信息犯罪与计算机取证第四章.ppt.ppt

4.4.4 证据分析 分析证据是计算机取证的核心和关键。 分析已获取的数据，然后确定证据的类型，包括检查文件和目录内容以及恢复已删除的内容，分析计算机的类型、采用的操作系统，是否为多操作系统或有无隐藏的分区；有无可疑外设；有无远程控制、木马程序及当前计算机系统的网络环境等，并用科学的方法根据已发现的证据推出结论。 1. 内容数据 2. 衍生数据 3. 环境数据 4. 通信数据 4.4.5 证据追踪 计算机动态取证是将取证技术结合到防火墙、入侵检测、蜜罐等网络安全技术中，对所有可能的计算机犯罪行为进行实时数据获取和分析，智能分析入侵者的企图，采取措施切断链接或诱敌深入，在确保系统安全的情况下获取最大量的证据，并将证据鉴定、保全、提交的过程。 4.4.6 证据提交 这个步骤主要包括打印对目标计算机系统的全面分析和追踪结果，以及所有可能有用的文件和被挖掘出来的文件数据的清单，然后给出分析结论。 最后以证据的形式按照合法的程序提交给司法机关。 4.5 计算机取证技术 计算机取证技术就是用于计算机取证过程各个阶段的技术。 主要包括证据获取技术、证据分析技术、证据呈堂技术。 4.5.1 证据获取技术 证据获取技术研究的是与计算机取证过程中保护现场、记录现场、处理现场相关的一些技术。 1．证据复制技术 证据复制就是将与案件相关的计算机证据不作任何修改地复制到另一个存储设备上，这是目前证据收集阶段普遍采取的手段。 2．基于网络的证据收集技术 （1）IP 地址获取技术。 （2）针对电子邮件和新闻组的取证技 术 （3）网络入侵追踪技术 （4）基于网络嗅探的监控技术 4.5.2 证据分析技术 在证据获取阶段获取了大量的数据，需要利用相关的技术对其分析以获取有用证据，同时对提取到的证据结合案件进行合理的解释。 1．数据恢复 数据恢复技术主要用于把犯罪嫌疑人删除或者通过格式化磁盘擦除的数字证据恢复出来。 需要说明的是，与一般数据恢复技术不同的是，为确保相关证据是可信、准确、完整和符合法律规定的，即可为法庭所接受的，取证过程中的数据恢复必须尽可能地保持证据的原始性，同时要求最大程度地恢复数据，并对存储介质中所有可以存放数据的区域进行搜索和对可能与案件相关的数据进行恢复。 2．密码破解 取证在很多情况下都面临如何将加密的数据进行解密的问题。 （1）密码分析技术 （2）口令搜索 （3）网络窃听 3．数据解析 （1）在已经获取的数据中寻找相匹配的关键词或关键短语，具体涉及：文件属性分析技术；文件数字摘要分析技术；日志分析技术；注册表分析技术；根据已经获得的文件或数据的用词、语法和写作（编程）风格推断出其可能的作者的分析技术；发掘同一事件的不同证据间的联系的分析技术；对电子介质中的被保护信息的强行访问技术等。 （2）解析不同的文件系统，如FAT32、NTFS。 （3）解析不同的语言编码，如中文的GB2312-80、GBK。 （4）不同压缩文件的识别，如Zip、Rar、Gzip。 （5）电子邮件、聊天记录、网页等网络数据的识别。 （6）应用程序使用的特定格式文件的解析，如Mpeg、Jpg、swf。 此外，还有很多其他领域的技术运用到了证据分析的过程中来，如数据挖掘技术中的关联分析、时间序列分析，语义web技术等。 4.5.3 证据呈堂技术 计算机证据呈堂技术就是把提取到的证据以可信和有效的方式提交法庭的过程中所涉及的相关技术。 1．证据验证技术 该技术的目标是实现对计算机证据处理的各个环节的验证，保护证据的真实性和完整性，即保护证据不被篡改，保护证据不被破坏，为逻辑性说明证据的获取是合法的且没有对原始数据进行篡改和伪造提供技术保证，从而证明计算机证据的可采性。 2．证据呈现技术 计算机证据不是直接肉眼可见的，需要专门的计算机证据呈现系统来进行呈示。 4.6 计算机反取证技术 计算机反取证是针对计算机取证过程的各个阶段及其形成证据链的条件，破坏电子证据的调查、保存、收集、分析和法庭诉讼，减少被获取证据数量，降低被获取证据质量，从而尽量隐藏或不在对方系统甚至自己系统中留下法律意义上的证据。 1．数据摧毁技术 摧毁证据是阻止取证的最有效的方法，主要攻击取证的收集阶段。 从存储原理上讲，摧毁证据可以有三种选择：摧毁实际数据，摧毁元数据，或者是两者的结合。 2．数据加密技术 虽然摧毁所有潜在的证据很有效，但罪犯可能想保存一些有用的数据，为了使这些数据不被取证人员所理解，罪犯通常会使用加密技术。现代加密技术的发展使得这种方法很容易被犯罪分子所利用，当然也有专门研究用于反取证的加密技术。 3．数据隐藏技术 数据隐藏是指入侵者将暂时还不能被删除的文件伪装成其他类型或者将它们隐藏在图形或音乐文件中，也有将数据文件隐藏在磁