计算机取证分析
YKK standardization office【 YKK5AB- YKK08- YKK2C- YKK18】
摘 要
信息技术的不断发展给人们的生活带来了巨大的改变,网络已经越来越渗透到人们的现实生活与工作当中。然而,网络在为人民生活和工作带来便利的同时,也引发了无数网络犯罪。
计算机静态取证便是针对网络犯罪而出现的一种电子取证技术,而随着网络犯罪形式和手段的千变万化,计算机静态取证已不能满足打击网络犯罪的需求,
为适应信息化发展的要求,建立安全网络环境和严厉打击网络犯罪行为势在必行,本论文针对计算机动态取证技术进行分析,主要浅谈电子动态取证采集系统的实现、网络证据收集和网络数据分析等几个方面。通过对计算机取证基本概念、特点和技术的基础研究,对计算机动态取证进行分析。
关键词:电子取证 动态取证 动态电子证据采集 网络数据协议
目 录
一、概述
(一)、研究背景
目前,人类社会已经迈入了网络时代,计算机与互联网已经与老百姓的日常工作、学习与工作息息相关,社会信息化对政治、经济、文化和科技等各项社会生活产生了深远的影响。然而,网络技术给人类社会带来有利影响的同时,也带来了负面的影响。
在国外,1988年11月美国国防部的军用九三级网络遭受莫里斯病毒袭击,致使美国Internet网络上6000多台计算机感染,直接经济损失9600万美元。2000年5月,“爱虫”病毒通过电子邮件传播,在世界各地迅速蔓延,造成全世界空前的计算机系统破坏。而在国内,人们利用计算机网络犯罪的案例也层出不穷。2002年,作案人吕薜文通过盗用他人账号,对中国公众多媒体通信网广州主机进行了攻击,并对其部分文件进行删除、修改、增加等一系列非法操作,造成严重后果。2008年4月,作案人赵哲窜至上海某证券攻击营业部,利用该营业部电脑安全防范上的漏洞,修改该营业部部分股票交易数据,致使股价短时间内剧烈震荡。
计算机以及其他信息设备越来越多的被运用到犯罪活动中,尽管随着入侵检测系统的广泛使用降低了非法使用计算机资源所带来的损失,但网络犯罪依然不可忽视。针对网络环境安全,本文旨在研究探讨网络开放环境下的电子证据的动态收集与分析。
(二)、国内外研究现状
目前,虽然我国各省市级公安机关有专门的部门处理计算机犯罪案例,然而在处理案件的技术上所用到的只是国外一些常见的取证工具,如今计算机犯罪手段变化多端,这样所获取的电子证据缺乏说服力,未能给破案带来实质性的帮助。而类似美国等发达国家地区,无论是在电子取证技术上、人们的意识形态和有关计算机证据的法律建设都在于我国之上,许多专门的计算机取证部门、实验室和公司开发了很多极其实用的取证产品。例如,计算机司法领域的行业领袖Logicube、突出的计算机取证服务提供商ICS、Vogon和Guidance等公司不断研发和推进它们的专业取证产品,对打击计算机犯罪提供了有效的工具。
因此,我国应该自主开发能够有效打击计算机及网络犯罪的专业电子产品,健全相关法律法规,以应对日益增加的犯罪活动,使得用户的权益不受侵犯。开展计算机取证技术的研究,无疑对我国的社会发展乃至整个世界的计算机科学发展都有着极其重要的意义。
(三)、论文研究内容
与时俱进的时代性不仅体现在社会与经济的快速发展,同时体现于社会各个领域的全面进步,计算机取证已经成为当今社会不可置旁的话题,执法机关对计算机取证技术的要求也越来越高,本文将通过对计算机取证技术的基础知识进行拓展,比计算机静态取证做更进一步的探讨,对动态电子证据采集系统的实现进行研究以及对计算机证据的收集和分析研究。
本文各部分的内容组织如下:
第一章概述,介绍课题的研究背景,以及国内外关于计算机取证的发展现状和本课题的主要研究内容。
第二章计算机取证技术,较系统介绍计算机取证的定义、特点、基本原则和简单介绍比较计算机动态取证和计算机静态取证。
第三章计算机动态取证采集系统的实现研究,分析计算机动态取证采集系统的功能,从而研究计算机动态取证采集系统的组成。
第四章计算机证据收集与分析,讨论网路数据的分析和网络证据的收集。 最后结语,对本论文进行总结。
二、计算机取证技术
(一)、计算机取证的定义
计算机取证即对计算机入侵与犯罪,进行证据获取、保存、分析和出示,它是一个对受侵计算机系统进行扫描和破解,以对入侵事件进行重建的过程。计算机取证包括物理证据获取和信息发现两个阶段。物理证据获取是指调查人员到计算机入侵或者犯罪现场寻找以及扣留计算机硬件,而信息发现则指专业人员从原始电子数据(包括日志、文件等)中寻找破案所需要的电子证据。
计算机取证对计算机和网络犯罪的作用至关重要,执着证据真实、可靠、完整和符合法律法规的原则,它被用于解决现代社会中出现的许多计算机和网络犯罪活动。
(二)、计算机取证的特点
电子证据是以电或磁的脉冲形式和二进制的数据格式存储于计算机的硬盘上的高科技证据,它与传统的证据相比具有高科技性、无形性和易破坏性等特点。高科技性是指电子证据的产生、储存和传输,都必须借助于、存储技术、网络技术等,离开了相应技术设备,电子证据就无法保存和传输。无形性是指电子证据肉眼不能够直接可见的,必须借助适当的工具。易破坏性是指电子证据很容易被篡改、删除而不留任何痕迹。
根据电子证据的特点,获取 对计算机系统进行彻检,进而提取以及保护计算机和网络犯罪的证据。在电子证据获取的过程中,需要保持及时性、无破坏性、连续性和
计算机取证分析审批稿
