计算机取证技术的研究.docVIP

计算机取证技术的研究 　　摘要：计算机取证已成为网络安全领域研究的一大热点。该文给出了计算机取证的概念和一般原则，详细描述了计算机取证的步骤和关键技术，分析了目前计算机取证存在的不足和反取证技术，最后给出了发展趋势。 　　关键词：计算机犯罪；计算机取证；电子证据 　　中图分类号：TP311文献标识码：A 文章编号：1009-3044(2008)22-598-01 　　Research on Computer Forensics 　　REN Ya-zhou 　　(Dept. of Information Science and Technology,Shandong Institute of Political Science and Law,Jinan 250014,China) 　　Abstract: computer forensics has become a research focus in the field of network security. This paper gives concepts and principles of computer forensics, provides a detailed descriptions of computer forensics in terms of processes, technologies, defaults, and so on. At last, this paper gives the future of computer forensics. 　　Key words: computer crimes; computer forensics; electronics evidence 　　随着计算机技术的飞速发展。计算机在社会中的应用领域急剧扩大。计算机犯罪的类型和领域不断增加和扩展，传统的案件类型中也越来越多地涉及到计算机的应用和取证。 　　1 计算机取证的概念 　　计算机取证又称为数字取证或电子取证，是指对计算机入侵、破坏、欺诈、攻击等犯罪行为利用计算机软硬件技术，按照符合法律规范的方式进行证据获取、保存、分析和出示的过程。从技术上，计算机取证是一个对受侵计算机系统进行扫描和破解，以对入侵事件进行重建的过程。 　　2 计算机取证的原则 　　最权威的计算机取证原则莫过于IOCE 提出的六条原则：1)所有的取证和处理证据的原则必须被遵守；2)获取证据时所采用的方法不能改变原始证据；3)取证人员必须经过专门培训；4)完整地记录对证据的获取、访问、存储或者传输的过程，并对这些记录妥善保存以便随时查阅；5)每一位保管电子证据的人应该对他的每一个针对电子证据的行为负责；6)任何负责获取、访问、存储或者传输电子证据的机构有责任遵循这些原则。这些原则在最高层面上概括地规定了计算机取证的原则框架。 　　3 计算机取证的步骤 　　计算机取证过程一般可以按如下步骤进行： 　　1)保护现场和现场勘查。现场勘查包括封存目标计算机系统并避免发生任何的数据破坏或病毒感染，绘制计算机犯罪现场图、网络拓扑图等，在移动或拆卸任何设备之前都要拍照存档，为今后模拟和还原犯罪现场提供直接依据。 　　2)获取证据。不同的案件对信息发现的要求是不一样的。有些情况下要找到关键的文件、邮件或图片，而有些时候则可能要求计算机重现过去的工作细节。 运用现有的计算机取证设备和技术，在大量的信息中提取出与案件有关的证据信息，恢复出已被删除的重要证据信息，以及根据证据信息的属性分析鉴定出该信息在犯罪过程中的作在用。 　　3)分析证据。这是计算机取证的核心和关键。证据分析的内容包括：分析计算机的类型、采用的操作系统，是否为多操作系统或有无隐藏的分区；有无可疑外设；有无远程控制、木马程序及当前计算机系统的网络环境。注意分析过程的开机、关机过程，尽可能避免正在运行的进程数据丢失或存在的不可逆转的删除程序。分析在磁盘的特殊区域中发现的所有相关数据。 　　4)提交证据。对分析结果进行全面的描述，并以符合司法诉讼的要求提供和展示获取的数字证据。 　　4 计算机取证技术 　　计算机取证技术可分为静态取证和动态取证。静态取证，也叫事后取证，即在入侵事件已经发生后，对内存缓冲、硬盘以及其他形式的储存介质进行数据提取分析，抽取有效数据以发现犯罪证据的过程。计算机动态取证是将取证技术结合到防火墙入侵检测中，对所有可能的计算机犯罪行为进行实时数据获取和分析，智能分析入侵者的企图，采取措施切断链接或诱敌深入，在确保系统安全的情况下获取最大量的证据，并将证据鉴定、保全、提交的过程。主要技术如下： 　　1)数据保护技术。数据保护的重点是日志保护，保护日志的其他措施有：①使用加密技术，保