@怪人
2年前 提问
1个回答

计算机系统取证的方法有哪些

上官雨宝
2年前

计算机系统取证的方法如下:

  • 基于入侵检测取证技术:基于入侵检测取证技术是指通过计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术,简称 IDS(Intrusion Detection System)。入侵检测技术是动态安全技术的最核心技术之一。它的原理就是利用一个网络适配器来实时监视和分析所有通过网络进行传输的通信,而网络证据的动态获取也需要对位于传输层的网络数据通信包进行实时的监控和分析,从中发现和获得嫌疑人的犯罪信息。因此,计算机网络证据的获取完全可以依赖现有 IDS 系统的强大网络信息收集和分析能力,结合取证应用的实际需求加以改进和扩展,就可以轻松实现网络证据的获取。

  • 来源取证技术:来源取证技术的主要目的是确定嫌疑人所处位置和具体作案设备。主要通过对网络数据包进行捕捉和分析,或者对电子邮件头等信息进行分析,从中获得犯罪嫌疑人通信时的计算机 IP 地址和 MAC 地址等相关信息。调查人员通过 IP 地址定位追踪技术进行追踪溯源,查找出嫌疑人所处的具体位置。MAC 地址是由网络设备制造商生产时直接写在每个硬件内部的全球唯一地址。调查人员通过 MAC 地址和相关调查信息就可以最终确认犯罪分子的作案设备。

  • 痕迹取证技术:痕迹取证技术是指通过专用工具软件和技术手段,对犯罪嫌疑人所使用过的计算机设备中相关记录和痕迹信息进行分析取证,从而获得案件相关的犯罪证据。主要有文件内容、电子邮件、网页内容、聊天记录、系统日志、应用日志、服务器日志、网络日志、防火墙日志、入侵检测、磁盘驱动器、文件备份、已删除可恢复的记录信息等。痕迹取证技术要求取证人员需要具备较高的计算机专业水平和丰富的取证经验,结合密码破解、加密数据的解密、隐藏数据的再现、数据恢复、数据搜索等技术,对系统进行分析和采集来获得证据。

  • 海量数据挖掘技术:计算机的存储容量越来越大,网络传输的速度也越来越快。对于计算机内部存储和网络传输中的大量数据,可以用海量数据挖掘技术发现特定的与犯罪有关的数据。数据挖掘技术主要包括关联规则分析、分类和联系分析等。运用关联规则分析方法可以提取犯罪行为之间的关联特征,挖掘不同犯罪形式的特征、同一事件的不同证据之间的联系;运用分类方法可以从数据获取阶段获取的海量数据中找出可能的非法行为,将非法用户或程序的入侵过程、入侵工具记录下来;运用联系分析方法可以分析程序的执行与用户行为之间的序列关系,分析常见的网络犯罪行为在作案时间、作案工具以及作案技术等方面的特征联系,发现各种事件在时间上的先后关系。

  • 网络流量监控技术:网络流量监控技术可以通过 Sniffer 等协议分析软件和 P2P 流量监控软件实时动态地跟踪犯罪嫌疑人的通信过程,对嫌疑人正在传输的网络数据进行实时连续的采集和监测,对获得的流量数据进行统计计算,从而得到网络主要成分的性能指标,对网络主要成分进行性能分析,找出性能变化趋势,得到嫌疑人的相关犯罪痕迹的技术。

  • 会话重建技术:会话重建是网络取证中的重要环节。分析数据包的特征,并基于会话对数据包进行重组,去除协商、应答、重传、包头等网络信息,以获取一条基于完整会话的记录。具体过程是:首先,把捕获到的数据包分离,逐层分析协议和内容;然后,在传输层将其组装起来,在这一重新组合的过程中可以发现很多有用的证据,例如,数据传输错误、数据丢失、网络的联结方式等。

  • 事前取证技术:现有的取证技术基本上都是建立在案件发生后,根据案情的需要利用各种技术对需要的证据进行获取,即事后取证。而由于计算机网络犯罪的特殊性,许多重要的信息,只存在于案件发生的当前状态下,如环境信息、网络状态信息等在事后往往是无据可查,而且电子数据易遭到删除、覆盖和破坏。因此,对可能发生的事件进行预防性的取证保全,对日后出现问题的案件的调查和出庭作证都具有无可比拟的作用,它将是计算机取证技术未来发展的重要方向之一。对此类防范和预防性的取证工具软件,在国内外还比较少见。现有据可查的就是福建伊时代公司于 2007 年推出的电子证据生成系统。该系统采用其独创的 “数据原生态保全技术” 来标识电子证据,并将其上传存放于安全性极高的电子证据保管中心,充分保证电子证据的完整性、真实性和安全性,使之具备法律效力。它可以全天候提供电子邮件、电子合同、网络版权、网页内容、电子商务、电子政务等电子证据的事前保全服务。