2020年计算机取证技术应用论文.docVIP

计算机取证技术应用论文 计算机取证技术应用论文【1】 摘要：本文介绍了计算机取证技术概念、计算机取证人员在取证过程中应遵循的原则及操作规范，分析了当前计算机取证应用的主要技术，讨论了计算机取证的发展趋势。 关键词：计算机取证;取证技术;电子证据 随着计算机技术的发展，计算机的应用已经成为人们工作和生活中不可或缺的一部分。 计算机及信息技术给我们带来便利的同时，也为犯罪分子提供了新型的犯罪手段，与计算机相关的违法犯罪行为也相应随之增加。 在实际案件中，涉及需要计算机取证的案件也日益增加，特别是在xx年3月14日，第十一届全国人民代表大会第五次会议审议通过了关于修改(中华人民共和国刑事诉讼法)的决定，将“电子数据”作为一种独立的证据种类加以规定，第一次以基本法律的形式确认了电子证据在刑事诉讼中的法律地位。 由于电子证据的易丢失、易被篡改、伪造、破坏、毁灭等特性，为了避免破坏证据和原始数据，取证人员在对计算机进行取证工作过程中，必须严格按照规范程序操作，并遵守一定的原则。 1计算机取证的定义 当前对计算机取证还没有较为全面统一和标准化的定义，许多专家学者和机构站在不同的角度给计算机取证下的定义都有所不同。 当前相对较为全面且被大部分人认可的定义是：计算机取证是指对相关电子证据的确定、收集、保护、分析、归档以及法庭出示的过程，这里的相关电子证据是指存储在计算机及相关外部设备中能够为法庭接受的、足够可靠和有说服力的电子证据。 2计算机取证规范 由于电子证据具有易破坏性等特点，取证人员在进行计算机取证时应有严格的规范程序要求，取证过程应当遵守一定的基本原则：首先是证据的取得必须合法。 其次取证人员的计算机取证工作必须有严格操作规范。 最后，取证工作应当在监督下执行，并且有相应的操作记录，必要时应当有第三方介入。 3取证技术的应用 电子证据主要有三个方面：一是主机系统设备及其附件方面的证据;二是网络系统方面的证据;三是其他各种类型的数字电子设备的证据。 根据计算机取证所处的阶段不同，可以采用不同的取证技术;当前计算机取证应用的主要技术可以分为以下几个方面： 3.1磁盘复制技术 取证过程不允许在原始磁盘设备上面进行直接操作。 因为在原始磁盘设备上面直接提取数据可能会损坏磁盘上的原始数据，造成不可逆的数据破坏或数据永久性丢失。 通过镜像方式做磁盘整盘复制或制作磁盘镜像文件对原始数据进行位对位的精确复制，复制时可以对数据或者设备进行校验(如MD5或者SHA2)确认所获取的数据文件与原始磁盘介质中的文件数据完全一致，并且未被修改过。 通过磁盘镜像复制的数据不同于一般的复制粘贴，镜像方式复制的数据包括磁盘的临时文件，交换文件，磁盘未分配区，及文件松弛区等信息，这信息对于某些特定案件的取证是必须的。 3.2信息搜索与过滤技术 信息搜索与过滤技术就是从大量的信息数据中获取与案件直接或者间接相关的犯罪证据，如文本、图像、音视频等文件信息。 当前应用较多的技术有：数据过滤技术、数据挖掘技术等。 3.3数据恢复技术 数据恢复技术3是指通过技术手段，把保存在磁盘、存储卡等电子设备上遭到破坏和丢失的数据还原为正常数据的技术。 从操作层面上看，可以将数据恢复技术分为软件恢复技术、硬件恢复技术。 3.4隐形文件识别与提取技术 随着技术的高速发展，犯罪嫌疑人的反侦查意识也在提高。 嫌疑人经常会对重要的数据文件采用伪装、隐藏等技术手段使文件隐形，以逃避侦查。 案件中常见的技术应用有数据隐藏技术、水印提取技术、和文件的反编译技术。 3.5密码分析与解密技术 密码分析与解密技术是借助各种类型的软件工具对已加密的数据进行解密。 常见的技术有口令搜索、加密口令的暴力破解技术、网络偷听技术、密码破解技术、密码分析技术。 其中密码分析技术包括对明文密码、密文密码以及密码文件的分析与破解。 3.6网络追踪技术 网络追踪技术是根据IP报文信息转发及路由信息来判断信息源在网络中的位置，有时还需要对所获取的数据包进行技术分析才能追踪到攻击者的真实位置。 常用的追踪技术有连接检测、日志记录分析、ICMP追踪、标记信息技术与信息安全文法等。 3.7日志分析技术 日志文件由日志记录组成，每条日志记录描述了一次单独的系统事件4。 日志文件记录着大量的用户行为使用痕迹，在计算机取证过程中充分利用日志文件提取有用的证据数据，是进行日志分析的关键。 3.8互联网数据挖掘技术 数据挖掘5是一种数据分析方法，它可以对大量的业务数据进行搜索和分析并提取关键性数据，从而来揭示隐藏在其中的、的有效证据信息，或对已知的证据信息进行验证。 根据网络数据的特点可以分成静态获取和动态获取。 静态获取是从海量的网络数据中获取有关计算机犯罪的证据信息。 动态获取6是对网络信息数据流的实时捕获。 4结束语 计算机取证技术是一个迅速发展的研究领域，有着良好的应用前景。 特别是在xx年3月，新的刑事诉讼法对“电子数据”的法律地位加以独立规定，计算机取证技术的重要性显得更为突出。 当前，国内在计算机取证技术上的研究力量也正在逐渐加强，相关取证技术及法律法规的研究也越来越多的受到重视，但在程序上还缺乏一套统一的计算机取证流程，对于取证人员的培养和取证机构的建设还需要进一步加强。 参考文献： 1麦永浩，孙国梓，许榕生，戴士剑.计算机取证与司法鉴定M.清华大学出版社，xx(01). 2殷联甫.网络与计算机安全丛书计算机取证技术M.北京：科学出版社，xx(02). 3戴士剑，戴森，房金信.数据恢复与硬盘修理M.电子工业出版社，xx：1-79. 4姜燕.计算机取证中日志分析技术综述J.电子设计工程，xx(06). 5百度百科.数据挖掘EB/OL.：/baike.baidu./link?url=t1Ag0_5CVBuM2BM7c3cd43a_Vevhe0MS0-Tz16RdalTyB4XTB9vulAP0A2AK281o，xx-11-22 6(美)HarlanCarvey著卡罗王智慧，崔孝晨，陆道宏译.Windows取证分析：WindowsforensicanalysisM.北京：科学出版社，x