计算机取证系统研究与设计.docVIP

计算机取证系统研究与设计 　　摘要：高科技的不断发展使得计算机犯罪活动不断增多，计算机取证成为人们研究与关注的焦点。根据研究，列出了计算机取证的原则、步骤，从而引申出计算机取证的核心技术和系统设计，最后对未来的发展进给予总结和展望。 　　关键词：计算机犯罪 计算机取证 计算机取证系统设计 　　中图分类号：TP311.5 文献标识码：A 文章编号：1007-9416（2013）08-0139-02 　　1 什么是计算机取证 　　计算机取证和传统物证的取证是不同的，它需要从计算机系统中提取数据，从已删除、加密甚至是破坏的文件中重新获取信息。简单地说，计算机取证是指对能够为法庭接受的、足够可靠和有说服性的，应用计算机技术及相关软件以磁介质编码信息方式存储的计算机系统，对潜在的、有法律效力的犯罪证据的确认、保护、提取和归档的过程。 　　1.1 计算机取证的原则 　　（1）尽早获取电子证据，避免人为删除、毁坏和修改。（2）计算机取证必须按照法律的规定公开进行，不能采取非法手段。（3）不对原始证据进行分析，电子证据在移交、保管、检查的过程中必须由相关专业人员完成和监督。 　　1.2 计算机取证的主要步骤 　　（1）在取证检查时，冻结目标计算机系统，避免系统发生任何更改设置、损坏、数据破坏或病毒感染。（2）获取电子证据时，需根据破坏程度，确定犯罪者留下的活动记录存在哪里、是怎样存储的。（3）收集电子证据时，首先记录系统的硬件配置，使用数据恢复软件对系统进行全面的备份，以便分析时可用原始数据做后期证据使用；其次最大程度的显示目标系统中的所有文件包括隐藏文件，对其中可能作为证据的数据通过加密程序发送给取证服务器进行分析。（4）电子证据进行镜像备份后，要有措施的进行保护，不是工作人员不操作存放电子证据的计算机，不删除、修改与证据无关的文件，以免引起有价值的证据文件的丢失。（5）电子证据具有不可见性，分析得出的结果报告能否在法庭上展示，是作为起诉计算机犯罪者的重要证据。（6）归档：作为法庭的诉讼证据，需要对各类电子证据的分析结果和评估报告等进行归档处理。 　　2 计算机??证核心技术分析 　　计算机取证系统需要解读所获取的司法鉴定复件或合格司法鉴定复件，正确解读司法复件数据格式之后，识别文件系统，然后恢复被删除和隐藏的数据，在此基础上进行犯罪证据的查找。因此计算机取证系统要解决的几个主要问题有：磁盘数据组织分析、各种常用文件系统的分析、隐藏数据的发现、被删除数据的恢复等问题。 　　2.1 磁盘数据组织分析 　　计算机取证系统通过镜像软件制作的特殊格式文件进行解读，并对数据进行各项分析和调查，因此首要问题是对磁盘盘片上的数据组织进行分析。硬盘在存储数据之前，一般需要经过低级格式化、分区和高级格式化三个步骤之后才能使用。硬盘上的数据逻辑结构分为五个区域，主引导记录区（MBR）、分区引导记录区、文件分配区、文件目录目标区和数据区实现对数据的存储与管理。对于分区，系统只是修改了主引导记录和DBR（DOS引导记录），绝大部分的DATA区的数据并没有被修改。 　　2.2 FAT16/32文件系统分析 　　FAT16/32是从文件分配表（FAT）文件系统派生而来的文件系统。与FAT相比，FAT16/32能支持更小的簇及更大的容量，从而更加高效的分配磁盘空间。FAT32比FAT16的存储效率要高，同时它还可以重新定位根目录和使用FAT的备份副本，另外FAT32分区的启动记录被包含在一个含有关键数据的结构中，减少了计算机系统崩溃的可能。 　　2.3 EXT2/3文件系统分析 　　Ext2/3是Linux系统的标准文件系统，其优点为存取文件的性能好，由线形排列的数据块组成，每个数据块具有相同的大小，所有块又被划分为若干个块组，每个块组都包含了一份文件系统关键控制信息的拷贝，以及描述组内数据存储与控制信息的位示图，节点位图和节点表。EXT3文件系统比EXT2更加完整，增加了日志容量，避免了意外宕机对文件系统的破坏，以便文件系统在出现问题后进行恢复和修复。 　　2.4 NTFS文件系统分析 　　NTFS是一个基于安全性、可靠性、先进性的文件系统，它通过使用标准的事务处理日志和恢复技术来保证分区的一致性。发生系统失败事件时，NTFS使用日志文件和检查点信息来恢复文件系统的一致性。NTFS采用了更小的簇，可以更有效率地管理磁盘空间，簇的大小都比相应的FAT16/32簇小；NTFS可以比FAT32更有效地管理磁盘空间，最大限度地避免了磁盘空间的浪费。 　　2.5 数据流隐藏数据的发现技术 　　数据流隐藏技术源自Macintosh分级文件系统NTFS，它可以把任何文件作为某个文件的另一个实例附在其中，而Windows资源管理器无法显示。