計算機取證技術研究
隨著計算機和網絡技術的飛速發展計算機犯罪和網絡安全等問題越來越突出並逐漸引起人們的關註。介紹了計算機取證的特點、原理和步驟,最後對基於單機和設備以及基於網絡的兩種取證技術進行了深入研究。
關鍵詞:計算機取證數據恢復加密解密蜜罐網絡
隨著計算機和網絡技術的快速發展,計算機和網絡在人類政治、經濟、文化和國防事務中發揮著越來越重要的作用,計算機犯罪和網絡安全等問題也越來越突出。雖然采取了硬件防火墻、入侵檢測系統、網絡隔離等壹系列防護設備和措施,以及授權機制、訪問控制機制、日誌機制、數據備份等安全防範措施,但仍不能保證系統的絕對安全。
計算機取證技術(Computer forensics technology)是指利用先進的技術手段,按照預先設定的程序,並符合法律規範,對計算機軟硬件系統進行全面檢測,發現、存儲、保護和分析與計算機犯罪有關的證據,以及具有足夠可信度並能被法院采信的電子證據。計算機取證的目的是找出入侵者,並解釋或再現整個入侵過程。
壹、計算機取證的特點
電子證據和傳統證據壹樣,必須是可信的、準確的、完整的、有說服力的、符合法律規範的。此外,電子證據具有以下特征:
1.數字化。電子證據不同於傳統的物證,肉眼無法直接看到,必須結合壹定的工具。從根本上說,電子證據的載體都是電子元器件,電子證據本身只是壹個按特殊順序組合的二元信息串。
2.脆弱。計算機數據可能壹直在變化。系統運行過程中,數據不斷刷新重寫,特別是如果嫌疑人有壹定的計算機水平,對計算機使用痕跡進行不可逆的破壞性操作,很難再現現場。此外,取證人員在收集電子證據的過程中,不可避免地會打開文件和程序,這些操作很可能對現場造成壹級破壞。
3.多態性。電子證據的多態性是指電子證據可以表現為多種形式,可以是打印機緩沖區中的數據、各種計算機存儲介質上的聲音、視頻、圖像和文字、網絡交換和傳輸設備中的歷史記錄等。這些不同的形式可能成為提交的證據類型。法院在采信證據時,不僅要考慮電子證據的生成過程和收集過程是否可靠,還要確保電子證據沒有被偽造、篡改、替換。
4.人機交互。電腦由人操作。單靠電子證據未必能還原整個犯罪過程,必須結合人為操作才能形成完整的記錄。在收集證據和還原現場的過程中,考慮人的思維模式和行為習慣,有可能事半功倍。
二、計算機取證的原則和步驟
(壹)計算機取證的主要原則
1.時效性原則。必須盡快收集電子證據,確保其未被破壞,並要求證據的獲取及時。
2.確定?壹連串的證據?的完整性。也稱證據保全,即在證據正式提交法庭時,必須能夠說明最初的取得狀態與法庭上出現的狀態之間的任何變化,包括證據的移交、保管、拆封、裝卸等過程。
3.安全性原則。如果允許且可行,最好將電腦證據復印兩份以上,且原始證據必須有專人負責,存放地點必須遠離強磁、強腐蝕、高溫、高壓、粉塵、潮濕等惡劣環境,防止證據被破壞。
4.整個過程是可以控制的。檢查取證全過程都要監督。在證據轉移、保管、開箱、裝卸過程中,必須由兩人以上完成,每個環節都要保證真實可信、不間斷,防止證據被故意銷毀。
(二)計算機取證的主要步驟
1.廠址調查
勘查主要是獲取物證。首先,我們應該保護電腦系統。如果目標計算機仍然連接到網絡,我們應該立即斷開網絡,以避免數據被遠程破壞。如果目標計算機仍處於打開狀態,則不能立即關閉。保持工作狀態有利於取證。例如,壹些數據可能會保留在內存緩沖區中,這往往是犯罪分子錯過的最後壹個重要證據。如果設備需要拆除或移動,必須拍照存檔,方便日後還原犯罪現場。
2.獲取電子證據
包括靜態數據采集和動態數據采集。靜態數據包括現有的正常文件、刪除文件、隱藏文件和加密文件等。、以及應該由系統或應用程序最大程度地使用的臨時文件或隱藏文件。動態數據包括計算機寄存器、緩存、路由表、任務進程、網絡連接及其端口等。必須快速仔細地收集動態數據,如果不小心,可能會被新的操作和文件覆蓋所取代。
3.保護證據的完整性和原始性
在取證過程中,要註意采取措施保護證據,提取的各種數據要進行復制和備份。提取出來的物理設備,如光盤硬盤等存儲設備,路由器、交換機等網絡設備,打印機等外圍設備,在移動和拆除過程中必須有專人拍照、攝像,然後進行封存。對於提取的電子信息,應使用MD5、SHA等哈希算法保護和驗證其完整性。以上任何壹項操作都必須由兩人或兩人以上同時簽字確認。
4.分析和提交結果
這是計算機取證的關鍵和核心。打印目標計算機系統的綜合分析結果,包括所有相關文件列表和發現的文件數據,然後給出分析結論,包括系統整體情況、發現的文件結構、數據、作者信息以及調查中發現的其他可疑信息。在做好各種標記和記錄後,以證據的形式,按照法定程序,正式提交司法機關。
三、計算機取證相關技術
計算機取證涉及的技術非常廣泛,幾乎涵蓋了信息安全的所有領域。從證據來源來看,計算機取證技術大致可以分為兩類:基於單機和設備的計算機取證技術和基於網絡的計算機取證技術。
(1)基於單機設備的取證技術
1.數據恢復技術
數據恢復技術主要用於恢復被用戶刪除或格式化的磁盤擦除電子證據。對於刪除操作,只是標記文件對應的存儲位置,文件占用的磁盤空間信息在沒有新文件重寫的情況下依然存在,普通用戶看似沒有了,但實際上可以通過恢復文件標記來恢復數據。對於格式化操作,它只初始化文件系統的各種表,而不實際操作數據本身。通過重建分區表和引導信息,可以恢復刪除的數據。實驗表明,技術人員在數據恢復工具的幫助下,可以恢復被覆蓋7次的數據。
2.加密和解密技術
通常,犯罪分子會對相關證據進行加密。對於取證人員來說,必須對加密的數據進行解密,才能使原始信息成為有效的電子證據。計算機取證中使用的密碼破解技術和方法主要包括密碼分析、密碼破解、密碼搜索、密碼提取和密碼恢復。
3.數據過濾和數據挖掘技術
計算機取證獲得的數據可能是文本、圖片、音頻或視頻。這些類型的文件可能隱藏犯罪信息,犯罪分子可以通過隱寫術將信息嵌入這些類型的文件中。如果犯罪分子結合加密技術對信息進行處理,然後嵌入到文件中,恢復原始信息將會非常困難,這就需要開發更好的數據挖掘工具,正確篩選出所需的電子證據。
基於網絡的取證技術
基於網絡的取證技術是利用網絡追蹤和定位犯罪分子或通過網絡通信數據獲取證據的技術,包括以下技術:
1.IP地址和MAC地址獲取和識別技術
使用ping命令向目標主機發送請求並監聽ICMP回復,這樣可以判斷目標主機是否在線,然後使用其他高級命令繼續深入檢查。也可以使用IP掃描工具獲取IP,或者使用DNS的反向查詢方式獲取IP地址,也可以通過互聯網服務提供商ISP的支持獲取IP。
MAC地址屬於硬件層面,IP地址和MAC的轉換是通過查找地址解析協議的ARP表來實現的。當然MAC和IP地址壹樣,可能會被修改,所以壹度泛濫。ARP欺騙?特洛伊木馬通過修改IP地址或MAC來達到目的。
2.網絡IO系統取證技術
即網絡輸入輸出系統,使用netstat命令跟蹤嫌疑人,可以獲取嫌疑人電腦的域名和MAC地址。最具代表性的入侵檢測技術是IDS,分為檢測特定事件和檢測模式變化。它對取證最大的幫助是可以提供日誌或錄音功能,可以用來監控和記錄犯罪行為。
3.電子郵件取證技術
電子郵件使用簡單的應用協議和文本存儲和轉發。報頭信息包含發送方和接收方之間的路徑。通過分析頭路徑可以獲得證據。關鍵是要知道郵件信息在郵件協議中的存儲位置。對於POP3協議,我們必須訪問工作站來獲取報頭信息。基於HTTP協議發送的郵件壹般存儲在郵件服務器上。微軟操作系統的郵件服務通常采用SMTP協議。黑客可以很容易地將任何信息,包括偽造的源地址和目的地址,插入到使用SMTP協議的消息頭信息中。跟蹤郵件的主要方法是向ISP尋求幫助或使用NetScanTools等特殊工具。
4.蜜罐網絡取證技術
蜜罐是指虛假的敏感數據,可以是網絡、計算機或後臺服務,也可以是虛假的密碼和數據庫。蜜罐網絡是由多個能夠收集和交換信息的蜜罐組成的網絡系統。通過數據控制、數據捕獲和數據收集,研究人員控制和分析蜜罐網絡中的攻擊。蜜罐網絡的關鍵技術包括網絡欺騙、攻擊捕獲、數據控制、攻擊分析和特征提取、預警和防禦技術。目前廣泛使用的是主動蜜罐系統,它可以根據攻擊者的攻擊目的提供相應的欺騙服務,延遲入侵者在蜜罐中的時間,從而獲取更多的信息並采取針對性的措施,保證系統的安全性。
參考資料:
【1】盧希穎。淺析計算機取證技術[J],福建計算機,2008(3)。
[2]劉玲。淺談計算機靜態取證和計算機動態取證[J],計算機與現代化,2009(6)。
妳看到了嗎?計算機取證技術論文?人們仍然看到:
1.計算機犯罪與收集技術研究論文
2.Android手機取證技術論文
3.計算機安全畢業論文
4.計算機安全論文
5.計算機安全範文