计算机取证技术应用论文【1】
摘 要:本文介绍了计算机取证技术概念、计算机取证人员在取证过程中应遵循的原则及操作规范,分析了当前计算机取证应用的主要技术,讨论了计算机取证的发展趋势。
关键词:计算机取证;取证技术;电子证据
随着计算机技术的发展,计算机的应用已经成为人们工作和生活中不可或缺的一部分。
计算机及信息技术给我们带来便利的同时,也为犯罪分子提供了新型的犯罪手段,与计算机相关的违法犯罪行为也相应随之增加。
在实际案件中,涉及需要计算机取证的案件也日益增加,特别是在2012年3月14日,第十一届全国人民代表大会第五次会议审议通过了《关于修改(中华人民共和国刑事诉讼法)的决定》,将“电子数据”作为一种独立的证据种类加以规定,第一次以基本法律的形式确认了电子证据在刑事诉讼中的法律地位。
由于电子证据的易丢失、易被篡改、伪造、破坏、毁灭等特性,为了避免破坏证据和原始数据,取证人员在对计算机进行取证工作过程中,必须严格按照规范程序操作,并遵守一定的原则。
1 计算机取证的定义
当前对计算机取证还没有较为全面统一和标准化的定义,许多专家学者和机构站在不同的角度给计算机取证下的定义都有所不同。
当前相对较为全面且被大部分人认可的定义是:计算机取证是指对相关电子证据的确定、收集、保护、分析、归档以及法庭出示的过程,这里的相关电子证据是指存储在计算机及相关外部设备中能够为法庭接受的、足够可靠和有说服力的电子证据。
2 计算机取证规范
由于电子证据具有易破坏性等特点,取证人员在进行计算机取证时应有严格的规范程序要求,取证过程应当遵守一定的基本原则:首先是证据的取得必须合法。
其次取证人员的计算机取证工作必须有严格操作规范。
最后,取证工作应当在监督下执行,并且有相应的操作记录,必要时应当有第三方介入。
3 取证技术的应用
电子证据主要来源有三个方面:一是来自主机系统设备及其附件方面的证据;二是来自网络系统方面的证据;三是来自其他各种类型的数字电子设备的证据。
根据计算机取证所处的阶段不同,可以采用不同的取证技术;当前计算机取证应用的主要技术可以分为以下几个方面:
3.1 磁盘复制技术
取证过程不允许在原始磁盘设备上面进行直接操作。
因为在原始磁盘设备上面直接提取数据可能会损坏磁盘上的原始数据,造成不可逆的数据破坏或数据永久性丢失。
通过镜像方式做磁盘整盘复制或制作磁盘镜像文件对原始数据进行位对位的精确复制,复制时可以对数据或者设备进行校验(如MD5或者SHA2)确认所获取的数据文件与原始磁盘介质中的文件数据完全一致,并且未被修改过。
通过磁盘镜像复制的数据不同于一般的复制粘贴,镜像方式复制的数据包括磁盘的临时文件 ,交换文件,磁盘未分配区,及文件松弛区等信息,这信息对于某些特定案件的取证是必须的。
3.2 信息搜索与过滤技术
信息搜索与过滤技术就是从大量的信息数据中获取与案件直接或者间接相关的犯罪证据,如文本、图像、音视频等文件信息。
当前应用较多的技术有:数据过滤技术、数据挖掘技术等。
3.3 数据恢复技术
数据恢复技术[3]是指通过技术手段,把保存在磁盘、存储卡等电子设备上遭到破坏和丢失的数据还原为正常数据的技术。
从操作层面上看,可以将数据恢复技术分为软件恢复技术、硬件恢复技术。
3.4 隐形文件识别与提取技术
随着技术的高速发展,犯罪嫌疑人的反侦查意识也在提高。
嫌疑人经常会对重要的数据文件采用伪装、隐藏等技术手段使文件隐形,以逃避侦查。
案件中常见的技术应用有数据隐藏技术、水印提取技术、和文件的反编译技术。
3.5 密码分析与解密技术
密码分析与解密技术是借助各种类型的软件工具对已加密的数据进行解密。
常见的技术有口令搜索、加密口令的暴力破解技术、网络偷听技术、密码破解技术、密码分析技术。
其中密码分析技术包括对明文密码、密文密码以及密码文件的分析与破解。
3.6 网络追踪技术
网络追踪技术是根据IP报文信息转发及路由信息来判断信息源在网络中的位置,有时还需要对所获取的数据包进行技术分析才能追踪到攻击者的真实位置。
常用的追踪技术有连接检测、日志记录分析、ICMP追踪、标记信息技术与信息安全文法等。
3.7 日志分析技术
日志文件由日志记录组成,每条日志记录描述了一次单独的系统事件[4]。
日志文件记录着大量的用户行为使用痕迹,在计算机取证过程中充分利用日志文件提取有用的证据数据,是进行日志分析的关键。
3.8 互联网数据挖掘技术
数据挖掘[5]是一种数据分析方法,它可以对大量的业务数据进行搜索和分析并提取关键性数据,从而来揭示隐藏在其中的、未知的有效证据信息,或对已知的证据信息进行验证。
根据网络数据的特点可以分成静态获取和动态获取。
静态获取是从海量的网络数据中获取有关计算机犯罪的证据信息。
动态获取[6]是对网络信息数据流的实时捕获。
4 结束语
计算机取证技术是一个迅速发展的研究领域,有着良好的应用前景。
特别是在2012年3月,新的刑事诉讼法对“电子数据”的法律地位加以独立规定,计算机取证技术的重要性显得更为突出。
当前,国内在计算机取证技术上的研究力量也正在逐渐加强,相关取证技术及法律法规的研究也越来越多的受到重视,但在程序上还缺乏一套统一的计算机取证流程,对于取证人员的培养和取证机构的建设还需要进一步加强。
参考文献:
[1]麦永浩,孙国梓,许榕生,戴士剑.计算机取证与司法鉴定[M].清华大学出版社,2009(01).
[2]殷联甫.网络与计算机安全丛书计算机取证技术[M].北京:科学出版社,2008(02).
[3]戴士剑,戴森,房金信.数据恢复与硬盘修理[M].电子工业出版社,2012:1-79.
[4]姜燕.计算机取证中日志分析技术综述[J].电子设计工程,2013(06).
[5]百度百科.数据挖掘[EB/OL].http://baike.baidu.com/link?url=t1Ag0_5CVBuM2BM7c3cd43a_Vevhe0MS0-Tz16RdalTyB4XTB9vulAP0A2AK281o,2013-11-22
[6](美)Harlan Carvey著 卡罗王智慧,崔孝晨,陆道宏 译.Windows取证分析:Windows forensic analysis[M].北京:科学出版社,2009. b
计算机移动技术应用【2】
摘 要:本研究以探讨计算机技术发展情况作为研究切入点,进而剖析计算机技术迅速发展环境下移动技术、互联网升级蔓延等的发展情况。
关键词:计算机技术 移动技术 互联网
1 计算机技术发展概况
1.1 专业化的工作
第二篇:计算机取证技术应用
计算机取证技术应用【1】
摘 要:本文介绍了计算机取证技术概念、计算机取证人员在取证过程中应遵循的原则及操作规范,分析了当前计算机取证应用的主要技术,讨论了计算机取证的发展趋势。
关键词:计算机取证;取证技术;电子证据
随着计算机技术的发展,计算机的应用已经成为人们工作和生活中不可或缺的一部分。
计算机及信息技术给我们带来便利的同时,也为犯罪分子提供了新型的犯罪手段,与计算机相关的违法犯罪行为也相应随之增加。
在实际案件中,涉及需要计算机取证的案件也日益增加,特别是在2012年3月14日,第十一届全国人民代表大会第五次会议审议通过了《关于修改(中华人民共和国刑事诉讼法)的决定》,将“电子数据”作为一种独立的证据种类加以规定,第一次以基本法律的形式确认了电子证据在刑事诉讼中的法律地位。
由于电子证据的易丢失、易被篡改、伪造、破坏、毁灭等特性,为了避免破坏证据和原始数据,取证人员在对计算机进行取证工作过程中,必须严格按照规范程序操作,并遵守一定的原则。
1 计算机取证的定义
当前对计算机取证还没有较为全面统一和标准化的定义,许多专家学者和机构站在不同的角度给计算机取证下的定义都有所不同。
当前相对较为全面且被大部分人认可的定义是:计算机取证是指对相关电子证据的确定、收集、保护、分析、归档以及法庭出示的过程,这里的相关电子证据是指存储在计算机及相关外部设备中能够为法庭接受的、足够可靠和有说服力的电子证据。
2 计算机取证规范
由于电子证据具有易破坏性等特点,取证人员在进行计算机取证时应有严格的规范程序要求,取证过程应当遵守一定的基本原则:首先是证据的取得必须合法。
其次取证人员的计算机取证工作必须有严格操作规范。
最后,取证工作应当在监督下执行,并且有相应的操作记录,必要时应当有第三方介入。
3 取证技术的应用
电子证据主要来源有三个方面:一是来自主机系统设备及其附件方面的证据;二是来自网络系统方面的证据;三是来自其他各种类型的数字电子设备的证据。
根据计算机取证所处的阶段不同,可以采用不同的取证技术;当前计算机取证应用的主要技术可以分为以下几个方面:
3.1 磁盘复制技术
取证过程不允许在原始磁盘设备上面进行直接操作。
因为在原始磁盘设备上面直接提取数据可能会损坏磁盘上的原始数据,造成不可逆的数据破坏或数据永久性丢失。
通过镜像方式做磁盘整盘复制或制作磁盘镜像文件对原始数据进行位对位的精确复制,复制时可以对数据或者设备进行校验(如MD5或者SHA2)确认所获取的数据文件与原始磁盘介质中的文件数据完全一致,并且未被修改过。
通过磁盘镜像复制的数据不同于一般的复制粘贴,镜像方式复制的数据包括磁盘的临时文件 ,交换文件,磁盘未分配区,及文件松弛区等信息,这信息对于某些特定案件的取证是必须的。
3.2 信息搜索与过滤技术
信息搜索与过滤技术就是从大量的信息数据中获取与案件直接或者间接相关的犯罪证据,如文本、图像、音视频等文件信息。
当前应用较多的技术有:数据过滤技术、数据挖掘技术等。
3.3 数据恢复技术
数据恢复技术[3]是指通过技术手段,把保存在磁盘、存储卡等电子设备上遭到破坏和丢失的数据还原为正常数据的技术。
从操作层面上看,可以将数据恢复技术分为软件恢复技术、硬件恢复技术。
3.4 隐形文件识别与提取技术
随着技术的高速发展,犯罪嫌疑人的反侦查意识也在提高。
嫌疑人经常会对重要的数据文件采用伪装、隐藏等技术手段使文件隐形,以逃避侦查。
案件中常见的技术应用有数据隐藏技术、水印提取技术、和文件的反编译技术。
3.5 密码分析与解密技术
密码分析与解密技术是借助各种类型的软件工具对已加密的数据进行解密。
常见的技术有口令搜索、加密口令的暴力破解技术、网络偷听技术、密码破解技术、密码分析技术。
其中密码分析技术包括对明文密码、密文密码以及密码文件的分析与破解。
3.6 网络追踪技术
网络追踪技术是根据IP报文信息转发及路由信息来判断信息源在网络中的位置,有时还需要对所获取的数据包进行技术分析才能追踪到攻击者的真实位置。
常用的追踪技术有连接检测、日志记录分析、ICMP追踪、标记信息技术与信息安全文法等。
3.7 日志分析技术
日志文件由日志记录组成,每条日志记录描述了一次单独的系统事件[4]。
日志文件记录着大量的用户行为使用痕迹,在计算机取证过程中充分利用日志文件提取有用的证据数据,是进行日志分析的关键。
3.8 互联网数据挖掘技术
数据挖掘[5]是一种数据分析方法,它可以对大量的业务数据进行搜索和分析并提取关键性数据,从而来揭示隐藏在其中的、未知的有效证据信息,或对已知的证据信息进行验证。
根据网络数据的特点可以分成静态获取和动态获取。
静态获取是从海量的网络数据中获取有关计算机犯罪的证据信息。
动态获取[6]是对网络信息数据流的实时捕获。
4 结束语
计算机取证技术是一个迅速发展的研究领域,有着良好的应用前景。
特别是在2012年3月,新的刑事诉讼法对“电子数据”的法律地位加以独立规定,计算机取证技术的重要性显得更为突出。
当前,国内在计算机取证技术上的研究力量也正在逐渐加强,相关取证技术及法律法规的研究也越来越多的受到重视,但在程序上还缺乏一套统一的计算机取证流程,对于取证人员的培养和取证机构的建设还需要进一步加强。
参考文献:
[1]麦永浩,孙国梓,许榕生,戴士剑.计算机取证与司法鉴定[M].清华大学出版社,2009(01).
[2]殷联甫.网络与计算机安全丛书计算机取证技术[M].北京:科学出版社,2008(02).
[3]戴士剑,戴森,房金信.数据恢复与硬盘修理[M].电子工业出版社,2012:1-79.
[4]姜燕.计算机取证中日志分析技术综述[J].电子设计工程,2013(06).
[5]百度百科.数据挖掘[EB/OL].http://baike.baidu.com/link?url=t1Ag0_5CVBuM2BM7c3cd43a_Vevhe0MS0-Tz16RdalTyB4XTB9vulAP0A2AK281o,2013-11-22
[6](美)Harlan Carvey著 卡罗王智慧,崔孝晨,陆道宏 译.Windows取证分析:Windows forensic analysis[M].北京:科学出版社,2009.
计算机取证技术【2】
摘 要:近几年来,随着计算机网络的普及,计算机网络病毒也愈来愈猖獗,依靠计算机网络系统的犯罪现象越来越突出,已成为较严重的技术问题。
由于犯罪手段愈加隐秘,犯罪技术愈加先进,传统的破案方法已难以将其绳之以法,就必须依靠计算机取证技术,对犯罪现象进行有效打击。
为此,本文对计算机取证技术进行相关研究,具有重要的实际意义。
关键词:计算机;取证技术
计算机犯罪是一种与时代同步发展的技术犯罪,加上计算机犯罪具有较强的隐蔽性及匿名性,使得侦查计算机犯罪具有较大困难。
尤其随着计算机网络技术的日益更新,对网络攻击水平也在不断提高,新的攻击手段及工具层出不穷,对网络信息安全造成了极大威胁。
鉴于此种现象,迫使我们必须改变传统的防御技术,变被动为主动,严厉打击犯罪分子的嚣张气焰,从根本上降低犯罪率。
计算机取证技术作为一种先进技术,就能够解决这一问题,能够严厉打击犯罪分子。
1 计算机取证概述