop WriteProtect 、“天宇”全能拷贝王等等。 在上述众多的计算机取证产品中,每一种产品都有其自身的特点和可利用的优势。计算机取证人员可以根据不同的工作需要和工作环境选用不同的取证工具。而为了实现最佳的取证效果,应当充分挖掘各种产品的功能,合理组合各种取证工具,形成一套设备精简、功能强大的专业计算机取证勘查工具集合。本文就目前部分国内外计算机硬盘取证专业设备的性能特点进行介绍。 ?手持式硬盘取证设备 手持式硬盘取证设备的主要特点是体积小、重量轻,便于携带和使用。在各种取证设备中,手持式硬盘取证设备拷贝速度最快,最高可达3.3GB/ 分钟。多数手持式拷贝机以硬盘直接拷贝为主要方法,要将疑犯计算机的硬盘取出,直接与拷贝机连接,实现对硬盘数据的全面复制。考虑到不同环境下的不同取证需要,新型拷贝机除硬盘直接拷贝方式外,还增加了USB 接口拷贝方式、SATA 硬盘拷贝、PCMCIA 接口拷贝,增强了拷贝机的功能和使用灵活性,促进了计算机取证技术的发展。正因为具有便于携带和拷贝功能强的特点,手持式拷贝机成为司法取证的首选设备。 国际市场上手持式硬盘拷贝机大致可分为两代产品。以SF-5000 、SOLO II 、SolitareTurbo 为代表的第一代拷贝机,拷贝速度最高可达 1.8GB/ 分钟。以Forensic MD5 、Sonix 、
计算机专业毕业生自我鉴定
计算机专业毕业生自我鉴定 导读:我根据大家的需要整理了一份关于《计算机专业毕业生自我鉴定》的内容,具体内容:宝剑锋从磨砺出,梅花香自苦寒来。在大学,不断积累、不断学习、不断磨砺,四年磨一剑,寒光照九州。接下来,我在这给大家带来,欢迎大家借鉴参考!1四年的校园生涯和社会实践生活... 宝剑锋从磨砺出,梅花香自苦寒来。在大学,不断积累、不断学习、不断磨砺,四年磨一剑,寒光照九州。接下来,我在这给大家带来,欢迎大家借鉴参考! 1 四年的校园生涯和社会实践生活中,我不断的挑战自我、充实自己,为实现人生的价值打下坚实的基础。我利用课余时间广泛地涉猎了大量科技、哲学、军事等方面的书籍,不但充实了自己,也培养了自己多方面的兴趣和技能。更重要的是,严谨的学风和端正的学习态度塑造了我朴实、稳重、创新的性格特点 通过四年系统的学习,我已经掌握了作为一个计算机专业学生所必须具备的专业理论知识和实际操作技能。熟悉VB、java、C、J2EE等编程语言;熟悉数据库SQL、Access。掌握了网页制做(Dreamweaver、Flash Mx、Fireworks Mx)和图像处理 (Photoshop CS、AutoCAD)等软件。熟悉数据库SQL、ACCESS的开发与维护。而硬件方面,熟练掌握计算机的组装、维护等技术。 努力培养自己良好的思想道德修养,坚定的政治方向,热爱祖国,热爱
人民。热心参加学校的公益宣传活动及爱国主义活动,曾到江门市福利院进行献爱心活动。获得过"学雷锋青年志愿者活动积极分子称号。 担任团支书、宣传部长期间,为班上,为学校宣传部做了大量的工作,认真负责,积极地培养了自己的社会实践能力、组织、领导、协调和团体合作能力。被评为"优秀共青团干部和优秀学生干部。在负责校摄影协会外联工作期间,更是很好地做了大量实践工作,深入了解社会,使自己的公关处事能力大为提高。 对平面设计有浓厚的兴趣,具备丰富的创意。 兴趣广泛,爱好各种文体活动,积极锻炼身体。最爱篮球、摄影、健身。四年的磨练,使我拥有了一副健康的体魄,专业的计算机知识,刻苦耐劳、不畏困难、勇于拼搏的意念;勤奋诚实、热情助人的良好品质;较好处理人际关际,处事冷静稳健,能合理地统筹安排生活、工作中各事务的能力;高度的责任感和集体主义精神。俗话说:朝夕耕耘,图春华秋实;十年寒窗,求学有所用。因为年轻,我激情彭湃,活力无限,但年轻也意味着欠缺经验,缺少磨练,还需要前辈的指点和自己不断的努力。 青春无悔! 2 本人就读于xx大学计算机科学与技术专业,短短四年的大学生活即将过去。菁菁校园中,在学校领导的关系,教员的教诲,学长的照顾,同学的关爱以及各方面的熏陶,使我受益匪浅。我始终以提高自身的综合素质为目标,以自我的全面发展为努力方向,树立正确的人生观、价值观和世界观。
计算机取证分析
摘要 信息技术的不断发展给人们的生活带来了巨大的改变,网络已经越来越渗透到人们的现实生活与 工作当中。然而,网络在为人民生活和工作带来便利的同时,也引发了无数网络犯罪。 计算机静态取证便是针对网络犯罪而出现的一种电子取证技术,而随着网络犯罪形式和手段的千变万化,计算机静态取证已不能满足打击网络犯罪的需求, 为适应信息化发展的要求,建立安全网络环境和严厉打击网络犯罪行为势在必行,本论文针对计算机动态取证技术进行分析,主要浅谈电子动态取证采集系统的实现、网络证据收集和网络数据分析 等几个方面。通过对计算机取证基本概念、特点和技术的基础研究,对计算机动态取证进行分析。关键词:电子取证动态取证动态电子证据采集网络数据协议 目录
一、概述 (一)、研究背景 目前,人类社会已经迈入了网络时代,计算机与互联网已经与老百姓的日常工作、学习与工作息息相关,社会信息化对政治、经济、文化和科技等各项社会生活产生了深远的影响。然而,网络技术给人类社会带来有利影响的同时,也带来了负面的影响。 在国外,1988年11月美国国防部的军用九三级网络遭受莫里斯病毒袭击,致使美国Internet网络上6000多台计算机感染,直接经济损失9600万美元。2000年5月,“爱虫”病毒通过电子邮件传播,在世界各地迅速蔓延,造成全世界空前的计算机系统破坏。而在国内,人们利用计算机网络犯罪的案例也层出不穷。2002年,作案人吕薜文通过盗用他人账号,对中国公众多媒体通信网广州主机进行了攻击,并对其部分文件进行删除、修改、增加等一系列非法操作,造成严重后果。2008年4月,作案人赵哲窜至上海某证券攻击营业部,利用该营业部电脑安全防范上的漏洞,修改该营业部部分股票交易数据,致使股价短时间内剧烈震荡。 计算机以及其他信息设备越来越多的被运用到犯罪活动中,尽管随着入侵检测系统的广泛使用降低了非法使用计算机资源所带来的损失,但网络犯罪依然不可忽视。针对网络环境安全,本文旨在研究探讨网络开放环境下的电子证据的动态收集与分析。(二)、国内外研究现状 目前,虽然我国各省市级公安机关有专门的部门处理计算机犯罪案例,然而在处理案件的技术上所用到的只是国外一些常见的取证工具,如今计算机犯罪手段变化多端,这样所获取的电子证据缺乏说服力,未能给破案带来实质性的帮助。而类似美国等发达国家地区,无论是在电子取证技术上、人们的意识形态和有关计算机证据的法律建设都在于我国之上,许多专门的计算机取证部门、实验室和公司开发了很多极其实用的取证产品。例如,计算机司法领域的行业领袖Logicube、突出的计算机取证服务提供商ICS、Vogon和Guidance等公司不断研发和推进它们的专业取证产品,对打击计算机犯罪提供了有效的工具。 因此,我国应该自主开发能够有效打击计算机及网络犯罪的专业电子产品,健全相关法律法规,以应对日益增加的犯罪活动,使得用户的权益不受侵犯。开展计算机取证技术的研究,无疑对我国的社会发展乃至整个世界的计算机科学发展都有着极其重要的意义。 (三)、论文研究内容 与时俱进的时代性不仅体现在社会与经济的快速发展,同时体现于社会各个领域的全面进步,计算机取证已经成为当今社会不可置旁的话题,执法机关对计算机取证
计算机专业学生自我鉴定
精选范文:计算机专业学生自我鉴定(共2篇) 尊敬的领导:您好! 首先感谢您在百忙之中抽出时间阅读我的求职信。我是一名即将于xxxx年毕业的xx大学xx学院学生,所学专业是计算机。大学四年中,我吸取了丰富的专业知识并锻炼了自己的能力。通过四年的苦读,我掌握了c语言、汇编语言、编译原理、powerbuilder,数据库原理,并对面向对象的c 和vc 等windows编程有一定了解。课外我还自学了delphi编程,asp动态网页及网络数据库。学好计算机必须有过硬的外语水平,我以较好的成绩连续性通过了国家英语四级考试,现已能阅读并翻译计算机资料。另外值得一提的是我利用业余时间考取了microsoft公司的mcse(microsoftcertifiedsystemengineer)。自入校以来,我充分利用业余时间广泛的参加社会实践活动。曾先后在两家网络公司做过网管和技术员等兼职工作。积累了丰富的实践经验,尤其是在网络管理及维护方面。若有幸加盟,我可以致力于贵公司的局域网的设计实现以及维护,或局域网广域网的交换与路由设计实现和维护等工作。最后再次感谢您耐心的阅读了我的求职信。自荐人:xxx xxxx年xx月xx日 [计算机专业学生自我鉴定(共2篇)]篇一:计算机专业的自我鉴定 自我鉴定 时光如梭,转眼即逝,毕业在即,校园生活和社会实践,有渴望、有追求、有成功也有失败,我孜孜不倦,不断地挑战自我,充实自己,为实现人生的价值打下坚实的基础。从刚跨入大学时的失落和迷茫,到现在即将走上工作岗位的从容、坦然。我知道,这又是我们人生中的一大挑战,角色的转换。这除了有较强的适应力和乐观的生活态度外,更重要的是得益于大学三年的学习积累和技能的培养。 我自认为无愧于大学三年,刚入学时,我曾为高考的失利而沮丧过,颓废过。但很快,我选择了坦然面对。因为我深信,是金子在任何地方都会发光。一直以来,我坚信,只要我在求学之路上勤勤恳恳的努力着,付出总会有回报的。因此,我始终以提高自身的综合素质为目标,以自我的全面发展为奋斗方向,树立正确的人生观、价值观和世界观,在各方面锻炼自己,提高了自己的学习能力和分析处理问题的能力,为自己将来能很好的实现人生价值打下基础。 在学习上,我除了学习自己的专业,完成该专业的相关学习任务,还利用课余时间自[计算机专业学生自我鉴定(共2篇)]学计算机及应用本科专业知识。并具备了较强的英语听读写能力,对office办公软件能熟练操作,学会了用五笔打字,发挥自己的特长,挖掘自身的潜力。 在生活上,我最大的特点是诚实守信,热心待人,勇于挑战自我,时间观念强,有着良好的生活习惯。与人相处融洽,敢于拼搏刻苦耐劳将伴随我迎接未来新挑战。 在社会实践方面,我不怕辛苦,不怕困难,积极参加学校的各种活动。我通过加入文学社和1+1爱心协会,做自愿者。不但锻炼自己的组织能力,还深刻地感受到团队合作的精神及凝聚力。参加校内的活动可以认识到更多的同学,也就增加了与其他同学交流和向其学习的机会,锻炼了自己的交际能力,学到别人的长处,认清自己的短处。 在为人处世上,我坚持严于律已,宽以待人,若要人敬已,先要已敬人,良好的人际关系正是建立在理解与沟通基础之上的。由于待人热情诚恳,与许多同学建立起深厚的友谊。在学习专业知识的同时,我更懂得了,考虑问题应周到全面,不能只顾着自己的利益和方便,而忽略了别人的感受。 通过这三年的学习,我懂得了很多,从刚进学校时那天真幼稚的我,经历了许多挫折和坎坷,到现在成熟、稳重
计算机取证技术期末考试
一、选择题(每小题2分,共20分) 1、以下有关EasyRecovery的说法不正确的是() A. EasyRecovery在恢复数据时并不向硬盘写任何东西,而是在内存中镜像文件的FAT表和目录区。 B. 使用该软件时一定要注意将恢复出来的数据保存在其他的硬盘空间内。 C. 该软件能够对FAT和NTFS分区中的文件删除、格式化分区进行数据恢复。 D. 它主要是对数据进行硬件恢复。 2、以下不属于在数据恢复中需要使用的软件的是()。 A. PC3000 B. FinalData C. Encase D. FixRAR 3、以下不属于电子证据特点的是() A. 电子证据的脆弱性 B. 电子证据的隐蔽性 C. 电子证据的不可挽救性 D.电子证据对系统的依赖性 4、以下不属于计算机取证过程中分析过程的是() A. 协议分析 B. 镜像技术 C. 数据挖掘 D. 过程还原 5、以下属于计算机取证技术的发展趋势的是() A. 动态取证技术 B. 计算机取证挖掘算法和柔性挖掘技术 C. 取证工具和过程的标准化 D. 以上都是 6、以下关于硬盘的逻辑结构说法不正确的是() A. 每个盘片有两个面,这两个面都是用来存储数据的。 B. 随着读写磁头沿着盘片半径方向上下移动,每个盘片被划分成若干个同心圆磁道。 C. 磁道被划分成若干个段,每个段称为一个扇区。扇区的编号是按0,1,……顺序进行的。 D. 硬盘柱面、磁道、扇区的划分表面上是看不到任何痕迹的。 7、以下不属于文件系统的是()。 A. LINUX B.NTFS C. FAT32 D.EXT2 8、以下不属于数据分析技术的是()。 A. 对已删除文件的恢复、重建技术 B. 关键字搜索技术 C. 日志分析 D. 特殊类型文件分析 9、以下()命令可以用来测试本地主机的网络连接是否通畅。 A. traceroute B. ping C. ipconfig D. pslist 10、在大多数黑客案件中,嗅探工具常被用来捕捉通过网络的流量以重建诸如上网和访问网络文件等功能,以下()是这类工具。 A. FTK B. sniffer pro C. Quick View Plus D.NTI-DOC 二、填空题(每空2分,共40分) 1、当执行删除文件操作时,系统做了两方面的工作:一是将目录区中该文件的第一个字符改为“E6H”来表示该文件已经被删除;二是将文件所占的文件簇在()中对应表项值全部置“0”。文件分配表 2、计算机对硬盘的读写是以()为基本单位的;()是数据存储和磁盘管理的最基本单位。扇区、簇 3、硬盘上的数据按照其不同的特点和作用大致可分为5部分:主引导扇区、操作系统引导扇区、文件分配表、目录区和数据区。其中()包括硬盘主引导记录MBR和硬盘分区表DPT;将()中起始单元的和FAT表结合分析可以知道文件在硬盘中的具体位置和大小。主引导扇区、目录区 4、操作系统启动分为5个阶段:预引导阶段、引导阶段、加载内核阶段、初始化内核阶段和登录。其中()阶段彩色的Windows XP的logo以及进度条显示在屏幕中央。初始化内
计算机取证分析
计算机取证分析 内部编号:(YUUT-TBBY-MMUT-URRUY-UOOY-DBUYI-0128)
摘要 信息技术的不断发展给人们的生活带来了巨大的改变,网络已经越来越渗透到人们的现实生活与工作当中。然而,网络在为人民生活和工作带来便利的同时,也引发了无数网络犯罪。 计算机静态取证便是针对网络犯罪而出现的一种电子取证技术,而随着网络犯罪形式和手段的千变万化,计算机静态取证已不能满足打击网络犯罪的需求, 为适应信息化发展的要求,建立安全网络环境和严厉打击网络犯罪行为势在必行,本论文针对计算机动态取证技术进行分析,主要浅谈电子动态取证采集系统的实现、网络证据收集和网络数据分析等几个方面。通过对计算机取证基本概念、特点和技术的基础研究,对计算机动态取证进行分析。 关键词:电子取证动态取证动态电子证据采集网络数据协议 目录
一、概述 (一)、研究背景 目前,人类社会已经迈入了网络时代,计算机与互联网已经与老百姓的日常工作、学习与工作息息相关,社会信息化对政治、经济、文化和科技等各项社会生活产生了深远的影响。然而,网络技术给人类社会带来有利影响的同时,也带来了负面的影响。 在国外,1988年11月美国国防部的军用九三级网络遭受莫里斯病毒袭击,致使美国Internet网络上6000多台计算机感染,直接经济损失9600万美元。2000年5月,“爱虫”病毒通过电子邮件传播,在世界各地迅速蔓延,造成全世界空前的计算机系统破坏。而在国内,人们利用计算机网络犯罪的案例也层出不穷。2002年,作案人吕薜文通过盗用他人账号,对中国公众多媒体通信网广州主机进行了攻击,并对其部分文件进行删除、修改、增加等一系列非法操作,造成严重后果。2008年4月,作案人赵哲窜至上海某证券攻击营业部,利用该营业部电脑安全防范上的漏洞,修改该营业部部分股票交易数据,致使股价短时间内剧烈震荡。 计算机以及其他信息设备越来越多的被运用到犯罪活动中,尽管随着入侵检测系统的广泛使用降低了非法使用计算机资源所带来的损失,但网络犯罪依然不可忽视。针对网络环境安全,本文旨在研究探讨网络开放环境下的电子证据的动态收集与分析。 (二)、国内外研究现状 目前,虽然我国各省市级公安机关有专门的部门处理计算机犯罪案例,然而在处理案件的技术上所用到的只是国外一些常见的取证工具,如今计算机犯罪手段变化多端,这样所获取的电子证据缺乏说服力,未能给破案带来实质性的帮助。而类似美国等发达国家地区,无论是在电子取证技术上、人们的意识形态和有关计算机证据的法律建设都在于我国之上,许多专门的计算机取证部门、实验室和公司开发了很多极其实用的取证产品。例如,计算机司法领域的行业领袖Logicube、突出的计算机取证服务提供商ICS、Vogon和Guidance等公司不断研发和推进它们的专业取证产品,对打击计算机犯罪提供了有效的工具。 因此,我国应该自主开发能够有效打击计算机及网络犯罪的专业电子产品,健全相关法律法规,以应对日益增加的犯罪活动,使得用户的权益不受侵犯。开展计算机取证技术的研究,无疑对我国的社会发展乃至整个世界的计算机科学发展都有着极其重要的意义。
计算机专业学生自我鉴定范文
计算机专业学生自我鉴定范文 自我鉴定是对自己的学习和工作生活等表现的评价,对自己的不足进行总结的,对过去的一种反思。下面,小编在这给大家带来计算机专业学生自我鉴定范文,欢迎大家借鉴参考! 计算机专业学生自我鉴定范文1 本人是一名,就读于第十职业中学,计算机应用专业。 光阴荏荏,短短三年的中专生活即将过去;在菁菁校园中,老师的教诲,同学的友爱以及各方面的熏陶,使我获得了许多知识,懂得了许多道理。 面对建设有中国特色的社会主义市场经济的浪潮,作为新世纪的中专生,为了更好地适应社会的需要,我在掌握好学校课程的前提下,充分利用课余时间,阅读了大量的课外读物,拓宽了自己的知识面。在校期间,自我鉴定网/ziwojianding/我一直致力于将自己培养成一专多能的复合型人才。平时学习勤奋刻苦,专业基础扎实,所修专业成绩优异,目前已通过了计算机应用基础、技能鉴定等。
通过专业课程的学习,我现已具有较强的图象处理能力与计算机软件应用能力。我深知未来是计算机网络时代。因此,我学了多种计算机软件应用与操作,如word、excel等办公软件,AutoCAD、Photoshop等图形设计软件,Internet Explorer、Outlook Express等上网工具,并能运用FrontPage制作网页、运用FoxPro 进行数据库应用。在计算机硬件方面,我熟悉其组成原理,能够熟练地进行计算机的组装,独立排除计算机的各种故障。 作为一名即将毕业的中专生,我深知三年的中专生活所奠定的只是走向社会的基础,在未来我将面对着及在的挑战。但我会以实力和热诚的心面对这些挑战,从中吸取经验,丰富自我,从而更好的实现人生价值。 计算机专业学生自我鉴定范文2 三年的计算机专业知识学习和丰富的课余社会实践经历,让我在计算机技术方面获益匪浅;我从坎坷曲折中一步步走过,脱离了幼稚、浮躁和不切实际,心理上更加成熟、坚定,专业功底更加扎实。 在这三年中,我掌握了大量专业理论和技术知识,同时使计算机水平、英语水平、普通话水平有了很大程度的提高;工作积极主动,能够独立工作、独立思考,勤奋诚实,具备团队协作精神,身体健康、精力充沛,可适应高强度工作。
计算机取证中的数据恢复技术综述
计算机取证中的数据恢复技术综述 摘要 传统数据恢复已经有很多成熟的技术,通过分析计算机取证中数据恢复技术与传统数据恢复的关系,我们证明了在计算机取证中应用数据恢复技术的可行性,实践也证明了其有效性和重要性。本文主要在介绍和分析磁盘在FAT32和NTFS两种不同文件系统的分区结构的前提下,在综述了各种计算机取证中基于FAT32和基于NTFS的数据恢复技术和原理、基于闪存的数据恢复技术、基于新型存储设备SSD固态盘的数据恢复技术。然后讨论了未来计算机取证中数据恢复技术的发展趋势和挑战,即文件碎片的重组和恢复和基于SSD的数据恢复。相比传统数据恢复,计算机取证中的数据恢复有其自己的特点和要求,最后本文从法律角度,总结了数据恢复技术在计算机取证中应用时所需要遵循的原则和流程规范。 关键字:计算机取证、数据恢复 Abstract Traditional data recovery has a lot of mature technologies, According to analysis the relationship between data recovery in computer forensics and traditional data recovery, feasibility of applying data recovery techniques to computer forensics has been proved,much practice also has proved its effectiveness and importance. This paper describes and analyzes the different disk partition structure respectively in the FAT32 and NTFS file systems, then reviews a variety of data recovery techniques and principles respectively based on FAT32 and NTFS, flash-based data recovery techniques, SSD-based data recovery techniques in computer forensics. Next we discuss the trends and challenges of data recovery technology in computer forensics in the future, namely restructuring and recovery of file fragmentation and SSD-based data recovery. Compared to traditional data recovery, data recovery in computer forensics has own characteristics and requirements, and finally from a legal point of view, this paper summed up the principles and process specifications that need to be followed when data recovery techniques are applied to computer forensics . Keywords: computer forensics, data recovery