計算機取證技術論文

計算機取證技術論文

　　計算機取證，是指對計算機入侵、破壞、欺詐、攻擊等犯罪行為，利用計算機軟硬件技術，按照符合法律規范的方式，進行識別、保存、分析和提交數字證據的過程。 下面是學習啦小編整理了計算機取證技術論文，有興趣的親可以來閱讀一下!

　　計算機取證技術論文篇一

　　計算機取證技術

　　中圖分類號：G64　文獻標識碼：A　文章編號：1008-925X(2011)05-0141-02摘要：本章概述了計算機取證技術，分別介紹了靜態取證和動態取證的定義、原則和模型，從而得出了動態計算機取證的幾個優點。

　　關鍵詞：靜態取證　動態取證

　　1、計算機取證概述

　　1.1計算機取證的定義

　　計算機取證，是指對計算機入侵、破壞、欺詐、攻擊等犯罪行為，利用計算機軟硬件技術，按照符合法律規范的方式，進行識別、保存、分析和提交數字證據的過程。

　　1.2計算機取證的發展

　　計算機取證的發展可以劃分為奠基時期、初步發展時期和理論完善時期等3個階段。

　　始于1984年的奠基時期，計算機取證的基本思想、基本概念、基本標準及基本原則逐步建立。90年代中后期為計算機取證的初步發展期，在市場的強烈需求下，出現了一大批以Encase等工具為代表的計算機取證工具，使得計算機取證技術逐漸為人們所認識和接受。始于1999年的理論完善時期開始對計算機取證程序及取證標準等基本理論和基本問題進行進一步的研究。

　　1.3計算機取證的相關技術

　　計算機取證過程充滿了復雜性和多樣性，這使得相關技術也顯得復雜和多樣。依據計算機取證的過程，涉及到的相關技術大體如下：

　　(1)電子證據監測技術電子數據的監測技術就是要監測各類系統設備以及存儲介質中的電子數據，分析是否存在可作為證據的電子數據。

　　(2)物理證據獲取技術它是全部取證工作的基礎，在獲取物理證據時最重要的工作是保證所保存的原始證據不受任何破壞。

　　(3)電子證據收集技術電子數據收集技術是指遵照授權的方法，使用授權的軟硬件設備，將已收集的數據進行保全，并對數據進行一些預處理，然后完整安全的將數據從目標機器轉移到取證設備上。

　　(4)電子證據保存技術在取證過程中，應對電子證據及整套的取證機制進行保護。只有這樣，才能保證電子證據的真實性、完整性和安全性。

　　(5)電子證據處理技術電子證據處理指對已收集的電子數據證據進行過濾、模式匹配、隱藏數據挖掘等的預處理工作。

　　(6)電子證據提交技術依據法律程序，以法庭可接受的證據形式提交電子證據及相應的文檔說明。

　　綜上所述，計算機取證技術是由多種科技范疇組合而成的邊緣科學。

　　2、靜態計算機取證技術

　　2.1取證的基本原則

　　根據電子證據易破壞性的特點，確保電子證據可信、準確、完整并符合相關的法律法規，計算機取證主要遵循以下幾點原則：

　　(1)盡早搜集電子證據，并保證其沒有受到任何破壞：

　　(2)必須確保“證據鏈”的完整性，即在證據被正式提交時，必須能夠說明在證據從最初的獲取狀態到在法庭上出現狀態之間的任何變化：

　　(3)整個檢查、取證過程必須是受到監督的。

　　2.2取證的步驟

　　一般來說，為確保獲取有效的法律證據，并保證其安全性和可靠性，計算機取證一般應包括保護目標系統、電子證據確定、收集、保護、分析和歸檔等六個步驟。

　　(1)保護目標計算機系統

　　是凍結計算機系統，避免發生任何的更改系統設置、硬件損壞、數據破壞或病毒感染的情況。

　　(2)電子證據的確定

　　對于計算機取證來說，需從存儲在大容量介質的海量數據中區分哪些是電子證據，以便確定那些由犯罪者留下的活動記錄作為主要的電子證據，并確定這些記錄存在哪里、是怎樣存儲的。

　　(3)電子證據的收集

　　取證人員在計算機犯罪現場收集電子證據的工作包括收集系統的硬件配置信息和網絡拓撲結構，備份或打印系統原始數據，以及收集關鍵的證據數據到取證設備。

　　(4)電子證據的保護

　　采取有效措施保護電子證據的完整性和真實性，包括用適當的儲存介質進行原始備份：對存放在取證服務器上的電子證據采用加密、物理隔離、建立安全監控系統實時監控取證系統的運行狀態等安全措施進行保護。

　　(5)電子證據的分析

　　對電子證據分析是對文件屬性、文件的數字摘要和日志進行分析：分析操作系統交換文件、文件碎片和未分配空間中的數據：對電子證據做一些智能相關性的分析，即發掘同一事件的不同證據問的聯系：完成電子證據的分析后給出專家證明。

　　(6)歸檔

　　對涉及計算機犯罪的日期和時間、硬盤分區情況、操作系統和版本、運行取證時數據和操作系統的完整性、計算機病毒評估情況、文件種類、軟件許可證以及取證專家對電子證據的分析結果和評估報告等進行歸檔處理，形成能提供給法庭的電子證據。

　　2.3取證的模型

　　靜態取證系統按操作過程分為兩個步驟：現場數據的分析和數據采集：進行數據集中綜合分析。一種較好的方法是現場對目標主機內存的數據進行分析，根據惡意代碼的特點，集中分析一個進程空間的某一段數據，分析的結果以文檔或報表等形式提交。

　　3、動態計算機取證技術

　　計算機動態取證是將取證技術結合到防火墻、入侵檢測中，對所有可能的計算機犯罪行為進行實時數據獲取和分析，智能分析入侵者的企圖，采取措施切斷鏈接或誘敵深入，在確保系統安全的情況下獲取最大量的證據，并將證據鑒定、保全、提交的過程。

　　3.1取證的基本原則

　　動態計算機取證對時間上要求非常嚴格，一般而言，其證據的提取基本上與入侵檢測同時進行，時間上相差很小。

　　3.2取證的步驟

　　動態計算機取證是在進行網絡入侵檢測的同時進行證據的提取，所以其進行取證的步驟為：

　　(1)證據的獲取

　　證據的提取是發生在入侵檢測的同時，一旦網絡入侵被檢測系統發現，立即啟動取證系統進行證據的提取工作。

　　(2)證據的轉移

　　這里的證據轉移是指將從入侵主機(目標主機)提取的證據安全轉移到證據服務器中的過程。

　　(3)證據的存檔

　　證據的存檔指的是證據在證據服務器中的保存。被提取的證據須以一定的格式保存在證據服務器中，證據服務器與局域網內的主機是通過安全傳輸方式進行連接的，而且僅響應這些主機的請求。

　　(4)證據的調查分析

　　進行司法調查時，從證據服務器中查看目標主機上提取的相關證據，進行有關調查分析。

　　(5)證據的呈供

　　動態計算機取證技術中的證據呈供與其在靜態取證技術中的過程是基本一致的，也是將所有的調查結果與相應的證據上報法庭，這一階段應依據政策法規行事，對不同的機構采取不同的方式。

　　3.3取證的模型

　　在動態取證中，通過實時監控攻擊發生，一方面可以進行實時同步取證，對入侵做詳細記錄。另一方面激活響應系統，根據不同的攻擊，采取不同的措施。這樣一方面使取證更具有實時性和連續性，其證據更具有法律效力;另一方面，利用響應系統可以將系統的損失降為最小。

　　一般的網絡攻擊都要遵循同一種行為模式，即嗅探、入侵、破壞和掩蓋入侵足跡等幾個攻擊階段。對每一個不同的階段，網絡入侵取證可以采用不同的取證方法，并執行不同的響應措施。

　　4、結束語

　　傳統的取證工具大部分是靜態取證，即事件發生后對目標系統的靜態取證。隨著計算機入侵攻擊技術的不斷發展，這種事后靜態取證的方法已經不能滿足要求，需要對其進行改進，因此提出了動態取證。

點擊下頁還有更多>>>計算機取證技術論文