計算機取證技術(shù)應(yīng)用

　　計算機取證技術(shù)應(yīng)用【1】

　　摘 要：本文介紹了計算機取證技術(shù)概念、計算機取證人員在取證過程中應(yīng)遵循的原則及操作規(guī)范，分析了當(dāng)前計算機取證應(yīng)用的主要技術(shù)，討論了計算機取證的發(fā)展趨勢。

　　關(guān)鍵詞：計算機取證;取證技術(shù);電子證據(jù)

　　隨著計算機技術(shù)的發(fā)展，計算機的應(yīng)用已經(jīng)成為人們工作和生活中不可或缺的一部分。

　　計算機及信息技術(shù)給我們帶來便利的同時，也為犯罪分子提供了新型的犯罪手段，與計算機相關(guān)的違法犯罪行為也相應(yīng)隨之增加。

　　在實際案件中，涉及需要計算機取證的案件也日益增加，特別是在2012年3月14日，第十一屆全國人民代表大會第五次會議審議通過了《關(guān)于修改(中華人民共和國刑事訴訟法)的決定》，將“電子數(shù)據(jù)”作為一種獨立的證據(jù)種類加以規(guī)定，第一次以基本法律的形式確認了電子證據(jù)在刑事訴訟中的法律地位。

　　由于電子證據(jù)的易丟失、易被篡改、偽造、破壞、毀滅等特性，為了避免破壞證據(jù)和原始數(shù)據(jù)，取證人員在對計算機進行取證工作過程中，必須嚴格按照規(guī)范程序操作，并遵守一定的原則。

　　1 計算機取證的定義

　　當(dāng)前對計算機取證還沒有較為全面統(tǒng)一和標準化的定義，許多專家學(xué)者和機構(gòu)站在不同的角度給計算機取證下的定義都有所不同。

　　當(dāng)前相對較為全面且被大部分人認可的定義是：計算機取證是指對相關(guān)電子證據(jù)的確定、收集、保護、分析、歸檔以及法庭出示的過程，這里的相關(guān)電子證據(jù)是指存儲在計算機及相關(guān)外部設(shè)備中能夠為法庭接受的、足夠可靠和有說服力的電子證據(jù)。

　　2 計算機取證規(guī)范

　　由于電子證據(jù)具有易破壞性等特點，取證人員在進行計算機取證時應(yīng)有嚴格的規(guī)范程序要求，取證過程應(yīng)當(dāng)遵守一定的基本原則：首先是證據(jù)的取得必須合法。

　　其次取證人員的計算機取證工作必須有嚴格操作規(guī)范。

　　最后，取證工作應(yīng)當(dāng)在監(jiān)督下執(zhí)行，并且有相應(yīng)的操作記錄，必要時應(yīng)當(dāng)有第三方介入。

　　3 取證技術(shù)的應(yīng)用

　　電子證據(jù)主要來源有三個方面：一是來自主機系統(tǒng)設(shè)備及其附件方面的證據(jù);二是來自網(wǎng)絡(luò)系統(tǒng)方面的證據(jù);三是來自其他各種類型的數(shù)字電子設(shè)備的證據(jù)。

　　根據(jù)計算機取證所處的階段不同，可以采用不同的取證技術(shù);當(dāng)前計算機取證應(yīng)用的主要技術(shù)可以分為以下幾個方面：

　　3.1 磁盤復(fù)制技術(shù)

　　取證過程不允許在原始磁盤設(shè)備上面進行直接操作。

　　因為在原始磁盤設(shè)備上面直接提取數(shù)據(jù)可能會損壞磁盤上的原始數(shù)據(jù)，造成不可逆的數(shù)據(jù)破壞或數(shù)據(jù)永久性丟失。

　　通過鏡像方式做磁盤整盤復(fù)制或制作磁盤鏡像文件對原始數(shù)據(jù)進行位對位的精確復(fù)制，復(fù)制時可以對數(shù)據(jù)或者設(shè)備進行校驗(如MD5或者SHA2)確認所獲取的數(shù)據(jù)文件與原始磁盤介質(zhì)中的文件數(shù)據(jù)完全一致，并且未被修改過。

　　通過磁盤鏡像復(fù)制的數(shù)據(jù)不同于一般的復(fù)制粘貼，鏡像方式復(fù)制的數(shù)據(jù)包括磁盤的臨時文件 ，交換文件，磁盤未分配區(qū)，及文件松弛區(qū)等信息，這信息對于某些特定案件的取證是必須的。

　　3.2 信息搜索與過濾技術(shù)

　　信息搜索與過濾技術(shù)就是從大量的信息數(shù)據(jù)中獲取與案件直接或者間接相關(guān)的犯罪證據(jù)，如文本、圖像、音視頻等文件信息。

　　當(dāng)前應(yīng)用較多的技術(shù)有：數(shù)據(jù)過濾技術(shù)、數(shù)據(jù)挖掘技術(shù)等。

　　3.3 數(shù)據(jù)恢復(fù)技術(shù)

　　數(shù)據(jù)恢復(fù)技術(shù)[3]是指通過技術(shù)手段，把保存在磁盤、存儲卡等電子設(shè)備上遭到破壞和丟失的數(shù)據(jù)還原為正常數(shù)據(jù)的技術(shù)。

　　從操作層面上看，可以將數(shù)據(jù)恢復(fù)技術(shù)分為軟件恢復(fù)技術(shù)、硬件恢復(fù)技術(shù)。

　　3.4 隱形文件識別與提取技術(shù)

　　隨著技術(shù)的高速發(fā)展，犯罪嫌疑人的反偵查意識也在提高。

　　嫌疑人經(jīng)常會對重要的數(shù)據(jù)文件采用偽裝、隱藏等技術(shù)手段使文件隱形，以逃避偵查。

　　案件中常見的技術(shù)應(yīng)用有數(shù)據(jù)隱藏技術(shù)、水印提取技術(shù)、和文件的反編譯技術(shù)。

　　3.5 密碼分析與解密技術(shù)

　　密碼分析與解密技術(shù)是借助各種類型的軟件工具對已加密的數(shù)據(jù)進行解密。

　　常見的技術(shù)有口令搜索、加密口令的暴力破解技術(shù)、網(wǎng)絡(luò)偷聽技術(shù)、密碼破解技術(shù)、密碼分析技術(shù)。

　　其中密碼分析技術(shù)包括對明文密碼、密文密碼以及密碼文件的分析與破解。

　　3.6 網(wǎng)絡(luò)追蹤技術(shù)

　　網(wǎng)絡(luò)追蹤技術(shù)是根據(jù)IP報文信息轉(zhuǎn)發(fā)及路由信息來判斷信息源在網(wǎng)絡(luò)中的位置，有時還需要對所獲取的數(shù)據(jù)包進行技術(shù)分析才能追蹤到攻擊者的真實位置。

　　常用的追蹤技術(shù)有連接檢測、日志記錄分析、ICMP追蹤、標記信息技術(shù)與信息安全文法等。

　　3.7 日志分析技術(shù)

　　日志文件由日志記錄組成，每條日志記錄描述了一次單獨的系統(tǒng)事件[4]。

　　日志文件記錄著大量的用戶行為使用痕跡，在計算機取證過程中充分利用日志文件提取有用的證據(jù)數(shù)據(jù)，是進行日志分析的關(guān)鍵。

　　3.8 互聯(lián)網(wǎng)數(shù)據(jù)挖掘技術(shù)

　　數(shù)據(jù)挖掘[5]是一種數(shù)據(jù)分析方法，它可以對大量的業(yè)務(wù)數(shù)據(jù)進行搜索和分析并提取關(guān)鍵性數(shù)據(jù)，從而來揭示隱藏在其中的、未知的有效證據(jù)信息，或?qū)σ阎�的證據(jù)信息進行驗證。

　　根據(jù)網(wǎng)絡(luò)數(shù)據(jù)的特點可以分成靜態(tài)獲取和動態(tài)獲取。

　　靜態(tài)獲取是從海量的網(wǎng)絡(luò)數(shù)據(jù)中獲取有關(guān)計算機犯罪的證據(jù)信息。

　　動態(tài)獲取[6]是對網(wǎng)絡(luò)信息數(shù)據(jù)流的實時捕獲。

　　4 結(jié)束語

　　計算機取證技術(shù)是一個迅速發(fā)展的研究領(lǐng)域，有著良好的應(yīng)用前景。

　　特別是在2012年3月，新的刑事訴訟法對“電子數(shù)據(jù)”的法律地位加以獨立規(guī)定，計算機取證技術(shù)的重要性顯得更為突出。

　　當(dāng)前，國內(nèi)在計算機取證技術(shù)上的研究力量也正在逐漸加強，相關(guān)取證技術(shù)及法律法規(guī)的研究也越來越多的受到重視，但在程序上還缺乏一套統(tǒng)一的計算機取證流程，對于取證人員的培養(yǎng)和取證機構(gòu)的建設(shè)還需要進一步加強。

　　參考文獻：

　　[1]麥永浩，孫國梓，許榕生，戴士劍.計算機取證與司法鑒定[M].清華大學(xué)出版社，2009(01).

　　[2]殷聯(lián)甫.網(wǎng)絡(luò)與計算機安全叢書計算機取證技術(shù)[M].北京：科學(xué)出版社，2008(02).

　　[3]戴士劍，戴森，房金信.數(shù)據(jù)恢復(fù)與硬盤修理[M].電子工業(yè)出版社，2012：1-79.

　　[4]姜燕.計算機取證中日志分析技術(shù)綜述[J].電子設(shè)計工程，2013(06).

　　[5]百度百科.數(shù)據(jù)挖掘[EB/OL].http：//baike.baidu.com/link?url=t1Ag0_5CVBuM2BM7c3cd43a_Vevhe0MS0-Tz16RdalTyB4XTB9vulAP0A2AK281o，2013-11-22

　　[6](美)Harlan Carvey著 卡羅王智慧，崔孝晨，陸道宏 譯.Windows取證分析：Windows forensic analysis[M].北京：科學(xué)出版社，2009.

　　計算機取證技術(shù)【2】

　　摘 要：近幾年來，隨著計算機網(wǎng)絡(luò)的普及，計算機網(wǎng)絡(luò)病毒也愈來愈猖獗，依靠計算機網(wǎng)絡(luò)系統(tǒng)的犯罪現(xiàn)象越來越突出，已成為較嚴重的技術(shù)問題。

　　由于犯罪手段愈加隱秘，犯罪技術(shù)愈加先進，傳統(tǒng)的破案方法已難以將其繩之以法，就必須依靠計算機取證技術(shù)，對犯罪現(xiàn)象進行有效打擊。

　　為此，本文對計算機取證技術(shù)進行相關(guān)研究，具有重要的實際意義。

　　關(guān)鍵詞：計算機;取證技術(shù)

　　計算機犯罪是一種與時代同步發(fā)展的技術(shù)犯罪，加上計算機犯罪具有較強的隱蔽性及匿名性，使得偵查計算機犯罪具有較大困難。

　　尤其隨著計算機網(wǎng)絡(luò)技術(shù)的日益更新，對網(wǎng)絡(luò)攻擊水平也在不斷提高，新的攻擊手段及工具層出不窮，對網(wǎng)絡(luò)信息安全造成了極大威脅。

　　鑒于此種現(xiàn)象，迫使我們必須改變傳統(tǒng)的防御技術(shù)，變被動為主動，嚴厲打擊犯罪分子的囂張氣焰，從根本上降低犯罪率。

　　計算機取證技術(shù)作為一種先進技術(shù)，就能夠解決這一問題，能夠嚴厲打擊犯罪分子。

　　1 計算機取證概述

　　所謂計算機取證是指對計算機入侵、破壞及攻擊等犯罪行為，依靠計算機硬軟件技術(shù)，并遵循國家相關(guān)法律規(guī)范，對犯罪行為提取證據(jù)，并對其進行分析及保存。

　　從技術(shù)角度看，計算機取證可對入侵計算機的系統(tǒng)進行破解及掃描，對入侵的過程進行重建。

　　計算機取證也稱之為電子取證、數(shù)字取證或計算機法醫(yī)學(xué)，主要包括兩個階段，即獲取數(shù)據(jù)、發(fā)現(xiàn)信息。

　　其中獲取數(shù)據(jù)是指取證人員針對入侵現(xiàn)象，尋找相關(guān)的計算機硬件;而發(fā)現(xiàn)信息則是指從獲取的數(shù)據(jù)中尋找相關(guān)的犯罪證據(jù)，該證據(jù)與傳統(tǒng)的證據(jù)一樣具有較高的可靠性及真實性。

　　計算機取證流程分為以下幾個步驟：取證準備――現(xiàn)場勘查――數(shù)據(jù)分析――證據(jù)呈遞四大步驟，每一步驟都有自己的特點。

　　如：數(shù)據(jù)分析是將與犯罪相關(guān)的事實數(shù)據(jù)相繼找出來，與案件取得相關(guān)性。

　　2 分析計算機取證技術(shù)

　　計算機取證技術(shù)主要分為蜜罐網(wǎng)絡(luò)取證系統(tǒng)、數(shù)字圖像邊緣特性濾波取證系統(tǒng)、分布式自治型取證系統(tǒng)及自適應(yīng)動態(tài)取證系統(tǒng)。

　　2.1 蜜罐網(wǎng)絡(luò)取證系統(tǒng)

　　從當(dāng)前來看，蜜罐網(wǎng)絡(luò)取證系統(tǒng)已受到很多計算機研究者的重視，并對其進行研究分析，通過布置安全的蜜網(wǎng)，就能夠正確收集大量的攻擊行為。

　　通過近幾年的研究，一種主動的蜜罐系統(tǒng)被提出來，該系統(tǒng)能夠自動生成一個供給目的的匹配對象，并對入侵的信息研究較為深入。

　　蜜罐取證系統(tǒng)結(jié)構(gòu)中每一個蜜罐都是虛擬的，并配備有合法的外部的IP地址，可看成一個獨立的機器，對不同的操作系統(tǒng)進行模仿，并能夠收集相關(guān)日志數(shù)據(jù)，最終實現(xiàn)日志與蜜罐的分離。

　　通過蜜罐系統(tǒng)可根據(jù)攻擊者在蜜罐中的時間，獲取更多有關(guān)攻擊的信息，進而采取有效的防范措施，最終提升系統(tǒng)的安全性。

　　2.2 數(shù)字圖像邊緣特性濾波取證系統(tǒng)

　　所謂的數(shù)字圖像邊緣特性濾波取證系統(tǒng)是指攻擊者對圖像的篡改，要想對圖像進行正確的取證則需要對圖像的篡改手段進行詳細的掌握，最為主要的就是對圖像的合成及潤飾的檢測。

　　對于圖像的合成主要采用同態(tài)濾波放大人工的模糊邊界，在一定頻域中對圖像的亮度進行壓縮，并對圖像的對比度進行增強，進而使得人工模糊操作中的模糊邊界得到放大，提高取證的準確性。

　　當(dāng)圖像采用同態(tài)濾波之后，模糊邊緣就能夠得到方法，并利用腐蝕運算，除掉圖像自然邊緣，對其偽造區(qū)域進行正確定位。

　　另一方面則是潤飾的檢測。

　　利用形態(tài)學(xué)濾波的方式，構(gòu)造合適的結(jié)構(gòu)元素，包括結(jié)構(gòu)元素的形狀、大小等。

　　結(jié)構(gòu)元素大小適宜選擇三像素的方形結(jié)構(gòu)，其檢測步驟為：首先，采取適當(dāng)?shù)耐瑧B(tài)濾波函數(shù)，對預(yù)取證圖像的邊緣進行擴展處理;然后，將經(jīng)過濾波之后的圖像信息提取出來;最后，選取腐蝕運算將經(jīng)過增強處理的圖像模糊拼接邊緣提取出來，最終對圖像的偽造區(qū)域進行定位。

　　2.3 分布式自治型取證系統(tǒng)

　　管理的證據(jù)收集及集中式的處理是較為普遍的證據(jù)收集方式，具有復(fù)雜的層次結(jié)構(gòu)，但該設(shè)計的缺點為網(wǎng)絡(luò)寬帶不足且單點失效，極易發(fā)生性能瓶頸，進而無法正確收集大量的攻擊信息。

　　鑒于以上存在的缺點，特研究出一種分布式自治型的取證系統(tǒng)，該系統(tǒng)采用三層的分布方式，通過各個取證字點能夠獨立地完成證據(jù)的收集。

　　2.4 自適應(yīng)動態(tài)取證系統(tǒng)

　　所謂自適應(yīng)動態(tài)取證系統(tǒng)是指對網(wǎng)絡(luò)數(shù)據(jù)流進行分析及捕捉，對網(wǎng)絡(luò)運行狀態(tài)進行實時的監(jiān)控。

　　當(dāng)前，所使用的自適應(yīng)取證系統(tǒng)是基于Agent的自治軟件實體，在需要的時候能夠被動或主動地從一個網(wǎng)絡(luò)結(jié)點向另一網(wǎng)絡(luò)節(jié)點轉(zhuǎn)移，在任意點都能夠?qū)��?zhí)行過程進行中斷。

　　通過利用該軟件構(gòu)造檢測取證的異構(gòu)環(huán)境，有效將取證技術(shù)與網(wǎng)絡(luò)安全系統(tǒng)相結(jié)合起來，實現(xiàn)自適應(yīng)識別、分析及獲取可疑網(wǎng)絡(luò)信息，智能分析攻擊者的入侵動機。

　　此外，可確保系統(tǒng)網(wǎng)絡(luò)安全的條件下，獲取相應(yīng)的證據(jù)。

　　該取證系統(tǒng)最為重要的是能夠根據(jù)攻擊者的攻擊手段而改變，隨時調(diào)整防范對策。

　　3 計算機取證技術(shù)的發(fā)展方向

　　盡管計算機取證技術(shù)在當(dāng)前應(yīng)用較為廣泛，但仍存在一些局限性，如取證軟件的局限性、反取證技術(shù)的局限性。

　　其中反取證技術(shù)的局限性則表現(xiàn)以下三方面：其一，數(shù)據(jù)的擦除主要是采用Klismafile工具進行的，該工具并不是一個完美的解決問題工具，這主要是因為被該工具修改后的目錄文件極易可能出現(xiàn)目錄項大小不同的現(xiàn)象，影響取證信息的搜集。

　　其二，對數(shù)據(jù)加密時，為了能夠長期保存數(shù)據(jù)，就必須使用數(shù)據(jù)隱藏與其他技術(shù)聯(lián)合使用，可使用別人不知道的文件進行加密處理，盡管對其進行加密了，但在運行時則需要執(zhí)行一個文本解密程序來解密已經(jīng)加密的代碼，而這個代碼極易被黑客程序所破解，就有可能需要另一個解密程序。

　　其三，數(shù)據(jù)的隱藏。

　　為了能夠有效地逃避取證，一些攻擊者就對不能夠刪除的文件進行隱藏，讓調(diào)查者不易檢查出來，往往將數(shù)據(jù)文件隱藏在磁盤上。

　　隱藏的文件往往在調(diào)查者不知到哪里尋找相關(guān)證據(jù)時才有效，故僅僅適用于短期的數(shù)據(jù)保存。

　　計算機取證技術(shù)在今后一段時期內(nèi)，則應(yīng)向智能化及標準化方向發(fā)展，所謂智能化是指必須將計算機取證技術(shù)與人工智能技術(shù)緊密聯(lián)合起來，若僅僅依靠人工來操作，不僅工作效率低下，而且取證信息有可能失去真實性。

　　為此，則必須通過人工智能，對攻擊者的犯罪手段進行提前預(yù)測，采取相應(yīng)的措施，從而提取犯罪信息，并對信息進行綜合分析。

　　標準化則是指所使用的取證軟件及技術(shù)必須不斷更新，并制定嚴格的取證規(guī)程。

　　這主要是因為當(dāng)前很多取證工具軟件在實際的應(yīng)用過程中，往往升級較慢，對于一些先進的黑客技術(shù)則無能為力，使得越來越多的攻擊者越來越猖獗，為此，則需要對取證工具進行有效的驗證，確保取證工具的規(guī)范化及標準化。

　　4 結(jié)束語

　　總而言之，計算機取證技術(shù)在保護消費者利益，打擊犯罪行為上具有重要的應(yīng)用前景。

　　利用計算機取證系統(tǒng)能夠較好地發(fā)現(xiàn)計算機存在的漏洞，并對其進行修復(fù)，這樣一來，就能夠較好地確保計算機的安全性，最大限度減少犯罪行為。

　　此外，不僅需要相關(guān)計算機取證技術(shù)，而且還需要相關(guān)的法律制裁，需建立一套完整的法律保障系統(tǒng)，切實保護國家安全信息及消費者利益。

　　參考文獻：

　　[1]楊繼武.對計算機取證技術(shù)的一些探討[J].制造業(yè)自動化，2012，34(5)：67-69，83.

　　[2]熊杰.計算機主機隱秘信息取證技術(shù)研究[J].軟件導(dǎo)刊，2013，12(4)：157-159.

　　[3]冷繼兵.計算機的取證技術(shù)與發(fā)展方向研究[J].煤炭技術(shù)，2013，32(7)：182-184.

　　[4]王文奇，苗鳳君，潘磊等.網(wǎng)絡(luò)取證完整性技術(shù)研究[J].電子學(xué)報，2010，38(11)：2529-2534.

　　[5]熊杰.計算機主機隱秘信息取證技術(shù)研究[J].軟件導(dǎo)刊，2013，12(4)：157-159.

【計算機取證技術(shù)應(yīng)用】相關(guān)文章：

計算機取證技術(shù)應(yīng)用論文10-09

計算機應(yīng)用與技術(shù)10-26

計算機移動技術(shù)應(yīng)用10-08

探究計算機移動技術(shù)應(yīng)用10-01

分析計算機視覺技術(shù)的應(yīng)用09-30

計算機數(shù)據(jù)恢復(fù)技術(shù)應(yīng)用10-08

計算機技術(shù)應(yīng)用論文10-09

計算機信息技術(shù)的應(yīng)用10-08

計算機應(yīng)用技術(shù)對項目管理的應(yīng)用論文10-08