计算机取证实验
实验一文件恢复FAT
在我的U盘新建一个图片imag0326.jpg,然后删除。
打开winhex,打开U盘根目录,找到文件imag0326.jpg,找到文件开头地址和结束地址。
找到文件开头地址
用计算器算出文件偏移地址,输入偏移地址,找到文件尾地址。
恢复文件。
回复出的文件。
实验结论
这次试验,我学会了用winhex恢复文件,但是当文件太大或U盘中文件太多时,恢复数据时可能会遇到一些意外的情况,导致不能恢复文件。
实验二内存取证
打开qq,输入一段聊天内容,发送。
打开winhex,打开内存。
找到qq相关内容,找到聊天内容所在区域。
恢复文件。
实验三IE取证用IE分析工具分析电脑中的IE浏览器的一些信息。
Encase,FTK几种计算机取证工具的比较
數位鑑識工具之比較 --以Encase 5.0、FTK 1.6及Helix 1.8工具鑑識職業駭客專門替人植入木馬破解密碼入侵案件為例 林宜隆1、歐啟銘2 1中央警察大學資訊管理學系 教授 2中央警察大學資訊管理學系 研究生 摘 要 網際網路的迅速發展之下,為我們帶來了許多便利,許多生活上所需要的東西都可以從網路上取得,例如:網路購物、網路轉帳等…但隨著這些便利的網路應用,也使得一些人利用這些便利做一些非法的應用。 許多案例是員工監守自盜,將客戶的個人資料賣給詐騙集團,也有些因為公司或機關保護客戶個人資料不夠周全,讓駭客透過網路或是其他方式,竊取客戶個人資料。 被駭客入侵後,如何取得駭客再受害者電腦做了什麼事,以及駭客從何而來,並且將這些證據可以作為法庭上證據,證明自己被攻擊,以及透過這些證據抓到攻擊者,也是非常重要的。 本研究採用國內、外執法機關使用的Encas e、FTK及Helix,作為研究的主要鑑識工具,並比較相關數位鑑識工具,使用框架理論分析真實案例,透過案例驗證數位證據處理原則及工具的完整性、一致性、正確性。 關鍵詞:網路犯罪、數位鑑識、駭客入侵
A comparative study on cyber Forensic tools - with Encase 5.0, FTK1.6 and Helix 1.8 tool Forensic professional hacker plant for people into trojan horse and explain password invade the case for the example Lin I-Long 1、Ou Chi Ming2* 1,2 Department of Information Management Center Police University ABSTRACT The constant development of the computers and the internet has resulted in more and more real life uses and applications. Examples are embanks, network auctions, web-cams and the internet phone. However, many internet crimes and problems also spawned along the side. One of the most common cases are the employees themselves embezzle its own company's personal information and to sell them to a fraud organization. In other cases, some companies or an organization simply doesn’t have the technical capability to protect their client's information away from the hackers. It is crucial to keep detailed information on the possible origin of the hacker and the specific damages the hacker had caused. These will become extremely vital evidences on the court. They may also be used to help arrest the attacker. The research use the cyber forensic tools which the most bureau of investigation use. We focus on the cyber forensic tools Encas e、FT K、Helix and compare them . We identify the completeness, integrity and correctness of tools and procedure by case. Keywords:cybercrime、cyber forensic、Trojan Horse
计算机取证技术实验报告
中南大学 计算机取证技术 实验报告 学生姓名 学院信息科学与工程学院 专业班级 完成时间
目录 1. 实验一事发现场收集易失性数据 (3) 1.1 实验目的 (3) 1.2 实验环境和设备 (3) 1.3 实验内容和步骤 (3) 2. 实验二磁盘数据映像备份 (8) 2.1 实验目的 (8) 2.2 实验环境和设备 (8) 2.3 实验内容和步骤 (9) 3. 实验三恢复已被删除的数据 (16) 3.1 实验目的 (16) 3.2 实验环境和设备 (16) 3.3 实验内容和步骤 (16) 4. 实验四进行网络监视和流量分析 (20) 4.1 实验目的 (20) 4.2 实验环境和设备 (20) 4.3 实验内容和步骤 (20) 5. 实验五分析Windows系统中隐藏的文件和Cache信息 (23) 5.1 实验目的 (23) 5.2 实验环境和设备 (24) 5.3 实验内容和步骤 (24) 6. 实验七数据解密 (28) 6.1 实验目的 (28) 6.2 实验环境和设备 (29) 6.3 实验内容和步骤 (29) 7.实验总结 (32)
计算机取证技术 1.实验一事发现场收集易失性数据 1.1 实验目的 1.会创建应急工具箱,并生成工具箱校验和; 2.能对突发事件进行初步调查,做出适当的响应; 3.能在最低限度地改变系统状态的情况下收集易失性数据。 1.2 实验环境和设备 1.Windows XP 或 Windows 2000 Professional 操作系统; 2.网络运行良好; 3.一张可用的软盘(或U盘)和PsTools工具包。 1.3 实验内容和步骤 1.创建应急工作盘,用命令md5sum创建工具盘上所有命令的校验和,生成文本文件commandsums.txt:
计算机取证简答题综合题
三、简答题 1.在计算机取证的过程中,不管发生了什么紧急情况,调查者都必须遵循的原则是什么答:①不要改变原始记录 ②不要在作为证据的计算机上执行无关的程序 ③不要给犯罪者销毁证据的机会 ④详细记录所有的取证活动 ⑤妥善保存取得的物证 2.当Windows系统受到入侵攻击,而需要对系统进行取证分析的操作会引起易失性数据。主要的易失性数据包括哪些 答:①系统日期和时间②当前运行的活动进程 ③当前的网络连接④当前打开的端口 ⑤当前打开的套接字上的应用程序⑥当前登录用户 系统中初始响应指的是什么现场数据收集的主要步骤包括哪些 答:1.初始响应指的是收集受害者机器上的易失性数据, 并据此进行取证分析的过程 2.现场数据收集包括一下3步: ①打开一个可信的命令解释程序 ②数据收集的准备工作 ③开始收集易失性数据 4.描述你知道的证据获取技术包括哪些 答:①对计算机系统和文件的安全获取技术; ②避免对原始介质进行任何破坏和干扰; ③对数据和软件的安全搜集技术; ④对磁盘或其它存储介质的安全无损伤备份技术; ⑤对已删除文件的恢复、重建技术; ⑥对磁盘空间、未分配空间和自由空间中包含的信息的发掘技术; ⑦对交换文件、缓存文件、临时文件中包含的信息的复原技术; ⑧计算机在某一特定时刻活动内存中的数据的搜集技术; ⑨网络流动数据的获取技术等 5.基本过程模型有哪些步骤 答:①保证安全并进行隔离; ②对现场信息进行记录; ③全面查找证据; ④对证据进行提取和打包; ⑤维护证据监督链 6. 电子证据与传统证据的区别有哪些 答:①计算机数据无时无刻不在改变; ②计算机数据不是肉眼直接可见的,必须借助适当的工具; ③搜集计算机数据的过程,可能会对原始数据造成很严重的修改, 因为打开文件、打印文件等一般都不是原子操作; ④电子证据问题是由于技术发展引起的, 因为计算机和电信技术的发展非常迅猛, 所以取证步骤和程序也必须不断调整以适应技术的进步。
计算机取证关键技术分析
计算机取证关键技术分析 金波,陶明明 公安部第三研究所上海200035 上海金诺网络安全技术发展股份有限公司上海 200122 摘要: 电子证据是一种新的证据类型,为提高电子证据的证据力,本文分析了电子取证的取证程序与取证的关键技术,提出了取证的一般性原则、数据采集方法、取证的设备和装置要求。 关键词: 计算机取证, 电子证据, Analysis for Key Technology of Computer Forensic Jin Bo, Tao Mingming The Third Research Institute of Ministry of Public Security, 200035 Shanghai Kingnet Security Inc., 200122 Shanghai Abstract:. Electronic evidence is a sort of new style evidence. To improve the probative value of electronic evidence, the paper analysis computer forensic process and key technology, provided the rule of computer forensic, data acquire method and the requirement of forensic device. Keywords: Computer Forensic, Electronic Evidence
1概述 随着计算机和互联网络技术的迅速发展,电子商务、网络教育、各类网络服务和电子政务在经济社会的人际交往、经营活动中被大量应用。随之,各类经济纠纷、民事纠纷和刑事案件也会时有出现。判定或处置各类纠纷和刑事案件过程中,电子文挡已经成为重要证据之一。 许多计算机化的产品中都会存有电子证据,例如:移动电话、PDA、路由器等,也有许多形式的存储介质,包括:硬盘、光盘、U盘等。另外,网线、电缆甚至空气也能携带数字信息,通过适当的设备,就能将这些数字信息提取出来,以备使用。本文以计算机证据的重要载体—硬盘为例,研究分析计算机取证中的关键技术要求,包括:取证的一般性原则、数据采集方法、取证的设备和装置要求。 2取证程序 电子证据处理总共分3个阶段:证据获取、证据分析和证据表现[1]。 证据获取阶段的工作是固定证据。电子证据容易修改,一旦决定需要获取电子证据,应该首先进行证据固定,防止有用证据的丢失。在本阶段要求将电子证据的状态固定起来,使之在后续的分析、陈述过程中不会改变。并能够在法庭展示证据固定的有效性,比如展示原始证据和固定后证据的Hash校验值。 证据分析阶段的工作是分析证据与案件的关联性。电子证据包含的数据量往往很大,而且数据类型往往杂乱无章,收集的所有证据需要进行提取、整理和筛选后才能被使用。在本阶段要求能够对证据进行全面分析,并在全面分析的基础上能够进行数据挖掘和整合,使之清晰呈现案情相关信息。 证据表现阶段要就电子证据与案件的关联性进行陈述。在此阶段要求能够证实电子证据取得的途径、分析过程,并合理引用电子证据分析结果对案情进行陈述。 3证据获取 当采集电子证据时,应将注意力放在计算机内容而不是硬件上。当从计算机中采集数据时有两种选择,一种是采集所需要的数据,另一种是采集所有的数据。采集所需要的数据有遗失线索和损害证据的风险,因此一般情况下,取证人员将从涉案的计算机硬盘中完整采集
计算机取证
计算机取证概述 一、背景 计算机和网络在社会、政治、经济、文化、军事等领域的应用越来越普遍,与计算机有关的犯罪也越来越多。要打击并遏制犯罪,执法机关必须依照法律的要求获取证据,特别是法庭依据合法的证据来对犯罪事实的认定。很多犯罪的证据与计算机技术相关,计算机取证就是为打击与计算机有关的犯罪提供证据的科学方法和手段。 计算机取证的目的就是要通过分析计算机和网络活动,从而获得与犯罪有关人员的行为。计算机在相关的犯罪案例中可以为被入侵的目标、作案的工具和犯罪信息的存储等角色。无论作为那种角色,在计算机中都会留下大量与犯罪有关的数据,进而依据有关科学与技术原理和方法找到证明某个事实的证据。 由于计算机技术应用的深入,计算机取证逐步发展为数字取证。 (一)数字取证的定义 数字取证是从计算机取证逐步发展而来。 Lee Garber在IEEE Security发表的文章中认为,计算机取证就是分析硬盘、光盘、软盘、zip盘、Jazz盘、内存缓冲以及其他存储形式的存储介质以发现犯罪证据的过
程。 计算机取证资深专家Judd Robbins给出如下定义,计算机取证是将计算机调查和分析技术应用于对潜在的、有法律效力的证据的确定与获取。 计算机紧急事件响应组CERT和取证咨询公司NTI进一步扩展了该定义,计算机取证包括了对以磁介质编码信息方式存储的计算机证据的保护、确认、提取和归档。 SANS公司认为,计算机取证是使用软件和工具,按照一些预定的程序,全面地检查计算机系统,以提取和保护有关计算机犯罪的证据。 我国的陈龙等人认为,计算机取证是运用计算机及其相关科学和技术的原理和方法获取与计算机相关证据以证明某个客观事实的过程。它包括计算机证据的确定、收集、保护、分析、归档以及法庭出示。 (二)计算机司法鉴定的定义 司法鉴定是鉴定人运用科学技术或专门知识对涉及诉讼的专门性问题进行检验、鉴别和判断并提供鉴定结论的活动。司法鉴定是鉴定人向委托人提供鉴定结论的一种服务。计算机司法鉴定的检验、鉴别和判断等活动是计算机取证的一部分,而计算机取证的概念要丰富,除计算机司法鉴定的内容外,还要包括对犯罪现场的勘查,如证据的发现、提取、保存、运输等。
国内外计算机取证设备对比与分析
国内外计算机取证设备对比与分析 作者简介: 王玉福(1974 年), 男, 山东省平度市人, 大学本科, 主要研究领域为计算机取证软硬件设备; 摘要: 对电子证据的获取、分析和发现是打击各种犯罪行为的一种全新手段。随着国内涉及计算机取证的案件不断增多,法律部门越来越需要精确、高速、多功能、智能化、适应于不同场合的专业计算机取证设备来武装自己。多年来,国外科研机构、院校、军警部门一直在努力加强计算机取证技术的研究,研制开发了各种各样的软硬件产品;国内科研机构也注意加强年来也出现一些专业的计算机取证产品。如何充分地利用这些已有的计算机取证工具,提高国内法律部门的计算机取证水平,有效地打击犯罪行为具有重要的意义。本文通过对比国内外各种计算机取证工具的特点,分析发现不同取证工具的使用优势,便于同行对不同取证设备的认识。 关键词: * 计算机取证; 设备评测* 硬盘作为计算机最主要的信息存储介质,是计算机取证的重要获取内容,也是目前各种计算机取证工具的主要方向。目前国内外市场上,用于硬盘拷贝、数据获取的专业产品较多:有为司法需要而特殊设计的MD5 、SF-5000 、SOLO II 硬盘拷贝机,有适合IT 业硬盘复制需要的SONIX 、Magic JumBO DD-212 、Solitair Turbo 、Echo 硬盘拷贝机;有以软件方式实现硬盘数据全面获取的取证分析软件,如FTK 、Encase 、Paraben's Forensic Replicator ;有综合软件获取和硬拷贝方式的取证勘察箱,如Image MASSter Road MASSter 、“天宇”移动介质取证箱、“网警”计算机犯罪取证勘察箱;此外,还有通过USB 接口、1394 接口、PCMCIA 、并口等方式的硬盘获取设备及附件,如LinkMasster II 、CloneCard 、USB WriteProtect 、Desktop WriteProtect 、“天宇”全能拷贝王等等。 在上述众多的计算机取证产品中,每一种产品都有其自身的特点和可利用的优势。计算机取证人员可以根据不同的工作需要和工作环境选用不同的取证工具。而为了实现最佳的取证效果,应当充分挖掘各种产品的功能,合理组合各种取证工具,形成一套设备精简、功能强大的专业计算机取证勘查工具集合。本文就目前部分国内外计算机硬盘取证专业设备的性能特点进行介绍。 ?手持式硬盘取证设备 手持式硬盘取证设备的主要特点是体积小、重量轻,便于携带和使用。在各种取证设备中,手持式硬盘取证设备拷贝速度最快,最高可达3.3GB/ 分钟。多数手持式拷贝机以硬盘直接拷贝为主要方法,要将疑犯计算机的硬盘取出,直接与拷贝机连接,实现对硬盘数据的全面复制。考虑到不同环境下的不同取证需要,新型拷贝机除硬盘直接拷贝方式外,还增加了USB 接口拷贝方式、SATA 硬盘拷贝、PCMCIA 接口拷贝,增强了拷贝机的功能和使用灵活性,促进了计算机取证技术的发展。正因为具有便于携带和拷贝功能强的特点,手持式拷贝机成为司法取证的首选设备。 国际市场上手持式硬盘拷贝机大致可分为两代产品。以SF-5000 、SOLO II 、SolitareTurbo 为代表的第一代拷贝机,拷贝速度最高可达 1.8GB/ 分钟。以Forensic MD5 、Sonix 、
计算机取证技术期末考试
一、选择题(每小题2分,共20分) 1、以下有关EasyRecovery的说法不正确的是() A. EasyRecovery在恢复数据时并不向硬盘写任何东西,而是在内存中镜像文件的FAT表和目录区。 B. 使用该软件时一定要注意将恢复出来的数据保存在其他的硬盘空间内。 C. 该软件能够对FAT和NTFS分区中的文件删除、格式化分区进行数据恢复。 D. 它主要是对数据进行硬件恢复。 2、以下不属于在数据恢复中需要使用的软件的是()。 A. PC3000 B. FinalData C. Encase D. FixRAR 3、以下不属于电子证据特点的是() A. 电子证据的脆弱性 B. 电子证据的隐蔽性 C. 电子证据的不可挽救性 D.电子证据对系统的依赖性 4、以下不属于计算机取证过程中分析过程的是() A. 协议分析 B. 镜像技术 C. 数据挖掘 D. 过程还原 5、以下属于计算机取证技术的发展趋势的是() A. 动态取证技术 B. 计算机取证挖掘算法和柔性挖掘技术 C. 取证工具和过程的标准化 D. 以上都是 6、以下关于硬盘的逻辑结构说法不正确的是() A. 每个盘片有两个面,这两个面都是用来存储数据的。 B. 随着读写磁头沿着盘片半径方向上下移动,每个盘片被划分成若干个同心圆磁道。 C. 磁道被划分成若干个段,每个段称为一个扇区。扇区的编号是按0,1,……顺序进行的。 D. 硬盘柱面、磁道、扇区的划分表面上是看不到任何痕迹的。 7、以下不属于文件系统的是()。 A. LINUX B.NTFS C. FAT32 D.EXT2 8、以下不属于数据分析技术的是()。 A. 对已删除文件的恢复、重建技术 B. 关键字搜索技术 C. 日志分析 D. 特殊类型文件分析 9、以下()命令可以用来测试本地主机的网络连接是否通畅。 A. traceroute B. ping C. ipconfig D. pslist 10、在大多数黑客案件中,嗅探工具常被用来捕捉通过网络的流量以重建诸如上网和访问网络文件等功能,以下()是这类工具。 A. FTK B. sniffer pro C. Quick View Plus D.NTI-DOC 二、填空题(每空2分,共40分) 1、当执行删除文件操作时,系统做了两方面的工作:一是将目录区中该文件的第一个字符改为“E6H”来表示该文件已经被删除;二是将文件所占的文件簇在()中对应表项值全部置“0”。文件分配表 2、计算机对硬盘的读写是以()为基本单位的;()是数据存储和磁盘管理的最基本单位。扇区、簇 3、硬盘上的数据按照其不同的特点和作用大致可分为5部分:主引导扇区、操作系统引导扇区、文件分配表、目录区和数据区。其中()包括硬盘主引导记录MBR和硬盘分区表DPT;将()中起始单元的和FAT表结合分析可以知道文件在硬盘中的具体位置和大小。主引导扇区、目录区 4、操作系统启动分为5个阶段:预引导阶段、引导阶段、加载内核阶段、初始化内核阶段和登录。其中()阶段彩色的Windows XP的logo以及进度条显示在屏幕中央。初始化内
计算机取证分析
摘要 信息技术的不断发展给人们的生活带来了巨大的改变,网络已经越来越渗透到人们的现实生活与 工作当中。然而,网络在为人民生活和工作带来便利的同时,也引发了无数网络犯罪。 计算机静态取证便是针对网络犯罪而出现的一种电子取证技术,而随着网络犯罪形式和手段的千变万化,计算机静态取证已不能满足打击网络犯罪的需求, 为适应信息化发展的要求,建立安全网络环境和严厉打击网络犯罪行为势在必行,本论文针对计算机动态取证技术进行分析,主要浅谈电子动态取证采集系统的实现、网络证据收集和网络数据分析 等几个方面。通过对计算机取证基本概念、特点和技术的基础研究,对计算机动态取证进行分析。关键词:电子取证动态取证动态电子证据采集网络数据协议 目录
一、概述 (一)、研究背景 目前,人类社会已经迈入了网络时代,计算机与互联网已经与老百姓的日常工作、学习与工作息息相关,社会信息化对政治、经济、文化和科技等各项社会生活产生了深远的影响。然而,网络技术给人类社会带来有利影响的同时,也带来了负面的影响。 在国外,1988年11月美国国防部的军用九三级网络遭受莫里斯病毒袭击,致使美国Internet网络上6000多台计算机感染,直接经济损失9600万美元。2000年5月,“爱虫”病毒通过电子邮件传播,在世界各地迅速蔓延,造成全世界空前的计算机系统破坏。而在国内,人们利用计算机网络犯罪的案例也层出不穷。2002年,作案人吕薜文通过盗用他人账号,对中国公众多媒体通信网广州主机进行了攻击,并对其部分文件进行删除、修改、增加等一系列非法操作,造成严重后果。2008年4月,作案人赵哲窜至上海某证券攻击营业部,利用该营业部电脑安全防范上的漏洞,修改该营业部部分股票交易数据,致使股价短时间内剧烈震荡。 计算机以及其他信息设备越来越多的被运用到犯罪活动中,尽管随着入侵检测系统的广泛使用降低了非法使用计算机资源所带来的损失,但网络犯罪依然不可忽视。针对网络环境安全,本文旨在研究探讨网络开放环境下的电子证据的动态收集与分析。(二)、国内外研究现状 目前,虽然我国各省市级公安机关有专门的部门处理计算机犯罪案例,然而在处理案件的技术上所用到的只是国外一些常见的取证工具,如今计算机犯罪手段变化多端,这样所获取的电子证据缺乏说服力,未能给破案带来实质性的帮助。而类似美国等发达国家地区,无论是在电子取证技术上、人们的意识形态和有关计算机证据的法律建设都在于我国之上,许多专门的计算机取证部门、实验室和公司开发了很多极其实用的取证产品。例如,计算机司法领域的行业领袖Logicube、突出的计算机取证服务提供商ICS、Vogon和Guidance等公司不断研发和推进它们的专业取证产品,对打击计算机犯罪提供了有效的工具。 因此,我国应该自主开发能够有效打击计算机及网络犯罪的专业电子产品,健全相关法律法规,以应对日益增加的犯罪活动,使得用户的权益不受侵犯。开展计算机取证技术的研究,无疑对我国的社会发展乃至整个世界的计算机科学发展都有着极其重要的意义。 (三)、论文研究内容 与时俱进的时代性不仅体现在社会与经济的快速发展,同时体现于社会各个领域的全面进步,计算机取证已经成为当今社会不可置旁的话题,执法机关对计算机取证
计算机取证
计算机犯罪案件证据收集提取的注意事项 一、计算机犯罪的特点 近年来,计算机犯罪呈现出了一些特点,主要表现在以下几个方面: 1)高智商性:计算机是现代社会科学技术发展的产物,计算机犯罪则是一种高智商的犯罪,这种高智商体现在:①作案者多采用高科技犯罪手段。②犯罪分子犯罪前都经过了精心的策划和预谋。③犯罪主体都具有相当高的计算机知识,或者是计算机领域的拔尖人才,有一些还是从事计算机工作多年的骨干人员。 2)作案动机简单化:计算机犯罪中,大多数犯罪主体精心研制计算机病毒,破坏计算机信息系统,特别是计算机黑客,他们犯罪的目的很多时候并不是为了金钱,也不是为了权利,而是为了显示自己高超的计算机技术,他们认为这些病毒的传播就是他们成果的体现,通过这种方式来认可自己研究成果,其目的之简单有时令破案者都吃惊。 3)实施犯罪容易:只需要一根网线,就能够对整个世界实施犯罪。这反映了网络犯罪特别容易实施,很多犯罪活动在网吧中就可以进行,如此方便的实施手段给计算机网络犯罪创造了孳生的环境。从1996年以来,我国的计算机网络犯罪数量呈直线上升。自动化的病毒生产机和木马生成器大大降低了计算机犯罪的门槛,让许多未成年人也能够容易的实施计算机犯罪。 4)教强的隐蔽性:计算机犯罪分子作案大都比较隐蔽,这种隐蔽性不但体现在犯罪行为本身,还体现在犯罪结果上。计算机犯罪侵害的多是无形的目标,比如电子数据或信息,而这些东西一旦存入计算机,人的肉眼无法看到,况且这种犯罪一般很少留有痕迹,一般很难侦破。 5)巨大的危害性:计算机犯罪所造成的损失往往是巨大的,是其他犯罪所无法比拟的,2000年据美国“信息周研究社”发表的研究报告称,全球今年因电脑病毒造成的损失将高达150000亿美元。 二、计算机犯罪取证 光有法律并不能完全解决问题,计算机犯罪隐蔽性极强,可以足不出户而对千里之外的目标实施犯罪活动,甚至进行跨过犯罪。并且一般在实施犯罪活动前会先通过某个国家预先被“黑”掉的主机为跳板进行犯罪活动,这样更加增大破获犯罪活动的难度。因此破获计算机犯罪活动也是高智商的活动,其获取犯罪证据的方法也与普通证据收集的方法有所不同。 “计算机犯罪取证”(Cybercrime Computer Forensics)又称“数字取证”或“电子取证”,是指利用计算机软硬件技术,以符合法律规范的方式对计算机入侵、破坏、欺诈、攻击等犯罪行为进行证据获取、保存、分析和出示的过程。从技术方面看,计算机犯罪取证是一个对受侵计算机系统进行扫描和破解,对入侵事件进行重建的过程。它融合了计算机和刑侦两个专业领域的知识和经验。具体而言,是指把计算机看作犯罪现场,运用先进的辨析技术,对计算机犯罪行为进行解剖,搜寻罪犯及其犯罪证据。 三、计算机犯罪取证的流程 计算机犯罪取证将计算机系统视为犯罪现场,运用先进的技术工具,按照规程全面检查计算机系统,提取、保护并分析与计算机犯罪相关的证据,以期据此发起诉讼。计算机犯罪取证工作主要围绕以下两个方面进行:证据的获取和证据的分析。本文着重介绍证据采集方面的技术方法、流程和原则。 1)准备工作:无论如何,准备的越充分,就越有可能顺利的完成调查工作,也越有可能
计算机取证分析
计算机取证分析 内部编号:(YUUT-TBBY-MMUT-URRUY-UOOY-DBUYI-0128)
摘要 信息技术的不断发展给人们的生活带来了巨大的改变,网络已经越来越渗透到人们的现实生活与工作当中。然而,网络在为人民生活和工作带来便利的同时,也引发了无数网络犯罪。 计算机静态取证便是针对网络犯罪而出现的一种电子取证技术,而随着网络犯罪形式和手段的千变万化,计算机静态取证已不能满足打击网络犯罪的需求, 为适应信息化发展的要求,建立安全网络环境和严厉打击网络犯罪行为势在必行,本论文针对计算机动态取证技术进行分析,主要浅谈电子动态取证采集系统的实现、网络证据收集和网络数据分析等几个方面。通过对计算机取证基本概念、特点和技术的基础研究,对计算机动态取证进行分析。 关键词:电子取证动态取证动态电子证据采集网络数据协议 目录
一、概述 (一)、研究背景 目前,人类社会已经迈入了网络时代,计算机与互联网已经与老百姓的日常工作、学习与工作息息相关,社会信息化对政治、经济、文化和科技等各项社会生活产生了深远的影响。然而,网络技术给人类社会带来有利影响的同时,也带来了负面的影响。 在国外,1988年11月美国国防部的军用九三级网络遭受莫里斯病毒袭击,致使美国Internet网络上6000多台计算机感染,直接经济损失9600万美元。2000年5月,“爱虫”病毒通过电子邮件传播,在世界各地迅速蔓延,造成全世界空前的计算机系统破坏。而在国内,人们利用计算机网络犯罪的案例也层出不穷。2002年,作案人吕薜文通过盗用他人账号,对中国公众多媒体通信网广州主机进行了攻击,并对其部分文件进行删除、修改、增加等一系列非法操作,造成严重后果。2008年4月,作案人赵哲窜至上海某证券攻击营业部,利用该营业部电脑安全防范上的漏洞,修改该营业部部分股票交易数据,致使股价短时间内剧烈震荡。 计算机以及其他信息设备越来越多的被运用到犯罪活动中,尽管随着入侵检测系统的广泛使用降低了非法使用计算机资源所带来的损失,但网络犯罪依然不可忽视。针对网络环境安全,本文旨在研究探讨网络开放环境下的电子证据的动态收集与分析。 (二)、国内外研究现状 目前,虽然我国各省市级公安机关有专门的部门处理计算机犯罪案例,然而在处理案件的技术上所用到的只是国外一些常见的取证工具,如今计算机犯罪手段变化多端,这样所获取的电子证据缺乏说服力,未能给破案带来实质性的帮助。而类似美国等发达国家地区,无论是在电子取证技术上、人们的意识形态和有关计算机证据的法律建设都在于我国之上,许多专门的计算机取证部门、实验室和公司开发了很多极其实用的取证产品。例如,计算机司法领域的行业领袖Logicube、突出的计算机取证服务提供商ICS、Vogon和Guidance等公司不断研发和推进它们的专业取证产品,对打击计算机犯罪提供了有效的工具。 因此,我国应该自主开发能够有效打击计算机及网络犯罪的专业电子产品,健全相关法律法规,以应对日益增加的犯罪活动,使得用户的权益不受侵犯。开展计算机取证技术的研究,无疑对我国的社会发展乃至整个世界的计算机科学发展都有着极其重要的意义。
计算机取证技术复习
计算机取证技术复习 一.填空题 1.计算机取证模型主要包 括:、、 、。 2.在证据收集的过程中必须收集的易失性证据主要 有:、、、、、。 3.目前的计算机反取证技术主要有:、。 4.在Windows工作模式下显示系统的基本信息,包 括:、、 及。 5.隐藏术通常通过两种方法对数据进行保 护:; 。 6.在MACtimes中的Mtime指;Atime 指; Ctime指。 7、防止密码破译的措施:;;。 8、目前主要数据分析技术具体包括: :;;; 。 9、安全管理主要包括三个方面:、、。 10、计算机信息系统的安全管理主要基于三个原 则:、、 。 11.系统信息安全包 括:;;; ;。 12.任何材料要成为证据,均需具备三性:; 和。 13. 计算机取证是指对能够为法庭接受的、足够可靠和有说服性的,存在于计算机和相关外设中的电子证据的、、和 的过程。 14.DES是对称密钥加密的算法, DES算法大致可以分成四个部 分:;;和; 15、目前,反取证技术分为三类:、、。 16、网络安全管理的隐患有:;; ;。 二.判断 1.取证的目的是为了据此找出入侵者(或入侵的机器),并解释入侵的过程。()
2.网络入侵取证系统中,日志文件是可以很轻易被人修改的,但是这种修改是很容易被发现的。() 3.硬盘由很多盘片组成,每个盘片被划分为若干个同心圆,称为磁道。() 4.硬盘在存储数据之前,一般需经过低级格式化,分区和高级格式化这三个步骤之后才能使用,其作用是在物理硬盘上建立一定的数据逻辑结构。() 5.初始响应在数据收集过程中,能将收集到的证据写回到被入侵机器的硬盘上。() 6.数据遭受物理损坏后,失效的数据彻底无法使用。() 7.数据备份是指将计算机硬盘上的原始数据复制到可移动媒体上,如磁带,光盘等。() 8.计算机反取证就是删除或者隐藏入侵证据使取证工作失效。() 9.用数字加密技术对数据进行保护主要有两种方式:保密和证明数据的完整性。() 10.Windows文件删除分为逻辑删除和物理删除两种。() 11.防火墙本身具有较强的抗攻击能力,它是提供信息安全服务,实现网络和信息安全的基础设施。() 12.安全机制分为两类,一类是与安全服务有关;另一类与管理功能有关。()13.数据流加密是指把数据划分为定长的数据块,再分别加密。数据块加密是指加密后的密文前部分,用来参与报文后面部分的加密。() 14.让一台计算机能辨别某个特定的文件系统的过程称为装载文件系统。() 三、简答题 1、在计算机取证的过程中,不管发生了什么紧急情况,调查者都必须遵循的原则是什 么? 2、当Windows系统受到入侵攻击,而需要对系统进行取证分析的操作会引起易失性数 据。主要的易失性数据包括哪些? 3.Windows系统中初始响应指的是什么?现场数据收集的主要步骤包括哪些? 4、描述你知道的证据获取技术包括哪些? 5、基本过程模型有哪些步骤? 6. 电子证据与传统证据的区别有哪些? 7. Windows系统取证方法的主要流程是什么? 9. 日志分析有哪些?包括什么内容? 10. Windows 2000/XP安全管理的常用方法有哪些?(至少写出6个) 四、综合题 1. Windows系统下取证方法的主要流程是什么?我们文件数据一般的隐藏术有哪些,谈谈你的看法? 2. 阐述事件响应过程模型执行步骤及其工作内容? 3.简述硬盘的结构与数据组织,写出一般文件的删除与恢复方法? 4. 在Windows系统下的文件删除与恢复的操作是什么? 5.计算机取证模型有哪些?分别阐述其特点?
电子取证技术的三大方向
电子取证技术的三大方向 计算机取证是对计算机犯罪证据的识别获取、传输、保存、分析和提交认证过程,实质是一个详细扫描计算机系统以及重建入侵事件的过程。 国内外计算机取证应用发展概况 现在美国至少有70%的法律部门拥有自己的计算机取证实验室,取证专家在实验室内分析从犯罪现场获取的计算机(和外设),并试图找出入侵行为。 在国内,公安部门打击计算机犯罪案件是近几年的事,有关计算机取证方面的研究和实践才刚起步。中科院主攻取证机的开发,浙江大学和复旦大学在研究取证技术、吉林大学在网络逆向追踪,电子科技大学在网络诱骗、北京航空航天大学在入侵诱骗模型等方面展开了研究工作。但还没有看到相关的阶段性成果报道。 计算机取证的局限性以及面临的问题 (1)目前开发的取证软件的功能主要集中在磁盘分析上,如磁盘映像拷贝,被删除数据恢复和查找等工具软件开发研制。其它取证工作依赖于取证专家人工进行,也造成了计算机取证等同于磁盘分析软件的错觉。 (2)现在计算机取证是一个新的研究领域,许多组织、公司都投入了大量人力进行研究。但没有统一标准和规范,软件的使用者很难对这些工具的有效性和可靠性进行比较。也没有任何机构对计算机取证和工作人员进行认证,使得取证权威性受到质疑。 计算机取证发展研究 计算机取证技术随着黑客技术提高而不断发展,为确保取证所需的有效法律证据,根据目前网络入侵和攻击手段以及未来黑客技术的发展趋势,以及计算机取证研究工作的不断深入和改善,计算机取证将向智能化、专业化和自动化方向发展 计算机取证的相关技术发展 从计算机取证的过程看,对于电子证据的识别获取可以加强动态取证技术研究,将计算机取证结合到入侵检测、防火墙、网络侦听等网络安全产品中进行动态取证技术研究;对于系统日志可采用第三方日志或对日志进行加密技术研究;对于电子证据的分析,是从海量数据中获取与计算机犯罪有关证据,需进行相关性分析技术研究,需要高效率的搜索算法、完整性检测算法优化、数据挖掘算法以及优化等方面的研究。 对入侵者要进行计算机犯罪取证学的入侵追踪技术研究,目前有基于主机追踪方法的Caller ID,基于网络追踪方法的IDIP、SWT产品。有学者针对网络层的追踪问题,提出基于聚类的流量压缩算法,研究基于概率的追踪算法优化研究,对于应用层根据信息论和编码理论,提出采用数字水印和对象标记的追踪算法和实现技术,很有借鉴意义。在调查被加密的可执行文件时,需要在计算机取证中针对入侵行为展开解密技术研究。 计算机取证的另一个迫切技术问题就是对取证模型的研究和实现,当前应该开始着手分析网络取证的详细需求,建立犯罪行为案例、入侵行为案例和电子证据特征的取证知识库,有学者提出采用XML和OEM数据模型、数据融合技术、取证知识库、专家推理机制和挖掘引擎的取证计算模型,并开始着手研究对此模型的评价机制。 计算机取证的标准化研究 计算机取证工具应用,公安执法机关还缺乏有效的工具,仅只利用国外一些常用的取证工具或者自身技术经验开发应用,在程序上还缺乏一套计算机取证的流程,提出的证据很容易遭到质疑。对计算机取证应该制定相关法律、技术标准,制度以及取证原则、流程、方法等,到目前为止,还没有专门的机构对计算机
计算机取证研究综述
Aug. 2005, Volume 2, No.8 (Serial No.9) 通讯和计算机 Journal of Communication and Computer, ISSN1548-7709, USA 1 计算机取证研究综述* 丁丽萍1, 王永吉 2 (1,2 中国科学院软件研究所互联网软件技术实验室,北京 100080; 1 北京人民警察学院公安科技教研部,北京 100029; 1 中国科学院研究生院,北京 100039) 摘 要:计算机取证是法学、刑事侦查学和计算机科学的交叉学科,对于计算机取证和电子证据的研究必须体现这一交叉学科的特点。本文总结了近年来国内外的研究情况,提出了今后的研究重点和方向。 关键词:计算机取证;研究;现状;挑战;方向 * 本文得到中国科学院百人计划资助项目,国家自然科学基金资助项目(No.60373053),中国科学院与英国皇家学会联合资助项目(No.20030389, No.20032006)和教育部留学回国人员科研启动基金资助项目(教外司留[2003]406号)资助。 1 丁丽萍(1965- ),女,山东青州人,博士生,副教授;研究方向:计算机取证学;E-mail: dingliping@https://www.wendangku.net/doc/78577878.html,. 2 王永吉(1962- ),男,辽宁盖州人,研究员,博士生导师,中科院2002年引进海外杰出人才“百人计划”入选者;研究方向:实时系统,网络优化,计算机取证学,智能软件工程,优化理论,机器人和控制理论等。 1. 引 言 1991年,在美国召开的国际计算机专家会议上首次提出了计算机取证(Computer Forensics )这一术语[1]。十几年来,随着计算机技术的发展,计算机取证学的研究不断深入,几乎每年都召开以计算机取证为主题的学术会议,例如,1993年、1995年、1996年和1997年分别在美国和澳大利亚、新西兰召开了以计算机取证为主题的国际会议。从总体上看,2000年之前的计算机取证研究主要侧重于取证工具的研究,2000年以后,开始了对计算机取证基础理论的研究。毕业于中国科学院软件所的孙波博士认为计算机取证的发展可以分为奠基时期、初步发展时期和理论完善时期三个阶段。他对这三个阶段的划分和分析也体现了前期的取证工具研究和近期的理论研究的特点。2001年6月在法国召开的第十三届全球FIRST (Forum of Incident Response and Security Teams )年会的主题就是入侵系统恢复和分析取证理论,2002年的美国夏威夷FIRST 年会提出了计算机取证协议和程序的标准化问题。我国的计算机取证研究无论是取证工具还是基础理论的研究都处于起步阶段。本文第二部分分析了计算机取证的基础理论的研究现状;第三部分探讨了计算机取证技术的研究情况;第四部分列举了目前的取证工具;第五部分对计算机取证法律法规进行了讨论;最后一部分提出了计算机取证面临的挑战和今后的发展方向。 2. 基础理论研究现状 目前,国内外对计算机取证技术的理论研究集中在对计算机取证的产生、发展、现状和未来的发展趋势预测等的研究,计算机取证的有关概念、特点、原则、标准、规范等的研究以及对各种现有技术在计算机取证中的应用的研究。理论研究从总体上看还处于起步阶段。 有关理论研究的资料在IOCE(International Organization on Computer Evidence, 国际计算机证据组织)的网站https://www.wendangku.net/doc/78577878.html,/上都可以查到。 2.1有关的概念和特点 对概念和特点的研究主要集中在电子证据的概念和特点、计算机取证的概念和特点上。 2.1.1电子证据的概念和特点 电子证据,即计算机证据。目前,对电子证据的定义很多,没有形成统一的定论。比较典型的有:文献[2]认为计算机证据是存储有电子数据的电、磁、光记录物,这些电子数据是在计算机系统运行
计算机取证技术综述
龙源期刊网 https://www.wendangku.net/doc/78577878.html, 计算机取证技术综述 作者:袁铠锋 来源:《科教导刊·电子版》2017年第14期 摘要随着计算机信息技术的不断发展与成熟,计算机网络逐渐成为了各行各业在开展工作时不可缺少的重要工具,各种依托计算机信息而实施的计算机网络犯罪现象也日益猖狂起来。本文围绕几种常见的计算机取证技术介绍、计算机取两个证技术的发展方向以及未来展望两个方面展开讨论,对计算机取证技术进行了综述,并提出了一些笔者自己的见解,希望能够对今后计算机取证技术的研究提供一些理论建议。 关键词计算机取证技术数据信息可靠性 中图分类号:TP309 文献标识码:A 1几种常见的计算机取证技术介绍 在美国地区,至少有百分之七十的法律部门都已经设置了专门的计算机取证实验室,取证专家在实验室内对各种从犯罪现场收集的数据信息进行分析,从中提取中与作案相关的信息。 由于取证时刻上具有一定的潜在属性,因此我们可将计算机取证分为两组不同的模式,分别为静态取证模式以及动态取证模式。其中,静态取证指的是对各种潜在证据进行提取,如存储在各种未运行状态媒介中的证据;而动态取证指的是对各种存储有网络以及运行媒介中的证据进行提取。由于网络数据以及计算机系统数据在属性上具有本质区别,因此人们在取证过程中使用的取证方式往往也会分为两种,分别为依托计算机系统的取证以及依托网络数据的取证。 1.1预备取证技术 一般情况下,计算机系统以及网络系统中存在的数据在使用后均会被删除,即使是各种潜在数据也可能面临被黑客删除的风险,所以说在事发后从受害者计算机中获得的数据并不一定真实可靠,这就使得事发前的预备取证能力越来越得到关注。预备取证的目标在于构建一个科学可靠的系统,对于各种可疑数据进行自动搜索、识别、汇集以及过滤,同时对于各种可靠数据进行自动存储、保留以及分析。预备取证系统的建立能够确保安全事件发生后的证据数量、真实度、可靠度同时实现最大化。 布拉德等学者针对企业构建预备取证技系统的基本原理进行了总结,具体如下:(1)小安全漏洞原理:一个极小的安全漏洞便可以导致系统的安全防护完全失效;(2)小用户世界原理:对于一些特殊的用户而言,个别的设备以及系统便可满足他们的使用需求;(3)安全策略行为违反递减原理:随着用户对于系统知识的不断了解以及掌握,各种完全违反行为的发生频率也逐渐增加。