计算机辅助取证技术机制分析.docVIP

计算机辅助取证技术机制分析 计算机取证方面的资深人士Judd Robbins先生对计算机取证做出了如下定义：计算机取证不过是将计算机 HYPERLINK /zhongdengjiaoyulunwen/ 调查和分析技术应用于对潜在的、有法律效力的证据的确定与获取。计算机紧急事件响应和取证咨询公司进一步扩展了该定义：计算机取证包括了对磁介质编码信息方式存储的计算机证据的确认、保存、提取和归档。SANS公司则归结为以下说法：计算机取证是使用软件工具，按照一些预先定义的程序，全面检查计算机系统，以提取和保护有关计算机犯罪的证据。我国计算机专家则是这样定义的：计算机取证是指对能够为法庭接受的，足够可靠和有说服性的，存在于计算机和相关外设中的电子证据的确认、保护、提取和归档的过程。 计算机取证是既涉及搜集和保护证据，又涉及在法律进程中使用这些证据。从取得的证据而言，这些证据包含 HYPERLINK /shifanjiaoyulunwen/ 物理的和逻辑的。物理证据的获取，计算机取证中称为计算机证据的“搜集和捕获”，是指调查者在计算机犯罪现场搜寻及对犯罪所涉及的计算机硬件和媒介进行保管；相应地，逻辑方面证据的获取来源于对原始数据的摘取，这些归类于“信息发现”，通常包含调查者在日志文件中查找、搜索Internet、从数据库中搜寻相关证据等行为。最终的问题在于一般的取证学科是与证据紧密相关的，也就是说，一个调查者必须能从手中的证据摘录信息，但是不能引起这个证据原来的状态的改变。此外，证据的原始状态必须在整个调查过程中被保护—从证据被确认直到调查之后。证据作为客观的证明文件依靠于证据保存的完整性。在计算机取证的实践中，确认证据保持在一个完好的状态是很困难的，即时个别比特的改变也会在调查中引起严重的后果。 一、计算机取证的原则和要求 计算机取证应该遵循以下原则和要求： （1） HYPERLINK /zhiyejiaoyulunwen/ 尽早搜索电子证据，并保证其没有受到任何破坏。有些数据是不稳定的，随着计算机系统的运行会发生改变，如内存、交换区、网络数据、系统状态数据等，在未保证证???收集完毕和评估操作结束的情况下不要轻易将计算机从网络中断开或者关闭计算机系统，因为某些数据消失后可能永远都找不回来，收集数据时要按照数据的易逝性由强到弱的顺序来进行。 （2）尽量不要在涉案计算机上运行程序，特别是操作系统级程序，对于关闭的计算机系统，尽量用软盘或光盘引导系统 。由于操作系统的自动管理和优化功能，可能改变计算机系统状态，遗失内存、缓冲区、交换区、文件系统的数据，破坏电子证据的完整性。 （3）对相关的数据要坚持多备份的原则。对数据的备份要按bit逐位拷贝，确保备份的数据与系统中原始数据一致。 （4）不 HYPERLINK /jiatingjiaoyulunwen/ 要直接对原始数据进行分析，所有的分析操作应该在备份数据上进行，取 证的中间或最终结果也不要和原始数据放在一起。 （5）不允许非调查取证人员接触计算机系统，特别是犯罪嫌疑人和案件关联人员。因为，计算机系统中的数据极易被破坏，一次按键就可能删除某些数据，且某些操作后果是不可恢复性的，所有的取证操作必须由具备计算机相关知识的取证专家进行。 （6）要确保电子证据的物理安全。 （7）必须确保“证据链”的完整性。也称为证据保全，即在证据被正式提交给法庭时，必须能够说明在证据从最初的获取状态到在法庭上出现状态之间的任何变化，计算机取证要坚持两人或两人以上原则，整个检查、取证过程必须是受到监督的，取证的过程要有书面记录，记录要包含操作的事件，动作和可能的后果，取证人员要在书面记录上确认和签名。 （8）取证过程要遵循相关的法律和安全政策。在调查过程中，你可能要访问和复制敏感的数据，这时你必须要获得许可才能进行。因此，在开始调查前，重要的一点是要确认你已经获得许可，你的行为可能会被认为违背了当地的安全政策或侵犯了隐私，并将对此结果负责。 （9） HYPERLINK /yixuezhenduanxuelunwen/ 确认取证动作是可重复的。任何独立的第三方都能以相同的取证动作得到完全一样的结果。 （10）注意不同系统和设备的时间差异，正确区分不同数据中的时间戳采用的时间制式，即UTC时间或当地时间等。  （11）分析数据的计算机系统和辅助软件必须安全、可信，用于取证的方法和工具必须经得起对方验证。 二、计算机取证的过程和步骤 与传统的取证相比，计算机取证应遵循以下过程和步骤： （1）保护现场和现场勘查：封存目标计算机系统并避免发生任何数据破坏和病毒感染，对计算机和网络设备进行标记，绘制计算机犯罪现场。网络拓扑图，在移动和拆卸任何设备之前都要拍照存档。 （