计算机犯罪及取征技术的研究(2)

　　计算机取证包括物理证据获取和信息发现两个阶段。物理证据获取是指调查人员到计算机犯罪或入侵的现场，寻找并扣留相关的计算机硬件；信息发现是指从原始数据(包括文件，日志等)中寻找可以用来证明或者反驳的证据，即电子证据。与传统的证据一样，电子证据必须是真实、可靠、完整和符合法律规定的。 
2．1物理证据的获取 
　　物理证据的获取是全部取证工作的基础。获取物理证据是最重要的工作，保证原始数据不受任何破坏。无论在任何情况下，调查者都应牢记： 
(1)不要改变原始记录； 
(2)不要在作为证据的计算机上执行无关的操作； 
(3)不要给犯罪者销毁证据的机会； 
(4)详细记录所有的取证活动； 
(5)妥善保存得到的物证。 
　　若现场的计算机处于工作状态。取证人员应该设法保存尽可能多的犯罪信息。由于犯罪的证据可能存在于系统日志、数据文件、寄存器、交换区、隐藏文件、空闲的磁盘空间、打印机缓存、网络数据区和计数器、用户进程存储器、文件缓存区等不同的位置。要收集到所有的资料是非常困难的。关键的时候要有所取舍。如果现场的计算机是黑客正在入侵的目标。为了防止犯罪分子销毁证据文件，最佳选择也许是马上关掉电源；而如果计算机是作案的工具或相关信息的存储器。应尽量保存缓存中的数据。 
2．2信息发现 
　　取得了物理证据后。下一个重要的工作就是信息发现。不同的案件对信息发现的要求是不一样的。有些情况下要找到关键的文件、邮件或图片，而有些时候则可能要求计算机重现过去的工作细节(比如入侵取证)。 
　　值得注意的是。入侵者往往在入侵结束后将自己残留在受害方系统中的“痕迹”擦除掉。犹如犯罪者销毁犯罪证据一样，尽量删除或修改日志文件及其它有关记录。殊不知一般的删除文件操作，即使在清空了回收站后，若不将硬盘低级格式化或将硬盘空间装满，仍可将“删除”的文件恢复过来。在Windows操作系统下的windows swap(page)fde(一般用户不曾意识到它的存在)大概有20-200M的容量，记录着字符处理、Email消息、Internet浏览行为、数据库事务处理以及几乎其它任何有关windows会话工作的信息。另外。在windows下还存在着fde slack，记录着大量Email碎片(Fragments)、字符处理碎片、目录树镜像(snapshot)以及其它潜在的工作会话碎片。以上这些都可以利用计算机取证软件来收集。事实上。现在的取证软件已经具有了非常好的数据恢复能力，同时，还可以做一些基本的文件属性获得和档案处理工作。 
　　数据恢复以后。取证专家还要进行关键字的查询、分析文件属性和数字摘要、搜寻系统日志、解密文件等工作。由于缺乏对计算机上的所有数据进行综合分析的工具，所以，信息发现的结果很大程度上依赖于取证专家的经验。这就要求一个合格的取证专家要对信息系统有深刻的了解。掌握计算机的组成结构、计算机网络、操作系统、数据库等多方面的相关知识。 
　　最后取证专家据此给出完整的报告。将成为打击犯罪的主要依据，这与侦查普通犯罪时法医的角色没有区别。 
3一些取证工具的介绍 
在计算机取证过程中。相应的取证工具必不可少，常见的有tcpdump，Argus，NFR，EnCase，tcpwrapper，sniffers，honeypot，Tripwires，Network monitor，镜像工具等。在国外计算机取证过程中比较流行的是镜像工具和专业的取证软件。下面以EnCase作为一个计算机取证技术的案例来分析。EnCase是目前使用最为广泛的计算机取证工具，至少超过2000家的去律执行部门在使用它。EnCase是用C++编写的容量大约为1M的程序，它能调查Windows，Macintosh，Anux，Unix或DOS机器的硬盘，把硬盘中的文件镜像或只读的证据文件。这样可以防止调查人员修改数居而使其成为无效的证据。为了确定镜像数据与原的数据相同。EnCase会与计算机CRC校验码和MD5台希值进行比较。EnCase对硬盘驱动镜像后重新组织文件结构，采用Windows GUI显示文件的内容。允许调查员使用多个工具完成多个任务。 

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说计算机计算机犯罪及取征技术的研究(2)在线全文阅读。