电子取证过程模型的研究.ppt

电子取证过程模型的研究讲演人：马新新2005年六月 电子取证过程模型的研究 摘要： 本文针对电子取证过程中分析阶段存在的问题，提出一种 运用关键词库和关联规则分析技术提炼获取的数据文件/信 息的模型和实现方法以提高电子证据提交的时效降低取证 过程因人工分析所需的人力和对取证人员的技术要求。同 时，对数据的恢复和提取子过程进行了改进对实际取证过 程的技术实现具有指导作用。 电子取证的分类 事后静态取证: 以计算机系统内存储载体如固定磁盘作为待取证对 象。恢复提取分析磁盘上的数据文件/信息 网络动动态取证: 包括正在运行的主机中的内存数据，进程信息，交 换文件，网络状态信息，日志文件以及运行的网络 中的网络数据包对进入计算机系统的数据流进行分 析研究 取证模型的作用 一个好的计算机取证模型很重要，这是因为它能不依赖 任何一种特殊的技术或组织环境，为研究支撑调查工作 的技术提供一种抽象的参考构架。它能为共同术语提供 基础，以支持讨论及专门技术分享。当新技术出现并成 为调查主体时，该模型有助于开发及应用这些新技术的 方法学。该模型还可作为一种前摄来确定支撑调查工作 技术开发的各种时机，并为掌握及分析调查工具，尤其 是为先进自动化分析工具需求提供一种构架。 现有的计算机取证模型 Casey 1. Recognition 2. Preservation, collection, and documentation 3. Classification, comparison, and individualization 4. Reconstruction 现有的计算机取证模型 DFRWS Identification Preservation Collection Examination Analysis Presentation Decision 现有的计算机取证模型 Reith, Carr and Gunsch 1. Identification 2. Preparation 3. Approach strategy 4. Preservation 5. Collection 6. Examination 7. Analysis 8. Presentation 9. Returning Evidence 电子取证过程的关键和核心 电子取证最终的目的是提供与特定案件直接相关 的信息。同时，电子取证人员所关心的也是能重 建犯罪情况的信息。因此，在整个电子取证过程 模型的各阶段中与数据文件/信息获取直接相关 的恢复、提取和分析阶段成为整个取证过程的关 键和核心。其中恢复阶段是分析阶段的基础和前 提，分析阶段是恢复阶段的进一步提炼。 电子取证过程模型面临的问题 目前，取证过程模型主要是线型抽象层如图1所 示。图1中整个取证抽象模型过程是顺序依次进 行，前一阶段的结果是下一阶段进行的前提，图 中取证的每一阶段彼此独立，各阶段之间没有反 复，取证过程一次完成。而实际的取证过程中电 子证据的获取是一个反复的过程。 电子取证过程模型的改进 上述的分析说明基于单层取证抽象模型并 不能真实反映实际取证过程。因此，本文 对目前的线型单层取证抽象模型进行改 进。以适应实际的电子取证。 电子取证过程模型的改进 改进后的具有反馈过程的取证抽象层模型 电子取证过程模型的改进 模型将恢复阶段细分为查找提取和恢复提取二个 子过程。 恢复提取子过程是对操作系统的文件管理系统无 法识别的被删除数据文件/信息通过恢复技术转 变成操作系统的文件管理系统能识别并提取的过 程。 查找提取子过程是对操作系统的文件管理系统能 识别但分散或隐藏于系统程序或应用程序的相关 数据文件/信息的定位并提取的过程。 恢复提取和查找提取子过程细化 对恢复提取和查找提取子过程细化过程 恢复提取和查找提取子过程细化 图中将存储载体如固定磁盘中的数据文件/信息划分为二 类。一类是能被操作系统的文件管理系统进行识别、管 理的数据文件/信息。一类是不能被操作系统的文件管理 系统进行识别、管理的数据文件/信息。其中操作系统的 文件管理系统对数据的识别、管理是通过文件分配表如 FAT、NTFS中目录项实现，数据文件/信息可以通 过资源管理器等系统工具进行查找；而对被删除或覆盖 的数据文件/信息已被操作系统的文件管理系统标记为不 存在而无法识别。取证过程中当对存储介质中的数据进 行恢复提取阶段对于前者使用查找提取，对于后者使用 恢复提取。 分析过程模型 分析过程指对上述恢复和提取的数据文件/信息中相 关联的敏感信息数据的整理、收集和提炼过程。 目前对数据分析阶段的处理过程主要还是交付人工 进行处理。当面对大量的数据信息时，人工分析