探讨计算机取证技术面临的困难
择要:计较机犯法属于一类粉碎性极大的犯法,必需对其举办严肃查处和冲击,而举办计较机取证是对犯法举动举办冲击的重要性技能,是对案件举办侦破的要害性环节,如:证据获取、对犯法怀疑人举办确定等。今朝,计较机取证技能照旧一个较量前沿的新兴规模,其首要的研究内容首要是对数字证据举办获取,并对相干的技能细节举办确定,从而为冲击计较机犯法提供一套操纵性强、应用范畴广的实践取证尺度,以得到关联性强、客观、正当的电子数字证据。但因为受到某些方面的技能前提限定,计较机取证技能在运用和成长进程中还面对着很多的坚苦,如:反取证技能使证据获得潜匿或删除导致取证无效等。本文将团结笔者的现实履历,环绕计较机取证技能睁开切磋,叙述了计较机取证技能的寄义,说明白计较机取证技能的取证流程,并对计较机取证技能所面对的坚苦及作案纪律举办了总结,以对相干事恋职员提供某些参考性意见。
关楗词:钟算机犯法;计较机取证;犯法证据;技能坚苦;黑客入侵
—、弓I言
跟着收集信息技能的快速成长及遍及,计较机技能在给人们一般糊口及事变带来利便的同时,也暗藏着各类百般的信息危急。连年来,计较机在各个规模获得了极为普及的运用,已经成为了一种平凡的应用器材,而犯法分子也将其作为了常用的犯法器材,计较机犯法案件也层出不穷,如:计较机诈骗、电子商务纠纷、收集进攻、资料信息的改动及窃取等。这是一种极为高科技的犯法情势,其根基的犯法证据多以数字情势呈现,并通过收集及计较机举办传输及存储,包罗源代码、文件、记录等,形成电子证据。但在对电子证据举办获取的进程中,因为正常数据同电子证据每每会稠浊在一路,易烧毁、改动,使得提取事变的开展较量的坚苦。因此,对其举办获取、传输、说明及存储就必要严酷凭证相干措施并回收奇异的技妙本领,使证据的有用性、真实性及正当性得以担保。然而今朝我国的计较机取证技能还存在着必然的技能缺陷,,其成长也面对着必然的坚苦,这些都急切必要我们去研究去办理,以对计较机高科技犯法举办严肃的冲击。
二、计较机取证的观念性说明
(一)寄义
在我国计较机取证(ComputerForensics)凡是也称作电子取证(DigitalForensics),同计较机技能科学及法学有着异常亲近的接洽,属于这两种学科的交错科学。其首要是对科学的技能要领加以运用,对计较机犯法资料举办证明及提取,并将从电子数据源所获取的电子证据加以网络(Collection)、判断(Identification)、验证(Validation)、表明(Interpetation)、说明(Analysis)、掩护CPreservation)>存档(Documentation)及出示(Presentation)等,以对犯法变乱举办重构,或对某些同当前操纵打算无关的侵权性勾当举办说明,以助于对犯法举动举办有用地冲击,对人们的工业及信息安详加以掩护⑴。
(二)来历
计较机取证的首要的信息来历凡是包罗以下几个方面:计较机的主机体系、收集及其他的电子装备。
1.主机体系
计较机主机体系方面的证据首要有:用户的自建文档及掩护文档,建设文件,以及在其他的数据E域内的数据证据。
2.收集方面
收集方面的证据包罗:收集通讯中的及时数据流;收集安详装备,包罗IDS的日记、防火墙等;收集装备,包罗在互换机或路由器上存在的记录;种种的收集接入体系;登录日记及相干的收集日记等。
3.其他电子装备
其他电子装备方面的证据包罗:在电子记事本、PDA等装备中存在的暗码、地点簿、电话号码簿、打算使命表及E-mail信息等。在视频捕获卡、微型摄像头等装备中存在的视频、影像、声音信息及日期时刻标志等。
三、计较机取证的根基流程
要对计较机犯法的相干证据举办获取,凡是可以从以下环节做起-第一,做好取证筹备。对取证的前说起情形举办客观的说明;第二,举办现场勘查,对质据加以牢靠。保障获取证据的正当性;第三,举办相干的数据说明,有用的对质据加以提取。对所获取的重要数据信息举办具体的说明及处理赏罚,将与案件有关的数据举办确定,对犯法究竟加以证明,确保案件同数据的关联性。第四,呈递有用证据。将所获取的有用电子证据举办判断后,对犯法定性加以担保[2]。在整个取证进程中,数据的说明及证据的牢靠是极为要害的环节,同时也是两个技能性含量最髙的环节。计较机取证的根基流程如图1。
图1计较机取证流程图
(―)证据牢靠
计较机取证在证据牢靠环节必需严酷按摄影关的操纵类型有序的睁开,在获取进程中必需选择专业的数据信息技能,对存储介质中所包括的每一个字节都要举办准确的复制,生涯也要选择持续的文件片断或单独的文件来完成。同时,证据文件的根基名目还要同法庭所认定的相干要求符合。今朝,ExpertWitness证据文件名目及LinuxDD镜像名目是在国际法庭获得广泛接管的电子证据名目。
(二)数据说明
计较机取证在数据说明环节必需保障帮助装备的靠得住性及安详性,同时还必需担保在取证和举办数据说明的进程中信息收集体系的不变性,从信息收集体系及装备中对原始数据举办获取也要担保不受到其他信息的滋扰,在对原始数据举办说明之前,必要完成对原始数据的相干数字署名。有关取证职员对犯法证据举办探求其要害在于:第一,保障所找到的相干犯法证据必需是没有被改动过的原始数据;第二,这些所找到的数据可以在取证软件中精确的找到;第三,取证职员必需对这些文件有所相识,并可以或许精确判定此类文件同犯法究竟是否亲近相干。
四、计较机取证技能所面对的坚苦
连年来,计较机取证技能在计箅机的安详规模中已取得了较为明显的成就。但计较机取证技能照旧存在着很多的范围性和不敷,计较机取证技能的运用及成长照旧面对着很多方面的坚苦。凡是环境下我们所讲的计较机取证技能必要在相干电子犯法证据还没有被完全包围的环境下举办,才气够顺遂的找到和发明这些数据证据。但就今朝而言,很多的犯法团伙其犯法技能日益高深,并运用反取证技能对相干取证职员的正常观测取证举动举办阻止,其所回收的本领包罗:跳板及数据_藏、擦除、加密等。某些还将这些本领举办连系行使,给计较机取证事变的顺遂开展带来了极大的坚苦。
(―)跳板
某些黑客为了使自身的犯科入侵陈迹不被发明,其起首会选择对某一台收集计较机(“肉鸡”)举办入侵,然后再操作该台计较机继承后继的入侵举动,后期纵然被查获了,也只会表现“肉鸡”的详细IP地点[3]。一些黑客也会回收署理跳板,使被入侵电脑上所留下的IP地点是署理计较机的。今朝海内为较为常见的跳板技.术多为:黑客先选择一台海外计较机为跳板,然后再接入到海内,譬喻其起首入侵到某国的计较机站点,然后再回收其他国度的计较机作为署理或“肉鸡”,实施跨国家的收集进攻,使案件难以获得侦破。
(二)数据擦除
在反取证技能中,数据擦除的首要目标是将全部证据举办破除,使取证无法顺遂的获得开展。如“灰鸽子”木马和“熊猫烧香”病毒,实现了对小我私人Web及PC站点的入侵,并可以在完成入侵后对日记文件举办破除。若只是选择手工删除是达不到应有的结果的,首要是因为在体系中删除文件后,其在硬盘上的相干数据不会遭到包围,对数据规复软件加以运用便可以使被删除的相干文件得以还原。因此,他们会选择专门的器材对数据加以删除,对硬盘中的数据加以包围,同时,他们还会对CPU寄存器、内存、缓冲区及硬盘中的有关数据信息举办擦除,导致相干取证职员在日记文件中无法对黑客举办追踪。
(三)数据潜匿
对付数据潜匿而言,一样平常是指将某些特定的数字信息犯科的嵌入到宿主数字化信息中,如数字化的文本、声音、视频信号、图像等,以避开取证职员的视野。它凡是是将某些暂且没有删除的数字文件举办潜匿,并伪装成平凡范例的文件,其目标就是增进取证的难度,让取证职员无法找到该类信息。较量多见的数据潜匿技能包罗:隐写术、对文件的后缀名举办变动等。
1.隐写术
将犯法证据在通例文件下举办隐写,如:数字化的文本、声音、视频、图像等,以此来逃避取证职员举办的相干数据说明。譬喻将Word文件在jpg中举办潜匿,选择DOS中的相干Copy
呼吁把对文件举办归并,使之成为jpg文件,从而对文件加以潜匿[4]。今朝较为多见的是将隐写术同数据加密举办团结运用,首要是先对数据举办加密,然后再选择隐写术对文件举办潜匿,导致取证的难度不绝加大。
2.对文件的后缀名举办变动
举办数据潜匿最为快捷的法子就是对文件的后缀名举办修改,譬喻对付Word文档而言,可以把doc改观为图片jpg名目,云云体系便可以使打开本文件的相干默认措施获得了改变,当将本文件打开时,也看不到其他任何有效的信息图像。对信息举办还原,只需把jpg改观为doc。
(四)数据加密
在详细的取证进程中,,取证职员在对某个暗码掩护文件举办打开时,或是在对其举办加密后便转化为乱码文件,给取证事变带来了极大的坚苦。此时,取证职员必需采纳须要的法子对暗码举办破解,将数据的原来脸孔加以规复[5]。可是,凡是环境下黑客会选择极为伟大的暗码或对多种的加密方法连系行使,在短时刻内取证职员无法对加密的数据举办获取。
五、竣事语
计较机取证技能是在保障收集信息安详及冲击计较机犯法等方面施展着极为重要的浸染,但在其成长和运用的进程中也碰着了很多坚苦,我们必需想步伐对其加以办理,增强对反取证技能方面的研究,对计较机犯法举办严肃的冲击和武断的截止。
参考文献:
[1]范一乐.主动防止收集安详设置技能在计较机取证中的应用切磋Q].软件导刊.2011(06):424-427
[2]游春晖,刘乃琦,代立松.数据规复技能在计较机取证体系中的应用Q].成都大学学报(天然科学版),2008(02):323-324
[3]金贵朝.基于手绘识此外智能电子白板体系研究与实现[J].杭州师范大学学报(天然科学版).2011(06):689-691
[4]周刚,麦永浩,曹强,张鹏.云计较应用对计较机取证技能的挑衅和对策U].警员技能,2011(02):56-58
[5]乔通,钱振兴,张新鹏,王文文.基于局部能量方差特征的数字图像取证U].模式辨认与人工智能,2012(02):256-257
[6]林建辉.基于日记技能的收集安详应急相应处理研究[]].湖北警官学院学报,2009(05):1241-4242
关楗词:钟算机犯法;计较机取证;犯法证据;技能坚苦;黑客入侵
—、弓I言
跟着收集信息技能的快速成长及遍及,计较机技能在给人们一般糊口及事变带来利便的同时,也暗藏着各类百般的信息危急。连年来,计较机在各个规模获得了极为普及的运用,已经成为了一种平凡的应用器材,而犯法分子也将其作为了常用的犯法器材,计较机犯法案件也层出不穷,如:计较机诈骗、电子商务纠纷、收集进攻、资料信息的改动及窃取等。这是一种极为高科技的犯法情势,其根基的犯法证据多以数字情势呈现,并通过收集及计较机举办传输及存储,包罗源代码、文件、记录等,形成电子证据。但在对电子证据举办获取的进程中,因为正常数据同电子证据每每会稠浊在一路,易烧毁、改动,使得提取事变的开展较量的坚苦。因此,对其举办获取、传输、说明及存储就必要严酷凭证相干措施并回收奇异的技妙本领,使证据的有用性、真实性及正当性得以担保。然而今朝我国的计较机取证技能还存在着必然的技能缺陷,,其成长也面对着必然的坚苦,这些都急切必要我们去研究去办理,以对计较机高科技犯法举办严肃的冲击。
二、计较机取证的观念性说明
(一)寄义
在我国计较机取证(ComputerForensics)凡是也称作电子取证(DigitalForensics),同计较机技能科学及法学有着异常亲近的接洽,属于这两种学科的交错科学。其首要是对科学的技能要领加以运用,对计较机犯法资料举办证明及提取,并将从电子数据源所获取的电子证据加以网络(Collection)、判断(Identification)、验证(Validation)、表明(Interpetation)、说明(Analysis)、掩护CPreservation)>存档(Documentation)及出示(Presentation)等,以对犯法变乱举办重构,或对某些同当前操纵打算无关的侵权性勾当举办说明,以助于对犯法举动举办有用地冲击,对人们的工业及信息安详加以掩护⑴。
(二)来历
计较机取证的首要的信息来历凡是包罗以下几个方面:计较机的主机体系、收集及其他的电子装备。
1.主机体系
计较机主机体系方面的证据首要有:用户的自建文档及掩护文档,建设文件,以及在其他的数据E域内的数据证据。
2.收集方面
收集方面的证据包罗:收集通讯中的及时数据流;收集安详装备,包罗IDS的日记、防火墙等;收集装备,包罗在互换机或路由器上存在的记录;种种的收集接入体系;登录日记及相干的收集日记等。
3.其他电子装备
其他电子装备方面的证据包罗:在电子记事本、PDA等装备中存在的暗码、地点簿、电话号码簿、打算使命表及E-mail信息等。在视频捕获卡、微型摄像头等装备中存在的视频、影像、声音信息及日期时刻标志等。
三、计较机取证的根基流程
要对计较机犯法的相干证据举办获取,凡是可以从以下环节做起-第一,做好取证筹备。对取证的前说起情形举办客观的说明;第二,举办现场勘查,对质据加以牢靠。保障获取证据的正当性;第三,举办相干的数据说明,有用的对质据加以提取。对所获取的重要数据信息举办具体的说明及处理赏罚,将与案件有关的数据举办确定,对犯法究竟加以证明,确保案件同数据的关联性。第四,呈递有用证据。将所获取的有用电子证据举办判断后,对犯法定性加以担保[2]。在整个取证进程中,数据的说明及证据的牢靠是极为要害的环节,同时也是两个技能性含量最髙的环节。计较机取证的根基流程如图1。
图1计较机取证流程图
(―)证据牢靠
计较机取证在证据牢靠环节必需严酷按摄影关的操纵类型有序的睁开,在获取进程中必需选择专业的数据信息技能,对存储介质中所包括的每一个字节都要举办准确的复制,生涯也要选择持续的文件片断或单独的文件来完成。同时,证据文件的根基名目还要同法庭所认定的相干要求符合。今朝,ExpertWitness证据文件名目及LinuxDD镜像名目是在国际法庭获得广泛接管的电子证据名目。
(二)数据说明
计较机取证在数据说明环节必需保障帮助装备的靠得住性及安详性,同时还必需担保在取证和举办数据说明的进程中信息收集体系的不变性,从信息收集体系及装备中对原始数据举办获取也要担保不受到其他信息的滋扰,在对原始数据举办说明之前,必要完成对原始数据的相干数字署名。有关取证职员对犯法证据举办探求其要害在于:第一,保障所找到的相干犯法证据必需是没有被改动过的原始数据;第二,这些所找到的数据可以在取证软件中精确的找到;第三,取证职员必需对这些文件有所相识,并可以或许精确判定此类文件同犯法究竟是否亲近相干。
四、计较机取证技能所面对的坚苦
连年来,计较机取证技能在计箅机的安详规模中已取得了较为明显的成就。但计较机取证技能照旧存在着很多的范围性和不敷,计较机取证技能的运用及成长照旧面对着很多方面的坚苦。凡是环境下我们所讲的计较机取证技能必要在相干电子犯法证据还没有被完全包围的环境下举办,才气够顺遂的找到和发明这些数据证据。但就今朝而言,很多的犯法团伙其犯法技能日益高深,并运用反取证技能对相干取证职员的正常观测取证举动举办阻止,其所回收的本领包罗:跳板及数据_藏、擦除、加密等。某些还将这些本领举办连系行使,给计较机取证事变的顺遂开展带来了极大的坚苦。
(―)跳板
某些黑客为了使自身的犯科入侵陈迹不被发明,其起首会选择对某一台收集计较机(“肉鸡”)举办入侵,然后再操作该台计较机继承后继的入侵举动,后期纵然被查获了,也只会表现“肉鸡”的详细IP地点[3]。一些黑客也会回收署理跳板,使被入侵电脑上所留下的IP地点是署理计较机的。今朝海内为较为常见的跳板技.术多为:黑客先选择一台海外计较机为跳板,然后再接入到海内,譬喻其起首入侵到某国的计较机站点,然后再回收其他国度的计较机作为署理或“肉鸡”,实施跨国家的收集进攻,使案件难以获得侦破。
(二)数据擦除
在反取证技能中,数据擦除的首要目标是将全部证据举办破除,使取证无法顺遂的获得开展。如“灰鸽子”木马和“熊猫烧香”病毒,实现了对小我私人Web及PC站点的入侵,并可以在完成入侵后对日记文件举办破除。若只是选择手工删除是达不到应有的结果的,首要是因为在体系中删除文件后,其在硬盘上的相干数据不会遭到包围,对数据规复软件加以运用便可以使被删除的相干文件得以还原。因此,他们会选择专门的器材对数据加以删除,对硬盘中的数据加以包围,同时,他们还会对CPU寄存器、内存、缓冲区及硬盘中的有关数据信息举办擦除,导致相干取证职员在日记文件中无法对黑客举办追踪。
(三)数据潜匿
对付数据潜匿而言,一样平常是指将某些特定的数字信息犯科的嵌入到宿主数字化信息中,如数字化的文本、声音、视频信号、图像等,以避开取证职员的视野。它凡是是将某些暂且没有删除的数字文件举办潜匿,并伪装成平凡范例的文件,其目标就是增进取证的难度,让取证职员无法找到该类信息。较量多见的数据潜匿技能包罗:隐写术、对文件的后缀名举办变动等。
1.隐写术
将犯法证据在通例文件下举办隐写,如:数字化的文本、声音、视频、图像等,以此来逃避取证职员举办的相干数据说明。譬喻将Word文件在jpg中举办潜匿,选择DOS中的相干Copy
呼吁把对文件举办归并,使之成为jpg文件,从而对文件加以潜匿[4]。今朝较为多见的是将隐写术同数据加密举办团结运用,首要是先对数据举办加密,然后再选择隐写术对文件举办潜匿,导致取证的难度不绝加大。
2.对文件的后缀名举办变动
举办数据潜匿最为快捷的法子就是对文件的后缀名举办修改,譬喻对付Word文档而言,可以把doc改观为图片jpg名目,云云体系便可以使打开本文件的相干默认措施获得了改变,当将本文件打开时,也看不到其他任何有效的信息图像。对信息举办还原,只需把jpg改观为doc。
(四)数据加密
在详细的取证进程中,,取证职员在对某个暗码掩护文件举办打开时,或是在对其举办加密后便转化为乱码文件,给取证事变带来了极大的坚苦。此时,取证职员必需采纳须要的法子对暗码举办破解,将数据的原来脸孔加以规复[5]。可是,凡是环境下黑客会选择极为伟大的暗码或对多种的加密方法连系行使,在短时刻内取证职员无法对加密的数据举办获取。
五、竣事语
计较机取证技能是在保障收集信息安详及冲击计较机犯法等方面施展着极为重要的浸染,但在其成长和运用的进程中也碰着了很多坚苦,我们必需想步伐对其加以办理,增强对反取证技能方面的研究,对计较机犯法举办严肃的冲击和武断的截止。
参考文献:
[1]范一乐.主动防止收集安详设置技能在计较机取证中的应用切磋Q].软件导刊.2011(06):424-427
[2]游春晖,刘乃琦,代立松.数据规复技能在计较机取证体系中的应用Q].成都大学学报(天然科学版),2008(02):323-324
[3]金贵朝.基于手绘识此外智能电子白板体系研究与实现[J].杭州师范大学学报(天然科学版).2011(06):689-691
[4]周刚,麦永浩,曹强,张鹏.云计较应用对计较机取证技能的挑衅和对策U].警员技能,2011(02):56-58
[5]乔通,钱振兴,张新鹏,王文文.基于局部能量方差特征的数字图像取证U].模式辨认与人工智能,2012(02):256-257
[6]林建辉.基于日记技能的收集安详应急相应处理研究[]].湖北警官学院学报,2009(05):1241-4242
扫微信立即咨询:
