当前位置:论文写作 > 毕业论文范文 > 文章内容

计算机取证技术综述

主题:电子证据取证 下载地址:论文doc下载 原创作者:原创作者未知 评分:9.0分 更新时间: 2023-12-18

简介:适合不知如何写取证证据方面的相关专业大学硕士和本科毕业论文以及关于取证证据论文开题报告范文和相关职称论文写作参考文献资料下载。

取证证据论文范文

电子证据取证论文

目录

  1. 1.计算机取证的概念和特点
  2. 2.)无形性:计算机数据必须借助于输出设备才能呈现结果;
  3. 3.)高科技性:证据的产生、传输、保存都要借助高科技含量的技术与设备;
  4. 1.)取证准备,这个过程要对取证环境和条件作客观性分析;
  5. 2.)现场勘查及证据固定,这个过程必须保证证据获取的合法性;
  6. 4.)证据的呈递,这个过程要对所获取的电子证据进行鉴定,从而保证证据对犯罪定性的有效.
  7. 2.计算机取证的证据固定
  8. 2.,1移动存储介质的数据获取
  9. 2.2在线数据获取
  10. 2.3关闭状态计算机硬盘数据获取
  11. 3.计算机取证的数据分析
  12. 1.)有关犯罪证据的数据必须没有被破坏或篡改;
  13. 2.)取证软件必须能找到这些数据;
  14. 3.1数据恢复
  15. 3.2数据分析
  16. 4.结语
  17. 电子证据取证:我国明确暴力逼供取证不能作为定案证据

任雪飞,杨永川

(中国人民论文范文大学,北京102600)

摘 要:本文对计算机取证中的数据获取和数据分析展开讨论,针对不同现场环境给出了不同的数据获取的方法,并归纳了对证据文件进行数据分析的基本步骤和技术手段.

关键词:计算机取证;电子证据;数据恢复

中图分类号:TP393.08 文献标识码:A 文章编号:1671-1122( 2011) 01-0056-02

1.计算机取证的概念和特点

计算机取证的概念众说纷纭.其中,较为广泛的认识是:计算机取证是指能够为法庭接受的、足够可靠和有说服力的、存在于计算机和相关外设中的电子证据的确定、收集、保护、分析、归档以及法庭出示的过程.计算机取证基本围绕电子证据展开.电子证据是指在计算机或计算机系统运行过程中产生的,以其记录的内容来证明案件事实的电磁记录物.电子证据的表现形式是多样的,尤其是多媒体技术的出现,使电子证据综合了文本、图形、图像、动画、音频及视频等多种媒体信息,这种以多媒体形式存在的计算机证据几乎涵盖了所有传统证据类型.与传统证据一样,电子证据必须是可信的、准确的、完整的、符合法律法规的.与传统证据相比较,电子证据还具有以下特点:

1)脆弱性:由于数据自身的特点导致电子证据易被修改,且不易留痕迹;

2.)无形性:计算机数据必须借助于输出设备才能呈现结果;

3.)高科技性:证据的产生、传输、保存都要借助高科技含量的技术与设备;

4)人机交互性:电子证据的形成,在不同的环节上有不同的操作人员参与,它们在不同程度上都可能影响电子证据的最终结果;

5)电子证据是由计算机和电信技术引起的,由于其它技术的不断发展,所以取证步骤和程序必须不断调整以适应技术的进步.

电子证据的来源很多,主要有系统日志、IDS、防火墙、FTP、反病毒软件日志、系统的审计记录、网络监控流量、电子邮箱、操作系统和数据库的临时文件或隐藏文件,数据库的操作记录,硬盘驱动的交换( Swap)分区、Slack区和空闲区,软件设置,完成特定功能的脚本文件,Web浏览器数据缓冲,书签、历史记录或会话日志、实时聊天记录等等.电子证据的获取方法包括数字鉴定、数据检查、数据对比、数据保护、数据分析和证据抽取.而这些方法的实施将贯穿整个计算机取证过程.图l给出计算机取证的基本流程和法律约束.

计算机取证应用模型包含四个步骤:

1.)取证准备,这个过程要对取证环境和条件作客观性分析;

2.)现场勘查及证据固定,这个过程必须保证证据获取的合法性;

3)数据分析及证据提取,这个过程需要对获取的数据进行分析找出与案件相关能够证明犯罪事实的数据,即要保证数据与案件的关联性;

4.)证据的呈递,这个过程要对所获取的电子证据进行鉴定,从而保证证据对犯罪定性的有效.

上述流程中技术研究点主要集中在证据固定和数据分析过程.下面将主要对取证过程中的证据固定和数据分析进行详细讨论.

2.计算机取证的证据固定

证据固定即将嫌疑计算机或存储介质的数据进行获取的过程.证据固定必须符合严格的操作规范,并且需要使用专业的数据获取工具进行,将存储介质中的每一个字节进行精确地复制,并以单独文件或连续文件片段来保存.同时证据文件格式还要符合法庭接受的标准.目前,国际法庭普遍接受两种证据文件格式是,Linux DD镜像格式和Expert Witness证据文件格式(即Encase采用的E01镜像格式).考虑到电子证据的法律效力,建议采用这两种格式.以Encase E01镜像格式为例,其证据文件中包含有三个组成部分:文件头、校验值和数据块.这三部分组成了对于一个原始证据的描述,并可重新恢复成数据的原始状态.在生成E01格式证据文件时,要求用户输入与调查案件相关的信息,如调查人员、地点、机构、备注等.这些信息将随证据数据信息一同存入E01文件中.文件的每个字节都经过32位的CRC校验,这就使得证据被篡改的可能性几乎为0.为了保证证据文件真实有效,获取证据同时需要利用特定哈希算法(例如MD5算法)计算并验证证据文件的哈希值.妥善记录、保存原始的哈希值、校验值,以备法庭指派的第三方机构或法政工具重新验证.针对不同的数据存储介质和存储环境,现给出以下几种数据获取方式.

2.,1移动存储介质的数据获取

移动存储介质包括U盘、SD卡、TF卡、移动硬盘、光盘等与计算机分离的春初设备.对这些存储介质的数据获取需要采用与存储介质相应的数据读取设备通过只读锁与取证计算机连接,利用特定取证工具(例如Encase),将证据存储介质添加为取证设备,然后按取证工具使用流程对其做数据镜像,从而形成证据文件.

2.2在线数据获取

计算机取证的理想状态是关闭计算机,实施硬盘完整镜像,然后对镜像进行分析.而在线取证,就是在计算机处于开机状态下的取证方法.这种状态是为了保证证据的完整性,避免去运行额外的程序,以免使操作系统论文范文册表、内存、临时文件中的数据发生更改.但近年来,由于在线取证日趋重要,一旦将运行状态的计算机关闭,往往会失去很多重要的内存数据、加密分区数据,而且局域网服务器、互联网服务器都不能够随意关闭的.因此,现在研究重点转向在线取证. 目前常见的在线取证方式,通常是在嫌疑人的计算机中直接运行取证软件,可以自动获取内存、注册表中的数据.同时也可以通过取证软件,实现对硬盘的完整镜像.此种方法缺点在于可能造成内存中、硬盘中过多的信息被覆盖,影响取证效果.通过,在运行的系统下获取镜像,还有可能造成系统死机,破坏证据的完整性.还有一种在线取证方式,是通过网络连接两台计算机或局域网内的更多计算机,将任意一台计算机的硬盘或其他存储介质,以物理磁盘的方式显示到调查员计算机中,在调查员计算机中直接运行任意分析工具或镜像工具,实现对嫌疑硬盘数据的完整获取.这种方法是最为理想的.这种方法仅需要在嫌疑计算机中运行一个微小的取证客户端程序,仅在嫌疑计算机中占用极少的内存,不会造成死机等问题.目前F-Response工具就是采用这样的工作方式.

2.3关闭状态计算机硬盘数据获取

对于关闭状态的计算机,数据获取一般采用两种方法:

1)计算机主机机箱打开,将硬盘取出,利用USB或1394A/B设备,利用取证工具获取镜像,或者利用硬盘复制机进行磁盘复制.

2)直接对嫌疑计算机中的数据进行快速搜索及预览,并以证据文件格式完整进行数据获取.这种方法适用于无法将硬盘取出的情况.这种方法要保证特制启动程序不会像嫌疑计算机硬盘写数据.当嫌疑计算机被引导启动后,即可配合在线取证工具实施在线取证.光盘启动进行数据获取的方法操作简单,是应急响应和大规模数据获取的理想方法.

3.计算机取证的数据分析

电子取证要求取证和分析数据的信息网络系统,以及其辅助的设备必须安全、可靠,从取证系统或装置中只获取原始数据,不做分析,整个信息获取过程要尽可能不被干扰、覆盖,或破坏原始信息和环境,在对原始数据进行分析前,需对原始数据进行数字签名.所以在数据分析前要做证据固定,取得镜像证据文件,然后再对镜像证据文件进行数据分析.取证人员能否找到犯罪证据关键在于:

1.)有关犯罪证据的数据必须没有被破坏或篡改;

2.)取证软件必须能找到这些数据;

3)取证人员能知道这些文件,并且能证明它们与犯罪有关.实际过程中遇到的问题往往是我们得到的海量数据中,重要的证据往往并不是显性存在的,可能已被删除或篡改.取证人员面对这样的问题就必须首先对证据文件做数据恢复.

3.1数据恢复

目前常用的取证软件都具备数据恢复功能,但不同的工具数据恢复的侧重点以及恢复方式各不相同,达到的效果也就大相径庭.有的侧重于某种类型的文件的恢复,有的侧重于某种丢失形式的恢复,取证人员可以通过不同的需要选择不同的工具进行多次数据恢复,边分析边恢复.

现阶段数据恢复还是一个热门研究,特别是对离散存储数据文件的恢复技术的研究,针对不同的文件系统提出很多不同的恢复方案和算法,有基于概率预测碎片匹配方法,有a-p剪枝匹配算法等等.这还需要去做进一步的研究,来做出更高效的恢复工具.

3.2数据分析

数据分析是一个工具分析和人工分析紧密结合的过程,这个过程往往需要数据分析专家的参与.数据分析完成的是证据抽取工作,它的结果将直接影响案件的侦破和审理.

在已经获取的数据流或信息流中寻找、匹配关键词或关键短语是目前的主要数据分析技术,具体包括:论文范文破译;数据解密;日志分析;文件属性分析;对电子介质中的被保护信息的强行访问等.通过详细地审查系统日志文件,分析系统的日志文件,获取操作记录,修改记录等信息.

目前常用于电子数据证据分析较的工具是Net ThreatAnalyzer.该软件使用人工智能中的模式识别技术,分析Slack磁盘空间、未分配磁盘空间、自由空间中所包含的信息,研究交换文件、缓存文件、临时文件及网络流动数据,从而发现系统中曾发生过的Email交流、Internet浏览及文件上传下载等活动,以及与特定领域相关的信息.

4.结语

针对计算机取证流程,本文对其中证据固定和数据分析两个技术点做了详细讨论,对不同环境和类型的电子证据给出了详细的证据固定方案,归纳了目前主要的数据分析方法和工具.由于自身的局限性和计算机犯罪手段的变化,特别是反取证软件的出现,现有的取证技术已经不能满足打击犯罪的要求.随着取证领域的扩大,取证工具将向着专业化和自动化方向发展,并在无线环境下得到进一步应用,如手机、PDA、传真等无线终端设备的取证.此外,为了能让计算机取证工作向着更好的方向发展,制定取证工具的评价标准、取证机构和从业人员的资质审核办法以及取证工作的操作规范也是未来需要开展工作.(责编岳逍远)

电子证据取证:我国明确暴力逼供取证不能作为定案证据

总结:该文是关于取证证据论文范文,为你的论文写作提供相关论文资料参考。

电子证据取证引用文献:

[1] 电子证据和司法证本科毕业论文范文 电子证据和司法证类有关在职研究生论文范文2万字
[2] 互联网和电子证据论文范本 互联网和电子证据相关参考文献格式范文5000字
[3] 电子证据和一站式在职研究生论文范文 关于电子证据和一站式类在职毕业论文范文2万字
《计算机取证技术综述》word下载【免费】
电子证据取证相关论文范文资料