計(jì)算機(jī)取證技術(shù)探討論文

　　計(jì)算機(jī)取證是一門新興的技術(shù)學(xué)科,主要研究如何為獲取和捕捉計(jì)算機(jī)犯罪電子證據(jù)提供有效的、完整的和安全的技術(shù)手段。新型計(jì)算機(jī)取證技術(shù)是傳統(tǒng)計(jì)算機(jī)取證技術(shù)在新的取證環(huán)境下的發(fā)展和創(chuàng)新,包括新型計(jì)算機(jī)靜態(tài)取證技術(shù)、新型計(jì)算機(jī)動(dòng)態(tài)取證技術(shù)和新型計(jì)算機(jī)反取證反制技術(shù)。以下是學(xué)習(xí)啦小編為大家精心準(zhǔn)備的：計(jì)算機(jī)取證技術(shù)探討相關(guān)論文。內(nèi)容僅供參考，歡迎閱讀!

　　計(jì)算機(jī)取證技術(shù)探討全文如下：

　　摘要：本章概述了計(jì)算機(jī)取證技術(shù)，分別介紹了靜態(tài)取證和動(dòng)態(tài)取證的定義、原則和模型，從而得出了動(dòng)態(tài)計(jì)算機(jī)取證的幾個(gè)優(yōu)點(diǎn)。

　　關(guān)鍵詞：靜態(tài)取證　動(dòng)態(tài)取證

　　1、計(jì)算機(jī)取證概述

　　1.1計(jì)算機(jī)取證的定義

　　計(jì)算機(jī)取證，是指對(duì)計(jì)算機(jī)入侵、破壞、欺詐、攻擊等犯罪行為，利用計(jì)算機(jī)軟硬件技術(shù)，按照符合法律規(guī)范的方式，進(jìn)行識(shí)別、保存、分析和提交數(shù)字證據(jù)的過程。

　　1.2計(jì)算機(jī)取證的發(fā)展

　　計(jì)算機(jī)取證的發(fā)展可以劃分為奠基時(shí)期、初步發(fā)展時(shí)期和理論完善時(shí)期等3個(gè)階段。

　　始于1984年的奠基時(shí)期，計(jì)算機(jī)取證的基本思想、基本概念、基本標(biāo)準(zhǔn)及基本原則逐步建立。90年代中后期為計(jì)算機(jī)取證的初步發(fā)展期，在市場(chǎng)的強(qiáng)烈需求下，出現(xiàn)了一大批以Encase等工具為代表的計(jì)算機(jī)取證工具，使得計(jì)算機(jī)取證技術(shù)逐漸為人們所認(rèn)識(shí)和接受。始于1999年的理論完善時(shí)期開始對(duì)計(jì)算機(jī)取證程序及取證標(biāo)準(zhǔn)等基本理論和基本問題進(jìn)行進(jìn)一步的研究。

　　1.3計(jì)算機(jī)取證的相關(guān)技術(shù)

　　計(jì)算機(jī)取證過程充滿了復(fù)雜性和多樣性，這使得相關(guān)技術(shù)也顯得復(fù)雜和多樣。依據(jù)計(jì)算機(jī)取證的過程，涉及到的相關(guān)技術(shù)大體如下：

　　(1)電子證據(jù)監(jiān)測(cè)技術(shù)電子數(shù)據(jù)的監(jiān)測(cè)技術(shù)就是要監(jiān)測(cè)各類系統(tǒng)設(shè)備以及存儲(chǔ)介質(zhì)中的電子數(shù)據(jù)，分析是否存在可作為證據(jù)的電子數(shù)據(jù)。

　　(2)物理證據(jù)獲取技術(shù)它是全部取證工作的基礎(chǔ)，在獲取物理證據(jù)時(shí)最重要的工作是保證所保存的原始證據(jù)不受任何破壞。

　　(3)電子證據(jù)收集技術(shù)電子數(shù)據(jù)收集技術(shù)是指遵照授權(quán)的方法，使用授權(quán)的軟硬件設(shè)備，將已收集的數(shù)據(jù)進(jìn)行保全，并對(duì)數(shù)據(jù)進(jìn)行一些預(yù)處理，然后完整安全的將數(shù)據(jù)從目標(biāo)機(jī)器轉(zhuǎn)移到取證設(shè)備上。

　　(4)電子證據(jù)保存技術(shù)在取證過程中，應(yīng)對(duì)電子證據(jù)及整套的取證機(jī)制進(jìn)行保護(hù)。只有這樣，才能保證電子證據(jù)的真實(shí)性、完整性和安全性。

　　(5)電子證據(jù)處理技術(shù)電子證據(jù)處理指對(duì)已收集的電子數(shù)據(jù)證據(jù)進(jìn)行過濾、模式匹配、隱藏?cái)?shù)據(jù)挖掘等的預(yù)處理工作。

　　(6)電子證據(jù)提交技術(shù)依據(jù)法律程序，以法庭可接受的證據(jù)形式提交電子證據(jù)及相應(yīng)的文檔說明。

　　綜上所述，計(jì)算機(jī)取證技術(shù)是由多種科技范疇組合而成的邊緣科學(xué)。

　　2、靜態(tài)計(jì)算機(jī)取證技術(shù)

　　2.1取證的基本原則

　　根據(jù)電子證據(jù)易破壞性的特點(diǎn)，確保電子證據(jù)可信、準(zhǔn)確、完整并符合相關(guān)的法律法規(guī)，計(jì)算機(jī)取證主要遵循以下幾點(diǎn)原則：

　　(1)盡早搜集電子證據(jù)，并保證其沒有受到任何破壞：

　　(2)必須確保“證據(jù)鏈”的完整性，即在證據(jù)被正式提交時(shí)，必須能夠說明在證據(jù)從最初的獲取狀態(tài)到在法庭上出現(xiàn)狀態(tài)之間的任何變化：

　　(3)整個(gè)檢查、取證過程必須是受到監(jiān)督的。

　　2.2取證的步驟

　　一般來(lái)說，為確保獲取有效的法律證據(jù)，并保證其安全性和可靠性，計(jì)算機(jī)取證一般應(yīng)包括保護(hù)目標(biāo)系統(tǒng)、電子證據(jù)確定、收集、保護(hù)、分析和歸檔等六個(gè)步驟。

　　(1)保護(hù)目標(biāo)計(jì)算機(jī)系統(tǒng)

　　是凍結(jié)計(jì)算機(jī)系統(tǒng)，避免發(fā)生任何的更改系統(tǒng)設(shè)置、硬件損壞、數(shù)據(jù)破壞或病毒感染的情況。

　　(2)電子證據(jù)的確定

　　對(duì)于計(jì)算機(jī)取證來(lái)說，需從存儲(chǔ)在大容量介質(zhì)的海量數(shù)據(jù)中區(qū)分哪些是電子證據(jù)，以便確定那些由犯罪者留下的活動(dòng)記錄作為主要的電子證據(jù)，并確定這些記錄存在哪里、是怎樣存儲(chǔ)的。

　　(3)電子證據(jù)的收集

　　取證人員在計(jì)算機(jī)犯罪現(xiàn)場(chǎng)收集電子證據(jù)的工作包括收集系統(tǒng)的硬件配置信息和網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，備份或打印系統(tǒng)原始數(shù)據(jù)，以及收集關(guān)鍵的證據(jù)數(shù)據(jù)到取證設(shè)備。

　　(4)電子證據(jù)的保護(hù)

　　采取有效措施保護(hù)電子證據(jù)的完整性和真實(shí)性，包括用適當(dāng)?shù)膬?chǔ)存介質(zhì)進(jìn)行原始備份：對(duì)存放在取證服務(wù)器上的電子證據(jù)采用加密、物理隔離、建立安全監(jiān)控系統(tǒng)實(shí)時(shí)監(jiān)控取證系統(tǒng)的運(yùn)行狀態(tài)等安全措施進(jìn)行保護(hù)。

　　(5)電子證據(jù)的分析

　　對(duì)電子證據(jù)分析是對(duì)文件屬性、文件的數(shù)字摘要和日志進(jìn)行分析：分析操作系統(tǒng)交換文件、文件碎片和未分配空間中的數(shù)據(jù)：對(duì)電子證據(jù)做一些智能相關(guān)性的分析，即發(fā)掘同一事件的不同證據(jù)問的聯(lián)系：完成電子證據(jù)的分析后給出專家證明。

　　(6)歸檔

　　對(duì)涉及計(jì)算機(jī)犯罪的日期和時(shí)間、硬盤分區(qū)情況、操作系統(tǒng)和版本、運(yùn)行取證時(shí)數(shù)據(jù)和操作系統(tǒng)的完整性、計(jì)算機(jī)病毒評(píng)估情況、文件種類、軟件許可證以及取證專家對(duì)電子證據(jù)的分析結(jié)果和評(píng)估報(bào)告等進(jìn)行歸檔處理，形成能提供給法庭的電子證據(jù)。

　　2.3取證的模型

　　靜態(tài)取證系統(tǒng)按操作過程分為兩個(gè)步驟：現(xiàn)場(chǎng)數(shù)據(jù)的分析和數(shù)據(jù)采集：進(jìn)行數(shù)據(jù)集中綜合分析。一種較好的方法是現(xiàn)場(chǎng)對(duì)目標(biāo)主機(jī)內(nèi)存的數(shù)據(jù)進(jìn)行分析，根據(jù)惡意代碼的特點(diǎn)，集中分析一個(gè)進(jìn)程空間的某一段數(shù)據(jù)，分析的結(jié)果以文檔或報(bào)表等形式提交。

　　3、動(dòng)態(tài)計(jì)算機(jī)取證技術(shù)

　　計(jì)算機(jī)動(dòng)態(tài)取證是將取證技術(shù)結(jié)合到防火墻、入侵檢測(cè)中，對(duì)所有可能的計(jì)算機(jī)犯罪行為進(jìn)行實(shí)時(shí)數(shù)據(jù)獲取和分析，智能分析入侵者的企圖，采取措施切斷鏈接或誘敵深入，在確保系統(tǒng)安全的情況下獲取最大量的證據(jù)，并將證據(jù)鑒定、保全、提交的過程。

　　3.1取證的基本原則

　　動(dòng)態(tài)計(jì)算機(jī)取證對(duì)時(shí)間上要求非常嚴(yán)格，一般而言，其證據(jù)的提取基本上與入侵檢測(cè)同時(shí)進(jìn)行，時(shí)間上相差很小。

　　3.2取證的步驟

　　動(dòng)態(tài)計(jì)算機(jī)取證是在進(jìn)行網(wǎng)絡(luò)入侵檢測(cè)的同時(shí)進(jìn)行證據(jù)的提取，所以其進(jìn)行取證的步驟為：

　　(1)證據(jù)的獲取

　　證據(jù)的提取是發(fā)生在入侵檢測(cè)的同時(shí)，一旦網(wǎng)絡(luò)入侵被檢測(cè)系統(tǒng)發(fā)現(xiàn)，立即啟動(dòng)取證系統(tǒng)進(jìn)行證據(jù)的提取工作。

　　(2)證據(jù)的轉(zhuǎn)移

　　這里的證據(jù)轉(zhuǎn)移是指將從入侵主機(jī)(目標(biāo)主機(jī))提取的證據(jù)安全轉(zhuǎn)移到證據(jù)服務(wù)器中的過程。

　　(3)證據(jù)的存檔

　　證據(jù)的存檔指的是證據(jù)在證據(jù)服務(wù)器中的保存。被提取的證據(jù)須以一定的格式保存在證據(jù)服務(wù)器中，證據(jù)服務(wù)器與局域網(wǎng)內(nèi)的主機(jī)是通過安全傳輸方式進(jìn)行連接的，而且僅響應(yīng)這些主機(jī)的請(qǐng)求。

　　(4)證據(jù)的調(diào)查分析

　　進(jìn)行司法調(diào)查時(shí)，從證據(jù)服務(wù)器中查看目標(biāo)主機(jī)上提取的相關(guān)證據(jù)，進(jìn)行有關(guān)調(diào)查分析。

　　(5)證據(jù)的呈供

　　動(dòng)態(tài)計(jì)算機(jī)取證技術(shù)中的證據(jù)呈供與其在靜態(tài)取證技術(shù)中的過程是基本一致的，也是將所有的調(diào)查結(jié)果與相應(yīng)的證據(jù)上報(bào)法庭，這一階段應(yīng)依據(jù)政策法規(guī)行事，對(duì)不同的機(jī)構(gòu)采取不同的方式。

　　3.3取證的模型

　　在動(dòng)態(tài)取證中，通過實(shí)時(shí)監(jiān)控攻擊發(fā)生，一方面可以進(jìn)行實(shí)時(shí)同步取證，對(duì)入侵做詳細(xì)記錄。另一方面激活響應(yīng)系統(tǒng)，根據(jù)不同的攻擊，采取不同的措施。這樣一方面使取證更具有實(shí)時(shí)性和連續(xù)性，其證據(jù)更具有法律效力;另一方面，利用響應(yīng)系統(tǒng)可以將系統(tǒng)的損失降為最小。

　　一般的網(wǎng)絡(luò)攻擊都要遵循同一種行為模式，即嗅探、入侵、破壞和掩蓋入侵足跡等幾個(gè)攻擊階段。對(duì)每一個(gè)不同的階段，網(wǎng)絡(luò)入侵取證可以采用不同的取證方法，并執(zhí)行不同的響應(yīng)措施。

　　4、結(jié)束語(yǔ)

　　傳統(tǒng)的取證工具大部分是靜態(tài)取證，即事件發(fā)生后對(duì)目標(biāo)系統(tǒng)的靜態(tài)取證。隨著計(jì)算機(jī)入侵攻擊技術(shù)的不斷發(fā)展，這種事后靜態(tài)取證的方法已經(jīng)不能滿足要求，需要對(duì)其進(jìn)行改進(jìn)，因此提出了動(dòng)態(tài)取證。

相關(guān)文章：

1.計(jì)算機(jī)犯罪及取征技術(shù)的研究論文

2.關(guān)于信息化網(wǎng)絡(luò)技術(shù)的論文

3.防火墻技術(shù)知識(shí)全解

4.2015年哪些專業(yè)考公務(wù)員優(yōu)勢(shì)明顯

5.淺談網(wǎng)絡(luò)犯罪與防范策略

6.如何防范U盤病毒(2)