首页 计算机犯罪取证技术研究

计算机犯罪取证技术研究

举报
开通vip

计算机犯罪取证技术研究计算机犯罪取证技术研究 计 算 机 犯 罪 取 证 技 术 研 究 +"+"’’’周建华 !王加阳 +徐联华 & 中南大学 信息科学与工程学院#湖南 长沙 ##2&3 湖南公安高等专科学校#湖南 长沙 ### )")*’’’’ 摘 要随着信息技术的发展$计算机取证正逐渐成为人们研究与关注的焦点& 计算机取证研究的是如何为调查计算! 机犯罪提供彻底%有效和安全的技术$其关键是确保证据的真实性%可靠性%完整性和符合法律规定& 本文分析了基于事后 $并就取证机制本身的安全作了一些探讨& 被动的静态取证和基于事前主动...

计算机犯罪取证技术研究
计算机犯罪取证技术研究 计 算 机 犯 罪 取 证 技 术 研 究 +"+"’’’周建华 !王加阳 +徐联华 & 中南大学 信息科学与工程学院#湖南 长沙 ##2&3 湖南公安高等专科学校#湖南 长沙 ### )")*’’’’ 摘 要随着信息技术的发展$计算机取证正逐渐成为人们研究与关注的焦点& 计算机取证研究的是如何为调查计算! 机犯罪提供彻底%有效和安全的技术$其关键是确保证据的真实性%可靠性%完整性和符合法律规定& 本文分析了基于事后 $并就取证机制本身的安全作了一些探讨& 被动的静态取证和基于事前主动网络入侵检测的动态取证的过程原理及实现 关键词计算机犯罪静态取证动态取证入侵检测人工智能数据挖掘 !((((( 中图分类号 45&# 文献标识码 6 文章编码$%&%*$##$##%##$2%# !!!!!"’""!) "#"$%&’ () *(%")#+&# ,"&’)(-(./ (* &(012,"% &%+0" ! ’+"’’+"789: ;<=>%?@=#A.-B ;<=%C=>D#E: F<=>%?@= 0’ GHIIJDJ HK L>KHMN=O PQQJ =>R S >D<>JJM<>D+ GJ>O=MI PH@O? :>DU?= )’##2&+ G?<>=3 " 8@>=> 5@VIDU?= )###*+G?<>= ’’ 34#,%$&,5AO HK <>KHMN=O OJQ?>HIHDC+ QHNWO@JM KHMJ>UJX KHQ@+ U GHNWO@JM KHMJ>’ UH IHDC KJO+ =>R U JQ@MJ NJ=>U OH <>TJUOQJ N@OU VJ =@O?J>ORQ >HT<>Q<>D OH Y@M O?U =MJ WMJUJ>OJR+ =>R O ?J O?JHMR O ?J MJ=I HK QHNWO@JM RC>=NU =MJ RJUQMUQJC>=NQJL>O@M RJOJQOMOJIIQJ=O= N<><>D 6/7(((,((.(, 政府已经意识到了计算机证据的重要性# 在公安部门 ’ 引言 设置了网络安全监察机构$ 该机构的一部分职责是负 计算机越来越多地被卷入到犯罪活动中#或者是受 攻击的目标#或者是犯罪的工具$ 打击犯罪的关键在于 责计算机证据的获取$ 本文从取证的被动和主动两个 获得充分%可靠和强有力的证据$ 一般犯罪证据的提取 角度对计算机取证进行了研究$ 阐明了基于事后的计 目前已经有很多较为成熟的技术+例如+指纹提取和识 算机静态取证和基于事前网络入侵检测的计算机动态别%法医鉴定%,-. 鉴定等等$ 这些技术的特点是针对 取证的相关技术问题及取证机制本身的安全$ 性强#获取的证据符合证据的采用MATCH_ word word文档格式规范word作业纸小票打印word模板word简历模板免费word简历 _1711705296954_0#而且取证工作 ’基于事后被动的静态取证有明确的法律依据$ 随着计算机应用的普及#计算机犯 罪和其他犯罪的很多证据都以数字形式通过计算机或 / 计算机静态取证概念 ’’网络进行存储和传输#从而出现了计算机证据$ 由于计 计算机在相关的犯罪案例中可以扮演黑客入侵的算机证据具有与一般犯罪证据不同的特点#例如#计算 目标%作案的工具和犯罪信息的存储器这 & 种角色$ 无 机证据的脆弱性% 不可靠性%表现形式的多样性等# 所 论作为哪种角色#计算机0连同它的外设1中都会留下大 以对其获取和可靠性的保证一直是计算机犯罪案件和 其他与计算机有关的犯罪案件侦破工作的难点$ 因此# 量与犯罪有关的数据$ 计算机静态取证也称计算机法 计算机取证技术的研究变得越来越迫切$ 近年来#我国 医学$ 是指把计算机看作是犯罪现场#运用先进的辨析 技术#对电脑犯罪行为进行法医式的解剖#对各种计算 机存储介质中保存的数据$ 通过这种 方法 快递客服问题件处理详细方法山木方法pdf计算方法pdf华与华方法下载八字理论方法下载 得到的数据 收稿日期!"##$%#&%’# 作者简介!周建华"#$男$讲师$研究方向!信息安全%无纸化考试& %!()’王加阳$男$教授$研究方向智能计算%决策支持& "’!’!*&% 作为提起诉讼并在法庭上使用的证据! "1 静态取证关键技术 ! 针对服务器或工作站可能含有证据的非在线计算 "# 计算机静态取证过程见图 # !"! 机进行证据获取的技术! 包括存储设备的数据恢复技 术%加密数据的解密技术和数据分析技术等等 ! "1" 数据恢复技术 数据恢复技术主要用于把犯罪 !! 嫌疑人删除或者通过 格式 pdf格式笔记格式下载页码格式下载公文格式下载简报格式下载 化磁盘擦除的数字证据恢复 出来 ! # 磁盘是利用它表面介质的磁性方向表示数据 "! 的 在将数据写入磁盘时$磁头产生的磁场会使存储数 ! 图 ! 静态取证流程图 据的介质朝着某个方向磁化! 值得注意的是$在写入新 计算机静态取证包括物理证据获取和信息发现两 数据时$ 介质所具有的磁性强度不能完全摆脱其原始 个阶段! 物理证据获取是指调查人员来到计算机犯罪 状态的影响! 通俗地说$假设我们认为&!’被写到磁盘 或入侵的现场$寻找并扣留相关的计算机硬件! 信息发 上时介质的磁力强度应该是 但事实上$我们把这个 !! 现是指从原始数据$包括文件%日志等&中寻找可以用来 &!’ 写 在 原 来 为 &2’ 的 地 方 得 到 的 磁 力 的 强 度 大 约 是 证明或者反驳什么的证据 与其他证据一样$电子证据 !2"3$而写在原来是&的地方就是 "2 普通的磁盘电 )!’!)!必须是真实%可靠%完整和符合法律规定的 !路会把这两个值都认为是 !$但是使用磁力显微镜这样 "#" 物理证据获取 物理证据获取是全部取证工作 !!的专门工具$ 人们完全可以恢复出磁盘上的上一层甚 的基础%在获取物理证据时最重要的工作是保证存到的 至上两层数据! 另外$由于新的数据很难精确地写在原 原始证据不受任何破坏! 由于犯罪的证据可能存在于 有数据的位置上$即使经过多次随机覆盖之后$原来的 系统日志%数据文件% 寄存器% 交换区% 隐藏文件%空闲 数据还是可能被找出来 这一结论为取证专家提供了 !的磁盘空间%打印机缓存%网络数据区和记数器%用户 新的思路$使得恢复被覆盖了的数据成为可能! 进程存储区%堆栈% 文件缓冲区% 文件系统本身等不同 ## 由于磁盘的格式化只不过是对用于访问文件 "的位置$要收集到所有的数据是非常困难的$在关键的 系统的各种表进行了重新构造! 如果格式化之前的硬 时候要有所取舍! 盘上有数据存在$ 则格式化操作后这些数据仍然存放 !"#"# 信息发现 取得了物理证据后$ 下一个重要的 在磁盘上$ 同时格式化操作会创建一个新的空索引列 工作就是信息发现 不同的案例对信息发现的要求是 !表$指向未分配数据块! 删除文件的操作也不能真正删 不一样的! 在有些情况下$只需找到关键的文件%图片 除文件$ 只不过把构成这些文件的数据簇放回到系统 或邮件就可以了$ 但在其他时候则可能要求重现计算 中$对于通常的读写操作而言$这些簇不可见 这些簇 !机在过去工作的细节! 为了保护原始数据$除非有特殊 可以从空闲块列表中得到$而从目录项$或 +4 项&中 ,.-的需要$ 所有的信息发现工作都是对原始证据的物理 访问不到! 可能包含已删除数据的文件系统区域有(! 拷贝进行的! 一般情况下$取证专家还要用’ () 对原 应用程序产生的数据文件可能包含文件系统中的游离 始证据上的数据做摘要$ 然后把原始证据和摘要信息 数据) 文件的最后一个簇通常会因为没有被完全使 "及相关文档妥善保存! 由于包含着犯罪证据的文件可 用而使得上次写进这个簇的数据没有被全部覆盖)# 能已经被删除了$ 所以要通过数据恢复找回关键的文 不在使用中的文件系统的未分配数据块$或簇&)$计算 件%通信记录和其他的线索! 同时还可做一些基本的文 机的当前配置可能没有使用硬盘上的所有空间$ 但以 件属性获取和档案处理工作! 前的配置可能使用了$ 则这些空间就可能含有隐藏数 数据恢复以后$ 取证专家还要仔细进行关键字查 据 %分区表和引导信息所在的磁道也可能有证据信 ) 询%分析文件属性和数字摘要% 搜索系统日志%解密文 息! 使得被删除或格式化了的证据恢复成为可能! 件%评估 +0 交换区等工作 由于现在缺乏对计算 *,-./!!"1"# 加密解密技术和口令获取 取证在很多情况下 机上的所有数据进行综合分析的工具$ 所以信息发现 中搜索明文的口令"网络窃听#从网络中捕获明文口 !! 令"口令提取口令恢复"许多 $%&(* 的口令都 !"!#’) 以明文的形式存储在注册表或其他指定的地方# 我们 可以从注册表中提取口令$ 使用密钥恢复机制可以从 高级管理员那里获得口令%& +,-,- 综合分析法 将收集的程序’数据’备份等于当 前运行的程序数据进行对比#从中发现篡改的痕迹& ’’ 对所做的系统硬盘备份#用关键字匹配查询#从中发现 问题& 利用磁盘按簇分配的特点#在每一文件尾部都会 保留一些当时生成该文件的内存数据& 这些数据成为 该文件的指纹数据# 据此数据判断文件最后修改的时 间用于判断作案时间& 对计算机系统和文件的安全获 取技术!对数据和软件的安全搜集技术!利用残留数据 分析技术!对磁盘储存空闲空间的数据分析技术!对磁 盘后备文件镜像文件交换文件临时文件分析技术’’’! 图 动态取证流程图 ! 对记录文件的分析技术等来提供一些线索和证据& 检测规则的验证#还要判断是否是有攻击#以达到真正 基于事前主动网络入侵检测的动态取证 ! 的实时阻断#及时报警& 第二种方式是通过开放接口来 ,+ 计算机动态取证概念 ! 计算机动态取证是为了弥补网络安全被动防御技 实现互动# 即防火墙或者入侵检测系统开放一个接口 术中防火墙技术和入侵检测技术的缺陷# 将取证技术 供对方调用#按照一定的 协议 离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载 进行通讯警报传输& 一 ’结合到防火墙’入侵检测中#对所有可能的计算机犯罪 旦有非法入侵者进入系统#及时报警#进行非法数据获 行为进行实时数据获取和分析# 智能分析入侵者的企 取固定& 并将数据处理成符合数据仓库存储格式后存 图#采取措施切断链接或诱敌深入#在确保系统安全的 入数据仓库#对数据仓库中的数据进行人工智能分析 情况下获取最大量的证据# 并将证据鉴定’保全’提交 提取出反映客观事实的#与案件相关的电子证据#同时 的过程& 动态取证在及时获得全面 真实的证据的同 ’ 时#分析犯罪手段’动机#从而得出正确的应对方略& 指 通过分析入侵来源入侵方法取得最新的攻击技术资 ’’导相应防火墙及入侵检测系统作出实时响应# 形成计 料& 产生防御攻击的方法#指导入侵检测和防火墙#并 算机取证与入侵检测防火墙的互动同时系统通过对 ’! 将分析出的新规则存入知识库# 将提炼出的新特征存自身网络结构的修订以及备份措施等来保障网络安全 入特征库#指导下一次的数据分析& 对所搜集来的电子 中的各个方面# 从防外到防内# 初步形成一个安全体 证据进行 ./0’存储设备’网络设备’集线器’交换机等 系& 计算机动态取证网络系统改变了以往仅靠防火’ 墙 扫描’检测这些传统的网络安全工具进行的被动防御# 硬件设备来源和软件来源鉴定# 发现电子证据与犯罪 它记录下系统工作#尤其是黑客入侵的全过程#攫取入 事实之间的联系# 从而更加有效定位罪犯& 将数据分 侵工具对黑客入侵方法进行技术分析# 通过分析和研 析’鉴定出来的证据使用数据加密’数字摘要或签名技 究# 牵制和转移黑客的攻击# 取得最新的攻击技术资 术加密传送到证据库# 最后将罪犯证据生成完整的报 料#产生防御攻击的方法& 告#依法律程序提交法庭& !,! 计算机动态取证过程(见图 !% !,- 动态取证关键技术 计算机动态取证由数据获取固定数据包分析证 ’’ 据固定鉴定证据数字签名证据保全 证据提交六部 ’’’!,-,+ 网络数据包的获取固定的关键技术 首先是取 分构成& 防火墙和入侵检测互动#实现立体’动态防护 证系统的透明接入问题即取证工作不能干扰网络的正来全面监测系统活动# 实现入侵检测和防火墙之间的 常运行# 其次是大流量网络中数据包的记录和回放问 互动有两种方式& 一把入侵检测系统嵌入到防火墙中# 题& 网络带宽越来越高#干兆网络满负荷条件下! 秒制 入侵检测系统的数据来源不再来源于抓包# 而是流经 造 "#$ 的数据& 要记录所有数据目前普通计算机的% & 防火墙的数据流# 所有通过的包不仅要 接受防火墙的 ’ 存储速度无法满足要求& 频繁的硬件中断响应会导 致 0 日为满负苘而死机# 同时要实现数据包的回放 ./ 即模拟整个网络攻击过程# 需要记录每个网络数据 包的时钟和时间间隔& 普通处理器无法满足以上性能 要求& 为了解决系统高负载下硬件中断太频繁客易丢 失数据包的问题#采用了在内核态进行内存缓冲技术 只有数据包的数量达到一定的水平# 才进行文件存储 的可认证性%证据的合法性%证据的抗破损性# 操作# 同时应用零拷贝技术及改进的 $%&’ ( ) 技术对所 有网络数据包进行处理# 为每个数据包添加时钟和时 (&)采用身份密钥和数据库认证两种方式确保系 统本身的安全性$ 即在专用设备的前提下确认当前系 间间隔# 实现了对网络数据包的完全记录$为重现计算 统的使用者# 机网络攻击的犯罪过程建立了充分的数据基础# #$# 人 工 智 能 数 据 分 析 技 术 在 数 据 获 取 固 定 阶 在静态取证中提取嫌疑设备中的特征信息确 ""(") 保证据和设备的关联$如磁盘的柱面数磁头数%设备 ’ 段$获取的数据量是非常大且是不断更新的$对这些数 号%容量等# 在动态取证中记录并提取周边数据系统 ’据分析出正常与异常数据$ 提取出与计算机犯罪案件 日志(% 防火墙%+% 和反病毒软件日志脚 ’)*,’’---相关的证据是问题的关键# 在已经获取的数据流或信 本文件’-./ 浏览器数据缓冲等等$确保信息证据关联 息流中寻找%匹配关键词或关键短语$是目前主要的数 性# 据分析技术# 它具体包括&!文件属性分析’"文件的 数字摘要分析日志分析根据已经获得的文件或 ($)对所有数据进行 (01 校验$ 保证数据韵完整 ’#’$’数据的用词%语法和写作编程风格$推断出作者的技 性# () 术水平%发掘同一事件不同证据间联系的技术数 ’’&(2)利用密钥进行交叉签名保证数据的合法性# 据解密技术’’密码破译技术’(对电子介质中的被保 1利用 公钥和私钥对取证结果进行数字签 ()3)4 名并打印取证信息进行物理签名保证了证据的可认证 护信息的强行访问技术等# 数据挖掘是从大量的%不完 全的%有噪声的%模糊的%随机的数据中%提取隐含在其 性# 中的%人们事先不知道的%但又是潜在有用的信息和知 5采用私有的文件存储格式对数据进行冗余备 ()识的过程# 数据挖掘技术是一种从大型数据库或数据 份保证数据的抗破损性# 仓库中提取隐藏的预测性信息的新技术$ 它能开采出 结束语2 潜在的模式$找出最有价值的信息$指导动态取证过程 中数据分析# 数据挖掘的主要技术方法有&关联规则分 计算机取证的研究是从" 6 世纪 76 年代开始的析%分类%联系分析等# 将这些技术方法应用于计算机 $ 并随着计算机和网络技术的普及而变得越来越重要动态取证的数据分析阶段$ 对动态取证数据获取阶段 # 对计算机取证的过程和技术问题的深入探讨和研究产生的数据仓库数据进行数据特征挖掘$ 分析当前用 $ 将有助于澄清这一领域中的模糊认识$ 促进计算机户行为的合法性$ 将可能作为犯罪证据的数据提取出 取 证技术的进一步完善# 但计算机犯罪技术手段的来$有助于解决动态取证的实时性%有效性和智能化问 不断 提高%反取证技术的出现$使计算机取证仍将面题# 临新的 挑战# 取证机制本身的安全$ 将计算机取证与入侵检测和防火墙技术结合起来 构成的计算机动态取证解决了取证的主动% 实时%全 面%智能等问题# 事后的静态取证工作虽然处于被动 $ 取证工作很大程度上受制于计算机犯罪分子留下的 现 场$但也是计算机取证工作的重要组成部分# 两种 参考文献 方式 互为补充$构成比较完整的计算机取证系统# 要:. ;:# +<. =.> (??@. AB CDEF.GH. IJ># K.ELEGMN IJ> ,O.?? 8&9 确保取 证的安全有效$必须要保障取证机制本身的安PAOX (GBAOYJTAEG KELEGMN +< SJ?? O??% 666 QEG P
本文档为【计算机犯罪取证技术研究】,请使用软件OFFICE或WPS软件打开。作品中的文字与图均可以修改和编辑, 图片更改请在作品中右键图片并更换,文字修改请直接点击文字进行修改,也可以新增和删除文档中的内容。
该文档来自用户分享,如有侵权行为请发邮件ishare@vip.sina.com联系网站客服,我们会及时删除。
[版权声明] 本站所有资料为用户分享产生,若发现您的权利被侵害,请联系客服邮件isharekefu@iask.cn,我们尽快处理。
本作品所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用。
网站提供的党政主题相关内容(国旗、国徽、党徽..)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
下载需要: 免费 已有0 人下载
最新资料
资料动态
专题动态
is_321575
暂无简介~
格式:doc
大小:35KB
软件:Word
页数:0
分类:生活休闲
上传时间:2018-01-08
浏览量:8