当前位置:文档之家 › 计算机取证

计算机取证

  • 格式:ppt
  • 大小:272.00 KB
  • 文档页数:41

下载文档原格式

  / 41

合集下载

《计算机取证技术》课件

《计算机取证技术》课件

文件分析技术
01
文件格式解析
识别并解析不同文件格式,提取关 键信息。
文件签名验证
通过文件的数字签名验证文件的真 实性和完整性。
03
02
文件内容分析
对文件内容进行深入分析,提取与 案件相关的证据。
文件隐藏分析
检测和提取隐藏在文件中的关键信 息,如密码、密钥等。
04
网络监控与追踪技术
网络流量捕获
实时捕获网络流量,分析网络通信内容。
02
打击犯罪行为
电子证据在许多犯罪案件中发挥着越来越重要的作用。计算机取证技术
可以帮助执法部门获取关键的电子证据,为案件调查和起诉提供有力支
持,有效打击各类犯罪行为。
03
维护公共利益
在许多涉及公共利益的领域,如知识产权保护、消费者权益保护等,计
算机取证技术可以用于获取和验证相关证据,维护公共利益和社会公正
网络监视与监听
调查网络监视与监听行为,保护公民的通信自由和隐私权。
数字知识产权保护
数字版权
对数字版权进行保护,打击盗版和非法复制行为,维护创作者的权益。
商业机密
通过计算机取证技术,保护企业的商业机密不被泄露或侵犯。
05
计算机取证的挑战与未来发 展
法律与道德问题
法律问题
计算机取证过程中,如何确保合法性、合规性,避免侵犯个人隐私和权利,是当前面临的重要挑战。 需要制定和完善相关法律法规,明确计算机取证的法律地位和程序规范。
《计算机取证技术》ppt课 件
目录
• 计算机取证技术概述 • 计算机取证的基本原则与流程 • 计算机取证的主要技术 • 计算机取证的应用场景与案例分
析 • 计算机取证的挑战与未来发展

简述计算机取证的步骤

简述计算机取证的步骤

简述计算机取证的步骤计算机取证是指通过收集和分析数字证据,来获取与计算机相关的犯罪行为的证据。

它是一项重要的技术,用于调查网络犯罪、数据泄露和计算机滥用等问题。

下面将介绍计算机取证的主要步骤。

第一步:确定取证目标在进行计算机取证之前,首先需要明确取证的目标。

这可以是调查一个特定的犯罪行为,或者是查找特定的数字证据。

明确取证目标有助于指导后续的取证工作,并提高取证的效率和准确性。

第二步:收集证据收集证据是计算机取证的核心步骤。

可以通过多种方式收集证据,包括镜像硬盘、复制文件、抓取网络数据包等。

在收集证据时,需要确保采取的方法不会影响到原始数据的完整性和可靠性。

另外,为了保证证据的可信度,应该详细记录每一步的操作过程,并保留相关的日志文件和报告。

第三步:分析证据在收集完证据后,需要对其进行分析。

这包括对收集到的文件、日志、网络数据包等进行深入研究和解读,以找出与取证目标相关的信息。

在分析证据时,可以借助各种取证工具和技术,如数据恢复、关键字搜索、文件比对等。

分析证据的过程中,需要保持严谨和客观,确保结论的准确性和可靠性。

第四步:提取证据在分析证据的过程中,可能会发现一些与取证目标相关的信息。

这些信息需要被提取出来,以供后续的调查和审核。

提取证据的方式可以根据具体情况而定,可以是复制到外部存储设备,也可以是生成报告和摘要。

无论采用何种方式,都需要确保提取的证据完整、可靠,并且符合法律和法规的要求。

第五步:制作取证报告制作取证报告是计算机取证的最后一步。

取证报告是对整个取证过程的总结和归纳,需要清晰、详细地记录取证的目标、过程、结果和结论。

取证报告应该包括所有的关键信息和证据,以便于后续的调查和审查。

同时,取证报告还应该遵循相关的法律和法规要求,确保其合法性和有效性。

计算机取证的主要步骤包括确定取证目标、收集证据、分析证据、提取证据和制作取证报告。

这些步骤需要有专业的技术和方法支持,并且需要严格遵循法律和法规的要求。

计算机取证技术及发展趋势

计算机取证技术及发展趋势

计算机取证技术及发展趋势计算机取证技术是指利用计算机科学和法律手段来收集、保留和分析电子证据的过程。

随着计算机犯罪日益普及化和复杂化,计算机取证技术也在不断发展。

以下是计算机取证技术及其发展趋势:1. 数字取证:数字取证是指通过技术手段获取和分析计算机系统、存储媒体和网络中的电子证据。

随着技术的不断进步,数字取证工具和技术也不断更新,以适应不断出现的新型电子媒体和网络威胁。

2. 云取证:随着云计算的流行,越来越多的数据存储在云中。

云取证是指获取和分析云存储和云服务中的电子证据。

这涉及到对云平台的了解和对云存储中的数据进行合法的获取和分析。

3. 移动设备取证:随着智能手机和平板电脑的普及,移动设备取证变得越来越重要。

移动设备取证涉及到获取和分析移动设备中的电子证据,例如通话记录、短信、照片等。

由于移动设备的多样性和复杂性,移动设备取证技术也在不断发展。

4. 大数据分析:随着大数据时代的到来,越来越多的数据需要进行分析,以发现隐藏在其中的信息和模式。

计算机取证技术也可以利用大数据分析技术来挖掘电子证据中的信息,辅助调查和取证过程。

5. 自动化取证:随着电子证据的不断增多和复杂性的提高,传统的手工取证方式已经很难满足需求。

自动化取证技术利用机器学习和人工智能等技术,可以自动化地获取、分析和报告电子证据,提高效率和准确性。

6. 区块链取证:区块链是一种分布式的、可追溯的和不可篡改的数据结构,具有很强的安全性和可信度。

计算机取证技术可以利用区块链的特性来获取和分析基于区块链的交易和合约等电子证据,例如比特币和其他加密货币的取证。

总之,计算机取证技术将随着技术的不断进步和犯罪形式的不断演变而不断发展。

趋势包括数字取证、云取证、移动设备取证、大数据分析、自动化取证和区块链取证等。

计算机取证课程设计

计算机取证课程设计

计算机取证课程设计一、课程目标知识目标:1. 学生能够理解计算机取证的基本概念、原则和方法。

2. 学生能够掌握常用计算机取证工具的使用和操作流程。

3. 学生能够了解数字证据的采集、固定、提取和保护的相关知识。

技能目标:1. 学生能够运用所学知识,独立进行简单的计算机取证操作。

2. 学生能够使用取证工具对指定存储设备进行数据恢复和分析。

3. 学生能够撰写规范的取证报告,清晰呈现调查过程和结论。

情感态度价值观目标:1. 培养学生遵守网络安全法律法规,树立正确的网络安全意识。

2. 培养学生具备诚信、客观、公正的职业道德观念,尊重事实,敬畏证据。

3. 激发学生对计算机科学领域的兴趣,提高其探索精神和创新意识。

课程性质:本课程为计算机科学与技术专业的选修课程,旨在让学生了解计算机取证的基本理论和技术,提高其实践操作能力。

学生特点:学生具备一定的计算机基础和网络知识,对计算机取证领域有一定兴趣,但实践经验不足。

教学要求:注重理论与实践相结合,通过案例分析和实际操作,使学生在掌握基本知识的同时,提高实际操作能力。

同时,关注学生的情感态度价值观的培养,使其成为具备良好职业道德的计算机专业人才。

在教学过程中,将目标分解为具体的学习成果,便于教学设计和评估。

二、教学内容1. 计算机取证基础理论- 计算机取证的定义、原则与法律法规- 数字证据的类型、特性及鉴定方法- 取证过程中的注意事项和伦理道德2. 计算机取证工具与技术- 常用取证工具的介绍与使用方法- 数据恢复技术及其应用- 网络监控与数据分析技术3. 实践操作与案例分析- 存储设备取证操作流程- 案例分析与取证报告撰写- 操作系统的日志分析与痕迹取证4. 教学内容的安排与进度- 第一周:计算机取证基础理论- 第二周:计算机取证工具与技术- 第三周:实践操作与案例分析(初级)- 第四周:实践操作与案例分析(中级)- 第五周:实践操作与案例分析(高级)本教学内容参考教材相关章节,结合课程目标进行组织,保证科学性和系统性。

计算机调查取证

计算机调查取证

取证过程
取证过程
取证准备(Preparation)操作准备 设备准备 证据识别(Identification)取 原始证据保存 证据分析(Analysis) 取证分析 结论报告 证据提交(Presentation) 证据展示
取证常用工具
计算机调查取证
法医学下的一个分支
01 用途
03 工作原理 05 取证原则
目录
02 取证目标 04 操作方法 06 取证方式
目录
07 取证步骤
09 取证常用工具
08 取证过程 010 后续发展
基本信息
计算机调查取证,是法医学下的一个分支,与法医相似,计算机调查取证是有关从计算机中获取电子证据并 加以分析的过程。近些年来,越来越多的电子证据被各类案件所涉及,计算机调查取证也逐渐成为一门热门专业。
取证常用工具
计算机取证常用工具有tcpdump、Argus、NFR、tcpwrapper、sniffers、honeypot、Tripwires、 Network monitor和镜像工具等。
后续发展
后续发展
作为新生的事物,电子取证面临很多挑战,越来越多的反侦查手段和软件被罪犯所采用,面对这些罪犯时, 证据的提取变得异常困难甚至根本找不到证据。但是随着电子取证系统的发展和法律的完善,正义一定会战胜邪 恶。
(2)确定电子证据。在计算机存储介质容量越来越大的情况下,必须根据系统的破坏程度,在海量数据中区 分哪些是电子证据,哪些是无用数据。要寻找那些由犯罪嫌疑人留下的活动记录作为电子证据,确定这些记录的 存放位置和存储方式。
(3)收集电子证据。
记录系统的硬件配置和硬件连接情况,以便将计算机系统转移到安全的地方进行分析。
谢谢观看

计算机取证调查委托书

计算机取证调查委托书

计算机取证调查委托书尊敬的____:兹有我方因业务需要,特委托贵方进行计算机取证调查工作。

为明确双方权利义务,特订立本委托书。

一、委托事项1.调查目的:对特定计算机系统进行取证调查,以确定是否存在非法访问、数据泄露或其他安全问题。

2.调查范围:包括但不限于计算机硬件、软件、网络设备及相关数据存储介质。

3.调查内容:包括但不限于非法访问痕迹、数据泄露路径、恶意软件检测、系统安全漏洞分析等。

二、委托方义务1.提供必要的计算机系统访问权限和相关信息。

2.确保所提供信息的真实性和合法性。

3.配合贵方进行现场调查和数据提取工作。

4.按照约定支付调查费用。

三、受托方义务1.按照专业标准和行业规范进行计算机取证调查。

2.保护委托方的商业秘密和个人隐私。

3.及时向委托方报告调查进展和结果。

4.在调查结束后,向委托方提供详细的调查报告。

四、费用及支付1.调查费用总计为人民币_元(大写:_元整)。

2.支付方式为:银行转账/现金支付。

3.支付时间为:调查开始前支付_%,调查结束后支付剩余_%。

五、保密条款1.双方应对本委托书中涉及的所有信息保密,未经对方书面同意,不得向第三方披露。

2.保密期限为调查结束后____年。

六、违约责任1.如任何一方违反本委托书约定,应承担违约责任,并赔偿对方因此遭受的损失。

2.违约责任的具体内容由双方协商确定。

七、其他1.本委托书一式两份,双方各执一份,具有同等法律效力。

2.本委托书自双方签字盖章之日起生效。

3.未尽事宜,双方可另行协商解决。

委托方(盖章):____受托方(盖章):____日期:____年_月_日请在上述空白处填写具体信息,并确保双方签字盖章后生效。

本委托书格式清晰、内容严谨,符合法律法规要求,具有法律效力。

简述计算机取证的技术及其过程

简述计算机取证的技术及其过程
计算机取证(Computer Forensics)是一种用于获取、保护和分析在计算机或网络环境中发现的可用作证据的数据的技术。

它是一种针对计算机存在的各种欺诈行为、犯罪行为、不当行为以及各种违反公法的行为而进行的技术支持。

计算机取证是一种复杂的过程,涉及到非常多的技术,它涉及到计算机和网络存储设备的分析、取证和恢复等多个环节。

一般来说,它的流程主要分为以下几个步骤:
1.取证:经过法律手段进入犯罪现场,及时收集相关信息,以及收集、拍摄、测量和鉴定当地存在的物体和环境条件;
2.鉴定:根据收集的物证资料鉴定取证中的计算机设备的制造商、型号、序列号等情况;
3.数据恢复:数据恢复技术可以使损坏的媒体介质上存储的数据恢复可用;
4.数据取证:根据取证计划的要求,从收集的电脑设备中检索需要的相关信息;
5.数据分析:根据取证计划的要求,进行分析技术,以建立案件证据;
6.报告归档:根据案件定性,对取证结果进行实体报告,供警方、检察院、法院以及其他部门使用。

计算机取证工作对专业性要求非常高,取证过程中涉及的法律、技术等都是需要专业人员配合进行的。

取证技术的应用可以非常大程
度上帮助警方侦破各类犯罪,充分发挥计算机取证在司法取证中的重要作用。

第十二讲 计算机取证


12.2 计算机取证技术分类
1. 静态取证
静态取证也称事后取证,即在受到入侵之后进行取证。 静态取证也称事后取证,即在受到入侵之后进行取证。事后取证往往需要从 系统的隐蔽之处(如未分配空间、 空间、 系统的隐蔽之处(如未分配空间、Slack空间、临时文件和交换文件)获得数 空间 临时文件和交换文件) 重建数据,并对数据进行分析,最后得到取证报告。 据,重建数据,并对数据进行分析,最后得到取证报告。 数据获取的关键是保证在获取数据的同时不破坏原始介质。 数据获取的关键是保证在获取数据的同时不破坏原始介质。常用的数据获取 技术包括: 技术包括: 对计算机系统和文件的安全获取技术; 对计算机系统和文件的安全获取技术; 对数据和软件的安全搜集技术; 对数据和软件的安全搜集技术; 对磁盘或其他存储介质的安全无损的备份技术; 对磁盘或其他存储介质的安全无损的备份技术; 对已删除文件的恢复、重建技术; 对已删除文件的恢复、重建技术; Slack磁盘空间 未分配空间和自由空间中包含信息的发掘技术; 磁盘空间、 对Slack磁盘空间、未分配空间和自由空间中包含信息的发掘技术; 对交换文件、缓存文件、临时文件中包含的信息的复原技术; 对交换文件、缓存文件、临时文件中包含的信息的复原技术; 计算机在某一特定时刻活动内存中的数据的搜集技术; 计算机在某一特定时刻活动内存中的数据的搜集技术; 网络流动数据的获取技术。 网络流动数据的获取技术。
3. 计算机取证的程序
计算机取证程序分为以下5个方面: 计算机取证程序分为以下 个方面: 个方面 计算机证据的发现:可作为证据或可以提供相关信息的信息源有日志、 计算机证据的发现:可作为证据或可以提供相关信息的信息源有日志、文 系统进程、用户、系统状态、通信连接记录、存储介质等。 件、系统进程、用户、系统状态、通信连接记录、存储介质等。 计算机证据的固定:取证人员要将获取的信息安全地传送到取证分析机上, 计算机证据的固定:取证人员要将获取的信息安全地传送到取证分析机上, 并将有关的日期、时间和操作步骤详细记录。 并将有关的日期、时间和操作步骤详细记录。 计算机证据的提取:证据的提取主要是提取特征,包括过滤和挖掘、解码。 计算机证据的提取:证据的提取主要是提取特征,包括过滤和挖掘、解码。 证据的提取须确保与原始数据一致,不对原始数据造成改动和破坏。 证据的提取须确保与原始数据一致,不对原始数据造成改动和破坏。 计算机证据的分析:分析的目的是为犯罪行为重构、嫌疑人画像、 计算机证据的分析:分析的目的是为犯罪行为重构、嫌疑人画像、确定犯 罪动机、受害程度行为分析等。 罪动机、受害程度行为分析等。 计算机证据的表达:向管理者、律师或者法院提交证据。 计算机证据的表达:向管理者、律师或者法院提交证据。

第7章 计算机取证


记录取证调查工作
在调查取证时,应该把细节都记录 下来,而不是记忆在头脑中。 取证操作记录必须详细、完整。需 要但不完全包括以下内容: 证物软件的版本号 使用的收集工具 收集分析计算机媒体的方法 取证的每个步骤的细节和为什么这 样做的原因。
电子数据证据的法律性收集
证据的收集必须遵循法定的程序:我 国刑事诉讼法第43条就明确规定了收集证 据应当遵循的程序,民事诉讼法也规定了 收集证据的必须程序。由于电子证据的特 殊性,所以在电子证据的收集过程中既应 当遵循一般证据的收集的规则,又应当遵 循其特有的规则。
一般的删除文件操作,即使在清空 了回收站后,若不将硬盘低级格式化或 将硬盘空间装满,仍可将“删除”的文 件恢复过来。现在的取证软件已经具有 了非常好的数据恢复能力,同时,还可 以做一些基本的文件属性获得和档案处 理工作。
数据恢复以后,取证专家还要进行关键 字的查询、分析文件属性和数字摘要、搜寻 系统日志、解密文件等工作。由于缺乏对计 算机上的所有数据进行综合分析的工具,信 息发现的结果很大程度上依赖于取证专家的 经验。
目前,世界上比较发达的国家,纷纷设立 计算机警察: 德国设立了网络警察组织;在英国有CCV 的伦敦警察局犯罪部,;在法国巴黎有信息技 术犯罪稽查处;在美国佐治亚州有联邦执法培 训中心。 中国的网络警察队伍自从1994年前后建立 以来,为国民经济建设保驾护航做出了重大的 贡献。
处理证据要注意的法律问题
第七章 计算机取证
海军工程大学
主要内容
7.1 计算机取证概念
7.2 计算机取证技术
7.3 计算机取证工具
7.4 计算机反取证技术
7.5 小结
7.1 计算机取证的概念
7.1.1 计算机犯罪与电子证据

计算机取证技术概述

计算机取证技术概述今天咱就来聊聊这计算机取证技术哈。

这玩意儿啊,听起来挺高大上的,其实简单来说,就是从计算机里找出那些藏得严严实实的“小秘密”,就像个超级侦探在数字世界里破案一样。

我给你们讲个事儿哈。

前段时间,我们公司出了点小插曲。

有个同事负责的一个重要项目资料突然就不见了,那可把他急得像热锅上的蚂蚁,团团转呐。

这项目可是公司接下来的重头戏,资料没了,那还得了?他当时那脸啊,白得跟纸似的,跑到办公室里就大喊:“我的资料啊,咋就没了呢?这可咋办哟!”大家都围了过去,七嘴八舌地开始讨论起来。

有人说是不是不小心删了,有人说是不是电脑出毛病了。

反正各种猜测都有,可就是没人能说出个准儿来。

这时候,咱公司的技术大神老张站出来了。

他不慌不忙地说:“别着急,咱得用用计算机取证技术,看看能不能把这资料找回来。

”老张那可是公司里出了名的电脑高手,大家一听他这话,心里都松了口气,仿佛看到了救星似的。

老张先坐到那同事的电脑前,开始仔细地检查起来。

他一边操作,一边给我们这些菜鸟解释着:“你们看哈,这计算机取证技术啊,就像是给电脑做个体检。

我们得看看这电脑最近都干了些啥,有没有什么异常的操作。

”说着,他就点开了系统的各种记录,那眼睛就跟扫描仪似的,一眨不眨地盯着屏幕。

过了一会儿,老张皱了皱眉头说:“还真有点不对劲。

你们看这里,在资料丢失的那段时间,有个不明程序运行过。

”大家都凑过去,盯着屏幕看,可我们这些外行人哪看得懂那些密密麻麻的代码和数据啊,只觉得头晕眼花的。

老张接着说:“这程序很有可能就是导致资料丢失的罪魁祸首。

现在啊,我们得顺着这条线索继续查下去。

”然后他又开始在电脑里翻找起来,一会儿查看日志文件,一会儿分析内存数据,那认真的劲儿,就好像在跟一个隐藏在电脑里的小偷斗智斗勇。

就在我们都以为没啥希望的时候,老张突然一拍大腿,兴奋地说:“找到了!你们看,这资料被这个程序加密后藏到了一个隐蔽的文件夹里。

”大家都忍不住欢呼起来。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

• 数据采集和数据分析:进行深入的数据收集工作,对采集 到的数据进行细致分析。这个阶段需要解决的问题是安全 事件是如何发生的,何时发生的以及确定嫌疑人。
• 报告阶段:根据前面所有的调查结果向决策人员提供一份 准确的报告。 • 提出解决方案:采用安全各种必须的安全手段或者对现有 系统进行修改,以期在一段时间内可以对可以检测到的同 类安全时间做出有效响应,防止相同事件再次发生并且对 系统造成影响。
取证模型 - 综合计算机取证模型
• IDIP,The Integrated Digital Investigation Model
准备阶段 Readiness Phases 物理犯罪现场调查阶段 Physical Crime Scene Investigation Phases 总结阶段 Review Phases
计算机取证概述
• 取证(Forensics):采用技术手段调查和认定事实;
• 计算机取证:可以简单理解为从计算机上提取证 据。 • 计算机取证学是一个多学科知识交叉的领域; • 调查过程中,不仅需要计算机科学领域的知识和 方法;为了保证电子证据在法律上有效,还需要 遵守法学中取证的流程和规范。 • 计算机取证和其他取证领域一样,用科学原则来 对数字证据进行识别,获取和分析。它包括系统 取证和网络取证两方面。
部署阶段 Deployment Phases
数字犯罪现场调查阶段 Digital Crime Scene Investigation Phases
(1)准备阶段 这一阶段主要目的是保证取证所需的各种人力物力资源,主要任务有操作准备 和设备准备。操作准备就是保证取证人员通过培训能够胜任取证工作;设备准 备是指取证工具的准备是充分的。
取证工作流程
• 证据收集,在犯罪现场收集证据。计算机取证人 员的工作是收集数字证据,物理证据的收集则交 给物理取证人员进行。
• 证据分析,将从现场收集的证据进行处理和分析 ,进一步提取出其中对案件有帮助的关键性证据 。 • 证据提交,提交最终获得的所有证据进行展示, 并将分析使用的一部分证据返还。
取证工作流程模型
• 图中的工作流程模型按照软件工程中黑盒的概念进行划分
• 整个工作流程被分割成子工作块,块与块之间交互的是每个子工作流 程产生的数据输出。
• 取证工作流按照箭头的方向流动,每个子工作流程完成后产生的数据 就是下一个子工作流程的输入数据。
取证准备阶段
事件检测
事件初步响应
制定响应策略
数据采集
数据分析
报告阶段
提出解决方案 事件恢复 安全方案实施
取证工作流程模型
• 取证准备阶段:这一阶段完成取证之前的准备工作,例如 组建安全事件响应小组,购买和部署取证过程中需要使用 的设备的工作环境等,对相关人员进行培训,执行安全漏 洞评估和制定基本的响应策略。这个阶段是取证过程的开 始,和后面6个部分相对独立。 • 事件检测:找出潜在或者未被发现计算机安全事件隐患, 这个阶段对整个安全事件响应过程至关重要,因为事件检 测阶段是响应过程的起点。
取证工作流程模型
• 在对各种安全事件进行响应之前,合理安排整个 工作过程是非常重要的。
• 在整个取证过程中应该明确划分工作流程,确定 每个阶段应该完成的任务。这样不但可以避免取 证流程的混乱,而且抽象出的整个工作流程的模 型能够适用于一大类安全事件的响应过程。 • 处理不同的安全事件可能需要考虑不同的问题, 这会对整个取证流程造成影响,所以提出一个好 的工作流程模型并不简单,需要同时考虑实际使 用中的可行性和定义的准确性。
ቤተ መጻሕፍቲ ባይዱ
证据发现
• 在案件调查的过程中,硬盘驱动器往往包含了关键的犯罪 证据; • 对电子邮件和即时消息 工具等通信手段的分析; • Internet取证:研究重心与计算机取证略有不同,它的研 究范围从个人计算机转向了Internet。随着越来越多的计 算机成为Internet上的节点,Internet取证和计算机取证两 者的联系越来越密切。 • 数字证据可能存在于诸如闪存盘,PDA,数码相机或者手 机等多种带有存储功能的设备中; • 所有现代操作系统都支持网络,在服务器,路由器,防火 墙和各种代理设备上可能也会获得数字证据
证据发现
• 嫌疑人的机器;
• 各种存储介质,如硬盘,闪存,光存储介 质;
• 系统日志,如代理服务器日志,防火墙日 志,Windows系统日志; • 交换机、路由器、防火墙和其他网络设备; • 其他电子设备,如数码相机,手机,PDA等
取证工作流程
计算机取证遵循的证据获取和后续处理过程和其他取证 领域的工作流程基本一致,计算机取证一般包括以下几个步 骤:
• 取证准备,包括操作准备和设备准备两个环节,准备取 证过程中所要使用的工具和分析环境。 • 证据识别,在确定数字证据可能存在的所有场所之后, 要进行现场证据保护和设备保管,目的是保护物理或逻辑的 犯罪现场。物理犯罪现场需要物理保护,包括上锁,隔离和 看守。逻辑现场需要逻辑保护,比如锁定用户,将嫌疑人机 器从网络上断开或进行物理保护。
取证模型 - 过程抽象模型
• Abstract Process Model
• 美国空军研究院、美国司法部、美国信息督导防 御局提出。
• 在数据取证基本理论和基本方法研究中具有里程 碑的作用。过程抽象模型包括:识别identification 、准备preparation、策略制定approach strategy、 保存preservation,收集collection、检验 examination、分析analysis、证据呈堂presentation 、证据返还returning evidences几个部分。
• 事件初步响应:对事件进行初步调查,记录事件发生现场 的一些基本细节信息,召集安全响应小组和通知相关人员 。
取证工作流程模型
• 制定响应策略:在已经了解事件基本情况的前提下,根据 初步响应得到的所有信息,制定出最佳响应方案并申报上 级部门同意。策略的制定需要围绕技术、法律和事件涉及 的商业规范而展开。
取证模型 - 综合计算机取证模型