基于主机的行为分析取证技术研究-计算机应用技术专业论文.docx

PAGE PAGE 4 计算机取证包括物理设备获取和电子数据发现两 个阶段l5lo 物理设备的获取是 指取证调查 人员定位并扣押相关的计算机硬件设备(如计算机主机、网络设备、 USB 存储设备 、打印设备等);电子数据的发现是指对计算 机主机原始数据进行备 份井从 (注册表、文件 、日志、回收站等)中获取可以用来作为电子证据的信息。 1.2.3 计算机取证的原则 由于计算机证据容易受损 ，难以获取，在进行计算机取证时工作 人员必须严格 遵循以下原则 : 1) 合法性原则 : 取证人员应合法地收集计算机证据 ，避免辛苦获取的证据却 无法被法庭采用 : 2) 及时性原则 : 取证人员要尽可能 的在嫌疑人删除、篡改相 关信息前 ，尽快 收集证据 : 3) 准确性原则 : 取证人员要科学使用取 证工具 ，详细做好证据获取 、保管记 录 ，确保数据的原始性和完整性。 取证步骤 根据 电子证据的特点， 结合取证系统模型 ，取1，iE步骤司分为 : 1)获取待取证目标机 2)对原始数据进行备份 3)在备份盘上 ，避行数据恢复 和排序 4)对已获取数据展开分析 5)归一化处理分析结果 6)数据固定和加密 7)最终证据提 呈法庭 1.3 国内外研究现状和不足 1.3.1 国外研究现状分析 自 1966 年首例 计算机犯罪案件发生 以来，国外计算机犯罪和反犯罪斗争有着 几十年的历史 ，为计算机取证方面积累了很多宝贵经验 ，有许多专业计算机取证部 门、取证研究实验室和咨询服务公司研究开发计算机取证工具例 ，其中具有代表性 的取证工具如下 : 1)美国 GUIDANCE 软件公司研制的 Encase，是目前取ì.iE界应用最多 的软件， 能够调查取证 Windows ，Maeintosh ，Unix 或 DOS 机器的硬盘 。在Window s 系统下， 不必关闭主机系统 ，就把当前系统 的运行环境和所有数据生成 一个镜像文件 ，通过 分析镜像文件 ，发现犯罪分子选留证据: )英国 VOGON 公司开发 的 Fligh tserver ，同样能够取ìiE运行 Windows 、MAC 、 Unix 等操作系统计算机 。能够按扇区拷贝计算机硬盘数据，并生成一 个物理镜像 ， 通过字符南匹配 的方式查找计算机上被删除的文件、 隐藏文件和压缩文件 ，辅助取 证调查 人员发现犯罪证据 : 3)NTI 公司的软件系统 Net Threat An alyser 使用人工智能中的棋式识别技术 ，分 析 Slack 磁盘空间 、未分配磁盘空间、自由空间中所包含的信息 ，研究交换文件 、 级存文件 、l临时文件及网络流动数据 。 由于信息技术较发达 ，相应的对取 ìiE技术的研究也比较早，计算机证据出现在 国外已有四十多年的历史 ，数字证据和计算机取 ìiE技术己被法庭所承认井得到执 行 ，美国的各研究机构 与公司所开发的工具主要提盖了数字证据的获取 、保金、分 析和归挡的过程 ，各研究机构与公 司也都在继续优化现有的各种工具 ，提高利用 工 具进行数字证据搜集 、保金、鉴定 、分析的可靠性和准确度 ，进一步提高计算机取 证的自动化和l智能化[7J 。 1.3.2 国内研究现状分析 与国外相比，我 国有关计算机取证的研究与实践起步较 晚。计算机取证的概念 于 2001 年逝入中 国，有关计算机取证的研 究与实践工作也仅有十年左右的时间 ， 计算机取证技术研究相对落后 ，相关 的法律法规仍恨不完善 ，人们的信息安全意识 仅停留在被动防护而不是 主动防护的层次上 ，导致目前即使发现计算 机犯罪案件却 不能及时收集证据 ，将犯罪者诉之法庭。缺乏具有自主知识产权的优秀计算机取证 工具和完普的法律法规 ，以及专门 的法律取证调查机构都 是目前我 国计算机取证的 发展和普及需要解决的 问题。 剧 1-1 计算机取证系统的研究模型 我国推出的第一部电子取证设备 ，即是 2003 年 10 月在探:ljll举行的第四届中国 国际高新技术成果交易会上，中国科学院高能 物理研究所计算中 心研究员许榕生教 授推出了类 似飞机 黑匣子的棋拟机器 一取证机，它能够在网络或者系统遭到入侵 之后，侦探黑客的入侵手段，并向操作人员提供合法的电子证据 (8)。随着技术的不 断发展，计算机犯罪手段也随之提高，必须制定相关的法律、法规，开发具有自主 知识产权的计算机取证 工具、提高人们的 信息安全意识，使日益增加的计算机犯罪 及网络犯罪受到应有的制裁 。2004 年 川 月由北京人民警察学院和 中国科学院软件 研究所在北京联合举办了首届全国 计算机取证技术研讨会 ，2006 年 10 月在新疆警 官高等专科学校举 办了第二届全国计算机取证技术研讨会 ，两次研讨会 ，发展井丰 富了