计算机犯罪取证技术的研究.pdfVIP

g一■VAL器LNEEY__L信科学息 计算机犯罪取证技术的研究 赵世云 孙丽君 (日照职业技术学院 山东 日照 276826) 摘 要： 信息网络技术的迅速发展改变人们的生活、生产和管理方式，同时也为计算机违法犯罪分子提供新的犯罪手段和技术支持 以计算机信息系统为犯 罪对象和工具的各类新型犯罪活动越来越多，造成的危害也越来越大。如何有效的获取与计算机犯罪相关的电子证据，将犯罪分子绳之 以法，已成为司法和计算机 科学领域中亟待解决的新课题。 关键词： 计算机犯罪；计算机取证；电子证据；信息发现 中图分类号：TP3 文献标识码：A 文章编号：1671--7597(2010)0320059--01 1什么墨计算机犯罪 发现。不 同的案件对信息发现的要求是不一样的。有些情况下要找到关键 什么是计算机犯罪，理论界众说纷纭，尚无定论。公安部计算机管理 的文件、邮件或 图片，而有些时候则可能要求计算机重现过去的工作细节 监察司给 出的定义是：所谓计算机犯罪，就是在信息活动领域中，利用计 (比如入侵取证)。为了保护原始数据，除非特殊 的需要 ，所有的信息发 算机信息系统或计算机信息知识作为手段 ，或者针对计算机信息系统，对 现工作都是对原始证据的物理拷贝进行的。数据恢复后，取证专家还要进 国家、团体或个人造成危害，依据法律规定，应当予以刑罚处罚的行为。 行关键字的查询、分析文件属性和数字摘要、搜寻系统 日志、解密文件等 近年来，随着计算机的普及和计算机信息技术 的发展，计算机犯罪案 工作。最后取证专家据此给 出完整 的报告。此报告将成为打击犯罪的主要 例呈逐年上升趋势。给国家带来不可估量的严重后果和巨大 的经济损失， 依据 。 甚至威胁到国家的安全，破坏了良好的社会秩序。因此，打击利用计算机 4取证技术和反取证技术 进行的犯罪，确保信息安全对于 国家的经济发展和社会稳定具有重大现实 计算机取证过程 中，取证不仅依赖计算机操作人员高超的专业技能， 意义。为有效地打击计算机犯罪，计算机取证的研究成了当今的一个必要 更重要的是一定要使用相应的计算机取证工具来进行取证。例如：入侵者 的研究课题。 往往在入侵结束后将 自己残留在受害方系统中的 “痕迹”擦除掉。殊不知 2什么是计算机取证 一 般的删除文件操作，即使在清空了回收站后 ，若不将硬盘低级格式化或 关于计算机取证概念 的说法，国内外学者专家众说纷纭 。取证专家 将硬盘空间装满，仍可将 “删除”的文件恢复过来。在Windows操作系统下 ReithC1intMark认为：计算机取证可以认为是 “从计算机 中收集和发现 的windowsswap (page)fde(一般用户不曾意识到它的存在)大概有20- 证据的技术和工具”。泛泛地讲 ，计算机取证是指能够为法庭接受的、足 200M的容量，记录着字符处理、Emai1消息、Internet浏览行为、数据库事 够可靠和有说服力的、存在于计算机和相关外设中的电子证据的确定、收 务 处理 以及 几乎其 它任 何有 关windows会 话 工作 的信 息 另 外 。在 集、保护、分析、归档以及法庭出示的过程 。 windows下还存在着fdeslack，记录着大量Email碎片 (Fragments)、字 电子证据也称为计算机证据 ，是指在计算机或计算机系统运行过程中 符处理碎片、目录树镜像 (snapshot)以及其它潜在 的工作会话碎片。以 产生的，以其记录的内容来证明案件事实的电磁记录物。电子证据的表现 上这些都可以利用计算机取证软件来收集。 形式是多样的，尤其是多媒体技