计算机取证工作站？计算机取证技术论文(2)

计算机取证技术论文(2)

计算机取证技术论文篇二

计算机取证技术研究

摘要：随着计算机和网络技术的飞速发展，计算机犯罪和网络安全等问题也越来越突出，也逐渐引起重视。文章对计算机取证的特点、原则和步骤进行了介绍，最后从基于单机和设备、基于网络的两类取证技术进行了深入研究。

关键词：计算机取证数据恢复加密解密蜜罐网络

随着计算机和网络技术的飞速发展，计算机和网络在人类的政治、经济、文化和国防军事中的作用越来越重要，计算机犯罪和网络安全等问题也越来越突出，虽然目前采取了一系列的防护设备和措施，如硬件防火墙、入侵检测系统、、网络隔离等，并通过授权机制、访问控制机制、日志机制以及数据备份等安全防范措施，但仍然无法保证系统的绝对安全。

计算机取证技术是指运用先进的技术手段，遵照事先定义好的程序及符合法律规范的方式，全面检测计算机软硬件系统，查找、存储、保护、分析其与计算机犯罪相关的证据，并能为法庭接受的、有足够可信度的电子证据。计算机取证的目的是找出入侵者，并解释或重现完整入侵过程。

一、计算机取证的特点

和传统证据一样，电子证据也必须是可信的、准确的、完整的以及令人信服并符合法律规范的，除此之外，电子证据还有如下特点：

1.数字性。电子证据与传统的物证不同，它是无法通过肉眼直接看见的，必须结合一定的工具。从根本上讲，电子证据的载体都是电子元器件，电子证据本身只是按照特殊顺序组合出来的二进制信息串。

2.脆弱性。计算机数据每时每刻都可能发生改变，系统在运行过程中，数据是不断被刷新和重写的，特别是如果犯罪嫌疑人具备一定的计算机水平，对计算机的使用痕迹进行不可还原的、破坏性*作后，现场是很难被重现的。另外取证人员在收集电子证据过程中，难免会进行打开文件和程序等*作，而这些*作很可能就会对现场造成原生破坏。

3.多态性。电子证据的多态性是指电子证据可以以多种形态表现，它既可以是打印机缓冲区中的数据，也可以是各种计算机存储介质上的声音、视频、图像和文字，还可以是网络交换和传输设备中的历史记录等等，这些不同形态都可能成为被提交的证据类型。法庭在采纳证据时，不仅要考虑该电子证据的生成过程、采集过程是否可靠，还要保证电子证据未被伪造篡改、替换剪辑过。

4.人机交互性。计算机是通过人来*作的，单靠电子证据本身可能无法还原整个犯罪过程，必须结合人的*作才能形成一个完整的记录，在收集证据、还原现场的过程中，要结合人的思维方式、行为习惯来通盘考虑，有可能达到事半功倍的效果。

二、计算机取证的原则和步骤

(一)计算机取证的主要原则

1.及时性原则。必须尽快收集电子证据，保证其没有受到任何破坏，要求证据的获取具有一定的时效性。

2.确保“证据链”的完整性。也称为证据保全，即在证据被正式提交法庭时，必须能够说明证据从最初的获取状态到法庭上出现的状态之间的任何变化，包括证据的移交、保管、拆封、装卸等过程。

3.保全性原则。在允许、可行的情况下，计算机证据最好制作两个以上的拷贝，而原始证据必须专门负责，所存放的位置必须远离强磁、强腐蚀、高温、高压、灰尘、潮湿等恶劣环境，以防止证据被破坏。

4.全程可控原则。整个检查取证的过程都必须受到监督，在证据的移交、保管、拆封和装卸过程中，必须由两人或两人以上共同完成，每一环节都要保证其真实性和不间断性，防止证据被蓄意破坏。

(二)计算机取证的主要步骤

1.现场勘查

勘查主要是要获取物理证据。首先要保护计算机系统，如果发现目标计算机仍在进行网络连接，应该立即断开网络，避免数据被远程破坏。如果目标计算机仍处在开机状态，切不可立即将其电源断开，保持工作状态反而有利于证据的获取，比如在内存缓冲区中可能残留了部分数据，这些数据往往是犯罪分子最后遗漏的重要证据。如果需要拆卸或移动设备，必须进行拍照存档，以方便日后对犯罪现场进行还原。

2.获取电子证据

包括静态数据获取和动态数据获取。静态数据包括现存的正常文件、已经删除的文件、隐藏文件以及加密文件等，应最大程度的系统或应用程序使用的临时文件或隐藏文件。动态数据包括计算机寄存器、Cache缓存、路由器表、任务进程、网络连接及其端口等，动态数据的采集必须迅速和谨慎，一不小心就可能被新的*作和文件覆盖替换掉。

3.保护证据完整和原始性

取证过程中应注重采取保护证据的措施，应对提取的各种资料进行复制备份，对提取到的物理设备，如光盘硬盘等存储设备、路由器交换机等网络设备、打印机等外围设备，在移动和拆卸过程中必须由专人拍照摄像，再进行封存。对于提取到的电子信息，应当采用MD5、SHA等Hash算法对其进行散列等方式进行完整性保护和校验。上述任何*作都必须由两人以上同时在场并签字确认。

4.结果分析和提交

这是计算机取证的关键和核心。打印对目标计算机系统的全面分析结果，包括所有的相关文件列表和发现的文件数据，然后给出分析结论，具体包括：系统的整体情况，发现的文件结构、数据、作者的信息以及在调查中发现的其他可疑信息等。在做好各种标记和记录后，以证据的形式并按照合法的程序正式提交给司法机关。

三、计算机取证相关技术

计算机取证涉及到的技术非常广泛，几乎涵盖信息安全的各个领域，从证据的获取来源上讲，计算机取证技术可大致分为基于单机和设备的计算机取证技术、基于网络的计算机取证技术两类。

(一)基于单机和设备的取证技术

1.数据恢复技术

数据恢复技术主要是用于将用户删除或格式化的磁盘擦除的电子证据恢复出来。对于删除*作来说，它只是将文件相应的存放位置做了标记，其文件所占的磁盘空间信息在没有新的文件重新写入时仍然存在，普通用户看起来已经没有了，但实际上通过恢复文件标记可以进行数据恢复。对于格式化*作来讲，它只是将文件系统的各种表进行了初始化，并未对数据本身进行实际*作，通过重建分区表和引导信息，是可以恢复已经删除的数据的。实验表明，技术人员可以借助数据恢复工具，把已经覆盖过7次的数据重新还原出来。

2.加密解密技术

通常犯罪分子会将相关证据进行加密处理，对取证人员来讲，必须把加密过的数据进行解密，才能使原始信息成为有效的电子证据。计算机取证中使用的密码*技术和方法主要有：密码分析技术、密码*技术、口令搜索、口令提取及口令恢复技术。

3.数据过滤和数据挖掘技术

计算机取证得到的数据，可能是文本、图片、音频或者视频，这些类型的文件都可能隐藏着犯罪信息，犯罪分子可以用隐写的方法把信息嵌入到这些类型的文件中。若果犯罪分子同时结合加密技术对信息进行处理，然后再嵌入到文件中，那么想要还原出原始信息将变得非常困难，这就需要开发出更优秀的数据挖掘工具，才能正确过滤出所需的电子证据。

(二)基于网络的取证技术

基于网络的取证技术就是利用网络跟踪定位犯罪分子或通过网络通信的数据信息资料获取证据的技术，具体包括以下几种技术：

1.IP地址和MAC地址获取和识别技术

利用ping命令，向目标主机发送请求并监听ICMP应答，这样可以判断目标主机是否在线，然后再用其他高级命令来继续深入检查。也可以借助IP扫描工具来获取IP，或者利用DNS的逆向查询方法获取IP地址，也可以通过互联网服务提供商ISP的支持来获取IP。

MAC地址属于硬件层面，IP地址和MAC的转化是通过查找地址解析协议ARP表来实现的，当然，MAC跟IP地址一样，也可能被修改，如此前一度横行的“ARP欺骗”木马，就是通过修改IP地址或MAC来达到其目的的。

2.网络IO系统取证技术

也就是网络输入输出系统，使用netstat命令来跟踪嫌疑人，该命令可以获取嫌疑人计算机所在的域名和MAC地址。最具代表性的是入侵检测技术IDS，IDS又分为检测特定*的和检测模式变化的，它对取证最大帮助是它可以提供日志或记录功能，可以被用来监视和记录犯罪行为。

3.*取证技术

*使用简单的应用协议和文本存储转发，头信息包含了发送者和接受者之间的路径，可以通过分析头路径来获取证据，其关键在于必须了解*协议中的邮件信息的存储位置。对于POP3协议，我们必须访问工作站才能获取头信息;而基于HTTP协议发送的邮件，一般存储在邮件服务器上;而微软*作系统自带的邮件服务通常采用SMTP协议。对于采用SMTP协议的邮件头信息，黑客往往能轻易在其中*任何信息，包括伪造的源地址和目标地址。跟踪邮件的主要方法是请求ISP的帮助或使用专用的如NetScanTools之类的工具。

4.蜜罐网络取证技术

蜜罐是指虚假的敏感数据，可以是一个网络、一台计算机或者一项后台服务，也可以虚假口令和数据库等。蜜罐网络则是由若干个能收集和交换信息的蜜罐组成的网络体系，研究人员借助数据控制、数据捕获和数据采集等*作，对诱捕到蜜罐网络中的攻击行为进行控制和分析。蜜罐网络的关键技术包括网络欺骗、攻击捕获、数据控制、攻击分析与特征提取、预警防御技术。目前应用较多是主动蜜罐系统，它可以根据入侵者的攻击目的提供相应的欺骗服务，拖延入侵者在蜜罐中的时间，从而获取更多的信息，并采取有针对性的措施，保证系统的安全性。

参考文献：

[1]卢细英.浅析计算机取证技术[J],福建电脑,2008(3).

[2]刘凌.浅谈计算机静态取证与计算机动态取证[J],计算机与现代化,2009(6).

看了“计算机取证技术论文”的人还看：

1.计算机犯罪及取征技术的研究论文

2.安卓手机取证技术论文

3.计算机安全毕业论文

4.计算机安全论文

5.计算机安全论文范文

计算机方面的技术标准

本报北京4月5日讯新华社记者王雷鸣、本报记者胡健报道:针对近年来大幅上升的黑客攻击、病毒传播、有害信息传播等计算机违法犯罪活动，有关部门近日出台《计算机信息系统安全保护等级划分准则》，规定从2001年1月1日起对计算机信息系统安全保护实行等级划分，此举标志着我国计算机信息系统安全保护纳入了等级管理的轨道。

<br>由*部提出并组织制定、*质量技术监督局发布的强制性*标准———《计算机信息系统安全保护等级划分准则》，将计算机信息系统的安全保护等级划分为用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级等5个级别。用户可以根据自己计算机信息系统的重要程度确定相应的安全保护级别，并针对相应级别进行建设。

<br>据*部有关负责人介绍，实行安全等级保护制度后，将有利于提高*机关对计算机信息系统安全保护的监督管理水平。

<br>——————————————————————–

<br>计算机安全等级

<br>几年前，美国国防部为计算机安全的不同级别制订了4个准则。

<br>橙皮书（正式名称为可信任计算机标准评估标准）包括计算机安全级

<br>别的分类。看一下这些分类可以了解在一些系统中固有的各种安全风

<br>险，并能掌握如何减少或排除这些风险。

<br>

<br> 1、D1级

<br>这是计算机安全的最低一级。整个计算机系统是不可信任的，硬

<br>件和*作系统很容易被侵袭。D1级计算机系统标准规定对用户没有验

<br>证，也就是任何人都可以使用该计算机系统而不会有任何障碍。系统

<br>不要求用户进行登记（要求用户提供用户名）或口令保护（要求用户

<br>提供唯一字符串来进行访问）。任何人都可以坐在计算机前并开始使

<br>用它。

<br> D1级的计算机系统包括:

<br> MS-Dos

<br> MS-Windows3.xe及Windows95(不在工作组方式中）

<br> Apple的System7.x

<br>

<br> 2、C1级

<br> C1级系统要求硬件有一定的安全机制（如硬件带锁装置和需要钥

<br>匙才能使用计算机等），用户在使用前必须登录到系统。C1级系统还

<br>要求具有完全访问控制的能力，经应当允许系统管理员为一些程序或

<br>数据设立访问许可权限。C1级防护不足之处在于用户直接访问*作系

<br>统的根。C1级不能控制进入系统的用户的访问级别，所以用户可以将

<br>系统的数据任意移走。

<br>常见的C1级兼容计算机系统如下所列:

<br> UNIX系统

<br> XENIX

<br> Novell3.x或更高版本

<br> Windows NT

<br>

<br> 3、C2级

<br> C2级在C1级的某些不足之处加强了几个特性，C2级引进了受控访

<br>问环境（用户权限级别）的增强特性。这一特性不仅以用户权限为基

<br>础，还进一步限制了用户执行某些系统指令。授权分级使系统管理员

<br>能够分用户分组，授予他们访问某些程序的权限或访问分级目录。

<br>另一方面，用户权限以个人为单位授权用户对某一程序所在目录的访

<br>问。如果其他程序和数据也在同一目录下，那么用户也将自动得到访

<br>问这些信息的权限。C2级系统还采用了系统审计。审计特性跟踪所有

<br>的“安全*”，如登录（成功和失败的），以及系统管理员的工作，

<br>如改变用户访问和口令。

<br>常见的C2级*作系统有:

<br> UNIX系统

<br> XENIX

<br> Novell3.x或更高版本

<br> Windows NT

<br>

<br> 4、B1级

<br> B1级系统支持多级安全，多级是指这一安全保护安装在不同级别

<br>的系统中（网络、应用程序、工作站等），它对敏感信息提供更高级

<br>的保护。例如安全级别可以分为解密、保密和绝密级别。

<br>

<br> 5、B2级

<br>这一级别称为结构化的保护(Structured Protection)。B2级安

<br>全要求计算机系统中所有对象加标签，而且给设备（如工作站、终端

<br>和磁盘驱动器）分配安全级别。如用户可以访问一台工作站，但可能

<br>不允许访问装有人员工资资料的磁盘子系统。

<br>

<br> 6、B3级

<br> B3级要求用户工作站或终端通过可信任途径连接网络系统，这一

<br>级必须采用硬件来保护安全系统的存储区。

<br>

<br> 7、A级

<br>这是橙皮书中的最高安全级别，这一级有时也称为验证设计(ve-

<br>rified design)。与前面提到各级级别一样，这一级包括了它下面各

<br>级的所有特性。A级还附加一个安全系统受监视的设计要求，合格的

<br>安全个体必须分析并通过这一设计。另外，必须采用严格的形式化方

<br>法来证明该系统的安全性。而且在A级，所有构成系统的部件的来源

<br>必须安全保证，这些安全措施还必须担保在销售过程中这些部件不受

<br>损害。例如，在A级设置中，一个磁带驱动器从生产厂房直至计算机

<br>房都被严密跟踪。

<br>——————————————————————–

<br>在成功举办前六届*国际计算机信息系统安全展览会的基础上，第七届*国际计算机网络和信息安全展览会将于2006年6月15日-17日在北京展览馆举办。该展览会由*部公共信息网络安全监察局、*保密局科学技术委员会主办，*部科学技术信息研究所承办。本届展览会的主题为宣传和推动*信息安全等级保护，同期还就展会的主题举行研讨会，邀请*主管部门、信息安全专家、业内著名厂商就政策法规、安全与管理、技术发展趋势、解决方案等内容发表专题演讲。

<br>

<br>***曾参观了第二届展览会并指出:“这个展览办得好。要高度重视我国计算机信息的安全问题，进一步提高自我保护和防范意识；要大力加强计算机安全技术的自我研究和开发，并注意吸收和借鉴国外的先进技术；要采取有利措施，健全法制，加强管理，切实保障*计算机信息系统的安全。”这表明中央领导对我国信息安全行业的关心和重视。

<br>

<br>经过六年的发展，该展会已经成为*乃至亚太地区最知名的专业计算机安全展会之一，全面体现着亚太地区计算机网络信息安全的发展水平。2006年展会将顺应行业需求，在展示最具代表性的产品与技术的同时，还为展商和观众提供全面信息安全咨询及解决方案等最新资讯。展品覆盖范围广泛，包括不同系列的信息安全产品:互联网安全、电子政务安全、虚拟专用网、公共密钥基础设施、证书中心、入侵检测系统、网络安全与管理、计算机安全、计算机取证、通讯安全、数据储存/备份、防火墙/计算机病毒防护、灾难恢复、安全审核、无线安全、掌上电脑安全、培训和安全服务、法律法规宣传等。

<br>

<br>本届*国际计算机网络和信息安全展览会继续得到了中央各部委和有关单位的大力支持。诚挚邀请广大信息安全厂商和相关企事业单位积极参加，以促进*信息安全产业的发展。

———————————————————–

刚开始有借鉴的，但现在是基本上是自己*开发了的。

计算机专业分类有哪几种

计算机分类有以下几种：

1、计算机如果指的是专业层次，则包含有计算机科学与技术、软件工程、信息管理与信息系统、网络工程、计算机应用技术、计算机网络技术、物联网工程等专业。

2、计算机如果是指用途层面，按照用途分为通用计算机和专用计算机。

3、计算机如果是指电脑层面，按照综合性能指标，将计算机分为如下5大类：高性能计算机、微型计算机、工作站、服务器、嵌入式计算机。