取证技术范文10篇

时间:2023-04-07 09:54:31

取证技术

取证技术范文篇1

关键词:计算机取证电子证据计算机反取证

计算机技术的迅速发展和广泛普及改变了人们传统的生产、生活和管理方式。同时也为违法犯罪分子提供了新的犯罪手段和空间。以计算机信息系统为犯罪对象和工具的新型犯罪活动越来越多,造成的危害也越来越大。大量的计算机犯罪—如商业机密信息的窃取和破坏,计算机诈骗,攻击政府、军事部门网站,色情信息、网站的泛滥等等。侦破这些案件必须要用到计算机取证技术,搜寻确认罪犯及其犯罪证据,并据此提起诉讼。案件的取证工作需要提取存在于计算机系统中的数据,甚至需要从已被删除、加密或破坏的文件中重获信息。电子证据本身和取证过程有许多不同于传统物证和取证的特点,给司法工作和计算机科学领域都提出了新的挑战。

一、计算机取证的概念和特点

关于计算机取证概念的说法,国内外学者专家众说纷纭。取证专家ReithClintMark认为:计算机取证(CompenterForensics)可以认为是“从计算机中收集和发现证据的技术和工具”。LeeGarber在IEEESecurity发表的文章中认为:计算机取证是分析硬盘驱动器、光盘、软盘、Zip和Jazz磁盘、内存缓冲以及其他形式的储存介质以发现证据的过程。计算机取证资深专家JuddRobbins对此给出了如下定义:计算机取证是将计算机调查和分析技术应用于对潜在的、有法律效力的证据的确定与获取。其中,较为广泛的认识是:计算机取证是指能够为法庭接受的、足够可靠和有说服力的、存在于计算机和相关外设中的电子证据(ElectronicEvidence)的确定、收集、保护、分析、归档以及法庭出示的过程。

电子证据也称为计算机证据,是指在计算机或计算机系统运行过程中产生的,以其记录的内容来证明案件事实的电磁记录物。电子证据的表现形式是多样的,尤其是多媒体技术的出现,更使电子证据综合了文本、图形、图像、动画、音频及视频等多种媒体信息,这种以多媒体形式存在的计算机证据几乎涵盖了所有传统证据类型。

证据在司法证明的中的作用是无庸质疑的,它是法官判定罪与非罪、此罪与彼罪的标准。与传统证据一样,电子证据必须是:可信的、准确的、完整的、符合法律法规的,即可为法庭所接受的。同时我们不难发现,电子证据还具有与传统证据有别的其它特点:①磁介质数据的脆弱性:电子证据非常容易被修改,并且不易留痕迹;②电子证据的无形性:计算机数据必须借助于其他一些输出设备才能看到结果;③高科技性:证据的产生、传输、保存都要借助高科技含量的技术与设备;④人机交互性:计算机证据的形成,在不同的环节上有不同的计算机操作人员的参与,它们在不同程度上都可能影响计算机系统的运转;⑤电子证据是由计算机和电信技术引起的,由于其它技术的不断发展,所以取证步骤和程序必须不断调整以适应技术的进步。

二、计算机取证的过程

计算机取证包括物理证据获取和信息发现两个阶段。物理证据获取是指调查人员到计算机(或网络终端)犯罪或入侵的现场,寻找并扣留相关的硬件设备;信息发现是指从原始数据(包括文件,日志等)中寻找可以用来证明或者反驳的证据,即电子证据。

1.物理证据的获取

物理证据的获取是全部取证工作的基础。获取物理证据是最重要的工作,保证原始数据不受任何破坏。无论在任何情况下,调查者都应牢记:①不要改变原始记录;②不要在作为证据的计算机上执行无关的操作;③不要给犯罪者销毁证据的机会;④详细记录所有的取证活动;⑤妥善保存得到的物证。

由于犯罪的证据可能存在于系统日志、数据文件、寄存器、交换区、隐藏文件、空闲的磁盘空间、打印机缓存、网络数据区和计数器、用户进程存储器、文件缓存区等不同的位置。要收集到所有的资料是非常困难的。关键的时候要有所取舍。所以在物理证据获取时,面对调查队伍自身的素质问题和设备时,还要注意以下两个问题:①目前硬盘的容量越来越大,固定过程相应变得越来越长,因此取证设备要具有高速磁盘复制能力;②技术复杂度高是取证中另一十分突出的问题。动态证据的固定由于没有专门的设备,对调查人员的计算机专业素质要求很高。

2.信息发现

在任何犯罪案件中,犯罪分子或多或少都会留下蛛丝马迹,前面所说的电子证据就是这些高科技犯罪分子留下的蛛丝马迹。这些电子证据的物理存在构成了我们取证的物质基础,但是如果不把它提炼出来,它只是一堆无意义的数据。我们研究计算机犯罪取证就是将这些看似无意义的数据变成与犯罪分子斗争的利器,将犯罪者留在计算机中的“痕迹”作为有效的诉讼证据提供给法庭,以便将犯罪者绳之以法。不同的案件对信息发现的要求是不一样的。有些情况下要找到关键的文件、邮件或图片,而有些时候则可能要求计算机重现过去的工作细节(比如入侵取证)。

为了保护原始数据,除非与特殊的需要,所有的信息发现工作都是对原始证据的物理拷贝进行的。由于包含着犯罪证据的文件可能已经被删除了,所以要通过数据恢复找回关键的文件、通信记录和其它的线索。

数据恢复以后,取证专家还要进行关键字的查询、分析文件属性和数字摘要、搜寻系统日志、解密文件等工作。最后取证专家据此给出完整的报告。将成为打击犯罪的主要依据,这与侦查普通犯罪时法医的角色没有区别。

三、计算机取证的发展

计算机取证是伴随着计算机犯罪事件的出现而发展起来的,在我国计算机证据出现在法庭上只是近10年的事情,在信息技术较发达的美国已有了30年左右的历史。最初的电子证据是从计算机中获得的正式输出,法庭不认为它与普通的传统物证有什么不同。但随着计算机技术的发展,以及随着与计算机相关的法庭案例的复杂性的增加,电子证据与传统证据之间的类似性逐渐减弱。于是90年代中后期,对计算机取证的技术研究、专门的工具软件的开发以及相关商业服务陆续出现并发展起来。

现在美国至少有70%的法律部门拥有自己的计算机取证实验室,取证专家在实验室内分析从犯罪现场获取的计算机(和外设),并试图找出入侵行为。不过我们国家有关计算机取证的研究与实践尚在起步阶段。

计算机取证技术随着黑客技术提高而不断发展,为确保取证所需的有效法律证据,根据目前网络入侵和攻击手段以及未来黑客技术的发展趋势,以及计算机取证研究工作的不断深入和改善,计算机取证将向以下几个方向发展:①取证工具向智能化、专业化和自动化方向发展。计算机取证科学涉及到多方面知识,现在许多工作依赖于人工实现,大大降低取证速度和取证结果的可靠性。②取证工具和过程标准化,因为没有统一的标准和规范,软件的使用者都很难对工具的有效性和可靠性进行比较。另外,到现在为止,还没有任何机构对计算机取证机构和工作人员的资质进行认证,使得认证结果的权威性受到质疑;利用无线局域网和手机、PDA、便携式计算机进行犯罪的案件逐年上升,这些犯罪的证据会以不同形式分布在计算机、路由器、入侵检测系统等不同设备上,要找到这些工具就需要针对不同的硬件和信息格式做出相应的专门的取证工具。③取证技术的相关法律不断趋于完善。我国有关计算机取证的研究与实践尚在起步阶段,只有一些法律法规涉及到了部分计算机证据,目前在法律界对电子证据作为诉公证据也存在一定的争议。联合国贸法会于1996年通过的《电子商务示范法》第5条也规定:不得仅仅以某项信息采用数据电文形式为理由而否定其法律效力、有效性和可执行性。由此可见,国外已确认了电子证据的合法性。

四、计算机取证技术的局限性

计算机取证技术的发展是近年来计算机安全领域内取得的重大成果。然而,在实际取证过程中计算机取证技术还存在着很大的局限性。我们所讨论的技术都是在理想条件下实施的:①有关犯罪的电子证据必须没有被覆盖;②取证软件必须能够找到这些数据。并能知道它代表的内容。但从当前阶段的实施效果来看,不甚理想。

俗话说“道高一尺魔高一丈”,因此在取证技术迅速发展的同时.一种叫做反取证的技术也悄悄出现了。反取证技术就是删除或隐藏证据,使取证调查无效。现在反取证技术主要分为三类:数据擦除、数据隐藏、数据加密。这些技术还可结合使用,使取证工作变得很困难。

数据擦除是阻止取证调查人员获取、分析犯罪证据的最有效的方法,一般情况下是用一些毫无意义的、随机产生的“0”、“1”字符串序列来覆盖介质上面的数据,使取证调查人员无法获取有用的信息。

数据隐藏是指入侵者将暂时还不能被删除的文件伪装成其他类型或者将它们隐藏在图形或音乐文件中,也有人将数据文件隐藏在磁盘上的Slack空间、交换空间或者未分配空间中,这类技术统称为数据隐藏。

加密文件的作用是我们所熟知的。数据加密是用一定的加密算法对数据进行加密,使明文变为密文。但这种方法不是十分有效,因为有经验的调查取证人员往往能够感觉到数据已被加密,并能对加密的数据进行有效的解密。

五、结束语

计算机取证技术已经得到了一定的发展,但目前的研究多着眼于入侵防范,对于入侵后的取证技术的研究相对滞后;同时,计算机理论和技术的发展使得目前计算机取证技术呈现出领域扩大化、学科融合化、标准化、智能化等发展趋势。因此仅仅通过现有的网络安全技术打击计算机犯罪已经不能够适应当前的形势。因此需要发挥社会道德的引导作用、完善法律的约束力量去对付形形色色的计算机犯罪。

参考文献

[1]王玲,钱华林.计算机取证技术及其发展趋势.软件学报,2003,14(9):16351644.

[2]赵小敏,陈庆章.计算机取证的研究现状和展望.计算机安全.2003年.第10期

[3]苏成.计算机安全.2006年.第01期

[4]钟秀玉.计算机取证问题分析与对策.电脑开发与应用.2005年.第03期

取证技术范文篇2

关键词:计算机;取证技术;发展趋势

1计算机取证技术

1.1计算机取证技术概述

计算机作为当前网络技术应用的载体随着网络暴力事件的发生,逐渐成为人们进行网络犯罪的主要载体。在许多的网络犯罪事件中,不难发现许多网络犯罪事件都是黑客将计算机作为入侵的目标。在入侵计算机系统后盗取人们的信息,攻击计算机的运行网络。计算机实际上成为网络犯罪者的协助者,但是凡是发生过的事情必定会留下痕迹,网络犯罪也不例外[1]。在不法分子攻击计算机的同时,会有许多犯罪证据留在计算机内,计算机取证技术正是利用这一点采集和分析网络犯罪证据,并进一步找出涉案人员。

1.2计算机证据的特点

首先是隐蔽性,计算机取证技术是通过计算机的运行网络来收集证据的,根据网络的广泛性,收集到的证据都可以很好地隐蔽起来。其次是精密性,众所周知,现在的计算机的运行系统采用的是二进制的计算方式,借助数字的形式将证据保存在电脑的硬盘当中。而数据并非是一直连续着的,如果有人因为某些原因删改它,则会很容易导致证据变化,并且是利用技术难以查清的。最后是高效性,网络证据的收集较为快速,并且携带方便、可以重复利用。尤其是在多媒体出现以后,将文字、图片、音频、视频都纳入计算机证据的范畴之内。

2计算机取证技术的发展

2.1计算机取证技术的关键

2.1.1取证的程序

计算机取证的流程是:获取、剖析、表现。下面针对各个计算机取证的程序进行详细分析。想要获取信息首先要锁定所需要的证据,计算机证据的易修改的特性就决定了一旦找到需要的证据,要马上通过程序将其固定在一个易发现的位置,这样就可以有效保证当前收集到的证据不会发生变化是有效的。其次,因为计算机证据一般涉及的范围比较广,数据信息异常杂乱,这就对于整理证据提出了很高的要求。要在简单整合证据之后,再对证据进行深入剖析,找到与本案相关的信息并上报给需要的机构。最后关于证据的表现不是简单地将证据摆放到桌子上,而是要证明获取信息的的途径是合法的,以保证计算机证据的有效性,并可以利用这样的分析结果对整个案情进行合理分析[2]。

2.1.2证据的获取

证据的获取一般分为两部分,一部分是必要的证据,另一部分是所有证据。单一收取所需要的证据往往会造成许多线索的遗失,损害证据的有效性。而所有证据的收集,则是站在全局的角度下展开的。收集这个案件涉及的数据信息,再一一地加以整理找出所需要的线索,从而进一步推动案情的进展。

2.1.3恢复删除数据

在可以当作证据的数据中删除的数据信息一般分为两类,文件系统级的数据和应用级的数据。一般来说,文件系统级的数据大都是用来保存数据的,它主要为计算机的系统访问服务,大部分文件级的数据都拥有一个特定的文件或位置。若是某个文件被意外删除,相对的整个文件目录下的所有数据都会被系统隐藏,并非是完全删除,还是可以通过系统的恢复重新激活的。而应用级的数据的恢复就更为简单了,只要在硬盘当中收集带有相同特征的数据就可以进一步恢复数据[3]。

2.2计算机取证技术的发展趋势

计算机技术在经过一代又一代人的研究,已取得了初步的成功。但目前的计算机取证技术发展得还并不是十分完善,存在许多局限,并不能完全适应整个社会的发展需求,从以往的发展中总结出以下几个方面。

2.2.1系统的研究计划

在以往的计算机取证工作中并没有完全科学的系统对计算机取证技术进行统一的管理。因此,要逐渐形成一个完整的体系,将计算机取证作为一项安全的部署划入计算机安全规划当中,要在综合多方面因素的前提之下,取得计算机取证的最大效果,为以后的计算机取证提供依据。并且成立专门的研究小组,研究计算机取证技术,制定一套适合计算机取证技术发展的科学的规划,并严格按照规划执行,以促进计算机取证技术科学合理地发展。

2.2.2集成自动化

传统的取证活动都是依靠人力来完成的,即使在计算机技术得到极大进步的今天,也是人工操控计算机来收集证据。在收集证据的过程中将会不可避免地加入个人的情感,使得取证的速度与结果的真实性大打折扣。为了方便以后计算机取证技术的发展要尽快实现计算机取证的自动化,通过计算机自己的运行整合证据,并进行第一步的分析之后再呈现到人们的面前。人们根据计算机初步整理的信息中找到自己所需要的部分,并进行进一步分析,促进网络犯罪问题的解决。自动化的计算机取证缩短了人们工作的时间,并进一步提升了计算机取证效率。对急需处理的案件来说,计算机取证自动化作用较大,也提高了我国网络犯罪事件的处理速度[4]。

2.2.3标准化的工作

对于每一个企业的发展来说,都需要一个标准化的工作流程。同样计算机的取证工作也需要一个统一的标准,为了方便以后计算机取证的发展,要制定相关的法律政策。法律作为当下最为可靠的证据,用法律来保护计算机取证工作的顺利进行,通过相同的评价标准来判断计算机证据的有效性。为计算机证据发挥更大的作用提供法律支持,值得电子证据在实际生活中更有说服力,进一步推进网络犯罪事件的解决。

3结语

网络暴力事件屡屡发生,要加大对网络犯罪的监管力度。应用计算机取证技术,在未来是大势所趋。要进一步发展计算机取证技术,弥补当前它所存在的不足,为网络更好运行提供一个良好的环境。综上所述,计算机取证技术将会成为解决网络犯罪问题的主要方式,因此,要在当前的基础之上进一步发展计算机取证技术,共同保护网络运行的安全。

作者:卢卓飞 单位:无锡市职务犯罪侦查和预防教育基地管理中心

参考文献

[1]柴功昊,秦东愉.面向计算机生成图像的智能取证技术研究[J].电脑知识与技术,2017(2):172-174.

[2]李志刚,朱巨军.一种计算机网络犯罪案件电子取证的溯源策略研究与实践[J].网络安全技术与应用,2017(1):137-138.

取证技术范文篇3

关键词:计算机犯罪计算机取证电子证据

计算机犯罪是伴随计算机的发明和广泛应用而产生的新的犯罪类型。随着计算机技术的飞速发展。计算机在社会中的应用领域急剧扩大。计算机犯罪的类型和领域不断增加和扩展。使“计算机犯罪”这一术语随着时间的推移不断获得新的涵义。

1什么是计算机犯罪

在学术研究上.关于计算机犯罪迄今为止尚无统一的定义(大致说来,计算机犯罪概念可归为五种:相关说、滥用说、工具说、工具对象说和信息对象说)。根据刑法条文的有关规定和我国计算机犯罪的实际情况,计算机犯罪是指行为人违反国家规定.故意侵入国家事务、国防建设、尖端科学技术等计算机信息系统,或者利用各种技术手段对计算机信息系统的功能及有关数据、应用程序等进行破坏。制作、传播计算机病毒。影响计算机系统正常运行且造成严重后果的行为。

利用计算机进行犯罪活动,无外乎以下两种方式:一是利用计算机存储有关犯罪活动的信息;二是直接利用计算机作为犯罪工具进行犯罪活动。计算机犯罪具有犯罪主体的专业化、犯罪行为的智能化、犯罪客体的复杂化、犯罪对象的多样化、危害后果的隐蔽性等特点。使计算机犯罪明显有别于传统一般刑事犯罪。近年来,计算机犯罪案例呈逐年上升趋势。给国家带来不可估量的严重后果和巨大的经济损失,甚至威胁到国家的安全,破坏了良好的社会秩序。所以,打击利用计算机进行的犯罪,确保信息安全对于国家的经济发展和社会稳定具有重大现实意义。为有效地打击计算机犯罪,计算机取证是一个重要步骤。存在于计算机及相关设备(包括网络介质)中的电子证据已经成为新的诉讼证据之一。

2什么是计算机取证

计算机取证又称为数字取证或电子取证,是指对计算机入侵、破坏、欺诈、攻击等犯罪行为利用计算机软硬件技术,按照符合法律规范的方式进行证据获取、保存、分析和出示的过程。从技术上,计算机取证是一个对受侵计算机系统进行扫描和破解,以对入侵事件进行重建的过程。

计算机取证包括物理证据获取和信息发现两个阶段。物理证据获取是指调查人员到计算机犯罪或入侵的现场,寻找并扣留相关的计算机硬件;信息发现是指从原始数据(包括文件,日志等)中寻找可以用来证明或者反驳的证据,即电子证据。与传统的证据一样,电子证据必须是真实、可靠、完整和符合法律规定的。

2.1物理证据的获取

物理证据的获取是全部取证工作的基础。获取物理证据是最重要的工作,保证原始数据不受任何破坏。无论在任何情况下,调查者都应牢记:

(1)不要改变原始记录;

(2)不要在作为证据的计算机上执行无关的操作;

(3)不要给犯罪者销毁证据的机会;

(4)详细记录所有的取证活动;

(5)妥善保存得到的物证。

若现场的计算机处于工作状态。取证人员应该设法保存尽可能多的犯罪信息。由于犯罪的证据可能存在于系统日志、数据文件、寄存器、交换区、隐藏文件、空闲的磁盘空间、打印机缓存、网络数据区和计数器、用户进程存储器、文件缓存区等不同的位置。要收集到所有的资料是非常困难的。关键的时候要有所取舍。如果现场的计算机是黑客正在入侵的目标。为了防止犯罪分子销毁证据文件,最佳选择也许是马上关掉电源;而如果计算机是作案的工具或相关信息的存储器。应尽量保存缓存中的数据。

2.2信息发现

取得了物理证据后。下一个重要的工作就是信息发现。不同的案件对信息发现的要求是不一样的。有些情况下要找到关键的文件、邮件或图片,而有些时候则可能要求计算机重现过去的工作细节(比如入侵取证)。

值得注意的是。入侵者往往在入侵结束后将自己残留在受害方系统中的“痕迹”擦除掉。犹如犯罪者销毁犯罪证据一样,尽量删除或修改日志文件及其它有关记录。殊不知一般的删除文件操作,即使在清空了回收站后,若不将硬盘低级格式化或将硬盘空间装满,仍可将“删除”的文件恢复过来。在Windows操作系统下的windowsswap(page)fde(一般用户不曾意识到它的存在)大概有20-200M的容量,记录着字符处理、Email消息、Internet浏览行为、数据库事务处理以及几乎其它任何有关windows会话工作的信息。另外。在windows下还存在着fdeslack,记录着大量Email碎片(Fragments)、字符处理碎片、目录树镜像(snapshot)以及其它潜在的工作会话碎片。以上这些都可以利用计算机取证软件来收集。事实上。现在的取证软件已经具有了非常好的数据恢复能力,同时,还可以做一些基本的文件属性获得和档案处理工作。

数据恢复以后。取证专家还要进行关键字的查询、分析文件属性和数字摘要、搜寻系统日志、解密文件等工作。由于缺乏对计算机上的所有数据进行综合分析的工具,所以,信息发现的结果很大程度上依赖于取证专家的经验。这就要求一个合格的取证专家要对信息系统有深刻的了解。掌握计算机的组成结构、计算机网络、操作系统、数据库等多方面的相关知识。

最后取证专家据此给出完整的报告。将成为打击犯罪的主要依据,这与侦查普通犯罪时法医的角色没有区别。

3一些取证工具的介绍

在计算机取证过程中。相应的取证工具必不可少,常见的有tcpdump,Argus,NFR,EnCase,tcpwrapper,sniffers,honeypot,Tripwires,Networkmonitor,镜像工具等。在国外计算机取证过程中比较流行的是镜像工具和专业的取证软件。下面以EnCase作为一个计算机取证技术的案例来分析。EnCase是目前使用最为广泛的计算机取证工具,至少超过2000家的去律执行部门在使用它。EnCase是用C++编写的容量大约为1M的程序,它能调查Windows,Macintosh,Anux,Unix或DOS机器的硬盘,把硬盘中的文件镜像或只读的证据文件。这样可以防止调查人员修改数居而使其成为无效的证据。为了确定镜像数据与原的数据相同。EnCase会与计算机CRC校验码和MD5台希值进行比较。EnCase对硬盘驱动镜像后重新组织文件结构,采用WindowsGUI显示文件的内容。允许调查员使用多个工具完成多个任务。

在检查一个硬盘驱动时,EnCase深入操作系统底层查看所有的数据——包括fileslack.未分配的空司和Windows交换分区(存有被删除的文件和其它潜生的证据)的数据。在显示文件方面,EnCase可以由多种标准,如时间戳或文件扩展名来排序。此外.EnCase可以比较已知扩展名的文件签名。使得调查人员能确定用户是否通过改变文件扩展名来隐藏证据。对调查结果可以采用html或文本方式显示。并可打印出来。

在计算机取证的过程中还有一种常用的方法是在被入侵的系统上巧妙地设立HoneyPot,模拟先前被入侵的状态来捕获入侵者的信息,即采用诱敌深入的计策达到取证的目的。

取证技术范文篇4

【关键词】邮件取证;关系挖掘;可视化分析;扩散追踪

1引言

随着计算机技术和互联网的高速发展,电子邮件在多个行业特别是电子政务系统中得到广泛使用。电子邮件在便利人们生活的同时,也被犯罪分子所利用,使用电子邮件进行垃圾邮件传播等活动,这些行为可能使受害者遭受严重损失。为了打击电子政务系统中的邮件犯罪行为,必须依靠电子邮件取证技术[1]。传统的电子邮件取证过程一般包括原始数据的获取、邮件相关数据提取、邮件恢复、文件转换和信息提取、查询和关键字查找、得出相关结论等6个步骤,取证人员通过关键字查找的方式挖掘邮件之间可能存在的联系,从人物、事件、时间3个维度对邮件数据进行分析,最终得出案件相关人员之间的人物关系网络、事件关系网络等。在小数据集的情况下,这种传统的关键字查找方式较为适用,但是当需要取证的邮件数据庞大、相关人员关系复杂时,一次关键字查找将会获得大量冗余结果,获取人员之间的人物关系网络将会变得极为困难,不仅消耗大量的资源,分析结果也往往不尽如人意。在这种现状下,本文对邮件取证中的人物关系网络挖掘进行了研究和改进。本文使用Louvain算法对邮件网络中的潜在社区进行发现,结合对特定邮件传播轨迹的可视化,分析比较特定邮件在邮件用户社区中的传播情况和扩散范围,通过对扩散范围和社区边界的比对来发现邮件系统存在的其他有害邮件,挖掘出邮件网络内部的人物关系网络。从计算学的观点来看,社交关系挖掘的研究主要包括3个方面[2]:关系链接预测,即预测和推荐未知的链接,如Liben-Nowell和Kleinberg[3]系统地研究了推断用户之间新链接的问题;关系类型预测,即自动地识别与每一个社交关系相关联的语义,如Leskovec[4]等人使用Logistic回归模型预测在线社交网络中的正/负关系,Diehl[5]等人通过学习排序函数识别“经理—下属”关系等;关系交互预测,即研究单向的社交关系怎样发展成双向的社交关系及其产生的原因,如Lou[6]等人研究了社交关系如何发展成三元闭包等。从这类角度来看,本文对人物关系网络的研究属于关系挖掘研究中的关系链接预测,即预测和推荐未知的链接(发现邮件系统存在的其他有害邮件);相比于传统的关键字查找方式,这种方法结合了邮件社区划分和邮件扩散可视化,大大减少了取证人员的工作量,更加直观地展示了邮件用户之间的关系,更准确地挖掘出人物关系网络,从而提高了电子邮件取证工作的质量和效率。实验证明,本文提出的方法在追踪特定邮件附件扩散范围的场景下应用效果良好。

2邮件取证

电子邮件取证的原始数据一般来自多个数据源,包括发件人或收件人使用的终端、邮件传递服务器上的存储介质等,如果是Web端邮件则需要检查用户浏览器的相关信息,如缓存、日志等。这些数据较为原始,提取需要较强的专业知识且一般不能直接理解,同时这些数据一般包含着大量的无关信息,需要进一步筛选;获取原始数据后,需要使用一定的技术手段来获取与邮件证据相关的数据,这一步直接决定了之后要处理数据的规模和质量,因而是整个电子邮件取证过程中较为关键的一步;通过上一步的筛选,得到所有与邮件相关的数据,但是这些数据仍然处于取证人员很难理解的形式,需要进行数据恢复和格式重组来得到可读性更高的原始邮件内容;根据重组后的邮件格式进行文件转换及信息提取后,可以将邮件内容转化为可以直接阅读的文本、图片等形式;到了这一步,邮件数据已经完全可读,此时根据传统的办法对所有邮件数据进行关键字查找等处理,进而得出人物关系网络、事件关系网络等,以及得出有效的电子证据;分析完成后,根据确定的关系网络、电子证据等对案件的过程进行还原,从时间、事件、人物3个维度对原始场景进行构建并得出最终结论。在查询和关键字查找步骤中,已经获得了所有与案件相关且直接可读的邮件数据,此时传统的方法会对所有邮件数据进行关键字查找等分析处理,进而挖掘出人物关系网络、事件关系网络等结构性信息,这种方法在面对数据总量庞大、涉及人员众多、人员关系错综复杂的情况时效果将会显著下降。这正是本文主要研究和解决的问题。

3基于Louvain算法的邮件网络人物关系

网络挖掘方法现实网络中存在着大量的社区结构,这些结构表现为社区内部节点联系紧密,而外部节点联系稀疏。Louvain算法是Vincent等提出的一种进行快速社区发现的算法,该算法在面对大型网络时能够取得较好的效果,如图1所示。在邮件取证中有一种重要场景追踪特定邮件附件的扩散范围,即通过对所有相关邮件数据的分析来确定一个或多个特定邮件附件在邮件网络中的传播情况,包括原始邮件的发送者、邮件的所有接收者、邮件的转发情况、是否有其他的来源等。在这种场景下,仅考虑查询邮件附件hash是不够的,因为作为分析依据的邮件数据可能存在缺失,因此,需要结合邮件用户的社区划分情况对可能存在的附件传递进行推测。已知的附件传播链与邮件用户的社区划分存在以下两种可能的关系,如图2所示。图2(a)中,已知的附件传播链所有部分属于同一个社区,此时可以认为指定的邮件附件仅在此社区内传播,该社区即为邮件网络人物关系网络;图2(b)中,已知的附件传播链各部分分属两个或多个社区,即指定的邮件附件从初始社区传播到多个社区当中,每个社区都有全部或者部分用户参与了附件传播的过程,此时认为附件传播链跨过的所有社区共同组成邮件网络人物关系网络。为了更好地对比附件的转发链与邮件用户社区分布的关系,笔者对原始邮件数据进行了可视化,整个过程的数据处理流程如图3所示。最终将邮件数据的显示形式由原始的{发件人;收件人;时间;附件hash}转换为更直观的网络拓扑形式,在可视化界面中可以清晰地观察附件扩散范围和邮件用户社区分布,进而发现邮件系统存在的其他有害邮件,挖掘出邮件网络内部的人物关系网络。

4实验与结果分析

4.1实验数据实验使用的数据分为2个部分。(1)美国全国委员会(DNC)邮件。2016年7月22日,维基解密网站公布了美国全国委员会内部的一批绝密邮件,这些邮件真实记录了希拉里在邮件门事件爆发之前与高层的通信情况,共包含19252封邮件,时间跨度从2015年5月14日直到2016年5月25日。(2)鉴于全国委员会邮件数据未包含邮件附件信息,自行构建了一组包含15个用户23封邮件的测试邮件数据。4.2实验环境使用本文提出的方法对部分DNC邮件数据进行了展示,如图4所示。然后在追踪特定邮件附件扩散范围的场景下对基于Louvain算法的邮件网络人物关系网络挖掘方法进行了实验,从邮件附件hash、时间和邮件用户3个维度对邮件数据进行了可视化处理。实验场景如下:邮件用户U0~U14在2018年3月9日到2018年3月20日时间段内的邮件数据被作为取证分析目标,现对hash为588f7fba9060d7c9c436032a6417b43c的文件进行追踪,希望获取原始邮件的发送者、邮件的所有接收者、是否有其他的来源等信息。使用基于Louvain算法的邮件网络人物关系网络挖掘方法对邮件数据进行处理后,得到结果如图5所示。4.3结果分析从图4可以看出,选取的部分DNC邮件数据被分为8个社区,其中处于整个区域最中心位置的用户是BonoskyGarret。由于数据没有包含附件信息,所以未能显示出指定附件的扩散轨迹。从图5可以看出,所有的邮件用户被分为紫色和绿色代表的2个社区,携带指定附件的邮件最初由用户U0在2018年3月11日发送给处于同一社区的用户U4,U4于2018年3月15日将邮件跨社区发送给用户U10,U10于2018年3月19日将邮件进行了一次群发,同时发送给了同一社区的用户U11~14。从上述结果可以分析得出:原始邮件的发送者为U0,邮件的所有接收者为U4,U10,U11,U12,U13,U14,且根据目前已知的数据,没有其他附件来源。可能的邮件网络人物关系网络由紫色代表的社区以及绿色代表的社区共同组成,下一步取证应该对邮件的原始发件人U0、完成附件信息跨社区传播的用户U4和U10进行重点调查。本方法使用邮件数据可视化的方式直观地展示了邮件用户之间的关系,更准确地挖掘出人物关系网络,缩小了取证调查的范围,提高了电子邮件取证工作的质量和效率。

5结语

本文针对电子政务系统邮件取证中邮件用户关系挖掘困难的问题,结合邮件用户社区划分与邮件数据分析,提出一种电子政务系统邮件网络人物关系网络挖掘方法。实验证明,该方法在追踪特定邮件附件扩散范围的场景下应用效果良好,具有较好的应用价值。下一步工作将研究减小社区发现效果对网络挖掘结果的影响。

参考文献:

[1]危蓉.锁屏Android智能手机取证方法的研究[J].中国司法鉴定,2015(01):67~70.

[2]王即墨.Android智能手机锁屏密码及破解方法研究[J].刑事技术,2015,40(02):142~145.

[3]石穗东.运用第三方recovery破解安卓手机屏幕锁[J].刑事技术,2015,40(02):327~329.

[4]张笑鲁.Android移动设备的数字取证关键问题研究[D].吉林大学:吉林大学,2016:21.

[5]SonN,LeeY,KimD,etal.AstudyofuserdataintegrityduringacquisitionofAndroiddevices[J].DigitalInvestigation,2013,10(08):S3~S11.

取证技术范文篇5

关键词:数据挖掘技术;计算机取证分析系统;应用

0前言

互联网行业的快速发展,给我们的生活带来了极大的便利,但计算机网络犯罪也随之增加,为个人、集体乃至于国家带来损失。因此,网络安全相关的问题现在越来越受到人们的重视,为打击计算机网络犯罪的计算机取证系统也由传统的技术走向了更为先进的数据挖掘技术,使网络安全更上了一个台阶。在进行计算机取证时,首先在海量的数据中收集出与犯罪相关的证据数据,再以此为基础,分析出犯罪行为证据,这个过程就是计算机取证的过程。实际上,计算机取证不仅仅只是对数据进行分析,它还可以深入挖掘犯罪分子的证据。在传统的处理数据方法中,面对庞大的数据,效率低下,时间周期过长,而利用数据挖掘技术来处理这些数据,能够保证所得到的信息更加完整、准确,并且速度会快很多。数据挖掘能在规模庞大、信息不连续的数据中,将可能的以及有用的信息提取出来,这些提取的数据依据结构的不同分为半结构化数据和异构性数据。计算机取证时,利用数据挖掘技术进行隐藏模式的挖掘,通常来说,共有两种模式:

(1)描述型;

(2)预测型。数据挖掘技术可以利用所得的数据总结出相关的规律,能够把数据中的大量有用的东西挖掘出来,为决策者提供数据基础。利用这一点,在各类网络计算机犯罪中,就可以使用数据挖掘技术来得到有效的犯罪分子的违法信息,为国家的网络安全部门、办案人员提供有效信息,减小办案的难度。

1计算机取证分析技术

1.1存在问题

计算机犯罪与传统的犯罪不同,它具有特殊性和电子证据的特点,它在数据量上非常庞大,并且格式繁多复杂。当前,我国所使用的传统取证的方式有两种:

(1)模式配比:快速获取一些标志性的攻击行为。在入侵检测时,它依据用户所建立起的模型进行行为模式的匹配,来监督计算机入侵的发生。这种方式虽然在一定程度上能发现系统被入侵的情况,但是,在实际的操作中,很容易出现误报或者无法发现入侵的情况。这种方式一般情况下适用于系统入侵检测,在对计算机取证领域,还没有多大的作用;

(2)关键字查找:这种方式适用于数据源单一的情况,如果在数据规模庞大,种类繁多,那么如何找出在不同的数据源之间的联系是解决这个问题的关键。

1.2计算机取证步骤

证据在法律上要求是完整的、准确的,因此,在进行数据收集时,要避免数据受到破坏,保护数据的完整性。另外要注意网络对数据采集的影响,不要在网络波动较大的时间段收集数据。采集的过程要透明、可见,保证数据的正确性。收集网络信息数据时,要保证它的完整性,完整的数据有利于计算机犯罪信息的分析,帮助快速定位。目前来说,使用较多的方式就是存储所有网络报文,记录一个完整的体系。这种方式把数据完整地存储了起来,数据信息都不会丢失,在受到网络攻击后,也能利这存储的数据进行情景再现,找出攻击的源头,但是,这种做法占用极大的存储空间和网络带宽。

完成了网络数据的收集后,对所收集到的信息进行处理。面对庞大的网络数据信息,数据分析的工作显得非常重要。对收集的信息进行分析,将网络入侵分析出来,对系统进行快速的恢复和重建,减小受到的损失。在进行数据分析时,一般是分阶段进行的:第一阶段就是基础分析;第二阶段是将所得的数据进行深入的分析。在第二阶段,分析时由于数据来源、事件原因等等原因导致深入分析时,情况会常地复杂,做好充分的架构以应对这一阶段的工作。在进行计算机取证时,可能会出现误报和遗漏的情况,即使出现了这种现象,也可以通过原始的数据分析出来具本的情况。计算机在进行取证时,记录会伴随着事件的整个生命周期,以获得事件的连续记录。在记录的时候,做好网络取证的情况分析以及所带数据准确性的分析,在信息丢失时,将原因,时间记录下来,保存到数据库中。另外,对操作员对系统的操作,也要进行记录,以保证所得数据的客观性。对所收集到的信息进行保存,再对这些信息进行筛选分析,将所得结果当作证据,提供给公安机关或者法庭。

2计算机取证分析系统中数据挖掘技术的应用

2.1系统结构

包括数据采集模块、入侵检测模块、数据分析模块、证据鉴定模块和证据保全模块五大模块。

(1)数据采集模块:负责收集网络运行的数据,将网络攻击和入侵信息记录起来,并保存其它的可用信息;

(2)入侵检测模块:负责系统防护,对系统的所有活动进行监测,一旦发现了有非法入侵时,就进行告警。入侵检测在传统的检测基础之上以正常的检测模块和异常检测模块相结合的方式组合成新的入侵防御体系,在出现了异常之后,会对数据分析模块发送入侵信息;

(3)数据分析模块:以数据挖掘为基础,对收集到的数据信息进行处理,结果将会生成与案件相关的电子证据,以发现入侵的来源且进行防御攻击来保护数据和系统的安全;

(4)证据鉴定模块:对计算机的设备进行鉴定,如存储设备、软件设备以及其它的硬件设备等等,以发现犯罪的实证与电子证据之间的互相关系,以提供更加强有力的证据;

(5)证据保全模块:即经过数据挖掘出的证据存储到数据库中,保护证据的安全性。

2.2数据挖掘方法

动态取证是对事前进行数据收集,即在违法人员对数据的损毁之前将数据收集起来,这样即使数据遭受到了修改、删除等破坏行为,原数据以及破坏数据的人都将记录下来,定位违法人员的全程违法行为,这信息被记录的信息包括:IP、时间、操作事件等。针对这种动态的取证系统,数据挖掘技术可以有效地解决掉取证时需要的真实有效、功能可扩展以及适应性要求高的问题。因此,在本系统中,具体应用到的数据挖掘办法主要如下:

(1)关联分析:即利用关联规则来进行数据的挖掘,主要有两个方式:①找出频繁项集大于预定义数的频繁项;②由上一步的频繁项集进行比对,找出满足最小的支持度与最小置信度的数据。在面对庞大的数据时,利用这一分析法,大大减小了数据分析花费的时间,还为动态取证的实效性提供了保证;

(2)联系分析:该方法将用户和程序之间的行为关联在了一起,分析在操作计算时的事件序列,分析出作案的技术、工具以及时间等各种表象特征之间的关系。利用这种在联系关系,建立起安全防御的异常模型,并对它进行实时的更新,以保证数据的实效性和准确性;

(3)分类分析:对已经存储入数据库中的数据进行建模分析,对不同种类的数据,分门别类进研究,制定出分类的规则。在动态取证的系统数据分析阶段,以分类的规则判断数据是否合法,以及用户和操作是否合法,对违规的操作进行记录,保存非法操作的信息。这样就能对未知的一些数据进行以类别判断是否违规,提升数据分析的智能性。

3结语

将数据挖掘技术引入计算机取证系统中去,大大提高了取证系统的运行效率,帮助取证系统能够快速有效地进行取证操作,实现了动态取证以及智能取证的功能。但是,由于当前数据挖掘技术还不够完善,网络犯罪的行为和技术也在不断地变化发展,因而,在计算机取证上,仍面临着较大的挑战。所以,使用更加智能化的数据挖掘技术来挖取网络犯罪信息,是今后计算机取证系统的发展方向。

参考文献

[1]孟强,李海晨.Web数据挖掘技术及应用研究[J].电脑与信息技术,2017,(1):59-62.

[2]张蕊,齐晓霞.数据挖掘技术在网络安全中的应用研究[J].西安文理学院学报(自然科学版),2017,(2):29-33.

[3]谢怡文.试分析数据挖掘技术在Web预取中的应用[J].电脑编程技巧与维护,2017,(7):66-67+74.

[4]曹敏.计算机取证技术及其发展趋势研究[J].无线互联科技,2017,(6):42-43.

[5]黄灿.基于Windows平台的计算机取证系统研究与实现[D].电子科技大学,2014.

[6]姜雪晴.基于数据挖掘的电子证据分析模型研究[D].南京邮电大学,2014.

取证技术范文篇6

关键词:数据挖掘;动态取证;关联规则

计算机动态取证技术是用来为办案机关提供实时信息数据的关键技术,其不仅能够获取与犯罪过程相关的数据信息,还能对其进行分析,以提高办案人员的工作效率。然而,随着实时更新的海量数据的剧增,仅靠单一的计算机动态取证技术已难以满足取证应用需求。为此,需要研究一种新技术来解决这一问题。而数据挖掘的研究和应用正在社会各个领域蓬勃发展,它能从大量数据中采用快速有效的方法获得有用的知识和信息。因此,将数据挖掘技术应用于计算机动态取证过程中,能够有效提升动态取证的准确性、完整性和智能性。

1计算机动态取证技术简介

所谓计算机动态取证技术是通过信息获取、信息保存、信息分析以及电子证据提取等相关步骤,来为办案机关提供犯罪分子的作案证据。相关研究表明,计算机动态取证技术能够从大量的信息数据中获取与犯罪过程有关的信息内容,并对其进行智能化分析。这样一来,办案人员就能在最短时间内按照获取的犯罪信息来确定查案方向,进而为快速破案提供科学技术保证。此外,计算机动态取证技术还能最大限度地保证犯罪信息的安全,并对入侵者的记录进行分析,以防止信息被盗。这一入侵控制的检测系统为网络入侵监测系统NIDS(NetworkIntrusionDetectionSystem),是由计算机网络管理人员对计算机动态取证信息运行状态进行实时监控的重要系统。

2计算机动态取证技术现状

计算机犯罪取证与其他犯罪取证不同,其具有一定特殊性。计算机犯罪取证一般分为两个步骤,首先是从实体存储设备或计算机系统获取、收集、保全数据,然后就是进行数据证据的恢复、分析、保存和提交等。就目前来说,由于计算机取证数据量非常庞大并且实时更新,在计算机动态取证过程中,主要存在以下主要问题:收集或分析会破坏数据证据的原始状态,对于法庭或是立法机关来说不易理解,数字化数据或隐藏性数据信息不具直观性;取证技术应用人员的专业水平高低不同;信息技术发展进程过快以及数字信息转换具有短暂性。此外,随着计算机网络信息技术的带宽不断增加,计算机动态取证信息的数据量在不断增加,这就使得过多的日志或是实际上不重要的日志得到保存。在此情况下,就需要采取更加科学有效安全的方法来保存如此海量的信息数据。此外,在计算机动态取证过程中如何合理高效地智能化地应用分析数据也是一个新的问题,因为传统的分析判断已不能满足办案的需求。这就使得计算机动态取证技术人员不仅要从海量的数据信息中提取犯罪特征的数据,还要对不断更新的特征信息内容进行判断。因此,在很大程度上阻碍了计算机动态取证技术应用的智能化发展。针对这一问题,相关技术人员可将数据挖掘技术应用于其中,以解决上述问题给计算机动态取证工作带来的困难。

3数据挖掘在计算机动态取证中的应用现状

数据挖掘是从信息处理的角度出发,通过计算机快速准确地分析数据,也就是从数据库以及数据仓库中挖掘与目标对象有关的数据信息,以帮助人们基于大量数据作出判断和决策等。该技术应用于计算机动态取证过程后,其是由数据采集、存储、分析、变换、评估、记录等内容组成。由此可见,其主要的功能应用体现在挖掘出与取证对象相关的模式数据。主要模式类型涉及关联分析、孤立点分析、分类分析以及预测分析等。关联分析是通过犯罪行为与关联规则进行匹配分析,即挖掘不同行为的关联特征,进而分析同一事件在不同计算机动态证据之间的联系。分类分析,则是先分析出异常数据和正常数据的样本,来找出不同信息数据之间的分类规则。具体是通过判定树、数学公式来提高测试样本评估的准确性,此过程,技术人员可以利用形成的准确率模型,对其他数据样本进行分类分析。与此同时,将以上技术方法作用于计算机动态取证的数据分析阶段,不但实现了对数据信息的特征分类,还能将可能行为作为犯罪证据或犯罪动机的信息数据记录下来,进而解决仅仅靠计算机动态取证不能很好满足的智能化、有效性以及实时性问题需求。为此,相关研究人员应通过构建科学合理的数据挖掘动态取证系统,来实践计算机动态取证技术应用的智能性。

4基于数据挖掘的计算机动态取证系统的构建

4.1系统模型的构建。基于数据挖掘的计算机动态取证系统由数据挖掘、数据获取、数据分析以及证据鉴定和证据保全、证据提交模块组成。其中,数据挖掘模块的功能是对数据仓库的数据进行收集、选择、转换,运用关联规则分析、分类,应用联系分析技术方法来发现事件之间在时空上的联系,从而获得用于数据分析的特征、模式、规律及知识。数据鉴定模块是对所收集来的电子证据通过中央处理器、存储器、网络设备、集线器等硬件设备来源和软件来源进行鉴定,找到数据证据和犯罪行为之间的关系,从而准确定位和确定犯罪。数据保全则是将鉴定出来的证据采用数据加密、摘要或签名技术进行加密并传送到证据库。入侵检测模块的主要作用是全面监测系统进行的操作活动,即一旦监测到非法入侵者进入系统则及时报警。数据获取模块不仅要从系统文件和日志文件、网络数据等依法安全提取动态数据,还要从网络入侵监测系统接收报警数据,同时将数据处理成匹配数据仓库存储格式后再存入数据仓库。从而,相关办案工作人员就能根据准确分析犯罪证据而生成完整的报告,依照相关法律程序提交法庭。4.2关联分析的应用。关联分析类似于购物篮分析,根据频繁项组成关联规则。在动态取证过程中,可以运用规则分析犯罪行为之间的关联特征,获取不同犯罪类型的共同特征,或者同一事件的不同行为间的规则,然后把分析数据和记录数据汇总到数据表。在分析动态取证的数据时,就可以把用户行为与关联规则库中的规则进行匹配,从而判断用户行为是否合法、是否与某一犯罪事件相关等,这时既可以把可能的犯罪证据提取出来存储到证据库,也可以把将可疑数据反馈到NIDS中。这样不仅能解决数据量庞大的问题,而且也快速处理了实时数据并保障了数据安全。4.3分类技术的应用。分类是一种重要的数据分析方式,通过分析已知数据对象预测未知数据对象,从而让我们更全面地理解数据,在数据挖掘技术中被广泛应用。同理,动态取证在获取阶段就已收集了用户大量的正常或异常的数据,在数据分析阶段就可以应用分类技术预测用户是否非法、合法,将评估出的非法行为记录下来,作为犯罪证据或动机分析的依据,从而提高数据分析的智能性。4.4关键技术方法。将数据挖掘技术应用于计算机动态取证系统中,构建该系统的关键技术方法有以下三方面。(1)针对计算机动态取证技术的信息数据庞大问题,系统构建人员可通过采用数据挖掘的特征序号分析技术,从而减少计算机取证技术人员的工作量和提高犯罪证据数据内容的准确率。(2)针对计算机动态取证技术获取信息类型的复杂性,系统构建技术人员可通过关联规则分析,以提高犯罪信息判定以及分析的准确性。(3)针对计算机动态取证信息的网络环境的安全性,系统构建技术人员可通过入侵检测模块来实现入侵活动的报警,从而解决计算机犯罪信息处在网络变化性环境的安全威胁问题。

5结语

综上所述,随着计算机技术的发展和计算机犯罪的多样性及复杂性,计算机动态取证技术在不断研究与完善发展的过程中面临新的技术难题和严峻的挑战。因此,数据挖掘技术结合计算机网络、人工智能等可以较好地解决相关技术问题,通过对大量的动态实时数据进行挖掘分析,提取犯罪证据相关数据信息,有助于提高计算机动态取证的专业性、智能性和高效性,从而有效打击计算机网络入侵等犯罪活动,维护计算机网络的安全环境及社会治安,保障人民群众的人身财产安全,构建和谐社会。

作者:李艳花 单位:云南工程职业学院

参考文献

[1]李建伟.基于距离的孤立点挖掘在计算机取证中的应用研究[J].电子技术与软件工程,2015(9):206-207.

[2]汤龙.数据挖掘在计算机取证分析中的应用研究[J].电脑知识与技术,2015(17):16-17.

[3]刘琴.判定树算法在计算机取证中的应用[J].计算机应用与软件,2008(7):40-41.

[4]穆瑞辉.计算机取证分析系统中数据挖掘技术的应用[J].计算机光盘软件与应用,2012(24):108-109.

[5]曾倩倩.数据挖掘技术在计算机犯罪取证中的应用[J].通讯世界,2016(12):83.

取证技术范文篇7

计算机动态取证技术是利用计算机将取证技术、防火墙技术以及入侵检测技术有效的结合起来,可以在海量的信息数据中,对取证需要的数据进行提取,这项技术可以提供实时、智能性数据分析,可以保证数据系统的安全性以及保密性,还可以准确的找到相关信息并对其进行保存。计算机动态取证可以全面的获取数据信息,而且可以掌握不法分析犯罪的动机以及手法,有利于提高案件侦破的概率。计算机动态取证具有较高的安全性,其可以采取有效的措施对黑客入侵进行拦截,对非法入侵进行牵制,从而保证信息数据保存的安全性。

2计算机动态取证技术

2.1采集有效数据

数据采集是动态取证重要的环节之一,只有做好数据采集工作,才能保证取证的质量以及完整性,在当前网络患者下,为了保证数据库中数据的充足性,需要提高数据采集的效率。在网络数据获取时,需要注意三点内容,首先,要保证数据的完整性,在采集的过程中,不能对数据进行修改或者破坏;其次,数据采集系统不能受到网络流量的影响;最后,数据采集获取的过程中,要具有较高的透明度,要保证被检测的网络不会受到外界因素的影响。

2.2数据存储

动态取证技术是公安部门应用比较多的技术,与NIDS技术相比,其不但可以对特殊文字以及词汇进行摘录,还可以对数据进行完整性记录,通过对数据模块的分析,可以追查到相关内容。利用动态取证技术,可以将需要的报文完整的保存起来,还可以对网络流量进行详细的记录,可以确保系统不会丢失文件,另外,当系统遭到黑客的入侵或者破坏后,动态取证技术还可以进行实时恢复,所以,这项技术具有一定防御以及反击作用。在应用动态取证技术时,需要保证系统存储空间的容量。

2.3数据分析

数据分析是动态取证中一项关键的环节,通过分析可以辨识不良入侵,是保证数据库安全的有效措施。在网络还原或者重建的过程中,利用数据分析技术还可以将损失降到最低。网络数据分析有两种方式,一种是基本分析,另一种是深入分析,如果取证问题比较简单,则利用基本分析方法就可以解决,但是如果取证比较复杂,并且要求比较高,则必须进行深入数据分析。深入分析需要对重组网络数据以及来源进行分析,还需要对数据间的关联性进行分析,通过数据分析还可以还原与模拟网络事件现场。动态取证技术也具有一定缺点,在取证的过程中存在漏报或者误报的情况。

3数据挖掘技术在动态取证系统中的应用

基于数据挖掘的计算机动态取证技术,与传统的动态取证技术相比,有着较大的优势,其可以对海量收集的数据进行实时取证分析,而且准确性比较高,其具有关联分析的特点,可以对与案件有关的信息或者电子证据进行快速的查找。这一过程需要利用数据分析模块,在对数据进行分析时,需要对犯罪证据进行筛选,动态分析最大的优点是可以对实时数据进行获取,在黑客对原始数据进行篡改或者删除时,这项技术可以对这些犯罪过程详细的记录下来。基于数据挖掘的动态取证技术具有高效性以及可扩展性,利用数据挖掘技术,可以对海量的、不完全或者模糊的数据进行潜在价值的分析。基于数据挖掘的计算机动态取证技术主要有:

3.1关联分析

关联分析是基于数据挖掘的计算机动态取证技术一大特征,利用关联规则,可以对相关数据进行深层挖掘,通过关联分析可以掌握犯罪行为的关联性特征,这些特征有些已经经过了预处理,所以,相关工作这需要做好审查以及审计工作,要通过相关规则对用户犯罪特征以及规律进行总结。为了保证数据动态取证的安全性,需要在系统中设置加密软件,还要将入侵信息反馈到检测系统中,这样可以提高数据分析的效率,还可以实现实时动态取证。

3.2分类分析

分类分析就是通过对分析示例数据库中的相关数据进行分析,准确描述出每个类别的特征,建立分析模型,挖掘出分类的规则,将其它数据库中的记录传送到分类规则中,在动态取证系统的数据采集模块收集了用户或程序足够数据后,在取证的数据分析阶段,应用分类的相关规则来判断用户或程序是否非法。应用分类样品数据来训练数据分析器的学习,还预测一些未知的数据是否具有犯罪证据。

4结语

取证技术范文篇8

关键词:计算机犯罪计算机取证电子证据

Abstract:Therapiddevelopmentofcomputertechnologyhaschangedthewayofliving,productionandmanagement.Italsopresentsnewguiltywaysforthecriminals.Thenewtypesofcrimesbytakingthecomputerinformationsystemastheobjectandtoolsareincreasing.It’sgettingmoreharmful.Howtogettheevidenceofcomputercriminalsisanewtaskforthelawandcomputersciencearea.Proofbycomputer,asascienceofcomputerandlawarea.becomesafocusofattention.

KeyWords:CrimeonComputer,ComputerEvidence,ElectronicEvidence

计算机犯罪是伴随计算机的发明和广泛应用而产生的新的犯罪类型。随着计算机技术的飞速发展。计算机在社会中的应用领域急剧扩大。计算机犯罪的类型和领域不断增加和扩展。使“计算机犯罪”这一术语随着时间的推移不断获得新的涵义。

1什么是计算机犯罪

在学术研究上.关于计算机犯罪迄今为止尚无统一的定义(大致说来,计算机犯罪概念可归为五种:相关说、滥用说、工具说、工具对象说和信息对象说)。根据刑法条文的有关规定和我国计算机犯罪的实际情况,计算机犯罪是指行为人违反国家规定.故意侵入国家事务、国防建设、尖端科学技术等计算机信息系统,或者利用各种技术手段对计算机信息系统的功能及有关数据、应用程序等进行破坏。制作、传播计算机病毒。影响计算机系统正常运行且造成严重后果的行为。

利用计算机进行犯罪活动,无外乎以下两种方式:一是利用计算机存储有关犯罪活动的信息;二是直接利用计算机作为犯罪工具进行犯罪活动。计算机犯罪具有犯罪主体的专业化、犯罪行为的智能化、犯罪客体的复杂化、犯罪对象的多样化、危害后果的隐蔽性等特点。使计算机犯罪明显有别于传统一般刑事犯罪。近年来,计算机犯罪案例呈逐年上升趋势。给国家带来不可估量的严重后果和巨大的经济损失,甚至威胁到国家的安全,破坏了良好的社会秩序。所以,打击利用计算机进行的犯罪,确保信息安全对于国家的经济发展和社会稳定具有重大现实意义。为有效地打击计算机犯罪,计算机取证是一个重要步骤。存在于计算机及相关设备(包括网络介质)中的电子证据已经成为新的诉讼证据之一。

2什么是计算机取证

计算机取证又称为数字取证或电子取证,是指对计算机入侵、破坏、欺诈、攻击等犯罪行为利用计算机软硬件技术,按照符合法律规范的方式进行证据获取、保存、分析和出示的过程。从技术上,计算机取证是一个对受侵计算机系统进行扫描和破解,以对入侵事件进行重建的过程。

计算机取证包括物理证据获取和信息发现两个阶段。物理证据获取是指调查人员到计算机犯罪或入侵的现场,寻找并扣留相关的计算机硬件;信息发现是指从原始数据(包括文件,日志等)中寻找可以用来证明或者反驳的证据,即电子证据。与传统的证据一样,电子证据必须是真实、可靠、完整和符合法律规定的。

2.1物理证据的获取

物理证据的获取是全部取证工作的基础。获取物理证据是最重要的工作,保证原始数据不受任何破坏。无论在任何情况下,调查者都应牢记:

(1)不要改变原始记录;

(2)不要在作为证据的计算机上执行无关的操作;

(3)不要给犯罪者销毁证据的机会;

(4)详细记录所有的取证活动;

(5)妥善保存得到的物证。

若现场的计算机处于工作状态。取证人员应该设法保存尽可能多的犯罪信息。由于犯罪的证据可能存在于系统日志、数据文件、寄存器、交换区、隐藏文件、空闲的磁盘空间、打印机缓存、网络数据区和计数器、用户进程存储器、文件缓存区等不同的位置。要收集到所有的资料是非常困难的。关键的时候要有所取舍。如果现场的计算机是黑客正在入侵的目标。为了防止犯罪分子销毁证据文件,最佳选择也许是马上关掉电源;而如果计算机是作案的工具或相关信息的存储器。应尽量保存缓存中的数据。

2.2信息发现

取得了物理证据后。下一个重要的工作就是信息发现。不同的案件对信息发现的要求是不一样的。有些情况下要找到关键的文件、邮件或图片,而有些时候则可能要求计算机重现过去的工作细节(比如入侵取证)。

值得注意的是。入侵者往往在入侵结束后将自己残留在受害方系统中的“痕迹”擦除掉。犹如犯罪者销毁犯罪证据一样,尽量删除或修改日志文件及其它有关记录。殊不知一般的删除文件操作,即使在清空了回收站后,若不将硬盘低级格式化或将硬盘空间装满,仍可将“删除”的文件恢复过来。在Windows操作系统下的windowsswap(page)fde(一般用户不曾意识到它的存在)大概有20-200M的容量,记录着字符处理、Email消息、Internet浏览行为、数据库事务处理以及几乎其它任何有关windows会话工作的信息。另外。在windows下还存在着fdeslack,记录着大量Email碎片(Fragments)、字符处理碎片、目录树镜像(snapshot)以及其它潜在的工作会话碎片。以上这些都可以利用计算机取证软件来收集。事实上。现在的取证软件已经具有了非常好的数据恢复能力,同时,还可以做一些基本的文件属性获得和档案处理工作。

数据恢复以后。取证专家还要进行关键字的查询、分析文件属性和数字摘要、搜寻系统日志、解密文件等工作。由于缺乏对计算机上的所有数据进行综合分析的工具,所以,信息发现的结果很大程度上依赖于取证专家的经验。这就要求一个合格的取证专家要对信息系统有深刻的了解。掌握计算机的组成结构、计算机网络、操作系统、数据库等多方面的相关知识。

最后取证专家据此给出完整的报告。将成为打击犯罪的主要依据,这与侦查普通犯罪时法医的角色没有区别。

3一些取证工具的介绍

在计算机取证过程中。相应的取证工具必不可少,常见的有tcpdump,Argus,NFR,EnCase,tcpwrapper,sniffers,honeypot,Tripwires,Networkmonitor,镜像工具等。在国外计算机取证过程中比较流行的是镜像工具和专业的取证软件。下面以EnCase作为一个计算机取证技术的案例来分析。EnCase是目前使用最为广泛的计算机取证工具,至少超过2000家的去律执行部门在使用它。EnCase是用C++编写的容量大约为1M的程序,它能调查Windows,Macintosh,Anux,Unix或DOS机器的硬盘,把硬盘中的文件镜像或只读的证据文件。这样可以防止调查人员修改数居而使其成为无效的证据。为了确定镜像数据与原的数据相同。EnCase会与计算机CRC校验码和MD5台希值进行比较。EnCase对硬盘驱动镜像后重新组织文件结构,采用WindowsGUI显示文件的内容。允许调查员使用多个工具完成多个任务。

在检查一个硬盘驱动时,EnCase深入操作系统底层查看所有的数据——包括fileslack.未分配的空司和Windows交换分区(存有被删除的文件和其它潜生的证据)的数据。在显示文件方面,EnCase可以由多种标准,如时间戳或文件扩展名来排序。此外.EnCase可以比较已知扩展名的文件签名。使得调查人员能确定用户是否通过改变文件扩展名来隐藏证据。对调查结果可以采用html或文本方式显示。并可打印出来。

在计算机取证的过程中还有一种常用的方法是在被入侵的系统上巧妙地设立HoneyPot,模拟先前被入侵的状态来捕获入侵者的信息,即采用诱敌深入的计策达到取证的目的。

HoneyPot和Honeynet都是专门设计来让人“攻陷”的网络。一旦被入侵者攻破,入侵者的一切信息、工具都将被用来分析学习。

通常情况下,HoneyPot会模拟常见的漏洞。而Honeynet是一个网络系统,而非某台单一主机。这一网络系统隐藏在防火墙后面,所有进出的数据都受到关注、捕获及控制。这些捕获的数据可被用来研究分析入侵者使用的工具、方法及动机。4当前计算机取证技术的局限和反取证技术

计算机取证的理论和软件是近年来计算机安全领域内取得的重大成果。然而,在实际取证过程中。我们发现目前的计算机取证技术还存在着很大的局限性。首先,有关犯罪的电子证据必须没有被覆盖:其次,取证软件必须能够找到这些数据。并能知道它代表的内容。但从当前软件的实现情况来看。许多取证分析软件并不能恢复所有被删除的文件。

正是由于技术上的局限性。使得一些犯罪分子认为有机可乘。因此在取证技术迅速发展的同时.一种叫做反取证的技术也悄悄出现了。反取证技术就是删除或隐藏证据,使取证调查无效。现在反取证技术主要分为三类:数据擦除、数据隐藏、数据加密。这些技术还可结合使用,使取证工作变得很困难。

数据擦除是最有效的反取证方法。它清除所有的证据。由于原始数据不存在了。取证自然就无法进行。数据隐藏仅在取证者不知道到哪里寻找证据时才有效。为逃避取证,犯罪者还把暂时不能删除的文件伪装成其他类型的文件或把他们隐藏在图形或音乐文件中。也有人将数据文件隐藏在磁盘的隐藏空间中。

加密文件的作用是我们所熟知的。对可执行文件的加密是因为在被入侵主机上执行的黑客程序无法被隐藏,而黑客又不想让取证人员有方向地分析出这些程序的作用,因此,在程序运行前先执行一个文本解密程序。来解密被加密的代码。而被解密的代码可能是黑客程序。也可能是另一个解密程序。

此外,黑客还可以利用RootKit(系统后门、木马程序),绕开系统日志或利用盗窃的密码冒充其他用户登陆。这些反取证技术给取证工作带来极大的困难。

5结束语

在各种各样的计算机犯罪手段与信息安全防范技术对垒的形势下。目前的研究多着眼于入侵防范对于入侵后的取证技术的研究相对滞后。仅仅通变现有的网络安全技术打击计算机犯罪已经不能够适应当前的形式。因此需要发挥社会和法律的力量去对付计算机和网络犯罪。计算机取证学的出现和矗用是网络安全防御理论走向成熟的标志。也是相多法律得以有效执行的重要保障。

参考文献:

【1】高铭喧主编<新编中国刑法学>1998年版

【2】蒋平主编‘计算机犯罪问题研究)2000年版

取证技术范文篇9

关键词:电子证据;取证;规范

一、电子证据的特点及取证要求

电子证据不仅仅具备证据的基础三性要求,还具备其他证据没有的特性:

(一)表现形式的多样性

电子证据作为当今智能时代衍生出的新的证据形式,具有“非静止呈现性”,既可以多媒体的形式出现,又可展现为与案件有关的文本、图形、音频、视频及动画等各种信息,从而生动形象地尽可能还原案发时的状况。电子证据的这一特点,要求取证人员不光要使用一定的硬件设备、应用软件和操作系统等平台提取到数据信息,还要根据后续诉讼阶段电子证据的用途,要固定成相应的证据表现形式。

(二)内容的易被篡改性和可挽救性

电子证据的本质是电磁波和二进制数据编码,通过电、磁、光等形态存储在介质上。对电子数据的修改和删除通常在操作日志中留下记录,如果操作日志也被删除,修改行为将不留下任何痕迹。因此我们在对电子证据收集时要注意三点:一是转化固定;二是复制固定;三是哈希值比对,在获取到原始检材后,首要任务就是做哈希值计算,然后根据取证要求进行下一步,此后在搜集和提取电子证据的任何环节,首先都是做哈希值比对,一步骤一查验,是电子证据取证相对于其他证据取证的关键之处。尽管电子证据不易保存,可相对传统书证而言,计算机硬盘上的数据信息总是有迹可循的,能够技术挽救。“文件被删除后放进‘回收站’,可以直接用命令将其恢复。即使‘回收站’清空,文件也实质上并未从硬盘上删除,删除的只是指向文件物理地址的逻辑指针。”

二、我国刑事司法中电子证据取证制度存在的问题

(一)取证人员的专业性不足

面对智能时代新的证据类型,取证人员除了具备计算机网络、侦查、法律等综合知识,还需掌握先进的电子取证技术。但在目前的基层公安部门中,大部分的侦查人员存在年龄偏大、学历层次偏低的问题,复合型的人才匮乏,无法达到电子取证高精尖的要求。

(二)取证标准和取证技术的水平差异性较大

我国目前用来取证的软件、工具大都从国外引进,如美国的Encase系列取证分析工具、德国的X-WaysForensics计算机法证工具,以上工具都可以进行数据的完整获取,支持多种数据恢复功能,将所有操作步骤生成日志文件。国内自主生产的软件,技术相对没有达到上述工具的标准,侦查人员经验缺乏,导致电子取证的效率、质量都不高。同时,现有的规章制度中,对电子取证的质量标准、技术标准、检测标准等指标没有形成统一性,难以满足后期的庭审要求。

(三)取证程序的规范性不高

两高一部陆续出台了相应的电子证据取证规范,包括《电子物证数据恢复检验规程》、《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》、《公安机关电子数据鉴定规则》、《电子数据司法鉴定操作规范(试行)》等法律法规。虽然对电子证据的取证程序作了规定,但缺乏针对性和指导性,难以对电子取证工作提供系统性的法律支持。

三、我国刑事司法电子证据取证制度的完善设想

(一)电子证据取证人员的规范化

根据《公安机关数据鉴定规则》的规定:“委托鉴定的存储媒介应当是复制原始存储媒介得到的备份存储媒介。因特殊原因,委托鉴定检材是原始存储媒介或原始电子设备的,委托单位应当提供相对应的《固定电子证据清单》和《封存电子证据清单》。委托单位未对原始存储媒介或原始电子设备进行封存或固定的,应当在《委托鉴定检材清单》中注明。如果鉴定委托单位已使用过委托鉴定的原始存储媒介和电子设备的,应当介绍使用的情况,并提交相应的《原始证据使用记录》。”根据《人民检察院电子证据鉴定程序规则(试行)》的规定:“进行电子证据鉴定,委托单位应当提交检材及有关检材的各种记录材料(接受、收集、调取或扣押工作记录,使用和封存记录;检材的复制件的,还应有复制工作记录)。”从以上两个规定来看,委托鉴定的检材清单无比详细,对侦查人员的要求很高。取证人员不光要具有公安侦查人员的办案能力,对计算机专业知识、法律知识、外语知识也要精通,因此对电子证据取证人员应当单独考核。

1.设立取证人员资格认证制度

资格认证制度应包括资质认定和能力验证两方面。(1)取证人员职业资格。国家应当设立统一的取证人员资格考试制度,考试形式可参考司法鉴定人员考试的设计,内容应包括计算机专业知识的考核和与取证相关的法律知识的考核。考试合格后,可以参照鉴定人员培养制度,在网监大队或勘验检查部门工作两年,方有资格申请取证人员职业资格。负责审核申请的是各省级司法行政部门,主要进行形式审。(2)取证人员执业资格。在获得职业资格后,准取证人员还需通过业务能力考核。由鉴定专家组成遴选委员会通过匿名评审的方式进行选拔。考核合格后,授予取证人员执业资格。遴选委员会由省级司法行政部门负责组建。只有这两个条件都具备,才能成为一名合格的取证人员。

2.建立长期的人才储备战略

我国的刑事案件大量集中在基层,基层侦查人员的电子证据取证水平相对较低,有必要制定长期的人才储备战略。首先,重视高校取证专业教育、教学活动,为社会输送合格的高素质取证人才;其次,建立一支高水平的取证专家队伍,适时对基层办案单位取证工作给与协助;最后,对已经取得资格证的取证人员加强培训,定期考察专业知识和实务能力。

(二)电子取证标准的规范化

美国数字调查专家WarrenG.KruseⅡ和JayG.Heiser在其《计算机取证:应急响应精要》一书中曾做过如此表述:“取证调查的成功与否有很大一部分取决于调查人员使用的工具。这些工具对你就像蝙蝠侠的武装带,或者是你从Q博士那里得到的詹姆士•邦德的装备……你应该认识到,你是一个因为能够使用普通人无法使用的特殊工具而在工作上取得成功的人。”电子证据取证工具规范化的发展主要考量以下因素:1.可用性。要求取证工具在技术上能够解决所遇到的实际问题,获得预期的应用结果,进而最终实现所设定的取证目的。2.高性能。面对需要调查的形式各异的海量数据,所用工具必须具备较强的速度、精度和兼容性,才能够在可接受的时段内完成工作任务。3.精确性。在输入同样的指令和数据后,所用的工具能够得到同样的结果。所生成的结果可以验证核实,其误差幅度在合理范围之内。4.有效性。要求得出数据的办法理念和由数据所得的推论呈现相符性。为了保证取证标准的统一,取证技术也要求规范化。从电子取证的技术性和法律性相结合的角度出发,结合ISO/IEC17025:2005《检测和校准实验室能力的通用要求》及美国法庭用以检验科学技术可靠性的Daubert规则之要求,对电子证据取证技术提出以下一般性要求:1.电子证据取证所用的技术本身应该是经过反复论证的、高效的、可靠的,应优先使用以国际、区域或国家标准的方法。2.在没有上述统一方法可以采用的情况下,实验室自行创制或使用的方法若能满足预期用途并通过验证,也可以使用。3.使用的技术方法应当具有良好的可验证性和可重复性,通俗地讲在今天做或在明天做,由甲做或乙做,在A地做或在B地做,所获得的结果都可以保持高度的一致性。

(三)电子取证程序的规范化

“电子证据取证程序对于整个取证工作有重要的指示性意义,只有遵循合理的取证程序所获取的证据,才能够确保其满足证据能力的要求并具备应有的证明力。”规范化的电子证据取证程序大致分为四个环节。

1.取证前的准备。接报案后,大致分为两方面的准备工作,即人员的准备和设备的准备。首先,人员的准备。按照到达现场工作职责的不同,把工作人员大致分为安保人员、现场勘查人员和协助人员三类。值得强调的是,安保中的人身保障指防止现场勘查过程中现场人员不配合产生冲突,或其他可能造成人身伤害的情形出现。而安保中的设备安全保障是指防止现场勘查过程中直接或间接地破坏证物或设备。其次,设备的准备。在了解案件基本请况之后,根据案件的类型准备现场勘查的设备时,要将现场可能需要的操作尽可能考虑齐全,并携带相应的设备前往,如勘查箱、取证软件、笔记本电脑、硬盘复制机、只读锁、物证标签等。

2.现场勘查取证。主要勘查对象包括:电脑设备、手机、摄像头、网吧、手机基站、民航数据库等。电子证据取证的原则包括:第一时间原则,即早接案早勘查,少遗漏少变化;原始取证原则,即采用拍照、摄像、MD5校验值等多种方法,说明证据在各个诉讼阶段中的任何变化;完整性原则,要保证提取的电子证据全面客观,整个提取的过程是受监督的。搜集后制作相关的法律文书,如《现场勘验笔录》。其基本内容一般包括基本情况、现场情形、勘验过程和勘验结果四大方面。要注意填写现场的存储媒介、电子设备、终端设备等封存前的状态、开关机时间、实施的操作、对数据可能产生的影响等有关情况。

3.实物的提取和扣押。按照电子证据存储的载体是否可提取,将提取扣押工作分为两类。一类是原始载体可以提取的。侦查员对相关设备按照连接状态进行编号,贴上标签,分组进行提取。另一类是原始载体不可提取的。侦查员可采用转为书证固定、录制成视听资料固定、拷贝到存储设备等形式将电子证据输出取证。最后,规范制作相关法律文书。

4.鉴定分析。进行电子证据鉴定分析要注意,避免使用原始证据进行鉴定,只有在情况紧急的重大案件,不立即检查原始数据可能导致严重后果,或因技术条件限制,无法复制原始数据的,才能有例外。电子证据取证,除了要坚持及时高效、全面完整、保密监督的原则,还需妥善解决与公民隐私权的冲突。

(1)维护当事人的知情权。在侦查人员电子取证过程中,电子设备的所有人、使用人有权知晓扣押、侦查、鉴定等必要刑事措施的内容。但对于网络监控、电话监听等技术侦查进行的取证手段所获取的电子数据应排除在当事人的知情权范围之外。

(2)确保当事人的申诉权。取证过程中万一侵害到那些不知晓案件情况的公民的隐私权,就需要给他们提供一条维权的法律之路。

(3)保障当事人的赔偿权。合理的赔偿机制,不仅能保障公民的名誉权和人格权,还能在一定程度上规制侦查人员的侦查行为。社会发展日新月异,科技水平迅猛发展,电子取证行为在日后的刑事司法活动中会越来越频繁。只有确保取证的规范,才能使司法人员从中获取有价值的信息,有助于法庭科学的全面进步。

[参考文献]

[1]赵春雨,张云泉.论电子证据的特点及其对取证的影响[J].黑龙江省政法管理干部学院学报,2006(1):13.

[2][美]WarrenG.KruseⅡ,JayG.Heiser,段海新,刘武,赵乐楠,译.计算机取证:应急响应精要[M].北京:人民邮电出版社,2003:121.

取证技术范文篇10

关键词:计算机犯罪计算机取证电子证据

Abstract:Therapiddevelopmentofcomputertechnologyhaschangedthewayofliving,productionandmanagement.Italsopresentsnewguiltywaysforthecriminals.Thenewtypesofcrimesbytakingthecomputerinformationsystemastheobjectandtoolsareincreasing.It’sgettingmoreharmful.Howtogettheevidenceofcomputercriminalsisanewtaskforthelawandcomputersciencearea.Proofbycomputer,asascienceofcomputerandlawarea.becomesafocusofattention.

KeyWords:CrimeonComputer,ComputerEvidence,ElectronicEvidence

计算机犯罪是伴随计算机的发明和广泛应用而产生的新的犯罪类型。随着计算机技术的飞速发展。计算机在社会中的应用领域急剧扩大。计算机犯罪的类型和领域不断增加和扩展。使“计算机犯罪”这一术语随着时间的推移不断获得新的涵义。

1什么是计算机犯罪

在学术研究上.关于计算机犯罪迄今为止尚无统一的定义(大致说来,计算机犯罪概念可归为五种:相关说、滥用说、工具说、工具对象说和信息对象说)。根据刑法条文的有关规定和我国计算机犯罪的实际情况,计算机犯罪是指行为人违反国家规定.故意侵入国家事务、国防建设、尖端科学技术等计算机信息系统,或者利用各种技术手段对计算机信息系统的功能及有关数据、应用程序等进行破坏。制作、传播计算机病毒。影响计算机系统正常运行且造成严重后果的行为。

利用计算机进行犯罪活动,无外乎以下两种方式:一是利用计算机存储有关犯罪活动的信息;二是直接利用计算机作为犯罪工具进行犯罪活动。计算机犯罪具有犯罪主体的专业化、犯罪行为的智能化、犯罪客体的复杂化、犯罪对象的多样化、危害后果的隐蔽性等特点。使计算机犯罪明显有别于传统一般刑事犯罪。近年来,计算机犯罪案例呈逐年上升趋势。给国家带来不可估量的严重后果和巨大的经济损失,甚至威胁到国家的安全,破坏了良好的社会秩序。所以,打击利用计算机进行的犯罪,确保信息安全对于国家的经济发展和社会稳定具有重大现实意义。为有效地打击计算机犯罪,计算机取证是一个重要步骤。存在于计算机及相关设备(包括网络介质)中的电子证据已经成为新的诉讼证据之一。

2什么是计算机取证

计算机取证又称为数字取证或电子取证,是指对计算机入侵、破坏、欺诈、攻击等犯罪行为利用计算机软硬件技术,按照符合法律规范的方式进行证据获取、保存、分析和出示的过程。从技术上,计算机取证是一个对受侵计算机系统进行扫描和破解,以对入侵事件进行重建的过程。

计算机取证包括物理证据获取和信息发现两个阶段。物理证据获取是指调查人员到计算机犯罪或入侵的现场,寻找并扣留相关的计算机硬件;信息发现是指从原始数据(包括文件,日志等)中寻找可以用来证明或者反驳的证据,即电子证据。与传统的证据一样,电子证据必须是真实、可靠、完整和符合法律规定的。

2.1物理证据的获取

物理证据的获取是全部取证工作的基础。获取物理证据是最重要的工作,保证原始数据不受任何破坏。无论在任何情况下,调查者都应牢记:

(1)不要改变原始记录;

(2)不要在作为证据的计算机上执行无关的操作;

(3)不要给犯罪者销毁证据的机会;

(4)详细记录所有的取证活动;

(5)妥善保存得到的物证。

若现场的计算机处于工作状态。取证人员应该设法保存尽可能多的犯罪信息。由于犯罪的证据可能存在于系统日志、数据文件、寄存器、交换区、隐藏文件、空闲的磁盘空间、打印机缓存、网络数据区和计数器、用户进程存储器、文件缓存区等不同的位置。要收集到所有的资料是非常困难的。关键的时候要有所取舍。如果现场的计算机是黑客正在入侵的目标。为了防止犯罪分子销毁证据文件,最佳选择也许是马上关掉电源;而如果计算机是作案的工具或相关信息的存储器。应尽量保存缓存中的数据。

2.2信息发现

取得了物理证据后。下一个重要的工作就是信息发现。不同的案件对信息发现的要求是不一样的。有些情况下要找到关键的文件、邮件或图片,而有些时候则可能要求计算机重现过去的工作细节(比如入侵取证)。

值得注意的是。入侵者往往在入侵结束后将自己残留在受害方系统中的“痕迹”擦除掉。犹如犯罪者销毁犯罪证据一样,尽量删除或修改日志文件及其它有关记录。殊不知一般的删除文件操作,即使在清空了回收站后,若不将硬盘低级格式化或将硬盘空间装满,仍可将“删除”的文件恢复过来。在Windows操作系统下的windowsswap(page)fde(一般用户不曾意识到它的存在)大概有20-200M的容量,记录着字符处理、Email消息、Internet浏览行为、数据库事务处理以及几乎其它任何有关windows会话工作的信息。另外。在windows下还存在着fdeslack,记录着大量Email碎片(Fragments)、字符处理碎片、目录树镜像(snapshot)以及其它潜在的工作会话碎片。以上这些都可以利用计算机取证软件来收集。事实上。现在的取证软件已经具有了非常好的数据恢复能力,同时,还可以做一些基本的文件属性获得和档案处理工作。

数据恢复以后。取证专家还要进行关键字的查询、分析文件属性和数字摘要、搜寻系统日志、解密文件等工作。由于缺乏对计算机上的所有数据进行综合分析的工具,所以,信息发现的结果很大程度上依赖于取证专家的经验。这就要求一个合格的取证专家要对信息系统有深刻的了解。掌握计算机的组成结构、计算机网络、操作系统、数据库等多方面的相关知识。

最后取证专家据此给出完整的报告。将成为打击犯罪的主要依据,这与侦查普通犯罪时法医的角色没有区别。

3一些取证工具的介绍

在计算机取证过程中。相应的取证工具必不可少,常见的有tcpdump,Argus,NFR,EnCase,tcpwrapper,sniffers,honeypot,Tripwires,Networkmonitor,镜像工具等。在国外计算机取证过程中比较流行的是镜像工具和专业的取证软件。下面以EnCase作为一个计算机取证技术的案例来分析。EnCase是目前使用最为广泛的计算机取证工具,至少超过2000家的去律执行部门在使用它。EnCase是用C++编写的容量大约为1M的程序,它能调查Windows,Macintosh,Anux,Unix或DOS机器的硬盘,把硬盘中的文件镜像或只读的证据文件。这样可以防止调查人员修改数居而使其成为无效的证据。为了确定镜像数据与原的数据相同。EnCase会与计算机CRC校验码和MD5台希值进行比较。EnCase对硬盘驱动镜像后重新组织文件结构,采用WindowsGUI显示文件的内容。允许调查员使用多个工具完成多个任务。

在检查一个硬盘驱动时,EnCase深入操作系统底层查看所有的数据——包括fileslack.未分配的空司和Windows交换分区(存有被删除的文件和其它潜生的证据)的数据。在显示文件方面,EnCase可以由多种标准,如时间戳或文件扩展名来排序。此外.EnCase可以比较已知扩展名的文件签名。使得调查人员能确定用户是否通过改变文件扩展名来隐藏证据。对调查结果可以采用html或文本方式显示。并可打印出来。

在计算机取证的过程中还有一种常用的方法是在被入侵的系统上巧妙地设立HoneyPot,模拟先前被入侵的状态来捕获入侵者的信息,即采用诱敌深入的计策达到取证的目的。

HoneyPot和Honeynet都是专门设计来让人“攻陷”的网络。一旦被入侵者攻破,入侵者的一切信息、工具都将被用来分析学习。

通常情况下,HoneyPot会模拟常见的漏洞。而Honeynet是一个网络系统,而非某台单一主机。这一网络系统隐藏在防火墙后面,所有进出的数据都受到关注、捕获及控制。这些捕获的数据可被用来研究分析入侵者使用的工具、方法及动机。

4当前计算机取证技术的局限和反取证技术

计算机取证的理论和软件是近年来计算机安全领域内取得的重大成果。然而,在实际取证过程中。我们发现目前的计算机取证技术还存在着很大的局限性。首先,有关犯罪的电子证据必须没有被覆盖:其次,取证软件必须能够找到这些数据。并能知道它代表的内容。但从当前软件的实现情况来看。许多取证分析软件并不能恢复所有被删除的文件。

正是由于技术上的局限性。使得一些犯罪分子认为有机可乘。因此在取证技术迅速发展的同时.一种叫做反取证的技术也悄悄出现了。反取证技术就是删除或隐藏证据,使取证调查无效。现在反取证技术主要分为三类:数据擦除、数据隐藏、数据加密。这些技术还可结合使用,使取证工作变得很困难。

数据擦除是最有效的反取证方法。它清除所有的证据。由于原始数据不存在了。取证自然就无法进行。数据隐藏仅在取证者不知道到哪里寻找证据时才有效。为逃避取证,犯罪者还把暂时不能删除的文件伪装成其他类型的文件或把他们隐藏在图形或音乐文件中。也有人将数据文件隐藏在磁盘的隐藏空间中。

加密文件的作用是我们所熟知的。对可执行文件的加密是因为在被入侵主机上执行的黑客程序无法被隐藏,而黑客又不想让取证人员有方向地分析出这些程序的作用,因此,在程序运行前先执行一个文本解密程序。来解密被加密的代码。而被解密的代码可能是黑客程序。也可能是另一个解密程序。

此外,黑客还可以利用RootKit(系统后门、木马程序),绕开系统日志或利用盗窃的密码冒充其他用户登陆。这些反取证技术给取证工作带来极大的困难。

5结束语

在各种各样的计算机犯罪手段与信息安全防范技术对垒的形势下。目前的研究多着眼于入侵防范对于入侵后的取证技术的研究相对滞后。仅仅通变现有的网络安全技术打击计算机犯罪已经不能够适应当前的形式。因此需要发挥社会和法律的力量去对付计算机和网络犯罪。计算机取证学的出现和矗用是网络安全防御理论走向成熟的标志。也是相多法律得以有效执行的重要保障。

参考文献:

【1】高铭喧主编<新编中国刑法学>1998年版

【2】蒋平主编‘计算机犯罪问题研究)2000年版