計算機取證技術論文
計算機取證技術論文
計算機取證,是指對計算機入侵、破壞、欺詐、攻擊等犯罪行為,利用計算機軟硬件技術,按照符合法律規(guī)范的方式,進行識別、保存、分析和提交數(shù)字證據(jù)的過程。 下面是學習啦小編整理了計算機取證技術論文,有興趣的親可以來閱讀一下!
計算機取證技術論文篇一
計算機取證技術
中圖分類號:G64 文獻標識碼:A 文章編號:1008-925X(2011)05-0141-02摘要:本章概述了計算機取證技術,分別介紹了靜態(tài)取證和動態(tài)取證的定義、原則和模型,從而得出了動態(tài)計算機取證的幾個優(yōu)點。
關鍵詞:靜態(tài)取證 動態(tài)取證
1、計算機取證概述
1.1計算機取證的定義
計算機取證,是指對計算機入侵、破壞、欺詐、攻擊等犯罪行為,利用計算機軟硬件技術,按照符合法律規(guī)范的方式,進行識別、保存、分析和提交數(shù)字證據(jù)的過程。
1.2計算機取證的發(fā)展
計算機取證的發(fā)展可以劃分為奠基時期、初步發(fā)展時期和理論完善時期等3個階段。
始于1984年的奠基時期,計算機取證的基本思想、基本概念、基本標準及基本原則逐步建立。90年代中后期為計算機取證的初步發(fā)展期,在市場的強烈需求下,出現(xiàn)了一大批以Encase等工具為代表的計算機取證工具,使得計算機取證技術逐漸為人們所認識和接受。始于1999年的理論完善時期開始對計算機取證程序及取證標準等基本理論和基本問題進行進一步的研究。
1.3計算機取證的相關技術
計算機取證過程充滿了復雜性和多樣性,這使得相關技術也顯得復雜和多樣。依據(jù)計算機取證的過程,涉及到的相關技術大體如下:
(1)電子證據(jù)監(jiān)測技術電子數(shù)據(jù)的監(jiān)測技術就是要監(jiān)測各類系統(tǒng)設備以及存儲介質(zhì)中的電子數(shù)據(jù),分析是否存在可作為證據(jù)的電子數(shù)據(jù)。
(2)物理證據(jù)獲取技術它是全部取證工作的基礎,在獲取物理證據(jù)時最重要的工作是保證所保存的原始證據(jù)不受任何破壞。
(3)電子證據(jù)收集技術電子數(shù)據(jù)收集技術是指遵照授權的方法,使用授權的軟硬件設備,將已收集的數(shù)據(jù)進行保全,并對數(shù)據(jù)進行一些預處理,然后完整安全的將數(shù)據(jù)從目標機器轉(zhuǎn)移到取證設備上。
(4)電子證據(jù)保存技術在取證過程中,應對電子證據(jù)及整套的取證機制進行保護。只有這樣,才能保證電子證據(jù)的真實性、完整性和安全性。
(5)電子證據(jù)處理技術電子證據(jù)處理指對已收集的電子數(shù)據(jù)證據(jù)進行過濾、模式匹配、隱藏數(shù)據(jù)挖掘等的預處理工作。
(6)電子證據(jù)提交技術依據(jù)法律程序,以法庭可接受的證據(jù)形式提交電子證據(jù)及相應的文檔說明。
綜上所述,計算機取證技術是由多種科技范疇組合而成的邊緣科學。
2、靜態(tài)計算機取證技術
2.1取證的基本原則
根據(jù)電子證據(jù)易破壞性的特點,確保電子證據(jù)可信、準確、完整并符合相關的法律法規(guī),計算機取證主要遵循以下幾點原則:
(1)盡早搜集電子證據(jù),并保證其沒有受到任何破壞:
(2)必須確保“證據(jù)鏈”的完整性,即在證據(jù)被正式提交時,必須能夠說明在證據(jù)從最初的獲取狀態(tài)到在法庭上出現(xiàn)狀態(tài)之間的任何變化:
(3)整個檢查、取證過程必須是受到監(jiān)督的。
2.2取證的步驟
一般來說,為確保獲取有效的法律證據(jù),并保證其安全性和可靠性,計算機取證一般應包括保護目標系統(tǒng)、電子證據(jù)確定、收集、保護、分析和歸檔等六個步驟。
(1)保護目標計算機系統(tǒng)
是凍結計算機系統(tǒng),避免發(fā)生任何的更改系統(tǒng)設置、硬件損壞、數(shù)據(jù)破壞或病毒感染的情況。
(2)電子證據(jù)的確定
對于計算機取證來說,需從存儲在大容量介質(zhì)的海量數(shù)據(jù)中區(qū)分哪些是電子證據(jù),以便確定那些由犯罪者留下的活動記錄作為主要的電子證據(jù),并確定這些記錄存在哪里、是怎樣存儲的。
(3)電子證據(jù)的收集
取證人員在計算機犯罪現(xiàn)場收集電子證據(jù)的工作包括收集系統(tǒng)的硬件配置信息和網(wǎng)絡拓撲結構,備份或打印系統(tǒng)原始數(shù)據(jù),以及收集關鍵的證據(jù)數(shù)據(jù)到取證設備。
(4)電子證據(jù)的保護
采取有效措施保護電子證據(jù)的完整性和真實性,包括用適當?shù)膬Υ娼橘|(zhì)進行原始備份:對存放在取證服務器上的電子證據(jù)采用加密、物理隔離、建立安全監(jiān)控系統(tǒng)實時監(jiān)控取證系統(tǒng)的運行狀態(tài)等安全措施進行保護。
(5)電子證據(jù)的分析
對電子證據(jù)分析是對文件屬性、文件的數(shù)字摘要和日志進行分析:分析操作系統(tǒng)交換文件、文件碎片和未分配空間中的數(shù)據(jù):對電子證據(jù)做一些智能相關性的分析,即發(fā)掘同一事件的不同證據(jù)問的聯(lián)系:完成電子證據(jù)的分析后給出專家證明。
(6)歸檔
對涉及計算機犯罪的日期和時間、硬盤分區(qū)情況、操作系統(tǒng)和版本、運行取證時數(shù)據(jù)和操作系統(tǒng)的完整性、計算機病毒評估情況、文件種類、軟件許可證以及取證專家對電子證據(jù)的分析結果和評估報告等進行歸檔處理,形成能提供給法庭的電子證據(jù)。
2.3取證的模型
靜態(tài)取證系統(tǒng)按操作過程分為兩個步驟:現(xiàn)場數(shù)據(jù)的分析和數(shù)據(jù)采集:進行數(shù)據(jù)集中綜合分析。一種較好的方法是現(xiàn)場對目標主機內(nèi)存的數(shù)據(jù)進行分析,根據(jù)惡意代碼的特點,集中分析一個進程空間的某一段數(shù)據(jù),分析的結果以文檔或報表等形式提交。
3、動態(tài)計算機取證技術
計算機動態(tài)取證是將取證技術結合到防火墻、入侵檢測中,對所有可能的計算機犯罪行為進行實時數(shù)據(jù)獲取和分析,智能分析入侵者的企圖,采取措施切斷鏈接或誘敵深入,在確保系統(tǒng)安全的情況下獲取最大量的證據(jù),并將證據(jù)鑒定、保全、提交的過程。
3.1取證的基本原則
動態(tài)計算機取證對時間上要求非常嚴格,一般而言,其證據(jù)的提取基本上與入侵檢測同時進行,時間上相差很小。
3.2取證的步驟
動態(tài)計算機取證是在進行網(wǎng)絡入侵檢測的同時進行證據(jù)的提取,所以其進行取證的步驟為:
(1)證據(jù)的獲取
證據(jù)的提取是發(fā)生在入侵檢測的同時,一旦網(wǎng)絡入侵被檢測系統(tǒng)發(fā)現(xiàn),立即啟動取證系統(tǒng)進行證據(jù)的提取工作。
(2)證據(jù)的轉(zhuǎn)移
這里的證據(jù)轉(zhuǎn)移是指將從入侵主機(目標主機)提取的證據(jù)安全轉(zhuǎn)移到證據(jù)服務器中的過程。
(3)證據(jù)的存檔
證據(jù)的存檔指的是證據(jù)在證據(jù)服務器中的保存。被提取的證據(jù)須以一定的格式保存在證據(jù)服務器中,證據(jù)服務器與局域網(wǎng)內(nèi)的主機是通過安全傳輸方式進行連接的,而且僅響應這些主機的請求。
(4)證據(jù)的調(diào)查分析
進行司法調(diào)查時,從證據(jù)服務器中查看目標主機上提取的相關證據(jù),進行有關調(diào)查分析。
(5)證據(jù)的呈供
動態(tài)計算機取證技術中的證據(jù)呈供與其在靜態(tài)取證技術中的過程是基本一致的,也是將所有的調(diào)查結果與相應的證據(jù)上報法庭,這一階段應依據(jù)政策法規(guī)行事,對不同的機構采取不同的方式。
3.3取證的模型
在動態(tài)取證中,通過實時監(jiān)控攻擊發(fā)生,一方面可以進行實時同步取證,對入侵做詳細記錄。另一方面激活響應系統(tǒng),根據(jù)不同的攻擊,采取不同的措施。這樣一方面使取證更具有實時性和連續(xù)性,其證據(jù)更具有法律效力;另一方面,利用響應系統(tǒng)可以將系統(tǒng)的損失降為最小。
一般的網(wǎng)絡攻擊都要遵循同一種行為模式,即嗅探、入侵、破壞和掩蓋入侵足跡等幾個攻擊階段。對每一個不同的階段,網(wǎng)絡入侵取證可以采用不同的取證方法,并執(zhí)行不同的響應措施。
4、結束語
傳統(tǒng)的取證工具大部分是靜態(tài)取證,即事件發(fā)生后對目標系統(tǒng)的靜態(tài)取證。隨著計算機入侵攻擊技術的不斷發(fā)展,這種事后靜態(tài)取證的方法已經(jīng)不能滿足要求,需要對其進行改進,因此提出了動態(tài)取證。
點擊下頁還有更多>>>計算機取證技術論文