一种基于文件系统的计算机取证方法.pdfVIP

一种基于文件系统的计算机取证方法 ·87· 一种基于文件系统的计算机取证方法 查达仁 荆继武 高能 中国科学院研究生院信息安全国家重点实验室 摘要：在过去的十年中，计算机和互联网进入了人们生活的主流。利用网络与计算机的犯罪现 象也日益猖獗，越来越多地在日常生活中发生。这种犯罪行为包括数据的窃取和破坏，诈骗以及 恐吓信息的发布，违法信息的提供，恶意程序的传播等等【1】。在多种多样的计算机犯罪出现之后， 计算机取证就越来越体现出其重要性。本文在研究了现有成熟的取证手段的基础之上，总结出了 一种基于文件系统的取证方法，分析了各个取证步骤的重点，丰富了各个取证步骤的内容，该方 法按照所设计的顺序进行取证操作，使用文件系统中所保存的各种属性，从而达到重建入侵事件 的目的。 关键词：计算机取证文件系统 于保证我国经济建设快速发展和社会的和谐稳定 一、引言 有着重要的现实意义。 现存许多取证系统都是基于应用日志或者访 在网络越来越成为人们生活中不可缺少一部 分的同时，网络上的各种威胁以及攻击已经成为人 工具，只使用了少量的文件系统信息。其中问题在 们必须时时注意的问题。计算机犯罪行为(如电子 于针对应用日志的取证手段往往不够精确，只能针 商务纠纷，计算机犯罪等)的不断出现，使得一种 对固定的一些情况进行分析；而针对磁盘的物理取 新的证据形式——存在于计算机及相关外围设备 证手段往往所需要的取证工具成本过高，操作也过 (包括网络介质)中的电子证据，逐渐成为新的诉 于繁琐。 讼证据之一。电子证据本身和取证过程的许多有别 本文综合研究了两种技术路线，总结设计了基 于传统物证和取证方法的特点，对司法和计算机科 于文件系统的计算机取证方法流程，丰富了各取证 学领域都提出了新的研究课题【l】【2】。 步骤的内涵，提高了各个技术步骤的实用性，并搜 FcIrensics)，定义为应 计算机取证(Computer 集汇总了一系列取证步骤之中所使用的工具，用于 用计算机调查和分析技术以期获得潜在法律证据 受到攻击或是入侵的受害计算机，在取证过程中进 的过程f2J。这类证据可以从计算机犯罪或是误用 一步使用文件系统的本身的信息，更加准确的重现 (rIlisuse)的范围中寻找。计算机专家可以使用一入侵事件过程。 整套先进的技术来发掘出驻留在计算机系统之中 的信息，或者恢复被删除、被加密或是被损坏的文 二、基于文件系统的计算机取证方法 件信息。这些信息均可在正式诉讼及其他法律程序 之中使用。 1．文件系统概述 使用计算机取证技术采集证据，打击利用计算 什么是文件系统?首先是为了管理文件，便产 机来传播非法信息、进行非法活动的犯罪行为，对 生了文件系统。文件系统帮助计算机用户存储、管 ·88· 全国计算机安全学术交流会论文集 理和操作以文件形式存储在计算机存储媒介上的 ⑦与日志文件对照验证。 各种数据。文件系统通常可以看成由两部分结构组 (1)查看目志文件 成：第一，单个文件的一个集合：第二，一个目录， 首先，需要保证目标机器与其他所有的设备断 用来表现各文件间的组织结构【5J。目录与文件是需 开，成为孤立的系统。 要相互关联的，这个关联的结构通常称为文件分配