计算机取证是一门新兴的技术学科,主要研究如何为获取和捕捉计算机犯罪电子证据提供有效的、完整的和安全的技术手段。新型计算机取证技术是传统计算机取证技术在新的取证环境下的发展和创新,包括新型计算机静态取证技术、新型计算机动态取证技术和新型计算机反取证反制技术。以下是我为大家精心准备的:计算机取证技术探讨相关论文。内容仅供参考,欢迎阅读!
计算机取证技术探讨全文如下:
摘要 :本章概述了计算机取证技术,分别介绍了静态取证和动态取证的定义、原则和模型,从而得出了动态计算机取证的几个优点。
关键词 :静态取证 动态取证
1、计算机取证概述
1.1计算机取证的定义
计算机取证,是指对计算机入侵、破坏、欺诈、攻击等犯罪行为,利用计算机软硬体技术,按照符合法律规范的方式,进行识别、储存、分析和提交数字证据的过程。
1.2计算机取证的发展
计算机取证的发展可以划分为奠基时期、初步发展时期和理论完善时期等3个阶段。
始于1984年的奠基时期,计算机取证的基本思想、基本概念、基本标准及基本原则逐步建立。90年代中后期为计算机取证的初步发展期,在市场的强烈需求下,出现了一大批以Encase等工具为代表的计算机取证工具,使得计算机取证技术逐渐为人们所认识和接受。始于1999年的理论完善时期开始对计算机取证程式及取证标准等基本理论和基本问题进行进一步的研究。
1.3计算机取证的相关技术
计算机取证过程充满了复杂性和多样性,这使得相关技术也显得复杂和多样。依据计算机取证的过程,涉及到的相关技术大体如下:
1电子证据监测技术电子资料的监测技术就是要监测各类系统装置以及储存介质中的电子资料,分析是否存在可作为证据的电子资料。
2物理证据获取技术它是全部取证工作的基础,在获取物理证据时最重要的工作是保证所储存的原始证据不受任何破坏。
3电子证据收集技术电子资料收集技术是指遵照授权的方法,使用授权的软硬体装置,将已收集的资料进行保全,并对资料进行一些预处理,然后完整安全的将资料从目标机器转移到取证装置上。
4电子证据储存技术在取证过程中,应对电子证据及整套的取证机制进行保护。只有这样,才能保证电子证据的真实性、完整性和安全性。
5电子证据处理技术电子证据处理指对已收集的电子资料证据进行过滤、模式匹配、隐藏资料探勘等的预处理工作。
6电子证据提交技术依据法律程式,以法庭可接受的证据形式提交电子证据及相应的文件说明。
综上所述,计算机取证技术是由多种科技范畴组合而成的边缘科学。
2、静态计算机取证技术
2.1取证的基本原则
根据电子证据易破坏性的特点,确保电子证据可信、准确、完整并符合相关的法律法规,计算机取证主要遵循以下几点原则:
1尽早蒐集电子证据,并保证其没有受到任何破坏:
2必须确保“证据链”的完整性,即在证据被正式提交时,必须能够说明在证据从最初的获取状态到在法庭上出现状态之间的任何变化:
3整个检查、取证过程必须是受到监督的。
2.2取证的步骤
一般来说,为确保获取有效的法律证据,并保证其安全性和可靠性,计算机取证一般应包括保护目标系统、电子证据确定、收集、保护、分析和归档等六个步骤。
1保护目标计算机系统
是冻结计算机系统,避免发生任何的更改系统设定、硬体损坏、资料破坏或病毒感染的情况。
2电子证据的确定
对于计算机取证来说,需从储存在大容量介质的海量资料中区分哪些是电子证据,以便确定那些由犯罪者留下的活动记录作为主要的电子证据,并确定这些记录存在哪里、是怎样储存的。
3电子证据的收集
取证人员在计算机犯罪现场收集电子证据的工作包括收集系统的硬体配置资讯和网路拓扑结构,备份或列印系统原始资料,以及收集关键的证据资料到取证装置。
4电子证据的保护
采取有效措施保护电子证据的完整性和真实性,包括用适当的储存介质进行原始备份:对存放在取证伺服器上的电子证据采用加密、物理隔离、建立安全监控系统实时监控取证系统的执行状态等安全措施进行保护。
5电子证据的分析
对电子证据分析是对档案属性、档案的数字摘要和日志进行分析:分析作业系统交换档案、档案碎片和未分配空间中的资料:对电子证据做一些智慧相关性的分析,即发掘同一事件的不同证据问的联络:完成电子证据的分析后给出专家证明。
6归档
对涉及计算机犯罪的日期和时间、硬碟分割槽情况、作业系统和版本、执行取证时资料和作业系统的完整性、计算机病毒评估情况、档案种类、软体许可证以及取证专家对电子证据的分析结果和评估报告等进行归档处理,形成能提供给法庭的电子证据。
2.3取证的模型
静态取证系统按操作过程分为两个步骤:现场资料的分析和资料采集:进行资料集中综合分析。一种较好的方法是现场对目标主机记忆体的资料进行分析,根据恶意程式码的特点,集中分析一个程序空间的某一段资料,分析的结果以文件或报表等形式提交。
3、动态计算机取证技术
计算机动态取证是将取证技术结合到防火墙、入侵检测中,对所有可能的计算机犯罪行为进行实时资料获取和分析,智慧分析入侵者的企图,采取措施切断连结或诱敌深入,在确保系统安全的情况下获取最大量的证据,并将证据鉴定、保全、提交的过程。
3.1取证的基本原则
动态计算机取证对时间上要求非常严格,一般而言,其证据的提取基本上与入侵检测同时进行,时间上相差很小。
3.2取证的步骤
动态计算机取证是在进行网路入侵检测的同时进行证据的提取,所以其进行取证的步骤为:
1证据的获取
证据的提取是发生在入侵检测的同时,一旦网路入侵被检测系统发现,立即启动取证系统进行证据的提取工作。
2证据的转移
这里的证据转移是指将从入侵主机目标主机提取的证据安全转移到证据伺服器中的过程。
3证据的存档
证据的存档指的是证据在证据伺服器中的储存。被提取的证据须以一定的格式储存在证据伺服器中,证据伺服器与区域网内的主机是通过安全传输方式进行连线的,而且仅响应这些主机的请求。
4证据的调查分析
进行司法调查时,从证据伺服器中检视目标主机上提取的相关证据,进行有关调查分析。
5证据的呈供
动态计算机取证技术中的证据呈供与其在静态取证技术中的过程是基本一致的,也是将所有的调查结果与相应的证据上报法庭,这一阶段应依据政策法规行事,对不同的机构采取不同的方式。
3.3取证的模型
在动态取证中,通过实时监控攻击发生,一方面可以进行实时同步取证,对入侵做详细记录。另一方面启用响应系统,根据不同的攻击,采取不同的措施。这样一方面使取证更具有实时性和连续性,其证据更具有法律效力;另一方面,利用响应系统可以将系统的损失降为最小。
一般的网路攻击都要遵循同一种行为模式,即嗅探、入侵、破坏和掩盖入侵足迹等几个攻击阶段。对每一个不同的阶段,网路入侵取证可以采用不同的取证方法,并执行不同的响应措施。
4、结束语
传统的取证工具大部分是静态取证,即事件发生后对目标系统的静态取证。随着计算机入侵攻击技术的不断发展,这种事后静态取证的方法已经不能满足要求,需要对其进行改进,因此提出了动态取证。