计算机取证

计算机取证概述

一、背景

计算机和网络在社会、政治、经济、文化、军事等领域的应用越来越普遍，与计算机有关的犯罪也越来越多。要打击并遏制犯罪，执法机关必须依照法律的要求获取证据，特别是法庭依据合法的证据来对犯罪事实的认定。很多犯罪的证据与计算机技术相关，计算机取证就是为打击与计算机有关的犯罪提供证据的科学方法和手段。

计算机取证的目的就是要通过分析计算机和网络活动，从而获得与犯罪有关人员的行为。计算机在相关的犯罪案例中可以为被入侵的目标、作案的工具和犯罪信息的存储等角色。无论作为那种角色，在计算机中都会留下大量与犯罪有关的数据，进而依据有关科学与技术原理和方法找到证明某个事实的证据。

由于计算机技术应用的深入，计算机取证逐步发展为数字取证。

（一）数字取证的定义

数字取证是从计算机取证逐步发展而来。

Lee Ｇarber在IEEE Security发表的文章中认为，计算机取证就是分析硬盘、光盘、软盘、zip盘、Jazz盘、内存缓冲以及其他存储形式的存储介质以发现犯罪证据的过

程。

计算机取证资深专家Judd Robbins给出如下定义，计算机取证是将计算机调查和分析技术应用于对潜在的、有法律效力的证据的确定与获取。

计算机紧急事件响应组CERT和取证咨询公司NTI进一步扩展了该定义，计算机取证包括了对以磁介质编码信息方式存储的计算机证据的保护、确认、提取和归档。

SANS公司认为，计算机取证是使用软件和工具，按照一些预定的程序，全面地检查计算机系统，以提取和保护有关计算机犯罪的证据。

我国的陈龙等人认为，计算机取证是运用计算机及其相关科学和技术的原理和方法获取与计算机相关证据以证明某个客观事实的过程。它包括计算机证据的确定、收集、保护、分析、归档以及法庭出示。

（二）计算机司法鉴定的定义

司法鉴定是鉴定人运用科学技术或专门知识对涉及诉讼的专门性问题进行检验、鉴别和判断并提供鉴定结论的活动。司法鉴定是鉴定人向委托人提供鉴定结论的一种服务。计算机司法鉴定的检验、鉴别和判断等活动是计算机取证的一部分，而计算机取证的概念要丰富，除计算机司法鉴定的内容外，还要包括对犯罪现场的勘查，如证据的发现、提取、保存、运输等。

（三）数字证据

在司法活动中，证据是法官判定罪与非罪的依据。人类司法活动中，证明方法和手段经历了两次重大转变。第一次是从以“神证”为主的证明向以“人证”为主的证明转变。第二次是从以“人证”为主的证明向以“物证”或“科学证据”为主证明的转变。

在很长的历史时期，物证在司法活动中运用一直处于随机和分散发展的状态。直到18世纪以后，与物证有关的科学技术才逐渐形成体系和规模，物证在司法证明中的作用也越来越重要。随着科学技术的发展，各种以人身识别为核心的物证技术层出不穷，继笔记鉴定法、人体测量法和指纹鉴定法之后，足迹鉴定、牙痕鉴定、声纹鉴定、唇纹鉴定等技术不断地扩充司法证明的“武器库”。特别是，20世纪80年代以来的DNA遗传基因鉴定技术更带来司法证明方法的一次飞跃。计算机证据的出现也为司法证明方法带来新的进步。

计算机证据是指以计算机形式存在的、用作证据使用的一切材料及其派生物，或者说是借助计算机生成的一切证据。相关的术语有电子证据、网络证据、数字证据等。

计算机证据和电子证据的区别：两者有千丝万缕的联系，却不尽相同。有时候，计算机证据的外延要大于电子证据，因为以机械式计算机、光学计算机、生物计算机为基础的证据只能从“功能”上等同的角度临时到桌电子证据处理，

显然不是典型的计算机证据。有时候，电子证据在外延上也可能大于计算机证据，如固定电话机是基于模拟电子技术而制成的通信工具，它所录制的电话资料就属于电子证据而不属于计算机证据。

国外在计算机取证的基础上提出了数字取证，相应地也有数字证据，这一术语也得到比较普遍的人可。

一般来讲，以计算机科学为背景的人多使用计算机证据或数字证据，而法律界多使用电子证据。虽然计算机证据、电子证据在概念和外延上有一定的差异，但一般而言可以不严格区分。因此，在本文中计算机证据、数字证据和电子证据不加区分。

任何材料要成为证据，均需具备三个特性：客观性、关联性、合法性。因此，计算机证据与传统证据一样，必须是可信的、准确地、完整的，使法官信服，符合法律规定，为法庭所认可。

计算机证据与传统证据相比的新特性有：

1．计算机证据同时具有较高的精密性和脆弱易逝性。一方面计算机证据以技术为依托，很少受主观因素的影响，能够避免其他证据的一些弊端，如证言的误传，书证的误记等。另一方面计算机信息是二进制表示的，以数字信号的方式存在，而数字信号是非连续的，故意或因为差错对计算机进行的变更、删除、剪接、监听等，从技术上讲很难查清。

2．计算机证据具有较强的隐蔽性。计算机证据在计算机系统中可存在的范围很广，使证据很容易被隐藏。同时，计算机证据以二进制形式编码，无法直接阅读。一切信息都由编码表示并传递、存储，使计算机证据与特定主体之间的关联使用常规手段难以确定。因此，计算机证据使用肉眼无法直接解读，必须借助适当的工具。

3．计算机证据具有多媒体性。计算机证据的形式是多样的，它综合了文本、图形、图像、动画、音频、视频等多媒体信息，几乎涵盖了几乎所有的传统证据类型。

二、计算机取证的历史

计算机取证科学主要是在执法机关的实践需求中应用而生的，1984年，美国FBI实验室就开始研究计算机取证，为有组织有计划地解决对刑侦人员不断增长的需求，成立了计算机分析响应组CART（THE COMPUTER ANALYSIS AND REPOSE TEAM）。20世纪90年代，美国联邦犯罪调查实验室的主任每年在华盛顿举行2次研讨，创建了目前数字取证领域享有盛誉的“数字取证科学组”（SWGDE）。

计算机取证发展中影响较大的事件有：

1984年，美国FBI建立的计算机分析与响应组CART。

1993年，举办第一届计算机取证国际会议，First International Conference on Computer Evidence held。

1995年，建立计算机证据的国际组织IOCE，International Organization on Computer Evidence。

1997年，八国集团在莫斯科宣布：司法部的职员应得到新的培训、新装备以应对高技术犯罪。

1998年，八国集团指定IOCE组织处理数字证据的国际准则。

2000年，美国FBI建立正式的区域性计算机取证实验室。

在我国，2001年将计算机取证技术概念引入国内，从入侵取证、反黑客开始，逐步形成。

三、计算机取证是交叉科学

计算机取证涉及计算机科学、法学、刑事侦查学等。

（一）计算机取证的目标

计算机取证的目标随所调查案件的目标相关联。

计算机取证要解决的问题是：试图找出是谁（WHO），在什么时间（When），在哪里（Where），怎样地（How）进行了什么（What）活动。

（二）计算机取证的主体

计算机取证不仅仅可应用于刑事犯罪侦查、鉴定之中，也可用于民事案件的调查、鉴定，也可应用于信息安全事件的调查，虽然计算机取证应用的领域不同，但计算机取证的技术从本质上讲是一致的。因此，与计算机取证技术相关的人员不只是警察、检察官、法官、律师、司法鉴定人、专家

证人等，也包括研究人员、信息安全人员等。

（三）计算机证据的来源。主要为存储介质和网络数据流。

（四）计算机取证的原则

基本原则：合法性、及时性、准确性。

证据必须保证“证据的连续性”，即在证据被正式提交法庭时，必须能够说明证据从最初获取状态到法庭上出示状态之间的任何变化，最好是没有变化。Chain of custody，证据链。

取证过程必须受到监督，如原告委派的专家所做的所有调查取证过程最好受到其他方委派专家的监督。

含有计算机证据的媒体至少做两个副本，原始媒体应存放在专门的房间由专人保管，副本可用于计算机取证人员进行证据的提取和分析。

计算机证据应妥善保存，以备随时重组、试验或展示。

含计算机证据的媒体的移交、保管、开封、拆卸的过程必须由侦查人员和保管人员共同完成，每个环节都必须检查真实性和完整性，并拍照和制作详细的笔录，由行为人共同签名。

（五）计算机取证的工作内容

（六）计算机取证技术

数据获取技术

数据分析技术

计算机犯罪分析，犯罪一般涉及四个方面：一是犯罪的主体分析。对犯罪主体进行认定，通过分析重构犯罪嫌疑人的特征，通常称为犯罪嫌疑人画像（Criminal Profiling）。如通过分析描绘嫌疑人的技术水平、爱好，推测其年龄等特征。二是犯罪的客体分析。对犯罪的客体进行认定，如对于通过大规模传播恶意代码来入侵的案件，通常要对攻击的范围、规模进行认定，以认定攻击造成的破坏程度，受害者遭受的损失。三是犯罪的主观方面。认定嫌疑人的犯罪行为是故意还是过失，具有何种犯罪动机等。如国外有学者研究相关技术，来认定嫌疑人主机上的色情照片是故意下载的，还是不慎下载的，以帮助是否构成犯罪。四是犯罪的客观方面。通过分析认定什么人在什么事件中实施了什么行为。如认定某个特定的嫌疑人在特定的事件中对特定的目标实施了网络攻击。

数据解密技术

证据保管、证据完整性技术

反取证技术

四、计算机取证的模型、过程

提出计算机取证模型的目的是指导计算机取证更加规范，应具有一定的实践指导意义。

（一）法律执行过程模型Law Enforcement Process

是美国司法部“电子犯罪现场调查指南”中提出，基于标准的物理犯罪（Physical Crime）现场调查过程模型，分为以下五个阶段：

1．准备阶段（Preparation）。在调查之前，准备好所需设备和工具。

2．收集阶段（Collection）。搜索和定位计算机证据；保护和评估现场：保护现场人员的安全，以及保证证据的完整性，识别潜在的证据；对现场记录、归档：记录现场的计算机等物证；证据提取：提取计算机系统中的证据或对计算机系统全部拷贝。

3．检验（Examination）。对可能存在的证据进行校验和分析。

4．分析（Analysis）。对检验分析的结果进行复审和再分析，提取对案件有价值的信息。

5．报告（reporting）。对分析检验结果汇总、提交、证据出示。

（二）过程抽象模型，An Abstract Process Model

美国空军研究院对计算机取证的基本方法和理论进行研究后，提出的模型。

1．识别（Identification）：侦测安全事件或犯罪。

2．准备（Preparation）：准备工具、技术及所需的许

3．策略制定（Approach Strategy）：制定策略来最大限度地收集证据和减少对受害者的影响。

4．保存（Preservation）：隔离并保护物理和数字证据。

5．收集（Collection）：记录物理犯罪现场并复制数字证据。

6．检验（Examination）：查找犯罪相关证据。

7．分析（Analysis）：对检验结果进行在分析，给出分析结果。并重复检验过程，直到分析结果有充分的证据及理论的支持。

8．提交（Presentation）：总结并对结论及所用理论提供合理的解释。

（三）计算机取证新模型

第19次计算机安全技术交流会上提出计算机取证的层次模型，将计算机取证分为证据发现层、证据固定层、证据提取层、证据分析层和证据表达层等五个层次。

多维计算机取证模型MDFM（Multi Dimension Forensics Model）,增加了时间约束和对计算机取证过程的监督，较好地解决了取证策略随犯罪手段更新变化的问题和所提交的证据的可靠性、关联性和合法性的问题。

五、计算机取证基础

（一）存储介质。

1．存储介质基础：硬盘、磁盘阵列、网络存储系统、2．文件系统：微软的文件系统、Linux的文件系统、光盘文件系统、其他文件系统。

3．数据加密。

4．数据隐藏。

5．数据恢复。

6．入侵技术。

六、计算机取证的法学问题

（一）法律依据

（二）电子数据和计算机证据

1．电子数据

是指以电子形式存储、处理、传输、表达的信息及其派生物。

电子证据是指具有侦查作用或证据价值的电子数据。我国司法实践中广泛地使用电子证据这一概念，其涵盖的范畴包括任何以电子形式存储、处理、传输的证据。

电子数据的特性：

（1）电子性。电子数据的物质载体是电子元件和磁性材料等。所有的操作、改变数据或程序从物理上表示，只是集成电路的电子矩阵正负电平或磁性材料磁体发生了变化。获取这些行为的证据需要特殊的手段，这与其他证据的获取是完全不同的。

（2）技术性。电子证据的产生、存储和传输及其采集、分析和判断都必须借助计算机科学中的计算机技术、存储技术、网络通信技术等。

（3）脆弱性。由于电子数据容易被修改，并且修改后可以达到不留痕迹，这使电子数据具有脆弱、不可靠的特性。

（4）多态性。电子证据的表现形式是多种多样的，即不同形态的输出材料的证明力都来源于同一计算机存储的信息本身。虽然不同的证据表现形式并不能说明其在审察判断上有根本区别，但是不同形态的证据材料的审查规则是不同的。

（5）交互性。电子证据形成过程中，不同环节上有不同的计算机操作人员的参与，他们在不同程度上都可能影响计算机系统的运行，这种影响的层次和程度与这些人员的工作性质有关。即计算机管理员、网络管理员、程序员、系统分析人员以及一般计算机操作人员对电子数据的影响是不同的。因此，可能出现的问题存在于人、机两个方面。为此，在获取电子证据时应注意区分人和机器两个方面。

（6）复合性。指当证据以某种形式表现时，往往就具有了这种表现形式的证据特性。电子证据的表现形式是多种多样的，可以打印在纸上，可以是显示器上的文字、图形、视频，可以是声音设备输出的声音。所以在诉讼活动中，采纳某一证据形式时，应既考虑证据生成过程的可靠程度，又

要考虑证据的表现形式是否被伪造、编造、被剪辑、删改过。

电子证据鉴定是指在法令规范下，利用科学验证的方式来调查电子证据，针对电子证据的还原、获取、分析的过程，将与案件有关的证据完整的记录，以利于案件的侦查及作为法庭起诉的依据。

2．电子数据的证据效力和法律地位

在实际案件中，电子数据一般需要经过鉴定才能成为诉讼的直接证据。如在办理涉及电子数据的案件时，需要对电子数据进行检验分析，找出电子数据与案件事实的客观联系，从而确定电子数据的真实性和可信性。

电子数据的认定和采信。电子数据的采信涉及到何种证据能够进入诉讼程序或其他证明活动的问题。法学界认为，电子数据必须经过关联性、合法性和真实性的检验，才能作为定案的根据。

为保证电子数据的证据能力，首先将电子数据转化为法定证据形式。实际应用中，通常将电子数据转换为书证、鉴定结论、勘验报告和视听材料。在转换过程中应遵循以下原则。

（1）需要认定信息的存在性时应当以勘验报告的形式提供数字化证据。如存储介质中存有淫秽电影，可通过现场勘验、检查生成勘验报告。在勘验报告中，指明通过勘验证实该存储介质中存储有多少数量的电影。简而言之，勘验报

告在取证过程中发挥的作用主要是证实嫌疑人的计算机中存有何种内容。

（2）通过分析才能形成结论时应当以鉴定结论的形式提供数字化证据。如需要通过证据分析证明系统入侵案的攻击者是谁，或需要通过证据分析证明嫌疑人编辑过某个文档，或需要通过跟踪分析证实某个木马的功能或来源，这些需要通过分析才能够得到结论，一般要以鉴定结论的形式提供数字化证据，此时，电子数据本身可以作为鉴定结论的附件形式提交。

（3）需要展示电子数据表达的内容时应当将这些内容转换位书证和视听材料。如需要展示电子文档中的内容时可以将内容打印出来，由证人或嫌疑人在这些内容上签字形成书证材料。又如以电子文件形式存储的视听材料也应当直接以视听材料的形式提供作为证据。又如用户在网站上登陆的日志也可以转换为书证。

电子数据的合法性。要求证据提取、形成过程遵循规定的程序。取证人员在实际工作中，应依照规则实施调查取证，以保证数字化证据的合法性，确保电子数据的合法性应从以下几个方面保证：

（1）电子证据的原始性。原始性的证明可通过自认方式、证人具结方式、推定方式、鉴定方式。

（2）电子数据的完整性。一是电子数据本身的完整性，

二是电子数据所依赖的计算机系统的完整性。电子数据完整性指在现场采集获得的数据没有被篡改，可通过对数据计算完整性校验或对原始证物封存加以保证。

（3）技术手段的科学性。在实施电子数据勘验、检查时使用的软硬件以及相应得勘验、检查流程符合科学原理。这就要求取证时使用的软硬件应当经过科学方法的检测，也要求勘验、检查流程能够经得起现实的考验。

（4）勘验、检查人员操作的可再现特性。为保证数字化证据的真实性和完整性，要求勘验、检查人员对数字化证据实施的操作应当是可再现的，也就是应当对勘验、检查人员对数字化证据的提取、处理、存储、运输过程有详细的审计记录。

电子数据的证明力。证明力就是要保证证据与待证事实之间的关联性。也就是，证据与结论之间是否符合逻辑。

（1）证据分析原理的科学性和逻辑性。即对电子数据事实分析所依赖的软硬件、技术原理符合科学原理，能够经受事实的考验。同时，也要求从证据到结论这一过程符合逻辑，“任何科学都是应用逻辑”，是否符合形式逻辑的一般准则，是推断证据运用是否科学的重要依据。

（2）分析过程可再现。根据相同的分析原理，在相同的数字化证据集合上进行分析，不管任何人只要遵循相同的分析规则都能够得到相同的结论。在实际操作中，一方面要

求取证人员对直接分析过程提供详细的审计记录，另一方面要求任何其他人根据其提供的审计记录实施相同的操作能够得到相同的分析结论。

总之，科学的证据必须尊重事物之间的内在联系，强调对事物本质特征的认识与发掘，强调对客观规律的解释与说明。强调证据的科学立场，首先应当重视证据的试验性。能够通过试验来检验证据，检验的结果是否具有稳定不变的特性，是科学证据的首要原则，因此，要求电子数据分析过程的可再现特性本事也是分析原理科学性的一个必然要求。

3．Casey确定性级别

4．数字时间的不确定性

时间因素是取证分析、案件审理过程中判定事件、犯罪行为发生情况的重要依据。通常的做法是根据证据的事件建立事件时间表，将证据按照其在时间上的先后顺序排列，由此分析出证据之间的关系，从而做出正确的判断。同时，在涉及计算机犯罪的案件中，不仅需要发掘物理证据之间的联系，而且需要将计算机证据同物理证据联系起来。

时间是计算机证据的重要组成部分，计算机所做的每项工作都会有相关时间的记录，但是这个时间通常是不准确的。导致证据时间不准确的因素很多，系统时间的偏移（计算机系统本身时钟系统具有不稳定性）、计算机所处时区的不同、人为错误、计算机病毒等都会影响计算机证据时间的

准确性。多数情况下，细微的时间误差不会影响最终的判决结果，但是当我们需要根据证据的准确时间建立证据的时间链时，时间误差就会影响到时间链的建立，从而影响到最终的审判结果，因此，分析判断时间的准确程度非常重要。

Casey在一篇论文中，统计了300多台计算机时间，得出某一时刻计算机系统时间与本地标准时间的时间差服从正态分布的结论，这一结论使人们对时间的可信度感到悲观（也就是说要保证95%的可信性，只能说偏差在10多个小时内）。

（三）计算机取证的主体

我国刑事诉讼法第四十三条规定：“审判人员、检察人员、侦查人员必须依照法定程序，收集能够证实犯罪嫌疑人、被告人有罪或者无罪、犯罪情节轻重的各种证据。”按照我国法律，只有审判人员、检察人员、侦查人员有取证的权利。但是，由于与传统证据相比，电子证据具有高科技的特征，需要较高的专业技术知识和技能，因此，在司法实践中，电子证据的取证，司法人员往往需要电子技术专家（如学者、教授等）的协助或参与，如制定电子证据提取得计划、步骤，协助搜查、扣押计算机软件和硬件，协助保管电子证据等，但专家参与取证与我国现有法律相悖，容易出现取证的不合法性。目前，在我国司法机关电子证据取证能力不强的情况下，默认了依靠社会力量调查收集的证据。

可参考欧美的一些做法，设立专门的计算机取证实验室。

（四）计算机取证原则

1．关联性原则。分析计算机数据与案件事实有无关联，关联程度如何，是否实质性关联，其中附属信息与系统环境往往要相互结合，才能与案件事实发生实质性关联。

2．合法性原则。违法法定程序取得的证据应予排除。

3．客观性原则。在诉讼活动中，采纳某一证据时，应当考虑该证据生成过程的可靠性程度，证据是否被伪造、变造或剪辑、修改过，还要考虑证据与持有人的关系。

（五）计算机取证手段

主要与现场勘查、搜查与扣押。涉及计算机的犯罪涉及现实空间和虚拟空间，现实空间主要指犯罪嫌疑人利用计算机进行犯罪活动的场所，如机房、网吧等。虚拟空间主要指犯罪嫌疑人进行犯罪活动的网络空间，无法直接为人的感官所感知。

在现实空间中，取证人员运用传统证据的取证手段进行取证。

在虚拟空间中，考虑到犯罪活动的隐蔽性、广域性、快速性及证据的易修改性等因素，很多情况下采取秘密侦查的手段收集电子证据，如电子邮件检查、网络监控、电子跟踪、卫星定位等，这对收集到有效证据，侦破案件是否有利。但

这对公民的个人隐私权带来挑战。在实际司法实践中，需要经过证据转化。

（六）计算机取证与计算机司法鉴定

电子数据鉴定是基于科学原理，运用经过科学实践检验的方法，发现、收集、固定、提取、分析、解释、证实、记录和描述电子设备中存储的电子数据，以发现案件线索，认定案件事实的科学。其内涵包括以下几个方面：

1．电子数据鉴定是一门科学。2001年,数字化取证研究工作组（Digital Forensic Research WorkShop,DFRW）开始了计算机证据学的研究，将电子证据作为一门科学进行研究，而不是“工具式”研究。

2．电子数据鉴定必须依托科学原理和经过科学实践检验方法。这要求我们使用的工具、分析原理是科学的、经过实践检验的。

3．电子数据鉴定包括发现、收集、固定、提取、分析、解释、证实、记录和描述电子设备中存储的电子数据等多个步骤，构成技术体系。

4．电子数据鉴定的目的是发现案件线索、认定案件事实。发现案件线索是指通过分析电子数据，发现有助于确定和拓展侦查方向的数据。认定案件事实指通过电子数据分析，出具案件主体、客体、主观方面、客观方面的分析结论。

鉴定的目的是认定案件事实和重构犯罪。

（七）电子数据鉴定的业务类型。

1．认定信息的存在性。也就是指在特定的存储介质上存有特定的信息，如对有害信息案件，通常需要对存储介质进行分析，认定其中存有某信息。

2．认定信息的量。如制作传播淫秽物品案件，通常需要对存储介质进行分析，认定其中淫秽信息的数量。

3．认定信息的同一性和相似性。通过信息的比对、统计分析，认定两个信息具有同一性或相似性。如在传播电子物品导致侵犯知识产权案件中，需要对有关的电子信息进行比对分析。

4．认定信息的来源。通过分析信息的生成方法、传播渠道、时间信息等来认定信息的最初源头。如认定网上某个帖子是否为某个特定的嫌疑人张贴，认定某个图片是否由某台数码相机拍摄。又如认定某个源代码和计算机程序的作者。

5．认定程序的功能。通过对程序进行静态分析和动态分析，认定程序具有特定的功能。如对恶意代码和木马进行分析，认定其具有盗窃信息、远程控制功能。又如对病毒代码进行分析，认定具有自我复制功能。又如对在电子设备或软件中植入逻辑炸弹案件，需要通过分析认定该程序满足特定的条件下具备特定的破坏功能。

6．认定程序的同一性和相似性。如对于假设游戏是否

Encase,FTK几种计算机取证工具的比较

數位鑑識工具之比較 --以Encase 5.0、FTK 1.6及Helix 1.8工具鑑識職業駭客專門替人植入木馬破解密碼入侵案件為例 林宜隆1、歐啟銘2 1中央警察大學資訊管理學系 教授 2中央警察大學資訊管理學系 研究生 摘 要 網際網路的迅速發展之下，為我們帶來了許多便利，許多生活上所需要的東西都可以從網路上取得，例如：網路購物、網路轉帳等…但隨著這些便利的網路應用，也使得一些人利用這些便利做一些非法的應用。 許多案例是員工監守自盜，將客戶的個人資料賣給詐騙集團，也有些因為公司或機關保護客戶個人資料不夠周全，讓駭客透過網路或是其他方式，竊取客戶個人資料。 被駭客入侵後，如何取得駭客再受害者電腦做了什麼事，以及駭客從何而來，並且將這些證據可以作為法庭上證據，證明自己被攻擊，以及透過這些證據抓到攻擊者，也是非常重要的。 本研究採用國內、外執法機關使用的Encas e、FTK及Helix，作為研究的主要鑑識工具，並比較相關數位鑑識工具，使用框架理論分析真實案例，透過案例驗證數位證據處理原則及工具的完整性、一致性、正確性。 關鍵詞：網路犯罪、數位鑑識、駭客入侵

A comparative study on cyber Forensic tools - with Encase 5.0, FTK1.6 and Helix 1.8 tool Forensic professional hacker plant for people into trojan horse and explain password invade the case for the example Lin I-Long 1、Ou Chi Ming2* 1，2 Department of Information Management Center Police University ABSTRACT The constant development of the computers and the internet has resulted in more and more real life uses and applications. Examples are embanks, network auctions, web-cams and the internet phone. However, many internet crimes and problems also spawned along the side. One of the most common cases are the employees themselves embezzle its own company's personal information and to sell them to a fraud organization. In other cases, some companies or an organization simply doesn’t have the technical capability to protect their client's information away from the hackers. It is crucial to keep detailed information on the possible origin of the hacker and the specific damages the hacker had caused. These will become extremely vital evidences on the court. They may also be used to help arrest the attacker. The research use the cyber forensic tools which the most bureau of investigation use. We focus on the cyber forensic tools Encas e、FT K、Helix and compare them . We identify the completeness, integrity and correctness of tools and procedure by case. Keywords：cybercrime、cyber forensic、Trojan Horse

计算机取证技术实验报告

中南大学 计算机取证技术 实验报告 学生姓名 学院信息科学与工程学院 专业班级 完成时间

目录 1. 实验一事发现场收集易失性数据 (3) 1.1 实验目的 (3) 1.2 实验环境和设备 (3) 1.3 实验内容和步骤 (3) 2. 实验二磁盘数据映像备份 (8) 2.1 实验目的 (8) 2.2 实验环境和设备 (8) 2.3 实验内容和步骤 (9) 3. 实验三恢复已被删除的数据 (16) 3.1 实验目的 (16) 3.2 实验环境和设备 (16) 3.3 实验内容和步骤 (16) 4. 实验四进行网络监视和流量分析 (20) 4.1 实验目的 (20) 4.2 实验环境和设备 (20) 4.3 实验内容和步骤 (20) 5. 实验五分析Windows系统中隐藏的文件和Cache信息 (23) 5.1 实验目的 (23) 5.2 实验环境和设备 (24) 5.3 实验内容和步骤 (24) 6. 实验七数据解密 (28) 6.1 实验目的 (28) 6.2 实验环境和设备 (29) 6.3 实验内容和步骤 (29) 7.实验总结 (32)

计算机取证技术 1.实验一事发现场收集易失性数据 1.1 实验目的 1.会创建应急工具箱，并生成工具箱校验和； 2.能对突发事件进行初步调查，做出适当的响应； 3.能在最低限度地改变系统状态的情况下收集易失性数据。 1.2 实验环境和设备 1.Windows XP 或 Windows 2000 Professional 操作系统； 2.网络运行良好； 3.一张可用的软盘（或U盘）和PsTools工具包。 1.3 实验内容和步骤 1.创建应急工作盘，用命令md5sum创建工具盘上所有命令的校验和，生成文本文件commandsums.txt：

计算机取证简答题综合题

三、简答题 1.在计算机取证的过程中，不管发生了什么紧急情况，调查者都必须遵循的原则是什么答：①不要改变原始记录 ②不要在作为证据的计算机上执行无关的程序 ③不要给犯罪者销毁证据的机会 ④详细记录所有的取证活动 ⑤妥善保存取得的物证 2.当Windows系统受到入侵攻击，而需要对系统进行取证分析的操作会引起易失性数据。主要的易失性数据包括哪些 答：①系统日期和时间②当前运行的活动进程 ③当前的网络连接④当前打开的端口 ⑤当前打开的套接字上的应用程序⑥当前登录用户 系统中初始响应指的是什么现场数据收集的主要步骤包括哪些 答：1.初始响应指的是收集受害者机器上的易失性数据， 并据此进行取证分析的过程 2.现场数据收集包括一下3步： ①打开一个可信的命令解释程序 ②数据收集的准备工作 ③开始收集易失性数据 4.描述你知道的证据获取技术包括哪些 答：①对计算机系统和文件的安全获取技术； ②避免对原始介质进行任何破坏和干扰； ③对数据和软件的安全搜集技术； ④对磁盘或其它存储介质的安全无损伤备份技术； ⑤对已删除文件的恢复、重建技术； ⑥对磁盘空间、未分配空间和自由空间中包含的信息的发掘技术； ⑦对交换文件、缓存文件、临时文件中包含的信息的复原技术； ⑧计算机在某一特定时刻活动内存中的数据的搜集技术； ⑨网络流动数据的获取技术等 5.基本过程模型有哪些步骤 答：①保证安全并进行隔离； ②对现场信息进行记录； ③全面查找证据； ④对证据进行提取和打包； ⑤维护证据监督链 6. 电子证据与传统证据的区别有哪些 答：①计算机数据无时无刻不在改变； ②计算机数据不是肉眼直接可见的，必须借助适当的工具； ③搜集计算机数据的过程，可能会对原始数据造成很严重的修改， 因为打开文件、打印文件等一般都不是原子操作； ④电子证据问题是由于技术发展引起的， 因为计算机和电信技术的发展非常迅猛， 所以取证步骤和程序也必须不断调整以适应技术的进步。

计算机取证关键技术分析

计算机取证关键技术分析 金波，陶明明 公安部第三研究所上海200035 上海金诺网络安全技术发展股份有限公司上海 200122 摘要： 电子证据是一种新的证据类型，为提高电子证据的证据力，本文分析了电子取证的取证程序与取证的关键技术，提出了取证的一般性原则、数据采集方法、取证的设备和装置要求。 关键词： 计算机取证, 电子证据, Analysis for Key Technology of Computer Forensic Jin Bo, Tao Mingming The Third Research Institute of Ministry of Public Security, 200035 Shanghai Kingnet Security Inc., 200122 Shanghai Abstract:. Electronic evidence is a sort of new style evidence. To improve the probative value of electronic evidence, the paper analysis computer forensic process and key technology, provided the rule of computer forensic, data acquire method and the requirement of forensic device. Keywords: Computer Forensic, Electronic Evidence

1概述 随着计算机和互联网络技术的迅速发展，电子商务、网络教育、各类网络服务和电子政务在经济社会的人际交往、经营活动中被大量应用。随之，各类经济纠纷、民事纠纷和刑事案件也会时有出现。判定或处置各类纠纷和刑事案件过程中，电子文挡已经成为重要证据之一。 许多计算机化的产品中都会存有电子证据，例如：移动电话、PDA、路由器等，也有许多形式的存储介质，包括：硬盘、光盘、U盘等。另外，网线、电缆甚至空气也能携带数字信息，通过适当的设备，就能将这些数字信息提取出来，以备使用。本文以计算机证据的重要载体—硬盘为例，研究分析计算机取证中的关键技术要求，包括：取证的一般性原则、数据采集方法、取证的设备和装置要求。 2取证程序 电子证据处理总共分3个阶段：证据获取、证据分析和证据表现[1]。 证据获取阶段的工作是固定证据。电子证据容易修改，一旦决定需要获取电子证据，应该首先进行证据固定，防止有用证据的丢失。在本阶段要求将电子证据的状态固定起来，使之在后续的分析、陈述过程中不会改变。并能够在法庭展示证据固定的有效性，比如展示原始证据和固定后证据的Hash校验值。 证据分析阶段的工作是分析证据与案件的关联性。电子证据包含的数据量往往很大，而且数据类型往往杂乱无章，收集的所有证据需要进行提取、整理和筛选后才能被使用。在本阶段要求能够对证据进行全面分析，并在全面分析的基础上能够进行数据挖掘和整合，使之清晰呈现案情相关信息。 证据表现阶段要就电子证据与案件的关联性进行陈述。在此阶段要求能够证实电子证据取得的途径、分析过程，并合理引用电子证据分析结果对案情进行陈述。 3证据获取 当采集电子证据时，应将注意力放在计算机内容而不是硬件上。当从计算机中采集数据时有两种选择，一种是采集所需要的数据，另一种是采集所有的数据。采集所需要的数据有遗失线索和损害证据的风险，因此一般情况下，取证人员将从涉案的计算机硬盘中完整采集

计算机取证中的数据恢复技术综述

计算机取证中的数据恢复技术综述 摘要 传统数据恢复已经有很多成熟的技术，通过分析计算机取证中数据恢复技术与传统数据恢复的关系，我们证明了在计算机取证中应用数据恢复技术的可行性，实践也证明了其有效性和重要性。本文主要在介绍和分析磁盘在FAT32和NTFS两种不同文件系统的分区结构的前提下，在综述了各种计算机取证中基于FAT32和基于NTFS的数据恢复技术和原理、基于闪存的数据恢复技术、基于新型存储设备SSD固态盘的数据恢复技术。然后讨论了未来计算机取证中数据恢复技术的发展趋势和挑战，即文件碎片的重组和恢复和基于SSD的数据恢复。相比传统数据恢复，计算机取证中的数据恢复有其自己的特点和要求，最后本文从法律角度，总结了数据恢复技术在计算机取证中应用时所需要遵循的原则和流程规范。 关键字：计算机取证、数据恢复 Abstract Traditional data recovery has a lot of mature technologies, According to analysis the relationship between data recovery in computer forensics and traditional data recovery, feasibility of applying data recovery techniques to computer forensics has been proved,much practice also has proved its effectiveness and importance. This paper describes and analyzes the different disk partition structure respectively in the FAT32 and NTFS file systems, then reviews a variety of data recovery techniques and principles respectively based on FAT32 and NTFS, flash-based data recovery techniques, SSD-based data recovery techniques in computer forensics. Next we discuss the trends and challenges of data recovery technology in computer forensics in the future, namely restructuring and recovery of file fragmentation and SSD-based data recovery. Compared to traditional data recovery, data recovery in computer forensics has own characteristics and requirements, and finally from a legal point of view, this paper summed up the principles and process specifications that need to be followed when data recovery techniques are applied to computer forensics . Keywords: computer forensics, data recovery

国内外计算机取证设备对比与分析

国内外计算机取证设备对比与分析 作者简介: 王玉福(1974 年), 男, 山东省平度市人, 大学本科, 主要研究领域为计算机取证软硬件设备; 摘要: 对电子证据的获取、分析和发现是打击各种犯罪行为的一种全新手段。随着国内涉及计算机取证的案件不断增多，法律部门越来越需要精确、高速、多功能、智能化、适应于不同场合的专业计算机取证设备来武装自己。多年来，国外科研机构、院校、军警部门一直在努力加强计算机取证技术的研究，研制开发了各种各样的软硬件产品；国内科研机构也注意加强年来也出现一些专业的计算机取证产品。如何充分地利用这些已有的计算机取证工具，提高国内法律部门的计算机取证水平，有效地打击犯罪行为具有重要的意义。本文通过对比国内外各种计算机取证工具的特点，分析发现不同取证工具的使用优势，便于同行对不同取证设备的认识。 关键词: * 计算机取证; 设备评测* 硬盘作为计算机最主要的信息存储介质，是计算机取证的重要获取内容，也是目前各种计算机取证工具的主要方向。目前国内外市场上，用于硬盘拷贝、数据获取的专业产品较多：有为司法需要而特殊设计的MD5 、SF-5000 、SOLO II 硬盘拷贝机，有适合IT 业硬盘复制需要的SONIX 、Magic JumBO DD-212 、Solitair Turbo 、Echo 硬盘拷贝机；有以软件方式实现硬盘数据全面获取的取证分析软件，如FTK 、Encase 、Paraben's Forensic Replicator ；有综合软件获取和硬拷贝方式的取证勘察箱，如Image MASSter Road MASSter 、“天宇”移动介质取证箱、“网警”计算机犯罪取证勘察箱；此外，还有通过USB 接口、1394 接口、PCMCIA 、并口等方式的硬盘获取设备及附件，如LinkMasster II 、CloneCard 、USB WriteProtect 、Desktop WriteProtect 、“天宇”全能拷贝王等等。 在上述众多的计算机取证产品中，每一种产品都有其自身的特点和可利用的优势。计算机取证人员可以根据不同的工作需要和工作环境选用不同的取证工具。而为了实现最佳的取证效果，应当充分挖掘各种产品的功能，合理组合各种取证工具，形成一套设备精简、功能强大的专业计算机取证勘查工具集合。本文就目前部分国内外计算机硬盘取证专业设备的性能特点进行介绍。 ?手持式硬盘取证设备 手持式硬盘取证设备的主要特点是体积小、重量轻，便于携带和使用。在各种取证设备中，手持式硬盘取证设备拷贝速度最快，最高可达3.3GB/ 分钟。多数手持式拷贝机以硬盘直接拷贝为主要方法，要将疑犯计算机的硬盘取出，直接与拷贝机连接，实现对硬盘数据的全面复制。考虑到不同环境下的不同取证需要，新型拷贝机除硬盘直接拷贝方式外，还增加了USB 接口拷贝方式、SATA 硬盘拷贝、PCMCIA 接口拷贝，增强了拷贝机的功能和使用灵活性，促进了计算机取证技术的发展。正因为具有便于携带和拷贝功能强的特点，手持式拷贝机成为司法取证的首选设备。 国际市场上手持式硬盘拷贝机大致可分为两代产品。以SF-5000 、SOLO II 、SolitareTurbo 为代表的第一代拷贝机，拷贝速度最高可达 1.8GB/ 分钟。以Forensic MD5 、Sonix 、

计算机取证分析

摘要 信息技术的不断发展给人们的生活带来了巨大的改变，网络已经越来越渗透到人们的现实生活与 工作当中。然而，网络在为人民生活和工作带来便利的同时，也引发了无数网络犯罪。 计算机静态取证便是针对网络犯罪而出现的一种电子取证技术，而随着网络犯罪形式和手段的千变万化，计算机静态取证已不能满足打击网络犯罪的需求， 为适应信息化发展的要求，建立安全网络环境和严厉打击网络犯罪行为势在必行，本论文针对计算机动态取证技术进行分析，主要浅谈电子动态取证采集系统的实现、网络证据收集和网络数据分析 等几个方面。通过对计算机取证基本概念、特点和技术的基础研究，对计算机动态取证进行分析。关键词：电子取证动态取证动态电子证据采集网络数据协议 目录

一、概述 （一）、研究背景 目前，人类社会已经迈入了网络时代，计算机与互联网已经与老百姓的日常工作、学习与工作息息相关，社会信息化对政治、经济、文化和科技等各项社会生活产生了深远的影响。然而，网络技术给人类社会带来有利影响的同时，也带来了负面的影响。 在国外，1988年11月美国国防部的军用九三级网络遭受莫里斯病毒袭击，致使美国Internet网络上6000多台计算机感染，直接经济损失9600万美元。2000年5月，“爱虫”病毒通过电子邮件传播，在世界各地迅速蔓延，造成全世界空前的计算机系统破坏。而在国内，人们利用计算机网络犯罪的案例也层出不穷。2002年，作案人吕薜文通过盗用他人账号，对中国公众多媒体通信网广州主机进行了攻击，并对其部分文件进行删除、修改、增加等一系列非法操作，造成严重后果。2008年4月，作案人赵哲窜至上海某证券攻击营业部，利用该营业部电脑安全防范上的漏洞，修改该营业部部分股票交易数据，致使股价短时间内剧烈震荡。 计算机以及其他信息设备越来越多的被运用到犯罪活动中，尽管随着入侵检测系统的广泛使用降低了非法使用计算机资源所带来的损失，但网络犯罪依然不可忽视。针对网络环境安全，本文旨在研究探讨网络开放环境下的电子证据的动态收集与分析。（二）、国内外研究现状 目前，虽然我国各省市级公安机关有专门的部门处理计算机犯罪案例，然而在处理案件的技术上所用到的只是国外一些常见的取证工具，如今计算机犯罪手段变化多端，这样所获取的电子证据缺乏说服力，未能给破案带来实质性的帮助。而类似美国等发达国家地区，无论是在电子取证技术上、人们的意识形态和有关计算机证据的法律建设都在于我国之上，许多专门的计算机取证部门、实验室和公司开发了很多极其实用的取证产品。例如，计算机司法领域的行业领袖Logicube、突出的计算机取证服务提供商ICS、Vogon和Guidance等公司不断研发和推进它们的专业取证产品，对打击计算机犯罪提供了有效的工具。 因此，我国应该自主开发能够有效打击计算机及网络犯罪的专业电子产品，健全相关法律法规，以应对日益增加的犯罪活动，使得用户的权益不受侵犯。开展计算机取证技术的研究，无疑对我国的社会发展乃至整个世界的计算机科学发展都有着极其重要的意义。 （三）、论文研究内容 与时俱进的时代性不仅体现在社会与经济的快速发展，同时体现于社会各个领域的全面进步，计算机取证已经成为当今社会不可置旁的话题，执法机关对计算机取证

计算机取证技术期末考试

一、选择题（每小题2分，共20分） 1、以下有关EasyRecovery的说法不正确的是（） A. EasyRecovery在恢复数据时并不向硬盘写任何东西，而是在内存中镜像文件的FAT表和目录区。 B. 使用该软件时一定要注意将恢复出来的数据保存在其他的硬盘空间内。 C. 该软件能够对FAT和NTFS分区中的文件删除、格式化分区进行数据恢复。 D. 它主要是对数据进行硬件恢复。 2、以下不属于在数据恢复中需要使用的软件的是（）。 A. PC3000 B. FinalData C. Encase D. FixRAR 3、以下不属于电子证据特点的是（） A. 电子证据的脆弱性 B. 电子证据的隐蔽性 C. 电子证据的不可挽救性 D.电子证据对系统的依赖性 4、以下不属于计算机取证过程中分析过程的是（） A. 协议分析 B. 镜像技术 C. 数据挖掘 D. 过程还原 5、以下属于计算机取证技术的发展趋势的是（） A. 动态取证技术 B. 计算机取证挖掘算法和柔性挖掘技术 C. 取证工具和过程的标准化 D. 以上都是 6、以下关于硬盘的逻辑结构说法不正确的是（） A. 每个盘片有两个面，这两个面都是用来存储数据的。 B. 随着读写磁头沿着盘片半径方向上下移动，每个盘片被划分成若干个同心圆磁道。 C. 磁道被划分成若干个段，每个段称为一个扇区。扇区的编号是按0,1，……顺序进行的。 D. 硬盘柱面、磁道、扇区的划分表面上是看不到任何痕迹的。 7、以下不属于文件系统的是（）。 A. LINUX B.NTFS C. FAT32 D.EXT2 8、以下不属于数据分析技术的是（）。 A. 对已删除文件的恢复、重建技术 B. 关键字搜索技术 C. 日志分析 D. 特殊类型文件分析 9、以下（）命令可以用来测试本地主机的网络连接是否通畅。 A. traceroute B. ping C. ipconfig D. pslist 10、在大多数黑客案件中，嗅探工具常被用来捕捉通过网络的流量以重建诸如上网和访问网络文件等功能，以下（）是这类工具。 A. FTK B. sniffer pro C. Quick View Plus D.NTI-DOC 二、填空题（每空2分，共40分） 1、当执行删除文件操作时，系统做了两方面的工作：一是将目录区中该文件的第一个字符改为“E6H”来表示该文件已经被删除；二是将文件所占的文件簇在（）中对应表项值全部置“0”。文件分配表 2、计算机对硬盘的读写是以（）为基本单位的；（）是数据存储和磁盘管理的最基本单位。扇区、簇 3、硬盘上的数据按照其不同的特点和作用大致可分为5部分：主引导扇区、操作系统引导扇区、文件分配表、目录区和数据区。其中（）包括硬盘主引导记录MBR和硬盘分区表DPT；将（）中起始单元的和FAT表结合分析可以知道文件在硬盘中的具体位置和大小。主引导扇区、目录区 4、操作系统启动分为5个阶段：预引导阶段、引导阶段、加载内核阶段、初始化内核阶段和登录。其中（）阶段彩色的Windows XP的logo以及进度条显示在屏幕中央。初始化内

计算机取证分析

计算机取证分析 内部编号：（YUUT-TBBY-MMUT-URRUY-UOOY-DBUYI-0128）

摘要 信息技术的不断发展给人们的生活带来了巨大的改变，网络已经越来越渗透到人们的现实生活与工作当中。然而，网络在为人民生活和工作带来便利的同时，也引发了无数网络犯罪。 计算机静态取证便是针对网络犯罪而出现的一种电子取证技术，而随着网络犯罪形式和手段的千变万化，计算机静态取证已不能满足打击网络犯罪的需求， 为适应信息化发展的要求，建立安全网络环境和严厉打击网络犯罪行为势在必行，本论文针对计算机动态取证技术进行分析，主要浅谈电子动态取证采集系统的实现、网络证据收集和网络数据分析等几个方面。通过对计算机取证基本概念、特点和技术的基础研究，对计算机动态取证进行分析。 关键词：电子取证动态取证动态电子证据采集网络数据协议 目录

一、概述 （一）、研究背景 目前，人类社会已经迈入了网络时代，计算机与互联网已经与老百姓的日常工作、学习与工作息息相关，社会信息化对政治、经济、文化和科技等各项社会生活产生了深远的影响。然而，网络技术给人类社会带来有利影响的同时，也带来了负面的影响。 在国外，1988年11月美国国防部的军用九三级网络遭受莫里斯病毒袭击，致使美国Internet网络上6000多台计算机感染，直接经济损失9600万美元。2000年5月，“爱虫”病毒通过电子邮件传播，在世界各地迅速蔓延，造成全世界空前的计算机系统破坏。而在国内，人们利用计算机网络犯罪的案例也层出不穷。2002年，作案人吕薜文通过盗用他人账号，对中国公众多媒体通信网广州主机进行了攻击，并对其部分文件进行删除、修改、增加等一系列非法操作，造成严重后果。2008年4月，作案人赵哲窜至上海某证券攻击营业部，利用该营业部电脑安全防范上的漏洞，修改该营业部部分股票交易数据，致使股价短时间内剧烈震荡。 计算机以及其他信息设备越来越多的被运用到犯罪活动中，尽管随着入侵检测系统的广泛使用降低了非法使用计算机资源所带来的损失，但网络犯罪依然不可忽视。针对网络环境安全，本文旨在研究探讨网络开放环境下的电子证据的动态收集与分析。 （二）、国内外研究现状 目前，虽然我国各省市级公安机关有专门的部门处理计算机犯罪案例，然而在处理案件的技术上所用到的只是国外一些常见的取证工具，如今计算机犯罪手段变化多端，这样所获取的电子证据缺乏说服力，未能给破案带来实质性的帮助。而类似美国等发达国家地区，无论是在电子取证技术上、人们的意识形态和有关计算机证据的法律建设都在于我国之上，许多专门的计算机取证部门、实验室和公司开发了很多极其实用的取证产品。例如，计算机司法领域的行业领袖Logicube、突出的计算机取证服务提供商ICS、Vogon和Guidance等公司不断研发和推进它们的专业取证产品，对打击计算机犯罪提供了有效的工具。 因此，我国应该自主开发能够有效打击计算机及网络犯罪的专业电子产品，健全相关法律法规，以应对日益增加的犯罪活动，使得用户的权益不受侵犯。开展计算机取证技术的研究，无疑对我国的社会发展乃至整个世界的计算机科学发展都有着极其重要的意义。

电子证据综述

电子证据的法律地位综述 论电子证据的法律地位 摘要：随着现代科技的日新月异和信息技术的不断革新，网络成了

人们生活不可或缺的一部分。与此同时，和网络、信息有关的交易日渐频繁，在法律领域，自然而然地产生了电子形式的证据。电子证据的出现给现有的证据制度甚至整个法制带来了冲击。 关键字:电子证据定义法律地位 一、电子证据的概念 学者们对电子证据的定义并不统一，主要分歧在电子证据与计算机挣据、与视听资料的关系上。 国家信息中心电子数据鉴定中心副主任对电子证据的解释是：电子证据主要是指利用电子信息内容证明案件事实的证据，包括各种存储介质中的文本、图片、音频、或视频文件及网络中传输的信息流。存储介质是电子证据的载体，可以是计算机软、硬盘；磁盘阵列；移动存储设备MO、移动硬盘、U盘、ZIP盘等；计算机用磁带；各种CD-R、CD-RW记录光盘；各种数码相机用的Flashcard、Memory Stick、Mrcrodrive等存储卡，甚至包括手机和MP3等。 蒋平先生认为，电子证据是以电子数据存在的、接触信息技术或者信息设备形成的用作证据使用的一切数据及其派生物。① 何家弘教授认为，电子证据是以电子形式存在的，用作证据使用的一切材料及其派生物②。 笔者认为，电子证据是以电子形式存在的，用作证据使用的一切材料及其派生物。它不仅仅局限于借助计算机设备形成的证据，好包括借助电话机、录音机、摄像机、手机等现代设备形成的证据。因此，广义的电子技术在外延上比计算机证据大，实际上将计算机证据囊括其中，而狭义的电子证据，与计算机证据范围基本相当。 二、电子证据的法律地位 电子证据是否具有独立的法律地位，学界认识是不一致的。目前，我国学术界主要有以下观点： （一）书证说早在1982年就提出“计算机记录作为证据时相当于书面文件” ①蒋平、杨莉莉：《电子证据》，清华大学出版社、中国人民公安大学出版社2007年版，第18页。 ②何家弘、刘品新：《电子证据法研究》，法律出版社2002年版，第5页。

计算机取证技术复习

计算机取证技术复习 一.填空题 1.计算机取证模型主要包 括：、、 、。 2.在证据收集的过程中必须收集的易失性证据主要 有：、、、、、。 3.目前的计算机反取证技术主要有：、。 4．在Windows工作模式下显示系统的基本信息，包 括：、、 及。 5．隐藏术通常通过两种方法对数据进行保 护：； 。 6．在MACtimes中的Mtime指；Atime 指； Ctime指。 7、防止密码破译的措施：；；。 8、目前主要数据分析技术具体包括： ：；；； 。 9、安全管理主要包括三个方面：、、。 10、计算机信息系统的安全管理主要基于三个原 则：、、 。 11.系统信息安全包 括：；；； ；。 12.任何材料要成为证据，均需具备三性：； 和。 13. 计算机取证是指对能够为法庭接受的、足够可靠和有说服性的，存在于计算机和相关外设中的电子证据的、、和 的过程。 14．DES是对称密钥加密的算法， DES算法大致可以分成四个部 分：；；和； 15、目前，反取证技术分为三类：、、。 16、网络安全管理的隐患有：；； ；。 二．判断 1.取证的目的是为了据此找出入侵者（或入侵的机器），并解释入侵的过程。（）

2.网络入侵取证系统中，日志文件是可以很轻易被人修改的，但是这种修改是很容易被发现的。（） 3.硬盘由很多盘片组成，每个盘片被划分为若干个同心圆，称为磁道。（） 4.硬盘在存储数据之前，一般需经过低级格式化，分区和高级格式化这三个步骤之后才能使用，其作用是在物理硬盘上建立一定的数据逻辑结构。（） 5.初始响应在数据收集过程中，能将收集到的证据写回到被入侵机器的硬盘上。（） 6.数据遭受物理损坏后，失效的数据彻底无法使用。（） 7.数据备份是指将计算机硬盘上的原始数据复制到可移动媒体上，如磁带，光盘等。（） 8.计算机反取证就是删除或者隐藏入侵证据使取证工作失效。（） 9.用数字加密技术对数据进行保护主要有两种方式：保密和证明数据的完整性。（） 10.Windows文件删除分为逻辑删除和物理删除两种。（） 11.防火墙本身具有较强的抗攻击能力，它是提供信息安全服务，实现网络和信息安全的基础设施。（） 12.安全机制分为两类，一类是与安全服务有关；另一类与管理功能有关。（）13．数据流加密是指把数据划分为定长的数据块，再分别加密。数据块加密是指加密后的密文前部分，用来参与报文后面部分的加密。（） 14.让一台计算机能辨别某个特定的文件系统的过程称为装载文件系统。（） 三、简答题 1、在计算机取证的过程中，不管发生了什么紧急情况，调查者都必须遵循的原则是什 么？ 2、当Windows系统受到入侵攻击，而需要对系统进行取证分析的操作会引起易失性数 据。主要的易失性数据包括哪些？ 3.Windows系统中初始响应指的是什么？现场数据收集的主要步骤包括哪些？ 4、描述你知道的证据获取技术包括哪些？ 5、基本过程模型有哪些步骤？ 6. 电子证据与传统证据的区别有哪些？ 7. Windows系统取证方法的主要流程是什么？ 9. 日志分析有哪些？包括什么内容？ 10. Windows 2000/XP安全管理的常用方法有哪些？（至少写出6个） 四、综合题 1. Windows系统下取证方法的主要流程是什么？我们文件数据一般的隐藏术有哪些,谈谈你的看法? 2. 阐述事件响应过程模型执行步骤及其工作内容？ 3.简述硬盘的结构与数据组织，写出一般文件的删除与恢复方法？ 4. 在Windows系统下的文件删除与恢复的操作是什么？ 5.计算机取证模型有哪些？分别阐述其特点？

计算机取证技术综述

龙源期刊网 https://www.360docs.net/doc/108903128.html, 计算机取证技术综述 作者：袁铠锋 来源：《科教导刊·电子版》2017年第14期 摘要随着计算机信息技术的不断发展与成熟，计算机网络逐渐成为了各行各业在开展工作时不可缺少的重要工具，各种依托计算机信息而实施的计算机网络犯罪现象也日益猖狂起来。本文围绕几种常见的计算机取证技术介绍、计算机取两个证技术的发展方向以及未来展望两个方面展开讨论，对计算机取证技术进行了综述，并提出了一些笔者自己的见解，希望能够对今后计算机取证技术的研究提供一些理论建议。 关键词计算机取证技术数据信息可靠性 中图分类号：TP309 文献标识码：A 1几种常见的计算机取证技术介绍 在美国地区，至少有百分之七十的法律部门都已经设置了专门的计算机取证实验室，取证专家在实验室内对各种从犯罪现场收集的数据信息进行分析，从中提取中与作案相关的信息。 由于取证时刻上具有一定的潜在属性，因此我们可将计算机取证分为两组不同的模式，分别为静态取证模式以及动态取证模式。其中，静态取证指的是对各种潜在证据进行提取，如存储在各种未运行状态媒介中的证据；而动态取证指的是对各种存储有网络以及运行媒介中的证据进行提取。由于网络数据以及计算机系统数据在属性上具有本质区别，因此人们在取证过程中使用的取证方式往往也会分为两种，分别为依托计算机系统的取证以及依托网络数据的取证。 1.1预备取证技术 一般情况下，计算机系统以及网络系统中存在的数据在使用后均会被删除，即使是各种潜在数据也可能面临被黑客删除的风险，所以说在事发后从受害者计算机中获得的数据并不一定真实可靠，这就使得事发前的预备取证能力越来越得到关注。预备取证的目标在于构建一个科学可靠的系统，对于各种可疑数据进行自动搜索、识别、汇集以及过滤，同时对于各种可靠数据进行自动存储、保留以及分析。预备取证系统的建立能够确保安全事件发生后的证据数量、真实度、可靠度同时实现最大化。 布拉德等学者针对企业构建预备取证技系统的基本原理进行了总结，具体如下：（1）小安全漏洞原理：一个极小的安全漏洞便可以导致系统的安全防护完全失效；（2）小用户世界原理：对于一些特殊的用户而言，个别的设备以及系统便可满足他们的使用需求；（3）安全策略行为违反递减原理：随着用户对于系统知识的不断了解以及掌握，各种完全违反行为的发生频率也逐渐增加。

电子取证技术的三大方向

电子取证技术的三大方向 计算机取证是对计算机犯罪证据的识别获取、传输、保存、分析和提交认证过程，实质是一个详细扫描计算机系统以及重建入侵事件的过程。 国内外计算机取证应用发展概况 现在美国至少有70%的法律部门拥有自己的计算机取证实验室，取证专家在实验室内分析从犯罪现场获取的计算机（和外设），并试图找出入侵行为。 在国内，公安部门打击计算机犯罪案件是近几年的事，有关计算机取证方面的研究和实践才刚起步。中科院主攻取证机的开发，浙江大学和复旦大学在研究取证技术、吉林大学在网络逆向追踪，电子科技大学在网络诱骗、北京航空航天大学在入侵诱骗模型等方面展开了研究工作。但还没有看到相关的阶段性成果报道。 计算机取证的局限性以及面临的问题 （1）目前开发的取证软件的功能主要集中在磁盘分析上，如磁盘映像拷贝，被删除数据恢复和查找等工具软件开发研制。其它取证工作依赖于取证专家人工进行，也造成了计算机取证等同于磁盘分析软件的错觉。 （2）现在计算机取证是一个新的研究领域，许多组织、公司都投入了大量人力进行研究。但没有统一标准和规范，软件的使用者很难对这些工具的有效性和可靠性进行比较。也没有任何机构对计算机取证和工作人员进行认证，使得取证权威性受到质疑。 计算机取证发展研究 计算机取证技术随着黑客技术提高而不断发展，为确保取证所需的有效法律证据，根据目前网络入侵和攻击手段以及未来黑客技术的发展趋势，以及计算机取证研究工作的不断深入和改善，计算机取证将向智能化、专业化和自动化方向发展 计算机取证的相关技术发展 从计算机取证的过程看，对于电子证据的识别获取可以加强动态取证技术研究，将计算机取证结合到入侵检测、防火墙、网络侦听等网络安全产品中进行动态取证技术研究；对于系统日志可采用第三方日志或对日志进行加密技术研究；对于电子证据的分析，是从海量数据中获取与计算机犯罪有关证据，需进行相关性分析技术研究，需要高效率的搜索算法、完整性检测算法优化、数据挖掘算法以及优化等方面的研究。 对入侵者要进行计算机犯罪取证学的入侵追踪技术研究，目前有基于主机追踪方法的Caller ID，基于网络追踪方法的IDIP、SWT产品。有学者针对网络层的追踪问题，提出基于聚类的流量压缩算法，研究基于概率的追踪算法优化研究，对于应用层根据信息论和编码理论，提出采用数字水印和对象标记的追踪算法和实现技术，很有借鉴意义。在调查被加密的可执行文件时，需要在计算机取证中针对入侵行为展开解密技术研究。 计算机取证的另一个迫切技术问题就是对取证模型的研究和实现，当前应该开始着手分析网络取证的详细需求，建立犯罪行为案例、入侵行为案例和电子证据特征的取证知识库，有学者提出采用XML和OEM数据模型、数据融合技术、取证知识库、专家推理机制和挖掘引擎的取证计算模型，并开始着手研究对此模型的评价机制。 计算机取证的标准化研究 计算机取证工具应用，公安执法机关还缺乏有效的工具，仅只利用国外一些常用的取证工具或者自身技术经验开发应用，在程序上还缺乏一套计算机取证的流程，提出的证据很容易遭到质疑。对计算机取证应该制定相关法律、技术标准，制度以及取证原则、流程、方法等，到目前为止，还没有专门的机构对计算机

计算机取证研究综述

Aug. 2005, Volume 2, No.8 (Serial No.9) 通讯和计算机 Journal of Communication and Computer, ISSN1548-7709, USA 1 计算机取证研究综述* 丁丽萍1, 王永吉 2 (1,2 中国科学院软件研究所互联网软件技术实验室，北京 100080; 1 北京人民警察学院公安科技教研部，北京 100029; 1 中国科学院研究生院，北京 100039) 摘 要：计算机取证是法学、刑事侦查学和计算机科学的交叉学科，对于计算机取证和电子证据的研究必须体现这一交叉学科的特点。本文总结了近年来国内外的研究情况，提出了今后的研究重点和方向。 关键词：计算机取证；研究；现状；挑战；方向 * 本文得到中国科学院百人计划资助项目，国家自然科学基金资助项目(No.60373053)，中国科学院与英国皇家学会联合资助项目(No.20030389, No.20032006)和教育部留学回国人员科研启动基金资助项目(教外司留[2003]406号)资助。 1 丁丽萍(1965- )，女，山东青州人，博士生，副教授；研究方向：计算机取证学；E-mail: dingliping@https://www.360docs.net/doc/108903128.html,. 2 王永吉(1962- )，男，辽宁盖州人，研究员，博士生导师，中科院2002年引进海外杰出人才“百人计划”入选者；研究方向：实时系统，网络优化，计算机取证学，智能软件工程，优化理论，机器人和控制理论等。 1. 引 言 1991年，在美国召开的国际计算机专家会议上首次提出了计算机取证（Computer Forensics ）这一术语[1]。十几年来，随着计算机技术的发展，计算机取证学的研究不断深入，几乎每年都召开以计算机取证为主题的学术会议，例如，1993年、1995年、1996年和1997年分别在美国和澳大利亚、新西兰召开了以计算机取证为主题的国际会议。从总体上看，2000年之前的计算机取证研究主要侧重于取证工具的研究，2000年以后，开始了对计算机取证基础理论的研究。毕业于中国科学院软件所的孙波博士认为计算机取证的发展可以分为奠基时期、初步发展时期和理论完善时期三个阶段。他对这三个阶段的划分和分析也体现了前期的取证工具研究和近期的理论研究的特点。2001年6月在法国召开的第十三届全球FIRST （Forum of Incident Response and Security Teams ）年会的主题就是入侵系统恢复和分析取证理论，2002年的美国夏威夷FIRST 年会提出了计算机取证协议和程序的标准化问题。我国的计算机取证研究无论是取证工具还是基础理论的研究都处于起步阶段。本文第二部分分析了计算机取证的基础理论的研究现状；第三部分探讨了计算机取证技术的研究情况；第四部分列举了目前的取证工具；第五部分对计算机取证法律法规进行了讨论；最后一部分提出了计算机取证面临的挑战和今后的发展方向。 2. 基础理论研究现状 目前，国内外对计算机取证技术的理论研究集中在对计算机取证的产生、发展、现状和未来的发展趋势预测等的研究，计算机取证的有关概念、特点、原则、标准、规范等的研究以及对各种现有技术在计算机取证中的应用的研究。理论研究从总体上看还处于起步阶段。 有关理论研究的资料在IOCE(International Organization on Computer Evidence, 国际计算机证据组织)的网站https://www.360docs.net/doc/108903128.html,/上都可以查到。 2.1有关的概念和特点 对概念和特点的研究主要集中在电子证据的概念和特点、计算机取证的概念和特点上。 2.1.1电子证据的概念和特点 电子证据，即计算机证据。目前，对电子证据的定义很多，没有形成统一的定论。比较典型的有：文献[2]认为计算机证据是存储有电子数据的电、磁、光记录物，这些电子数据是在计算机系统运行