计算机取证技术研究
计算机取证系统的研究与设计
还可以重新定位根 目录和使用 F AT的备份副本 , 另# b F AT3 2 分区 的启动记录被包含在一个含有关键数据 的结构 中, 减少 了计算机系 统崩 溃的可能。 2 . 3 E XT2 / 3 文件 系统 分析 E x t 2 / 3 是L i n u x 系统 的标准文件系统 , 其优点为存取文件的性 能好 , 由线形排列 的数据块组成 , 每个数据块具有相同的大小 , 所有 块又被划分为若干个块组, 每个块组都包含了一份文件系统关键控 制信息 的拷 贝, 以及描述组 内数据存储与控制信息的位示 图, 节点 位 图和节点表 。 E X T 3 文件系统 比E X T 2 更加完整 , 增加了 日志容量 , 避免了意 外宕机对文件 系统的破坏, 以便文件系统在 出现问题后进 行恢复 和修复。 2 . 4 NTF S 文件 系统 分析 N TF S 是一个基于安全性 、 可靠性、 先进性的文件系统 , 它通过 使用标准 的事务处理 日志和恢复技术来保证分区的一致性 。 发生系 统失败事件时 , NT F S 使 用 日志文件和检查点信息来恢复 文件 系统 的一致性 。 NT F S 采用了更小 的簇 , 可以更有效率地管理磁盘空间 , 簇的大小都 比相应 的F A T1 6 / 3 2 簇小 ; NT F S 可 以比F A T3 2 更有效 地管理磁盘 空间 , 最大限度地 避免 了磁盘 空间的浪费 。 2 . 5数 据 流 隐藏数 据 的发 现技 术 数据 流隐藏技术源 Ma c i n t o s h 分级文件系统NT F S, 它可 以 把任何文件作为某个文件 的另一个实例 附在其中, 而Wi n d o w s  ̄源 管理器无法显示 。 另外如果将数据文件隐藏在磁盘S l a c k 闲散空间 、 交换 空间或未分配空间中, 这使得查找隐藏文件有很大难度 。 因此, 解读NT F S 文件 系统的镜像 文件 时 , 检查标 准的文件属性类别 即可 识别 出隐藏的文件 , 同时在进行证据分析 时可 以读取s l a c k s p a c e 中文件碎片 的二进 制数 据。 2 . 6删 除数 据 的恢 复技 术
计算机取证关键技术研究
取 实 时 电子 数 据
F rniS正 逐 渐 成 为 人 们 研 究 与 关 注 的热 点 之 一 。 oe s ) C
1 计 算 机 取 证 技 术
11 计 算机 取 证 的 技 术 .
SN A S的一 篇 综 述 文 章 给 出 如 下 定 义 _ 计 算 机 取 l l :
目前 我 国 计 算 机 取 证 领 域 面 临 的 问 题 有 : ( ) 何 将 计 算 机 证 据 依 照 科 学 、 范 的 程 序 进 1如 规
于 网络 数 据 流 和 运 行 中 的 计 算 机 系统 中 . 计 算 机 系 对
Tas em) 年会 上被称 为当时 的主要 议题 作 为计算机 领
域 和 法 学 领 域 的一 门 交 叉 科 学 . 汁算 机 取 证 ( o u e C mp tr
统 或网 络现 场进 行监 视获 取证 据 . 与入侵 检 测 、 蜜罐 技术 和陷 阱网络相结 合 .动 态分析 入侵者 的企 图 . 获
态 取证 和动态取 证 态取证 是指证据 存储在 未运行 静
的 计 算 机 系 统 中 或 独 立 的 磁 盘 等 存 储 介 质 上 静 态 取 证 主 要 是 事 后 取 证 . 已 遭 受 入 侵 的 情 况 下 . 用 各 在 运
种 技 术 手 段 对 被 入 侵 计 算 机 系 统 进 行 分 析 . 取 攻 击 获
、 \
\
\ 、
、
—
研 究 与 开 发
— — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — — 一
计算机主机隐秘信息取证技术
汇报人: 2024-01-09
目录
• 计算机主机隐秘信息取证技术 概述
• 取证技术分类 • 取证流程与规范 • 取证工具与平台 • 面临的挑战与解决方案 • 取证技术应用案例分析
01
计算机主机隐秘信息取证技术 概述
定义与特点
定义
计算机主机隐秘信息取证技术是指通过技术手段,对计算机 主机的硬盘、内存、网络缓存等存储介质中隐藏的信息进行 获取、分析和提取,以揭示犯罪行为、网络攻击等活动的证 据。
软件工具
如数据恢复软件、网络监控软件等,用于提 取和分析计算机中的软件数据。
移动设备取证工具
针对手机、平板电脑等移动设备进行取证的 专用工具。
取证平台比较与选择
跨平台性
选择能够支持多种操作系统平台的取 证工具,以便适应不同环境的需求。
易用性
取证工具应具备友好的用户界面和操 作流程,降低使用难度。
功能丰富性
满足国际和国内法律法规的要求,确保取 证过程的合法性和证据的有效性。
05
面临的挑战与解决方案
法律与伦理问题
法律限制
在许多国家和地区,对计算机主 机的隐秘信息取证存在严格的法 律规定和限制,以保护个人隐私 和信息安全。
伦理考量
取证过程中可能涉及个人隐私和 公司机密,如何在取证的同时保 护这些信息,是技术发展中需要 解决的伦理问题。
特点
隐秘信息取证技术具有高度专业性、复杂性和敏感性。它要 求取证人员具备丰富的技术知识和实践经验,能够熟练运用 各种工具和技术手段,确保取证过程的合法性、准确性和完 整性。
重要性及应用领域
重要性
随着信息技术的发展,计算机主机已成为各类犯罪行为和网络攻击的主要载体,隐秘信息取证技术在打击犯罪和 维护网络安全方面发挥着越来越重要的作用。通过获取关键证据,可以协助司法机关查明事实真相,为案件的侦 破和审判提供有力支持。
浅议计算机取证技术.
王 雪 梅赵昕浅 议 计 算 机 取 证 技 术
浅 议 计 算 机 取 证 技 术
王 雪梅 赵 昕
( 商丘职 业技 术学院
河南
商丘
4 7 6 0 0 0 )
摘 要 随着我 国 网络信 息 的 高速发展 和 广泛普 及 , 为犯 罪分子提供 了新 的犯 罪 空 间, 目前利 用计 算机在 互 联 网上 的犯 罪行 为越 来越 多, 逐 渐成 为 了人们 日益 关注 的焦 点, 同时传 统 的办案模 式和技 术 已经无 法满足 网络犯 罪 的 需求 , 因此计 算机取 证是 打 击计 算机和 网络 犯 罪的 重要技 术 手段 , 通 过利 用计 算机 取证 技 术对 于相 关取 证部 门和 执 法机 关成为 了将犯 罪嫌 疑 人绳之 以法 的重要依据 。本 文将 对计 算机取证 技 术进行 浅要 地探 讨 。 关键 词 计算机 犯 罪手段 计 算机 取证 技术 重要依 据 探 讨
法。
合我 国电子政 务建设中 、 长期计划 的规划 、 建设标准 、 程序和 方 法做 出合理决策的电子政务专 门人才。
另外 , 在 电子政务专 门人才培养 工作 中, 要采用 结构化 的培 养模式对 电子政务建设各层次公务员进行培训 。特 别是对领 导 决策层面 的各级政府领导 ,应将培训重点放在对 电子政 务建 设 的认识上 ,促使他们能够结合本地实际情况与对 电子政 务的实 际需要 , 设计符合本地实际的电子政务建设规划, 成 为我 国电子 政务建设的推动者 。
1 . 2计算机取 证人 员缺乏对 电子数据和信 息的认识 , 由于 目 标计算机 中获得的 电子数据还有许多潜在的用途 , 如, 可用于确 定犯罪嫌疑人 的身份 、 地址和作案时间等 , 可作为法庭诉讼上 的 有力 的证据 ,可根据相关犯罪人员留下的信息对犯罪嫌疑人进 行 网络追踪等一些通过获取 的电子数据获取 的信息 。还在案件 发生后及 时地保护犯罪现场 ,无法保证获取数据 的真实性和完 整性 。同时取证人员和受害人和企业缺乏计算机取证的意识 , 没 有 及 时有 效地 对犯罪 分子 留下 的电子信 息数据 进行 收集和 追 踪 ,往往 导致证据 的缺失和不充分 ,无法将犯罪嫌疑人绳之 以
第三届全国计算机取证技术研讨会述评
声华 副会 长在研 讨 会 开幕式 上代 表上 海 市犯 罪 学学会 致 辞 。
研 讨 会上 卿斯 汉 教授 首先 作 了 《 息 安全 的若 干 新技 术 与发展 态势 》 的特邀 报 告 ,从 信 以下 四个 方面 阐述 了当前信 息安 全 发展 新动态 :第一 ,信 息安 全领 域 呈现 出的 9大趋 势 ;
取 证专 家委 员会 秘 书长 丁丽 萍 教授 、上 海市 犯罪 学会 副会 长 张 声华教 授 、公 安部第 三研 究 所 胡传平 所 长 、 门市 美亚柏 科 信息股 份 有 限公 司董 事长刘 祥 南先 生及 国 内部 分 知名专 家 、 厦 学者 出席 了本 次会 议 ,本 刊编 辑部 的领 导等 也 到场 出席 此次研 讨 会 。 会议 开幕 式 由 《 犯罪 研 究 》杂志 主编 杨 正 呜教授 主 持 ,杜 志淳 书 记首 先致 欢迎 词 ,张
引起 与 会嘉 宾 的广泛 兴趣 和 热烈 讨论 。
中 国 电子 学会 计算 机取 证 专家 委 员会委 员 、 中 国人 民大学证 据 研究 所所 长刘 品 新教授
作了 《 电子证据 鉴 定 的法 治使命 》的专 题报 告 ,从 法庭 诉讼 和证 据 支持 出发 ,阐述 了法 治
视野 下 的鉴定本 质 、 电子证 据鉴 定 的法 律要 求 、法 定任 务和 电子 证据 的未来 走 向。 厦 门市
书 评 ・ 道 报
《 罪研 究》 2 1 第 6期 犯 0 0年
美 亚柏科信 息股 份有 限公司 副总经 理赵庸 先生 随 即以美亚 公司现 实业 务为例 ,利用 丰 富的
实 务经验和 生动 的图像 资料 展示 ,作 了题 为 《 电子数据 取证 实验室 发展趋 势研 究》的报 告 。
浅谈网络取证技术
计算机取证(Computer Forensics)在打击计算机和网络犯罪中作用十分关键,它的目的是要将犯罪者留在计算机中的“痕迹”作为有效的诉讼证据提供给法庭,以便将犯罪嫌疑人绳之以法。
计算机取证(Compu te r Forensics)在打击计算机和网络犯罪中作用十分关键,它的目的是要将犯罪者留在计算机中的“痕迹”作为有效的诉讼证据提供给法庭,以便将犯罪嫌疑人绳之以法。
因此,计算机取证是计算机领域和法学领域的一门交叉科学,被用来解决大量的计算机犯罪和事故,包括网络入侵、盗用知识产权和网络欺骗等。
1 网络取证概述1.1 概念计算机取证(Computer Forensics、计算机取证技术、计算机鉴识、计算机法医学)是指运用计算机辨析技术,对计算机犯罪行为进行分析以确认罪犯及计算机证据,并据此提起诉讼。
也就是针对计算机入侵与犯罪,进行证据获取、保存、分析和出示。
计算机证据指在计算机系统运行过程中产生的以其记录的内容来证明案件事实的电磁记录物。
从技术上而言,计算机取证是一个对受侵计算机系统进行扫描和破解,以对入侵事件进行重建的过程。
可理解为“从计算机上提取证据”即:获取、保存分析出示提供的证据必须可信计算机取证(Computer Forensics)在打击计算机和网络犯罪中作用十分关键,它的目的是要将犯罪者留在计算机中的“痕迹”作为有效的诉讼证据提供给法庭,以便将犯罪嫌疑人绳之以法。
因此,计算机取证是计算机领域和法学领域的一门交叉科学,被用来解决大量的计算机犯罪和事故,包括网络入侵、盗用知识产权和网络欺骗等。
按照Sims ON Garfinkel[3]的观点,网络取证包括2种方式:(1)“catch it as you can”(尽可能地捕捉)。
这种方式中所有的包都经过一定的节点来捕获,将报文全部保存下来,形成一个完整的网络流量记录,把分析的结果按照批量方式写入存储器。
这种方式能保证系统不丢失任何潜在的信息,最大限度地恢复黑客攻击时的现场,但对系统存储容量的要求非常高,通常会用到独立冗余磁盘阵列(RAID)系统。
计算机取证技术及其发展趋势的研究
计算机取证技术及其发展趋势的研究摘要:计算机取证具有特殊性,只有对计算机取证以及计算机证据有深入了解,才能更好的开展工作。
本文就如何确保计算机证据采集的标准性、真实性与合法性所使用的相应技术方法进行的了探讨,并且就现今计算机取证可能出现的问题以及计算机取证将来发展形势作出了研究。
关键词:发展;研究;计算机证据;犯罪中图分类号:tp399伴随着科技的发展,时代的进步,计算机网络技术也得到了迅猛的发展和广泛的应用,在信息快速传播的今天,计算机网络的安全隐患也越来越需要我们重视。
对此,我们需要制定完善的网络法制法规以及使用合理的技术控制手段,以此来解决计算机网络日益恶化的信息安全问题。
本文就计算机动态和静态取证,以及计算机网络取证将来发展的趋势展开了分析与研究。
1 计算机取证过程计算机进行证据提取是指对计算机进行入侵、窃取、诈骗、控制、破坏等等一系列行为,使用计算机硬件或者软件上的技术,按照正规法律程序的流程,对法庭认可的、有说服力的、储存在计算机或者相关网络中电子信息数据进行证据提取、传输、存储、认证与提交的一系列过程。
计算机取证的本质可以理解为对计算机软件或硬件系统进行检测借此还原入侵控制系统事件过程。
通常,计算机取证分为六个步骤:第一步是现场调查,进行现场保护、搜索、寻找物理证据,具体实行需要到达现场,进行现场保护调查,看证据能否取走,不能取走做好记录,分析其原因,检查计算机是否安全,比如;调查最后一次计算器启动情况,网络信息记录等等,然后关掉计算机,查看能否做镜像处理,分析问题发生原因,对已获得信息数据进行深入剖析,整理以及存档,然后上交法庭。
第二步是识别计算机获取的证据,对已获得证据进行分门别类和分析获得信息方法。
第三步是进行数据传输,把已经获得的数据信息完整的保存到计算机取证分析仪器上面。
第四步存储数据,把原信息数据进行原封不动的保存,保证其完整性。
第五步分析计算机取证,以可显示方法分析,确保分析结果的精确度。
计算机犯罪现场勘查取证技术研究
计算机犯罪现场勘查取证技术研究计算机犯罪是指在计算机系统中进行的涉及欺诈、窃取信息、故意破坏计算机系统等行为。
针对计算机犯罪取证技术的研究已经成为当前研究的焦点之一。
本文主要介绍计算机犯罪现场勘查取证技术的相关内容,包括计算机犯罪现场勘查的原则和流程、计算机犯罪取证技术的基本原理和方法等。
(一)计算机犯罪现场勘查的原则1.立即采取措施通过对计算机犯罪的现场勘查,可以获得一些关键信息,而这些信息会随着时间的推移而消失,因此应该立即采取措施,以便留下证据。
2.保护现场的完整性在采取措施的同时,还要注意保护现场的完整性,确保以后的调查工作不会受到影响。
具体来说,要保护计算机现场不受未经授权的访问或修改。
3.尽可能多地收集证据现场勘查的目的是为了获取证据,因此需要尽可能多地收集证据。
当然,在此过程中也要注意避免破坏证据或造成不必要的污染。
计算机犯罪现场勘查的流程分为四个步骤:1.制定计划在现场勘查之前,必须制定一个全面的计划。
该计划应包括勘查人员的名单、勘查设备清单、勘查的过程和步骤等。
2.收集证据在现场勘查的过程中,需要收集证据。
收集证据的方法包括采集现场硬件设备、拍照和采集现场数据。
3.分析证据在收集到证据之后,需要对证据进行分析。
证据的分析包括证据重复性验证、文件时间戳验证、邮件头分析等。
4.编写报告对于现场勘查取证的结果应该写成报告。
这份报告要清楚、准确、详尽、完整地记录在案,它是后续调查指导方案和侦破证据的有力保障。
二、计算机犯罪取证技术的基本原理和方法1.文件管理原理在计算机中,所有的文件都是由文件头和文件内容组成的。
文件头包含有关文件的重要信息,而文件内容是实际内容。
计算机磁盘上的所有内容都是由扇区、簇和文件组成的。
扇区是最小的磁盘存储单位,而簇是由多个扇区组成的存储单元。
3.计算机取证原理计算机取证原理是指通过对计算机磁盘的分析和数据恢复,获取涉嫌犯罪行为的证据。
1.计算机磁盘分析技术这种技术可以通过读取磁盘上所有的扇区,包括未分配扇区、加密扇区、已删除文件、隐藏文件等,来分析和提取数据。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
计算机取证技术研究三年二班周杰伦摘要:随着信息技术的发展,计算机与网络成为社会,政治,经济和文化生活的重要组成部分。
与此相关的各种争议和计算机犯罪现象日益突出,计算机取证技术成为解决争议和打击计算机犯罪的重要手段。
本文介绍了计算机取证技术概念,特点与发展,讨论了计算机取证的发展趋势,并且重点介绍了计算机取证的关键技术和过程。
关键词:计算机取证计算机安全计算机犯罪目录1 什么是计算机取证 (3)1.1 计算机取证背景与概念 (3)1.2 计算机证据的特点 (3)1.3 计算机取证的研究现状 (3)2 计算机取证关键技术 (4)2.1 取证程序 (4)2.2 证据获取 (4)2.2.1应用硬盘克隆机获取证据 (4)2.2.2 利用数据获取软件获取证据 (5)2.3 证据分析 (5)2.3.1 删除数据的恢复 (5)2.3.2数据的相关性分析 (5)3 计算机取证发展方向 (6)1 什么是计算机取证1.1计算机取证背景与概念随着计算机和互联网络技术的迅速发展,电子商务、网络教育、各类网络服务和电子政务在经济社会的人际交往、经营活动中被大量应用。
随之,各类经济纠纷、民事纠纷和刑事案件也会时有出现。
判定或处置各类纠纷和刑事案件过程中,电子文挡已经成为重要证据之一。
计算机取证(Computer Forensics)在打击计算机和网络犯罪中作用十分关键,它的目的是要将犯罪者留在计算机中的,痕迹,作为有效的诉讼证据提供给法庭,以便将犯罪嫌疑人绳之以法。
因此,计算机取证是计算机领域和法学领域的一门交叉科学,被用来解决大量的计算机犯罪和事故,包括网络入侵、盗用知识产权和网络欺骗等。
有关计算机取证的定义很多,,综合起来,我们认为计算机取证是运用计算机及其相关科学和技术的原理与方法获取与计算机相关的证据以证明某个客观事实存在的过程。
1.2计算机证据的特点计算机证据与传统的证据相比较,有以下突出的特点:1.计算机证据同时具有较高的精密性和脆弱易逝性。
由于计算机的信息是用二进制数据表示的,以数字信号的方式存在。
而数字信号是非连续性的,故意或因为其他差错对计算机证据进行的变更(删除,删节, 剪接,截收和监听等)从技术上讲很难查清。
2.计算机证据具有较强的隐蔽性。
计算机证据在计算机系统中可存在的范围很广,使得证据容易被隐藏。
3.计算机证据具有多媒体性。
计算机证据的表现形式是多样的,尤其是多媒体技术的出现更使计算机证据综合了文本,图形,图像,动画,音频及视频等多种媒体信息。
这种以多媒体形式存在的计算机证据几乎涵盖了所有传统证据类型。
4.计算机证据还具有收集迅速,易于保存,占用空间少,容量大,传送和运输方便,可以反复重现便于操作等特点。
计算机证据的这些特点表明计算机取证面临不少难题,有完全不同于传统取证的问题需要研究。
计算机取证是信息安全领域中比较新的课题。
特别是近几年计算机取证技术成了信息安全领域的焦点。
1.3计算机取证的研究现状现在美国至少有70%的法律部门拥有自己的计算机取证实验室。
取证专家在实验室内分析从犯罪现场获取的计算机及其外设。
试图找出是谁在什么时间,从哪里,怎样地进行了什么非法活动。
按照取证时刻潜在证据的特性,计算机取证可分为静态取证和动态取证。
静态取证指潜在的证据存储在未运行的计算机系统,未使用的手机,个人数字助理PDA等设备的存储器或独立的磁盘光盘等媒介上,动态取证指潜在的证据存在于网络数据流和运行中的计算机系统中的证据。
由于网络数据流和计算机系统里的证据特性上的差异,人们常使用基于主机的取证和基于网络的取证这种说法。
2计算机取证关键技术2.1取证程序电子证据处理总共分3个阶段:证据获取、证据分析和证据表现。
证据获取阶段的工作是固定证据。
电子证据容易修改,一旦决定需要获取电子证据,应该首先进行证据固定,防止有用证据的丢失。
在本阶段要求将电子证据的状态固定起来,使之在后续的分析、陈述过程中不会改变。
并能够在法庭展示证据固定的有效性,比如展示原始证据和固定后证据的Hash校验值。
证据分析阶段的工作是分析证据与案件的关联性。
电子证据包含的数据量往往很大,而且数据类型往往杂乱无章,收集的所有证据需要进行提取、整理和筛选后才能被使用。
在本阶段要求能够对证据进行全面分析,并在全面分析的基础上能够进行数据挖掘和整合,使之清晰呈现案情相关信息。
证据表现阶段要就电子证据与案件的关联性进行陈述。
在此阶段要求能够证实电子证据取得的途径、分析过程,并合理引用电子证据分析结果对案情进行陈述。
2.2证据获取当采集电子证据时,应将注意力放在计算机内容而不是硬件上。
当从计算机中采集数据时有两种选择,一种是采集所需要的数据,另一种是采集所有的数据。
采集所需要的数据有遗失线索和损害证据的风险,因此一般情况下,取证人员将从涉案的计算机硬盘中完整采集出所有数据。
通过硬盘克隆机或者数据获取软件是两种常用的方法。
2.2.1应用硬盘克隆机获取证据从硬盘中采集数据时最直接的方法是在记录了硬盘和主板的连接方式后,将硬盘从计算机上拆卸下来,然后用取证专用的硬盘克隆机制作原硬盘的克隆品。
硬盘数据物理复制采集可按以下步骤操作:(1) 拆除将接受数据取证的硬盘;(2) 检测接受数据取证硬盘未被物理故障造成硬盘数据无法读取;(3) 打开预备的目标硬盘,对目标硬盘进行格式化处理,清除目标硬盘内所有内容;(4) 复制原硬盘数据到目标硬盘。
硬盘复制机必须是专用、特制,具有获取完整数据的复制机。
复制机在工作状态时必须对被复制硬盘数据写保护,获取的所有数据应在复制前、后保持一致。
复制机应通过物理级复制技术获取文件系统的完整数据,包括文件Slack区和未使用的空间,并能提供和原硬盘数据完全一致的副本。
2.2.2 利用数据获取软件获取证据数据获取软件采集数据是另外一种方法。
目前Windows和Linux下都有相应的数据获取软件。
由于Windows是会自动在检测到的硬盘上写入数据,因此Windows的数据获取软件在使用时必须结合硬盘写保护器进行。
硬盘写保护器通过USB或1394接口和取证计算机连接。
2.3 证据分析主要的证据分析技术有:删除数据的恢复、加密数据破解和海量数据的线索分析。
2.3.1 删除数据的恢复被删除数据的恢复主要从两个层次进行:文件系统级和应用级的数据恢复。
文件系统用于存储数据,供计算机系统访问。
文件系统中的数据通常以文件目录和文件的形式存放于树状结构中。
文件系统通常以元数据描述每个文件的信息,包括文件名称、属性、时间戳。
一般元数据都位于目录入口,但另外有些元数据位于特定的文件(如NTFS的$MFT)或者其他位置(如Unix的i-node)。
但一个文件或者目录被删除,通常相关的元数据被设置标志为不激活的。
然而在绝大多数文件系统中,元数据和文件真实内容都未被真正删除。
因此,被删除的元数据仍然能够被访问到。
然而,并不是所有文件内容都能够被访问到,这依赖于元数据的结构和原始格式。
比如一个文件目录是分散在硬盘不连续区域的,如果被删除,目录的第一个数据块通常都能恢复,但是其余的数据块就无法恢复。
应用级恢复:除了文件系统级的数据恢复,还可以在应用级进行数据恢复。
通过识别应用文档特征,在整个硬盘中搜索符合此类特征的数据,达到恢复数据的目的。
以JPG文件恢复为例,JPEG 文件头都有特征,如果根据类特征在硬盘上寻找所有的JPG文件,将比只从文件系统中恢复带有JPG扩展名的文件更加彻底。
2.3.2数据的相关性分析当识别案件中各类数据关联时,可以用节点来表示在他们曾经逗留的地点、所使用过的电子邮件和IP地址、财务交易、用过的电话号码,这有助于确定节点之间是否存在值得关注的联系。
例如在一个大规模的诈骗案调查中,通过把个人与组织之间的活动关系进行连线,可以显示出资金转帐关系,从而揭露出诈骗案件中最活跃的实体。
同样,通过在大量相互交换的消息中描绘嫌疑人发送或接收的电子邮件消息,可以帮助分析员发现可能的同谋。
在分析计算机入侵案时,画一个计算机之间的关系图,可以提供对案件的概况,并且可以帮助确定先前被忽视的数字证据源的位置。
3 计算机取证发展方向计算机取证学是相对较新的学科"经过这些年的发展,已经在理论和实践上取得了不少的成绩。
但是现在的取证技术还存在着较大的局限性。
难以适应社会的需求,并且随着计算机与网络技术的迅速发展,计算机取证还必须应对新的挑战,综合起来看,计算机取证领域将向以下几个方向发展:第一,计算机取证需求逐步融入系统的研究与设计,未来的系统在研究和设计之初,如网络体系结构就应该把计算机取证当作安全的一个环节。
在设计安全管理设施与策略时就将计算机取证当作安全部署的一个要求事先做好,在一定的开发成本下实现证据量的最大化,使取证变得容易。
第二,取证工具自动化与集成化,现在,很多工作都依赖于人工实现。
这样大大降低了取证的速度和取证结果的可靠性。
无法满足实际需要,为了方便取证人员使用。
使得应用场合尽量多一些,需要对产品进行适度的集成。
第三,标准化工作将逐步展开,法律法规将逐步完善,标准化工作对于每个行业都具有重要意义,在取证工具评价标准与取证过程标准方面也是如此。
与计算机取证相关的法律法规将逐步出台和完善,为计算机取证和计算机,电子证据的使用提供法律上更明确的依据。
从研究的角度看,计算机取证需求在新研究与设计的系统中的表示与实现的一般性理论与方法具有重要意义。
计算机证据自动发现与潜在证据的智能发现方法的研究,对取证准备与取证工具自动化具有支撑作用。
计算机取证结论的自动推理与证明领域值得特别重视。
参考文献:[1] Forensic Examination of Digital Evidence: A Guide for Law Enforcement, U.S. Departmentof Justice, 1994[2] Disk Imaging Specification, National Institute of Standards and Technology, 2001[3] Digital Data Acquisition Tool Specification, National Institute of Standards and Technology,2004[4] Carrier, File System Analysis Techniques: Sleuth Kit Reference Document, 2003[5] Crane, Linux Ext2fs Undeletion mini-HOWTO,/HOWTO/Ext2fs-Undeletion.html[6] Erdelsky, A Description of the DOS File System, 1993[7] Access Data Corp, Forensic Toolkit, /products/utk/[8] Belgrade G. Javnosti, Croatia Using Advanced US-Installed Intelligence Technology, 2002。