浅谈计算机取证技术.doc

PAGE 14 摘 要 期 末 设 计 论 文 题 目： 浅谈计算机取证技术 专 业： xxx 指导老师： xxx 班 级： xxx 学 号： xxx 学生姓名： xxx 时 间： xx年xx月xx日 摘 要 随着信息技术的不断发展，人们的生活方式、生产方式、管理方式发生了巨大的变化。信息技术给人们带来方便的同时，也带来了很大的风险。以计算机信息系统为犯罪对象和以计算机信息系统为工具的各种新型犯罪活动越来越多。利用计算机犯罪给国家和人民带来了很大的损失。惩治利用计算机进行犯罪的不法分子迫在眉睫。因此，计算机和法学的交叉学科—计算机取证越来越受关注。计算机取证（Computer Forensics、计算机取证技术、计算机检识、计算机法医学）是指运用计算机辨析技术，对计算机犯罪行为进行分析以确认罪犯及计算机证据，并据此提起诉讼。也就是针对计算机入侵与犯罪，进行证据获取、保存、分析和出示。计算机证据指在计算机系统运行过程中产生的以其记录的内容来证明案件事实的电磁记录物。从技术上而言，计算机取证是一个对受侵计算机系统进行扫描和破解，以对入侵事件进行重建的过程。可理解为“从计算机上提取证据”即：获取、保存、分析、出示、提供的证据必须可信。文中介绍了计算机取证的意义，计算机取证的关键技术，计算机入侵，以及计算机取证的新技术—蜜罐，并对一些与计算机取证有关的工具进行了进一步的介绍。 关键词：计算机取证 计算机犯罪证据 电子取证 黑客 取证工具 目 录 目 录 PAGE 1 目 录 摘要ii 电子证据的特点2 1.1容易被更改、删除2 1.2无形性2 1.3高科技2 计算机取证与分析的关键技术分析3 2.1文件恢复技术3 2.1.1 Windows系统文件恢复的原理3 2.1.2 Unix类系统文件恢复的原理3 2.2磁盘映像拷贝技术4 2.3取证分析技术4 计算机取证5 3.1计算机取证的步骤5 3.2 对计算机黑客入侵证据的搜集5 上网痕迹的查找与删除6 4.1 ViewUrl的应用6 4.2 Eraser介绍9 4.2.1 安装Eraser10 4.2.2 Eraser软件的使用方法12 文件恢复15 5.1 利用“Renee Undeleter”进行文件恢复15 第六章 结束语19 参考文献20 兴义民族师范学院毕业论文 【一级标题】 第一章 电子证据的特点 1.1 容易被更改删除 传统证据如书面文件等可以被长时间保存，不易被更改，如被更改很容易被发现，而电子证据很容易被更改、删除。电子证据一般保存在磁记录设备中，犯罪分子可以利用技术手段破坏犯罪过程中遗留在磁记录设备中的数据。而电子证据在被更改、删除后，恢复起来非常的困难，需要专门的设备。 1.2 无形性 电子证据不是肉眼可以直接看见的，必须要借助必要的设备工具，如计算机等。 1.3 高科技 电子证据的收集，存储和传输，都必须借助于计算机技术、存储技术、网络技术，离开了高科技含量的设备及技术，电子证据就无法获取、保存和传输。 计算机取证与分析的关键技术分析 2.1 文件恢复技术 文件恢复技术是计算机取证系统中最重要的技术，因为不管是窃取计算机中的数据，还是用计算机来进行攻击活动，都在计算机中留下了痕迹。一般的计算机操作人员不会对所留下的证据进行销毁，这样的犯罪活动我们可以容易追踪，提取其犯罪的证据。而计算机高手就会在他进行计算机犯罪后对证据进行销毁，如一些文件，销毁系统日志，甚至改变系统文件，以至于计算机无法启动。这样一来，就对我们收集计算机犯罪活动带来了很大的困难，而操作系统的文件系统的设计使文件恢复成为现实，我们可以设计用于文件系统恢复的软件来进行数据恢复。 2.1.1 Windows系统文件恢复的原理。 Windows操作系统删除文件并不是将相应簇的信息完全清零，而是仅仅去掉DirectoryEntry中的索引信息，实质上是在文件分配表中将对应文件名的第一个字符替换为删除标记，从而使操作系统无法识别该文件，磁盘中的文件数据仍然放在原来的地方，只是该地方标记为空闲区域，可以让别的文件覆盖。 由于Windows的文件即使被删除之后仍保留有完整的文件名，文件长度、始簇号（即文件占有的第一个磁盘块号）等重要信息。那么只要该区域没有遭到覆盖，该文件的数据仍然可以被恢复出来，同时还能保持文件系统的树状结构。