电子取证技术的三大方向.doc

电子取证技术的三大方向

反取证研究

计算机取证是对计算机犯罪证据的识别获取、传输、保存、分析和提交认证过程，实质是一个详细扫描计算机系统以及重建入侵事件的过程。

国内外计算机取证应用发展概况

现在美国至少有70%的法律部门拥有自己的计算机取证实验室，取证专家在实验室内分析从犯罪现场获取的计算机(和外设)，并试图找出入侵行为。

在国内，公安部门打击计算机犯罪案件是近几年的事，有关计算机取证方面的研究和实践才刚起步。中科院主攻取证机的开发，浙江大学和复旦大学在研究取证技术、吉林大学在网络逆向追踪，电子科技大学在网络诱骗、北京航空航天大学在入侵诱骗模型等方面展开了研究工作。但还没有看到相关的阶段性成果报道。

计算机取证的局限性以及面临的问题

计算机取证的理论和软件工具是近年来计算机安全领域内取得的重大成就，从计算机取证的软件和工具实现过程的分析中可以发现，当前计算机取证技术还存在很大局限性。

从理论上讲，计算机取证人员能否找到犯罪证据取决于：有关犯罪证据必须没有被覆盖;取证软件必须能找到这些数据;取证人员能知道这些文件，并且能证明它们与犯罪有关，从当前软件的实现情况来看，许多所谓的“取证分析”软件还仅仅是恢复使用rm或strip命令删除的文件。

计算机取证所面临的问题是入侵者的犯罪手段和犯罪技术的变化：

(1)反取证技术的发展。反取证就是删除或隐藏证据使取证调查失效。反取证技术分为3类：数据擦除、数据隐藏和数据加密，这些技术还可以结合起来使用，让取证工作的效果大打折扣。

(2)NestWatch、NetTracker、LogSurfer、VBStats，NetLog和Analog等工具可以对日志进行分析，以得到入侵者的蛛丝马迹。一些入侵者利用RootKit(系统后门、木马程序等)绕开系统日志，一旦攻击者获得了Root权限，就可以轻易修改或破坏或删除操作系统的日志。

计算机取证软件局限性表现为：

(1)目前开发的取证软件的功能主要集中在磁盘分析上，如磁盘映像拷贝，被删除数据恢复和查找等工具软件开发研制。其它取证工作依赖于取证专家人工进行，也造成了计算机取证等同于磁盘分析软件的错觉。

(2)现在计算机取证是一个新的研究领域，许多组织、公司都投入了大量人力进行研究。但没有统一标准和规范，软件的使用者很难对这些工具的有效性和可靠性进行比较。也没有任何机构对计算机取证和工作人员进行认证，使得取证权威性受到质疑。

计算机取证发展研究

计算机取证技术随着黑客技术提高而不断发展，为确保取证所需的有效法律证据，根据目前网络入侵和攻击手段以及未来黑客技术的发展趋势，以及计算机取证研究工作的不断深入和改善，计算机取证将向以下几个方向发展：

取证工具向智能化、专业化和自动化方向发展

计算机取证科学涉及到多方面知识。现在许多工作依赖于人工实现，大大降低取证速度和取证结果的可靠性。在工具软件的开发上应该结合计算机