设计开发
计算机取证系统的研究与设计
门飞 蒋欣’陈康康z (1.平顶山工业职业技术学院河南平顶山467001;2 河南平高东芝高压开关有限公司河南平顶山467000)
摘要:高科技的不断发展使得计算机犯罪活动不断增多,计算机取证成为人们研究与关注的焦点。根据研究,列出了计算机取证的原则、步骤 从而引申出计算机取证的核心技术和系统设计,最后对未来的发展进给予总结和展望。 关键词:计算机犯罪计算机取证计算机取证系统设计 中图分类号:TP311.5 文献标识码:A 文章编号:1007—9416(2013)08-0139—02
1什么是计算机取证
计算机取证和传统物证的取证是不同的,它需要从计算机系统
中提取数据,从已删除、加密甚至是破坏的文件中重新获取信息。简 单地说,计算机取证是指对能够为法庭接受的、足够可靠和有说服
性的,应用计算机技术及相关软件以磁介质编码信息方式存储的计 算机系统,对潜在的、有法律效力的犯罪证据的确认、保护、提取和
归档的过程。 1.1计算机取证的原则 (1)尽早获取电子证据,避免人为删除、毁坏和修改 (2)计算机
取证必须按照法律的规定公开进行,不能采取非法手段。(3)不对原
始证据进行分析,电子证据在移交、保管、检查的过程中必须由相关 专业人员完成和监督。 1.2计算机取证的主要步骤
(1)在取证检查时,冻结目标计算机系统,避免系统发生任何更
改设置、损坏、数据破坏或病毒感染。(2)获取电子证据时,需根据破坏 程度,确定犯罪者留下的活动记录存在哪里、是怎样存储的。(3)收集
电子证据时,首先记录系统的硬件配置,使用数据恢复软件对系统 进行全面的备份,以便分析时可用原始数据做后期证据使用,其次 最大程度的显示目标系统中的所有文件包括隐藏文件,对其中可能
作为证据的数据通过加密程序发送给取证服务器进行分析。(4)电
子证据进行镜像备份后,要有措施的进行保护,不是工作人员不操 作存放电子证据的计算机,不删除、修改与证据无关的文件,以免引 起有价值的证据文件的丢失。(5)电子证据具有不可见性,分析得出