下载文档原格式
简论网络犯罪现场电子证据提取的技术要点分析论文摘要网络犯罪案件发案率高、侦破难度大,是近几年困扰公安机关的难题。
其中最主要的原因还在于电子证据提取的难度大、不容易固定和保存,特别是网络犯罪现场的电子数据。
网络犯罪现场情况复杂、范围不容易固定、证据类型多,并且现场电子数据尤其容易被破坏和丢失。
本文就目前常见的网络犯罪案件现场勘查流程为线索,分析其中常被忽略的细节,提出可以采取的技术手段和有效处理相关问题的方式方法。
论文关键词网络犯罪电子证据提取现场勘查随着计算机、手机等电子产品的逐渐普及,与之有关的犯罪案件逐年增多。
作为一类新型的高科技犯罪,网络犯罪的表现形态五花八门,而网络空间的虚拟性和电子证据的易失性也加大了此类案件的侦破难度。
为了应对日益严峻的现实,要求相关人员提高网络犯罪侦查的能力。
其中,犯罪现场电子证据的提取是网络犯罪侦查中至关重要而又不容易掌握的一项技能。
现场是案事件发生的地点,往往遗留有较多的痕迹物证。
合理有效的处置现场,尽最大可能保护线索、提取证据对整个案事件的处理具有重要的意义。
由于网络的互联性使得遗留有电子证据的场所分布广泛,既包括传统现场即物理空间,又包括非传统意义的场所即虚拟空间,也就是网络犯罪现场的空间跨度性较大。
另外,现场的空间跨度也导致了时间的连续性,会存在第一时间现场、第二时间现场等,多个现场在时间上有严格的连续性。
同时,网络犯罪现场处理中还要考虑电子证据的复杂性、脆弱性、时效性等特点。
本文就勘验、提取、固定现场留存的电子证据为线索,分析在此过程中需要关注的技术要点。
一、网络犯罪现场勘查的步骤与普通的案件处理类似,网络犯罪现场勘查也有一定的规范、原则和方法步骤。
一般来说,可以分为事前准备、现场保护、现场勘查取证、扣押等步骤。
(一)事前准备鉴于网络犯罪的特殊性,一般来说针对电子数据的现场勘查和取证要一次完成,这就要求在进入现场以前做好充分的准备。
指挥人员必须提前确定由哪些人员进入现场、需要携带哪些设备、如何制定预案、有哪些注意事项等一系列问题。
信息安全的数字取证随着互联网的迅猛发展和信息技术的不断进步,数字化的生活方式已经成为当今社会的主流。
与此同时,随之而来的是信息安全威胁的不断增加。
在应对信息安全事件时,数字取证在保护用户利益、打击犯罪活动和维护社会秩序方面起着至关重要的作用。
一、数字取证的定义及重要性数字取证是通过对电子设备、网络系统和数据进行调查鉴定,以提供证据支持刑事侦查、民事诉讼和行政执法的一项关键技术。
其核心目标是识别、保护和获取可使用的电子证据。
数字取证在信息安全领域具有重要意义,它可以帮助揭示真相、还原事件过程、确保证据的可信性和完整性。
二、数字取证的作用和应用领域数字取证作为信息安全领域的一项重要技术,广泛应用于以下领域:1. 刑事侦查:在犯罪案件中,数字取证有助于追踪犯罪嫌疑人、还原犯罪经过、搜集关键证据,为司法机关提供有力的侦查支持。
2. 网络安全:对于网络攻击、数据泄露以及其他网络安全事件,数字取证可以通过追踪入侵者、还原攻击过程、查找潜在漏洞等方式,提供技术支持和预防措施。
3. 企业内部调查:在企事业单位中,数字取证可以用于员工违规行为的调查,例如涉嫌数据泄露、商业秘密盗窃等,有助于维护企业的商业利益和声誉。
4. 互联网犯罪打击:数字取证技术在打击网络诈骗、网络传销、网络盗版等互联网犯罪活动方面发挥着重要的作用,为执法机关提供技术手段和依据。
三、数字取证的技术手段和流程数字取证包括以下主要技术手段和流程:1. 设备获取:对涉案电子设备进行获取,包括计算机、手机、磁盘等。
确保采取合法、规范的方式,以保持证据完整性和可信度。
2. 数据采集:通过取证工具或数据镜像等手段,对电子设备中的数据进行完整、准确的搜集,以确保数据的真实性和可审查性。
3. 数据分析:对采集到的数据进行深入分析和挖掘,包括还原文件、还原操作过程、查找隐藏信息等,以获得关键证据。
4. 证据报告:将分析得到的证据进行整理、汇总和报告,以便进一步调查和诉讼使用。
开始学习计算机犯罪和数字取证近年来,随着互联网的迅猛发展和智能设备的广泛应用,计算机犯罪和数字取证已成为一个备受关注的话题。
学习计算机犯罪和数字取证对于保护网络安全和打击犯罪行为有着重要的意义。
在本文中,我将从不同的角度探讨这一主题。
首先,我们需要明确什么是计算机犯罪和数字取证。
计算机犯罪是指利用计算机技术进行非法活动的行为,如黑客攻击、网络诈骗等。
数字取证则是指通过采集、收集和分析电子设备存储数据,以获取相关证据的过程。
这项技术往往被应用到刑事司法、企业安全以及网络安全等领域。
在学习计算机犯罪和数字取证的过程中,我们不仅需要理解相关法律法规,还需要具备扎实的计算机知识和技术能力。
毋庸置疑,计算机犯罪是一个复杂的领域,想要有效地打击犯罪行为,必须对计算机系统、网络安全以及相关技术进行全面的了解。
只有掌握了相关知识,才能更好地保护自己免受犯罪的侵害。
此外,学习计算机犯罪和数字取证也需要掌握一定的技术工具和技巧。
对于数字取证而言,如何有效地采集、保护和分析电子证据是一个重要的环节。
现今市场上有许多专门的数字取证工具和软件,通过学习和熟练掌握它们的使用方法,可以更高效地开展数字取证工作。
同时,掌握一些必要的技巧,如数据恢复与清除、系统安全漏洞分析等,也能够帮助我们更好地应对和处理计算机犯罪。
不仅如此,在学习计算机犯罪和数字取证的过程中,我们还需要了解行业发展动态和前沿技术。
计算机犯罪是一个快速变化的领域,犯罪分子不断改进技术手段,网络攻击也日益复杂。
因此,及时了解最新的犯罪手法和网络安全威胁,掌握前沿的防御技术和工具,对于提高自己的能力和技术水平至关重要。
只有不断学习和更新知识,才能保持在这个竞争激烈的领域中的竞争力。
最后,学习计算机犯罪和数字取证也需要具备一定的道德素养和责任感。
计算机犯罪行为的发生往往是由于黑客攻击、网络病毒等,这些行为对个人、企业和社会造成了巨大的损失。
作为学习者,我们应该意识到自己的学习目的是为了保护网络安全和打击犯罪行为,而不是为了从事非法活动。
浅谈计算机网络取证技术作者:杨泉清许元进来源:《海峡科学》2010年第10期[摘要]随着互联网的应用普及,各种利用计算机网络进行诈骗、盗窃、色情传播等网络犯罪活动日益猖獗,已经严重威胁到人们正常的生产和生活。
如何及时准确地从计算机网络中获取证据,有效遏制网络犯罪,已成为近年来计算机取证的研究热点。
由于这类证据具有动态、实时、海量、异构和多态等特性,有别于传统证据,需要具备较强的取证技术。
同时,网络取证技术的研究在我国尚处于起步阶段,还无法及时跟上犯罪技术的更新和变化。
因此,网络证据的获取一直还处于比较艰难的局面,严重阻碍了网络案件的侦破。
面对这种现实,加快网络取证技术的研究和应用,已经引起各级政府和机构的高度重视。
[关键词]计算机取证技术网络犯罪网络取证工具电子证据1网络证据取证概述计算机取证(Computer Forensics)是指对计算机入侵、破坏、欺诈、攻击等犯罪行为利用计算机软硬件技术,按照符合法律规范的方式进行获取、保存、分析和出示的过程。
从技术上,计算机取证是一个对计算机系统进行扫描和破解,以对入侵事件进行重建的过程。
网络取证(Network Forensics)包含了计算机取证,是广义的计算机取证,是网络环境中的计算机取证。
计算机取证包括了物理证据获取和信息分析发现两个阶段。
物理证据是指调查人员到犯罪现场,寻找和扣留犯罪相关的计算机软硬件设备;信息分析发现是指从计算机原始数据中通过技术手段分析查找与案件相关的系统日志、聊天记录、电子邮件和文件等可以用来证明或者反驳的电子数据证据,即电子证据。
与传统的证据不同的是,计算机证据易丢失、易篡改、易删除并且很难获取,这就要求在进行计算机取证时必须严格遵守一定的规则。
基本原则如下:1.1 合法性原则应采用合法的取证设备和工具软件按照法律法规的要求,合理合法地进行计算机证据收集。
1.2 原始性原则及时收集、保存和固化原始证据,确保证据不被嫌疑人删除、篡改和伪造。
计算机取证关键技术分析金波,陶明明公安部第三研究所上海200035上海金诺网络安全技术发展股份有限公司上海 200122摘要:电子证据是一种新的证据类型,为提高电子证据的证据力,本文分析了电子取证的取证程序与取证的关键技术,提出了取证的一般性原则、数据采集方法、取证的设备和装置要求。
关键词:计算机取证, 电子证据,Analysis for Key Technology of Computer ForensicJin Bo, Tao MingmingThe Third Research Institute of Ministry of Public Security, 200035 ShanghaiKingnet Security Inc., 200122 ShanghaiAbstract:.Electronic evidence is a sort of new style evidence. To improve the probative value of electronic evidence, the paper analysis computer forensic process and key technology, provided the rule of computer forensic, data acquire method and the requirement of forensic device.Keywords:Computer Forensic, Electronic Evidence1概述随着计算机和互联网络技术的迅速发展,电子商务、网络教育、各类网络服务和电子政务在经济社会的人际交往、经营活动中被大量应用。
随之,各类经济纠纷、民事纠纷和刑事案件也会时有出现。
判定或处置各类纠纷和刑事案件过程中,电子文挡已经成为重要证据之一。
许多计算机化的产品中都会存有电子证据,例如:移动电话、PDA、路由器等,也有许多形式的存储介质,包括:硬盘、光盘、U盘等。
另外,网线、电缆甚至空气也能携带数字信息,通过适当的设备,就能将这些数字信息提取出来,以备使用。
本文以计算机证据的重要载体—硬盘为例,研究分析计算机取证中的关键技术要求,包括:取证的一般性原则、数据采集方法、取证的设备和装置要求。
2取证程序电子证据处理总共分3个阶段:证据获取、证据分析和证据表现[1]。
证据获取阶段的工作是固定证据。
电子证据容易修改,一旦决定需要获取电子证据,应该首先进行证据固定,防止有用证据的丢失。
在本阶段要求将电子证据的状态固定起来,使之在后续的分析、陈述过程中不会改变。
并能够在法庭展示证据固定的有效性,比如展示原始证据和固定后证据的Hash校验值。
证据分析阶段的工作是分析证据与案件的关联性。
电子证据包含的数据量往往很大,而且数据类型往往杂乱无章,收集的所有证据需要进行提取、整理和筛选后才能被使用。
在本阶段要求能够对证据进行全面分析,并在全面分析的基础上能够进行数据挖掘和整合,使之清晰呈现案情相关信息。
证据表现阶段要就电子证据与案件的关联性进行陈述。
在此阶段要求能够证实电子证据取得的途径、分析过程,并合理引用电子证据分析结果对案情进行陈述。
3证据获取当采集电子证据时,应将注意力放在计算机内容而不是硬件上。
当从计算机中采集数据时有两种选择,一种是采集所需要的数据,另一种是采集所有的数据。
采集所需要的数据有遗失线索和损害证据的风险,因此一般情况下,取证人员将从涉案的计算机硬盘中完整采集出所有数据。
通过硬盘克隆机或者数据获取软件是两种常用的方法。
3.1应用硬盘克隆机获取证据从硬盘中采集数据时最直接的方法是在记录了硬盘和主板的连接方式后,将硬盘从计算机上拆卸下来,然后用取证专用的硬盘克隆机制作原硬盘的克隆品[2]。
硬盘数据物理复制采集的原理框图如图1所示。
图1、硬盘数据采集原理框图硬盘数据物理复制采集可按以下步骤操作:(1) 拆除将接受数据取证的硬盘;(2) 检测接受数据取证硬盘未被物理故障造成硬盘数据无法读取;(3) 打开预备的目标硬盘,对目标硬盘进行格式化处理,清除目标硬盘内所有内容;(4) 复制原硬盘数据到目标硬盘。
硬盘复制机必须是专用、特制,具有获取完整数据的复制机。
复制机在工作状态时必须对被复制硬盘数据写保护,获取的所有数据应在复制前、后保持一致。
复制机应通过物理级复制技术获取文件系统的完整数据,包括文件Slack区和未使用的空间,并能提供和原硬盘数据完全一致的副本。
经复制机复制在目标硬盘上的数据应以位(Bit)的形式存在,复制机必须将原硬盘的数据全部复制到目标硬盘或镜像文件中。
复制范围从硬盘的逻辑第一扇区开始,一直到硬盘逻辑最末扇区结束。
复制机应具有复制传输单方向功能;即原硬盘数据向目标硬盘传输,不可逆向。
复制机应具备数据校验功能;检验目标硬盘和原硬盘数据完全一致。
复制机应具有硬盘擦除和格式化功能;可擦除目标硬盘不正确的数据。
或对目标硬盘进行格式化处理。
复制机应遵循严格的工作流程进行操作,确保数据获取的精确性和原始数据的完整性。
下图是硬盘复制机工作流程:图2、硬盘复制机工作流程3.2数据获取软件获取证据数据获取软件采集数据是另外一种方法。
目前Windows和Linux下都有相应的数据获取软件。
由于Windows是会自动在检测到的硬盘上写入数据,因此Windows的数据获取软件在使用时必须结合硬盘写保护器进行。
硬盘写保护器通过USB或1394接口和取证计算机连接。
3.2.1Windows数据获取软件和硬盘写保护器其原理如图3所示。
USB或1394数据获取图3、硬盘数据采集原理图硬盘数据镜像采集可按以下步骤操作:(1) 拆除将接受数据取证的硬盘;(2) 通过硬盘写保护器将接受数据取证的硬盘连接到另外一台计算机上。
利用计算机应用软件复制硬盘原数据到目标硬盘。
硬盘写保护器是保护原硬盘数据不更改的设备,写保护器应在主机发送对取证硬盘复制指令后,不传输任何修改指令给取证硬盘。
写保护器与取证硬盘的接口及应用程序应具有单向功能,单向的方向必须是取证硬盘向复制机的目标硬盘,不可逆向。
写保护器在收到一个来自主机的读指令操作类的操作后,应通过读操作返回请求的数据。
读指令操作可包括:从某个存储介质的特定位置请求数据并把请求的数据返回给主机的操作。
一个读操作从存储设备的介质里请求一个或多个数据块,每个数据块都有关于存储位置和长度的说明。
写保护器在收到一个来自主机的信息指令操作类的操作后,应返回主机一个包含不修改任何重要访问信息的回复。
写保护器应将受保护硬盘的任何错误情况立即报告给主机。
其他非修改的指令操作应包括:任何不属于其他的请求存储设备执行一个非破坏性动作的操作类的操作。
3.2.2Linux数据获取启动光盘Linux数据获取软件一般是以可启动光盘形式出现[3]。
取证人员可以利用可启动的、不会改写硬盘数据的光盘启动计算机,将数据采集出来。
其原理如图4所示。
图4、 Linux启动光盘采集原理图此方法的数据采集可按以下步骤操作:(1) 将接受数据取证的硬盘连接到预置的专用计算机上。
(2) 通过光盘启动计算机,直接将原硬盘的数据采集到目标硬盘上。
4证据分析主要的证据分析技术有:删除数据的恢复、加密数据破解和海量数据的线索分析。
4.1删除数据的恢复被删除数据的恢复主要从两个层次进行:文件系统级和应用级的数据恢复。
4.1.1文件系统级恢复文件系统用于存储数据,供计算机系统访问。
文件系统中的数据通常以文件目录和文件的形式存放于树状结构中。
文件系统通常以元数据描述每个文件的信息,包括文件名称、属性、时间戳。
一般元数据都位于目录入口,但另外有些元数据位于特定的文件(如NTFS的$MFT)或者其他位置(如Unix的 i-node)[4]。
但一个文件或者目录被删除,通常相关的元数据被设置标志为不激活的。
然而在绝大多数文件系统中,元数据和文件真实内容都未被真正删除。
因此,被删除的元数据仍然能够被访问到。
然而,并不是所有文件内容都能够被访问到,这依赖于元数据的结构和原始格式。
比如一个文件目录是分散在硬盘不连续区域的,如果被删除,目录的第一个数据块通常都能恢复,但是其余的数据块就无法恢复[5]。
过去的存储设备都比较昂贵和缓慢(和RAM相比),在设计文件系统时均允许操作系统以高效和快速的方式访问二级存储。
虽然不同的文件系统执行方式不同,但总体上,都具备恢复删除文件的能力。
两个最关键点是:持续写入和文件系统活动方式。
文件系统在一般情况下都尽量使用持续写入:绝大多数操作系统以连续数据块的方式往驱动器上写数据。
一个给定的数据文件,在写入磁盘后未作任何修改,这个文件数据将在连续的扇区上。
这将使得读写速度加快,因为磁头无需转移到另外的区域去读写数据。
这样,文件即使被删除,存在于连续区域的几率也比较大,根据此原理,可以找回文件数据。
[6]为了尽快和高效的文件操作,文件系统的许多活动都将变化控制在最小。
比如文件删除,绝大多数情况下,只进行逻辑删除,这就意味着真正的数据并为删除,而只是对信息进行索引的元数据发生了变化,标记或者删除。
用这项技术,文件内容不管多大,删除时都只是简单修改或者删除索引结构。
最简单的例子就是Windows FAT32文件系统删除文件。
它只是找到被删除文件在目录中的入口,并将首字节改为”0xE5”,并将文件分配表清空。
绝大多数元数据和文件内容都保留。
绝大多数情况下,这些通常的属性都能帮助进行数据恢复,不管数据位于何种文件系统中。
许多工具都可以定位潜在的文件系统对象,找到残余的元数据,并恢复最大数量的连续文件。
4.1.2应用级恢复除了文件系统级的数据恢复,还可以在应用级进行数据恢复。
通过识别应用文档特征,在整个硬盘中搜索符合此类特征的数据,达到恢复数据的目的。
以JPG文件恢复为例,JPEG 文件头都有特征,如果根据类特征在硬盘上寻找所有的JPG文件,将比只从文件系统中恢复带有JPG扩展名的文件更加彻底。
4.2加密文档的解密加密给证据分析提出了难题,像Office这样的办公软件就内置有加密文档功能。
有两种方法可以处理类似于Office这种加密程序:密钥搜索和分布式破解[7]。
4.2.1密钥搜索技术以Word®/Excel® 97/2000为例,如果加密文件使用的RC4算法,如果文件保护被使用,最简单的办法是利用字典或者暴力方式破解密码。
然而这种方法往往只能对简单密码有效。
比如如果密码有10位长,并且包含大小写和数字,首先无法找到包含这些字符的字典,只能用暴力破解。
如果使用暴力破解,则需要尝试的口令个数为:(26 + 26 + 10) ^ 10 = 839,299,365,868,340,224假如采用P4的电脑,每秒尝试1000,000个密码,也需要26614年时间完全尝试完。
