下载文档原格式
简论网络犯罪现场电子证据提取的技术要点分析论文摘要网络犯罪案件发案率高、侦破难度大,是近几年困扰公安机关的难题。
其中最主要的原因还在于电子证据提取的难度大、不容易固定和保存,特别是网络犯罪现场的电子数据。
网络犯罪现场情况复杂、范围不容易固定、证据类型多,并且现场电子数据尤其容易被破坏和丢失。
本文就目前常见的网络犯罪案件现场勘查流程为线索,分析其中常被忽略的细节,提出可以采取的技术手段和有效处理相关问题的方式方法。
论文关键词网络犯罪电子证据提取现场勘查随着计算机、手机等电子产品的逐渐普及,与之有关的犯罪案件逐年增多。
作为一类新型的高科技犯罪,网络犯罪的表现形态五花八门,而网络空间的虚拟性和电子证据的易失性也加大了此类案件的侦破难度。
为了应对日益严峻的现实,要求相关人员提高网络犯罪侦查的能力。
其中,犯罪现场电子证据的提取是网络犯罪侦查中至关重要而又不容易掌握的一项技能。
现场是案事件发生的地点,往往遗留有较多的痕迹物证。
合理有效的处置现场,尽最大可能保护线索、提取证据对整个案事件的处理具有重要的意义。
由于网络的互联性使得遗留有电子证据的场所分布广泛,既包括传统现场即物理空间,又包括非传统意义的场所即虚拟空间,也就是网络犯罪现场的空间跨度性较大。
另外,现场的空间跨度也导致了时间的连续性,会存在第一时间现场、第二时间现场等,多个现场在时间上有严格的连续性。
同时,网络犯罪现场处理中还要考虑电子证据的复杂性、脆弱性、时效性等特点。
本文就勘验、提取、固定现场留存的电子证据为线索,分析在此过程中需要关注的技术要点。
一、网络犯罪现场勘查的步骤与普通的案件处理类似,网络犯罪现场勘查也有一定的规范、原则和方法步骤。
一般来说,可以分为事前准备、现场保护、现场勘查取证、扣押等步骤。
(一)事前准备鉴于网络犯罪的特殊性,一般来说针对电子数据的现场勘查和取证要一次完成,这就要求在进入现场以前做好充分的准备。
指挥人员必须提前确定由哪些人员进入现场、需要携带哪些设备、如何制定预案、有哪些注意事项等一系列问题。
信息安全的数字取证随着互联网的迅猛发展和信息技术的不断进步,数字化的生活方式已经成为当今社会的主流。
与此同时,随之而来的是信息安全威胁的不断增加。
在应对信息安全事件时,数字取证在保护用户利益、打击犯罪活动和维护社会秩序方面起着至关重要的作用。
一、数字取证的定义及重要性数字取证是通过对电子设备、网络系统和数据进行调查鉴定,以提供证据支持刑事侦查、民事诉讼和行政执法的一项关键技术。
其核心目标是识别、保护和获取可使用的电子证据。
数字取证在信息安全领域具有重要意义,它可以帮助揭示真相、还原事件过程、确保证据的可信性和完整性。
二、数字取证的作用和应用领域数字取证作为信息安全领域的一项重要技术,广泛应用于以下领域:1. 刑事侦查:在犯罪案件中,数字取证有助于追踪犯罪嫌疑人、还原犯罪经过、搜集关键证据,为司法机关提供有力的侦查支持。
2. 网络安全:对于网络攻击、数据泄露以及其他网络安全事件,数字取证可以通过追踪入侵者、还原攻击过程、查找潜在漏洞等方式,提供技术支持和预防措施。
3. 企业内部调查:在企事业单位中,数字取证可以用于员工违规行为的调查,例如涉嫌数据泄露、商业秘密盗窃等,有助于维护企业的商业利益和声誉。
4. 互联网犯罪打击:数字取证技术在打击网络诈骗、网络传销、网络盗版等互联网犯罪活动方面发挥着重要的作用,为执法机关提供技术手段和依据。
三、数字取证的技术手段和流程数字取证包括以下主要技术手段和流程:1. 设备获取:对涉案电子设备进行获取,包括计算机、手机、磁盘等。
确保采取合法、规范的方式,以保持证据完整性和可信度。
2. 数据采集:通过取证工具或数据镜像等手段,对电子设备中的数据进行完整、准确的搜集,以确保数据的真实性和可审查性。
3. 数据分析:对采集到的数据进行深入分析和挖掘,包括还原文件、还原操作过程、查找隐藏信息等,以获得关键证据。
4. 证据报告:将分析得到的证据进行整理、汇总和报告,以便进一步调查和诉讼使用。
开始学习计算机犯罪和数字取证近年来,随着互联网的迅猛发展和智能设备的广泛应用,计算机犯罪和数字取证已成为一个备受关注的话题。
学习计算机犯罪和数字取证对于保护网络安全和打击犯罪行为有着重要的意义。
在本文中,我将从不同的角度探讨这一主题。
首先,我们需要明确什么是计算机犯罪和数字取证。
计算机犯罪是指利用计算机技术进行非法活动的行为,如黑客攻击、网络诈骗等。
数字取证则是指通过采集、收集和分析电子设备存储数据,以获取相关证据的过程。
这项技术往往被应用到刑事司法、企业安全以及网络安全等领域。
在学习计算机犯罪和数字取证的过程中,我们不仅需要理解相关法律法规,还需要具备扎实的计算机知识和技术能力。
毋庸置疑,计算机犯罪是一个复杂的领域,想要有效地打击犯罪行为,必须对计算机系统、网络安全以及相关技术进行全面的了解。
只有掌握了相关知识,才能更好地保护自己免受犯罪的侵害。
此外,学习计算机犯罪和数字取证也需要掌握一定的技术工具和技巧。
对于数字取证而言,如何有效地采集、保护和分析电子证据是一个重要的环节。
现今市场上有许多专门的数字取证工具和软件,通过学习和熟练掌握它们的使用方法,可以更高效地开展数字取证工作。
同时,掌握一些必要的技巧,如数据恢复与清除、系统安全漏洞分析等,也能够帮助我们更好地应对和处理计算机犯罪。
不仅如此,在学习计算机犯罪和数字取证的过程中,我们还需要了解行业发展动态和前沿技术。
计算机犯罪是一个快速变化的领域,犯罪分子不断改进技术手段,网络攻击也日益复杂。
因此,及时了解最新的犯罪手法和网络安全威胁,掌握前沿的防御技术和工具,对于提高自己的能力和技术水平至关重要。
只有不断学习和更新知识,才能保持在这个竞争激烈的领域中的竞争力。
最后,学习计算机犯罪和数字取证也需要具备一定的道德素养和责任感。
计算机犯罪行为的发生往往是由于黑客攻击、网络病毒等,这些行为对个人、企业和社会造成了巨大的损失。
作为学习者,我们应该意识到自己的学习目的是为了保护网络安全和打击犯罪行为,而不是为了从事非法活动。
浅谈计算机网络取证技术作者:杨泉清许元进来源:《海峡科学》2010年第10期[摘要]随着互联网的应用普及,各种利用计算机网络进行诈骗、盗窃、色情传播等网络犯罪活动日益猖獗,已经严重威胁到人们正常的生产和生活。
如何及时准确地从计算机网络中获取证据,有效遏制网络犯罪,已成为近年来计算机取证的研究热点。
由于这类证据具有动态、实时、海量、异构和多态等特性,有别于传统证据,需要具备较强的取证技术。
同时,网络取证技术的研究在我国尚处于起步阶段,还无法及时跟上犯罪技术的更新和变化。
因此,网络证据的获取一直还处于比较艰难的局面,严重阻碍了网络案件的侦破。
面对这种现实,加快网络取证技术的研究和应用,已经引起各级政府和机构的高度重视。
[关键词]计算机取证技术网络犯罪网络取证工具电子证据1网络证据取证概述计算机取证(Computer Forensics)是指对计算机入侵、破坏、欺诈、攻击等犯罪行为利用计算机软硬件技术,按照符合法律规范的方式进行获取、保存、分析和出示的过程。
从技术上,计算机取证是一个对计算机系统进行扫描和破解,以对入侵事件进行重建的过程。
网络取证(Network Forensics)包含了计算机取证,是广义的计算机取证,是网络环境中的计算机取证。
计算机取证包括了物理证据获取和信息分析发现两个阶段。
物理证据是指调查人员到犯罪现场,寻找和扣留犯罪相关的计算机软硬件设备;信息分析发现是指从计算机原始数据中通过技术手段分析查找与案件相关的系统日志、聊天记录、电子邮件和文件等可以用来证明或者反驳的电子数据证据,即电子证据。
与传统的证据不同的是,计算机证据易丢失、易篡改、易删除并且很难获取,这就要求在进行计算机取证时必须严格遵守一定的规则。
基本原则如下:1.1 合法性原则应采用合法的取证设备和工具软件按照法律法规的要求,合理合法地进行计算机证据收集。
1.2 原始性原则及时收集、保存和固化原始证据,确保证据不被嫌疑人删除、篡改和伪造。
数字取证取证技术计算机取证是计算机科学和法学领域的⼀门新兴交叉学科。
以下内容包括:取证的基本概念、取证的原则与步骤、蜜罐技术、取证⼯具。
取证的基本概念:计算机取证(computer forensics)就是对计算机犯罪的证据进⾏获取、保存、分析和出⽰,实际上可以认为是⼀个详细扫描计算机系统以及重建⼊侵事件的过程。
可以认为,计算机取证是指对能够为法庭接受的、⾜够可靠和有说服性的,存在于数字犯罪场景(计算机和相关外设)中的数字证据的确认、保护、提取和归档的过程。
计算机取证的⽬的是根据取证所得的证据进⾏分析,试图找出⼊侵者或⼊侵的机器,并重构或解释⼊侵的过程。
计算机取证希望能解决的问题:攻击者停留了多长时间?攻击者做了什么?攻击者得到了什么?如何确定在攻击者主机上的犯罪证据?如何赶⾛攻击者?如何防⽌事件的再次发⽣?如何能欺骗攻击者?电⼦证据:在计算机或计算机系统运⾏过程中产⽣的以其记录的内容来证明案件事实的电磁记录物。
与传统证据的不同之处在于它是以电⼦介质为媒介的。
证据的普遍特点:可信的、准确的、完整的、是法官信服的、符合法律法规的电⼦证据的特点:表现形式和存储格式的多样性、⾼科技性和准确性、脆弱性和易毁坏性、数据的挥发性。
电⼦证据的优点:可以被精确地复制;⽤适当的软件⼯具和原件对⽐,很容易鉴别当前的电⼦证据是否有改变;在⼀些情况下,犯罪嫌疑⼈想要销毁证据是⽐较难的。
电⼦证据的来源:1、来⾃系统的:硬盘、移动硬盘、U盘、MP3播放器、各类软盘、磁带和光盘等;系统⽇志⽂件、应⽤程序⽇志⽂件等;交换区⽂件,如386.swp、PageFile.sys;临时⽂件、数据⽂件等;硬盘未分配空间;系统缓冲区等;备份介质等。
2、来⾃⽹络的:防⽕墙⽇志、IDS⽇志;系统登录⽂件、应⽤登录⽂件、AAA登录⽂件(如RADIUS登录)、⽹络单元登录(Network Element logs);磁盘驱动器、⽹络数据区和计数器、⽂件备份等。
• 21•计算机犯罪现象越来越多,预防与遏制它们成为当前社会的技术难题,任何人在计算机中的操作都会在日志文件中留下痕迹。
日志文件种类很多,需要关注各种类型的日志文件进行合并取证分析。
首先介绍了Windows 日志,包括系统日志、安全日志、应用程序日志,然后说明了Windows 日志中事件类型,然后从web 日志的分析入手,剖析不同的日志文件我们分析时所要注意的重点内容。
日志分析对计算机取证有重要作用。
某一个日志会记录它所在系统或应用程序的各种信息。
在进行计算机取证分析时,我们要全面的分析多个日志文件,如果仅对单一日志文件分析那么我们可能会漏掉许多信息。
我们需要做的就是把所有获取的日志文件进行比对、整合、关联使得他们能够为我们形成一个较为完整的犯罪场景,为我们的进一步工作提供支持。
1 日志1.1 日志的概念日志(Log)起源于航海日志。
航海日志就是我们航海归来之后我们可以对在海上的工作进行分析,总的来说就是一个海上的日记。
日志(Log)表示在时间上连续地设置有由系统指定的对象的动作及其动作结果。
为了保持计算机系统资源的运行状态,系统会将任何活动和在操作中出现的一系列情况进行详细记录,并保存它们。
这些信息对于电脑犯罪取证人员来说是非常有用的。
1.2 Windows日志日志文件不同于我们系统中的其他文件,它有着不一样的用处与作用。
目前计算机中使用最多的Windows 操作系统,如今越来越多的Windows 操作系统日志以二进制形式保存,他们有着自己的存储方式,就是循环覆盖缓存。
它们记录了用户在系统里面完成了什么操作,还有做出了什么样的错误指令以及其他的一些记录。
我们通过查看系统的这些文件,不仅可以回看用户正确操作,同时也可以去搜索那些的错误操作以及不是系统用户本人做出的操作。
因此,无论是系统管理者还是黑客,都非常重视这些文件。
管理员可以通过这些文件查看系统的安全状态,并且找到入侵者的IP 地址或各种入侵证据。
基于人工智能的智能取证技术研究随着互联网和智能设备的普及,新型犯罪手段也日益增加,这给刑事司法活动带来了巨大的挑战。
特别是现在互联网犯罪日益增多,犯罪嫌疑人的作案手段也更加隐蔽,对于公安机关的破案难度也越来越大。
这时候,基于人工智能的智能取证技术就应运而生。
一、人工智能技术在取证中的应用现状基于人工智能的智能取证技术是一种集成了计算机科学、人工智能技术、数据库技术等多个学科的综合性技术,具有高效、精准、快速等优势,不断为取证工作提供了新的解决方案。
人工智能技术在刑事侦查中的应用主要包括先进的信息检索技术、智能影像取证技术、智能语音取证技术、数据挖掘技术以及嫌疑人行为分析等诸多方面。
目前,国内外有许多企业和研究机构在这一领域进行了大量的研究工作,并提出了诸多的取证方案。
例如,北京大学深度学习实验室研究出了一种基于深度学习的图片取证技术,通过分析图片中的图像特征、语义特征,实现了对数据的更加准确的提取。
二、基于人工智能技术的智能取证方法目前,基于人工智能技术的智能取证方法主要包括以下三个方面:1.智能取证技术智能取证技术是指利用计算机技术对数字证据进行高效检索、提取、分析、存储和推理,通过智能算法和数据挖掘技术找出与案件有关的证据。
这种技术主要应用于互联网犯罪案件中,例如网络诈骗、网络侵犯、网络赌博等。
2.智能影像取证技术智能影像取证技术是指利用图像处理、计算机视觉等技术进行图片和视频的搜索和定位,从中提取与案件相关的信息。
这种技术可以有效地帮助公安机关缩小取证范围,减少劳动力成本。
3.智能语音取证技术智能语音取证技术是指利用语音分析、语音识别等技术对案件中的语音进行处理,找出潜在的证据信息。
这种技术可以用于侦查电话诈骗、网络敲诈、电话不良营销等犯罪行为。
三、基于人工智能技术的智能取证技术的优势与传统的取证方法相比,基于人工智能技术的智能取证有以下几个优势:1.检索速度快人工智能技术的智能取证技术可以对大规模数据进行高效的检索和分析,大大提高了寻找证据的效率,有效缩短了取证时间。
计算机取证面临的挑战及其应对措施
随着社会的发展,计算机取证业已经发展成一个具有重要地位的职业。
它的作用是收集、分析、保护、证实和报告有关计算机系统或数字数据的信息,以用于司法过程或各种调查。
但是,计算机取证也面临着一些挑战。
首先,计算机取证过程繁杂而复杂。
收集信息的过程异常耗时,而且在信息收集过程中容易造成数据的破坏或丢失,从而影响取证的准确性。
其次,计算机取证的成功可能受到技术因素的限制,比如计算机系统和网络的复杂性,以及攻击者可能使用的技术措施,使得计算机取证收集到的数据可能存在假冒、篡改或丢失的情况。
此外,对计算机安全事件的取证也可能会面临法律问题,即侵犯联系人、服务提供商或其他相关机构的个人隐私,同时还会面临安全隐私问题。
因此,有必要采取一些措施来应对计算机取证的挑战并确保取证的准确性和有效性。
首先,针对具体的取证要求,应制定出一套有效的取证流程,以防止数据丢失和破坏的情况。
其次,在取证的过程中应采取一些技术措施来确保数据的安全性和保密性,比如采用可靠的安全策略和数据加密技术。
此外,取证人员也需要有良好的专业素养,能够尊重个人隐私,以及拥有足够的法律专业知识,协助客户处理取证相关的法律问题。
最后,计算机取证行业也应该加强数据安全性的审计和检查,采用可靠的取证工具和标准,使取证人员能够在有限的时间内有效地获取有效的数据。
综上所述,计算机取证正在成为一个日益重要的专业领域。
然而,它也面临着一些挑战,比如数据丢失和破坏、技术因素、安全隐私等。
因此,应该采取一些措施来应对计算机取证挑战,以保证取证的准确性和有效性。
网警的主要技术是取证,下面我们就来了解一下什么是取证技术。
一般看刑警电视剧比较多的人都知道,发生了什么案子首先是封锁和保护现场,不让任何人破坏现场,然后就是给现场做技术鉴定,使用各种手段尽量还原当时案发现场的情况并寻找凶手留下来的信息(比如指纹、凶器等等)。
而网警破案的第一步也是封锁现场,让调查人员来到计算机犯罪现场或入侵现场,寻找并扣留相关的计算机硬件。
这一步在计算机取证上也叫物理证据获取,一般网警在这一步做的主要事情是:保护寄存器、数据文件、交换区、隐藏文件、空闲磁盘空间、打印机缓存、网络数据区、用户进程存储区、堆栈、日志、缓冲区、文件系统中的数据不被破坏和修改。
还有就是获取内存和硬盘中的数据,顺序为先内存后硬盘,因为内存为易灭失数据而硬盘为相对稳定数据。
对内存数据的获取主要用内存检查命令和内存数据分析工具(如内存数据分析编辑器)来实现,而硬盘数据的获取也是通过专门的工具(如“美亚网警”多功能硬盘克隆机)对硬盘进行逐扇区的读取,将硬盘数据完整地克隆出来;第二步是就是对保护和提取的数据进行分析,它的范围包括现存的正常文件、已经删除但没有被新文件覆盖的文件、隐藏文件、受到密码保护的文件及加密文件等等。
分析数据常用的手段有:1.用搜索工具搜索所有的逻辑文件Slack磁盘空间、自由空间、未分配的空间中所有特定的数据。
打个比方说:在上午10点的时候发生了入侵事件,那么在使用搜索工具时肯定是首先搜索记录时间为10点左右的文件2.由于黑客在入侵时会删除数据,所以我们还要用数据恢复工具对没有覆盖的文件进行恢复3.对系统中所有加密的文件进行解密4.用MD5对原始证据上的数据进行摘要,然后把原始证据和摘要信息保存。
上面的就是网警在取证时所要进行技术处理的地方,然后根据分析的结果(如IP地址等等)来抓人。
下面介绍一些网警在取证时常用到的专业软件,对此方向感兴趣的朋友可以到网上去下载。
文件浏览器:专门用来查看数据文件的阅读工具,只可以查看但没有编辑和恢复功能,可以防止数据的破坏,Quick View Plus是其中的代表。
计算机取证关键技术分析金波,陶明明公安部第三研究所上海200035上海金诺网络安全技术发展股份有限公司上海 200122摘要:电子证据是一种新的证据类型,为提高电子证据的证据力,本文分析了电子取证的取证程序与取证的关键技术,提出了取证的一般性原则、数据采集方法、取证的设备和装置要求。
关键词:计算机取证, 电子证据,Analysis for Key Technology of Computer ForensicJin Bo, Tao MingmingThe Third Research Institute of Ministry of Public Security, 200035 ShanghaiKingnet Security Inc., 200122 ShanghaiAbstract:.Electronic evidence is a sort of new style evidence. To improve the probative value of electronic evidence, the paper analysis computer forensic process and key technology, provided the rule of computer forensic, data acquire method and the requirement of forensic device.Keywords:Computer Forensic, Electronic Evidence1概述随着计算机和互联网络技术的迅速发展,电子商务、网络教育、各类网络服务和电子政务在经济社会的人际交往、经营活动中被大量应用。
随之,各类经济纠纷、民事纠纷和刑事案件也会时有出现。
判定或处置各类纠纷和刑事案件过程中,电子文挡已经成为重要证据之一。
许多计算机化的产品中都会存有电子证据,例如:移动电话、PDA、路由器等,也有许多形式的存储介质,包括:硬盘、光盘、U盘等。
另外,网线、电缆甚至空气也能携带数字信息,通过适当的设备,就能将这些数字信息提取出来,以备使用。
本文以计算机证据的重要载体—硬盘为例,研究分析计算机取证中的关键技术要求,包括:取证的一般性原则、数据采集方法、取证的设备和装置要求。
2取证程序电子证据处理总共分3个阶段:证据获取、证据分析和证据表现[1]。
证据获取阶段的工作是固定证据。
电子证据容易修改,一旦决定需要获取电子证据,应该首先进行证据固定,防止有用证据的丢失。
在本阶段要求将电子证据的状态固定起来,使之在后续的分析、陈述过程中不会改变。
并能够在法庭展示证据固定的有效性,比如展示原始证据和固定后证据的Hash校验值。
证据分析阶段的工作是分析证据与案件的关联性。
电子证据包含的数据量往往很大,而且数据类型往往杂乱无章,收集的所有证据需要进行提取、整理和筛选后才能被使用。
在本阶段要求能够对证据进行全面分析,并在全面分析的基础上能够进行数据挖掘和整合,使之清晰呈现案情相关信息。
证据表现阶段要就电子证据与案件的关联性进行陈述。
在此阶段要求能够证实电子证据取得的途径、分析过程,并合理引用电子证据分析结果对案情进行陈述。
3证据获取当采集电子证据时,应将注意力放在计算机内容而不是硬件上。
当从计算机中采集数据时有两种选择,一种是采集所需要的数据,另一种是采集所有的数据。
采集所需要的数据有遗失线索和损害证据的风险,因此一般情况下,取证人员将从涉案的计算机硬盘中完整采集出所有数据。
通过硬盘克隆机或者数据获取软件是两种常用的方法。
3.1应用硬盘克隆机获取证据从硬盘中采集数据时最直接的方法是在记录了硬盘和主板的连接方式后,将硬盘从计算机上拆卸下来,然后用取证专用的硬盘克隆机制作原硬盘的克隆品[2]。
硬盘数据物理复制采集的原理框图如图1所示。
图1、硬盘数据采集原理框图硬盘数据物理复制采集可按以下步骤操作:(1) 拆除将接受数据取证的硬盘;(2) 检测接受数据取证硬盘未被物理故障造成硬盘数据无法读取;(3) 打开预备的目标硬盘,对目标硬盘进行格式化处理,清除目标硬盘内所有内容;(4) 复制原硬盘数据到目标硬盘。
硬盘复制机必须是专用、特制,具有获取完整数据的复制机。
复制机在工作状态时必须对被复制硬盘数据写保护,获取的所有数据应在复制前、后保持一致。
复制机应通过物理级复制技术获取文件系统的完整数据,包括文件Slack区和未使用的空间,并能提供和原硬盘数据完全一致的副本。
经复制机复制在目标硬盘上的数据应以位(Bit)的形式存在,复制机必须将原硬盘的数据全部复制到目标硬盘或镜像文件中。
复制范围从硬盘的逻辑第一扇区开始,一直到硬盘逻辑最末扇区结束。
复制机应具有复制传输单方向功能;即原硬盘数据向目标硬盘传输,不可逆向。
复制机应具备数据校验功能;检验目标硬盘和原硬盘数据完全一致。
复制机应具有硬盘擦除和格式化功能;可擦除目标硬盘不正确的数据。
或对目标硬盘进行格式化处理。
复制机应遵循严格的工作流程进行操作,确保数据获取的精确性和原始数据的完整性。
下图是硬盘复制机工作流程:图2、硬盘复制机工作流程3.2数据获取软件获取证据数据获取软件采集数据是另外一种方法。
目前Windows和Linux下都有相应的数据获取软件。
由于Windows是会自动在检测到的硬盘上写入数据,因此Windows的数据获取软件在使用时必须结合硬盘写保护器进行。
硬盘写保护器通过USB或1394接口和取证计算机连接。
3.2.1Windows数据获取软件和硬盘写保护器其原理如图3所示。
USB或1394数据获取图3、硬盘数据采集原理图硬盘数据镜像采集可按以下步骤操作:(1) 拆除将接受数据取证的硬盘;(2) 通过硬盘写保护器将接受数据取证的硬盘连接到另外一台计算机上。
利用计算机应用软件复制硬盘原数据到目标硬盘。
硬盘写保护器是保护原硬盘数据不更改的设备,写保护器应在主机发送对取证硬盘复制指令后,不传输任何修改指令给取证硬盘。
写保护器与取证硬盘的接口及应用程序应具有单向功能,单向的方向必须是取证硬盘向复制机的目标硬盘,不可逆向。
写保护器在收到一个来自主机的读指令操作类的操作后,应通过读操作返回请求的数据。
读指令操作可包括:从某个存储介质的特定位置请求数据并把请求的数据返回给主机的操作。
一个读操作从存储设备的介质里请求一个或多个数据块,每个数据块都有关于存储位置和长度的说明。
写保护器在收到一个来自主机的信息指令操作类的操作后,应返回主机一个包含不修改任何重要访问信息的回复。
写保护器应将受保护硬盘的任何错误情况立即报告给主机。
其他非修改的指令操作应包括:任何不属于其他的请求存储设备执行一个非破坏性动作的操作类的操作。
3.2.2Linux数据获取启动光盘Linux数据获取软件一般是以可启动光盘形式出现[3]。
取证人员可以利用可启动的、不会改写硬盘数据的光盘启动计算机,将数据采集出来。
其原理如图4所示。
图4、 Linux启动光盘采集原理图此方法的数据采集可按以下步骤操作:(1) 将接受数据取证的硬盘连接到预置的专用计算机上。
(2) 通过光盘启动计算机,直接将原硬盘的数据采集到目标硬盘上。
4证据分析主要的证据分析技术有:删除数据的恢复、加密数据破解和海量数据的线索分析。
4.1删除数据的恢复被删除数据的恢复主要从两个层次进行:文件系统级和应用级的数据恢复。
4.1.1文件系统级恢复文件系统用于存储数据,供计算机系统访问。
文件系统中的数据通常以文件目录和文件的形式存放于树状结构中。
文件系统通常以元数据描述每个文件的信息,包括文件名称、属性、时间戳。
一般元数据都位于目录入口,但另外有些元数据位于特定的文件(如NTFS的$MFT)或者其他位置(如Unix的 i-node)[4]。
但一个文件或者目录被删除,通常相关的元数据被设置标志为不激活的。
然而在绝大多数文件系统中,元数据和文件真实内容都未被真正删除。
因此,被删除的元数据仍然能够被访问到。
然而,并不是所有文件内容都能够被访问到,这依赖于元数据的结构和原始格式。
比如一个文件目录是分散在硬盘不连续区域的,如果被删除,目录的第一个数据块通常都能恢复,但是其余的数据块就无法恢复[5]。
过去的存储设备都比较昂贵和缓慢(和RAM相比),在设计文件系统时均允许操作系统以高效和快速的方式访问二级存储。
虽然不同的文件系统执行方式不同,但总体上,都具备恢复删除文件的能力。
两个最关键点是:持续写入和文件系统活动方式。
文件系统在一般情况下都尽量使用持续写入:绝大多数操作系统以连续数据块的方式往驱动器上写数据。
一个给定的数据文件,在写入磁盘后未作任何修改,这个文件数据将在连续的扇区上。
这将使得读写速度加快,因为磁头无需转移到另外的区域去读写数据。
这样,文件即使被删除,存在于连续区域的几率也比较大,根据此原理,可以找回文件数据。
[6]为了尽快和高效的文件操作,文件系统的许多活动都将变化控制在最小。
比如文件删除,绝大多数情况下,只进行逻辑删除,这就意味着真正的数据并为删除,而只是对信息进行索引的元数据发生了变化,标记或者删除。
用这项技术,文件内容不管多大,删除时都只是简单修改或者删除索引结构。
最简单的例子就是Windows FAT32文件系统删除文件。
它只是找到被删除文件在目录中的入口,并将首字节改为”0xE5”,并将文件分配表清空。
绝大多数元数据和文件内容都保留。
绝大多数情况下,这些通常的属性都能帮助进行数据恢复,不管数据位于何种文件系统中。
许多工具都可以定位潜在的文件系统对象,找到残余的元数据,并恢复最大数量的连续文件。
4.1.2应用级恢复除了文件系统级的数据恢复,还可以在应用级进行数据恢复。
通过识别应用文档特征,在整个硬盘中搜索符合此类特征的数据,达到恢复数据的目的。
以JPG文件恢复为例,JPEG 文件头都有特征,如果根据类特征在硬盘上寻找所有的JPG文件,将比只从文件系统中恢复带有JPG扩展名的文件更加彻底。
4.2加密文档的解密加密给证据分析提出了难题,像Office这样的办公软件就内置有加密文档功能。
有两种方法可以处理类似于Office这种加密程序:密钥搜索和分布式破解[7]。
4.2.1密钥搜索技术以Word®/Excel® 97/2000为例,如果加密文件使用的RC4算法,如果文件保护被使用,最简单的办法是利用字典或者暴力方式破解密码。
然而这种方法往往只能对简单密码有效。
比如如果密码有10位长,并且包含大小写和数字,首先无法找到包含这些字符的字典,只能用暴力破解。
如果使用暴力破解,则需要尝试的口令个数为:(26 + 26 + 10) ^ 10 = 839,299,365,868,340,224假如采用P4的电脑,每秒尝试1000,000个密码,也需要26614年时间完全尝试完。
