信息安全概论第七组_计算机取证.pdfVIP

计 算 机 取 证 （Computer Forensics） 信息安全现状 我国从首例计算机犯罪( １９８６年利用计算机 贪污案)被发现至今，涉及计算机网络的犯罪无 论从犯罪类型还是发案率来看都在逐年大幅度上 升。而国外有的犯罪学家也曾预言， “未来信息 化社会犯罪的形式将主要是计算机网络犯罪”。 2000-2004年 计算机犯罪趋势图 应急响应计算机司法鉴定 当发生计算机违法犯罪的时候我们就需要进 行应急响应或是计算机司法鉴定 什么是应急响应？ 答：应急响应是指对发生在网络或者计算机上任何未经授 权的、非法的、或无法接受的行为采取的措施。 什么是计算机司法鉴定？ 答：计算机司法鉴定是指从计算及媒介中发掘证据来支持 某项法律诉讼。（计算机取证） 计算机取证的定义 • 计算机取证（Computer Forensics）是指运用计算机辨 析技术，对计算机犯罪行为进行分析以确认罪犯及计算机 证据，并据此提起诉讼。也就是针对计算机入侵与犯罪， 进行证据获取、保存、分析和出示。计算机证据指在计算 机系统运行过程中产生的以其记录的内容来证明案件事实 的电磁记录物。从技术上而言，计算机取证是一个对受侵 计算机系统进行扫描和破解，以对入侵事件进行重建的过 程。可理解为 “从计算机上提取证据”即：获取、保存 分析出示提供的证据必须可信。计算机取证(Computer Forensics)在打击计算机和网络犯罪中作用十分关键，它 的目的是要将犯罪者留在计算机中的 “痕迹”作为有效的 诉讼证据提供给法庭，以便将犯罪嫌疑人绳之以法。因此， 计算机取证是计算机领域和法学领域的一门交叉科学，被 用来解决大量的计算机犯罪和事故，包括网络入侵、盗用 知识产权和网络欺骗等。 计算机取证的发展 一、与电子证据相关的硬件产品发展速度减慢 美国、英国，是开展电子证据研究最早的国家， 国际目前广泛应用的计算机法证硬件产品约有 80%产自美国、英国。2003-2006年间，是国际 电子证据相关硬件产品发展最为鼎盛的时期，各 种硬盘复制机速度从1.8GB到3GB不断攀升，写 保护接口从单一的IDE硬盘接口，到SCSI 、 SATA 、USB 种类层出不穷，PC、MAC、Linux 平台下的取证设备越来越多。取证分析计算机各 式各样，出现了皮箱型、工控型，服务器型等。 这些产品的大量出现，对国际计算机法证技术的 发展起到了极大的推动作用 计算机取证的发展 1.硬盘复制设备：Logicube公司推出了SuperSonix，一个应有于 IT界的硬盘克隆工具，速度可达6GB 。这个设备对于调查行业来说 可以算个福音，对法证界还无法使用。但是Logicube在民间应用 之后，应该很快就推出法证版的型号了。 计算机取证的发展 2.写保护设备：ICS 公司推出了Super DriveLock写保护 设备，具有全面的接口，外观设计和实际功能都很不错。 特别是最新的eSATA接口可以明显提高速度。 3.2008年,DataExpert推出的硬盘修复诊断破解设备、效 率源推出的DC指南针都比较有特色，对计算机取证人员 所遇到的故障硬盘有很大的帮助作用。 4. 俄罗斯Elcomsoft推出的GPU解密加速产品也是对冷清 的解密市场一剂强心针。北京天宇宁公司将俄罗斯 Elcomsoft推荐的个人超级计算引入国内，将密码破解水 平提升到一个全新的水平。设想一下：拥有960个核心的 强大的并行处理能力，计算性能可达PC的250倍。 计算机取证的发展 二、法证分析软件层出不穷 国际电子证据分析软件产品却如雨后春笋一般，涌现了很多优 秀的产品。老牌法证工具的代表是Encase和FTK，这两个软件 已经发展了若干年，基本成了计算机法证的代名词。美国 Guidance公司的Encase软件这两年发展劲头不错，从4.0 、 5.0到6.0版，差不多每年推出一个版本。相比之下，美国 AccessData公司的FTK的进展可就相对慢了许多。最近几年， 国际上先后推出了一系列的计算机法证分析工具，如德国X- ways公司的X-Ways For