计算机取证关键技术分析
电子证据与电子取证案例分析与实操技巧
案例三:手机短信作为关键线索协助侦破案件
01
案件背景
一起涉及毒品交易的重大案件,线索极少。
02
侦破过程
通过对涉案人员的手机短信进行深度挖掘,发现关键线索,成功破获案
件。
03
电子取证手段
运用手机取证技术,对涉案手机中的短信、通讯录等进行提取和分析,
发现涉案人员之间的通信规律和交易信息,为案件侦破提供重要帮助。
THANKS
感谢观看
电子取证的标准和规范尚未统一,不同地区和部门之间存在差异。
应对措施
加强法律法规的制定和完善,明确电子取证的合法性和规范性。同时,推动建立统一的电 子取证标准和规范,提高取证的准确性和可信度。
培训与教育
缺乏专业人才
目前电子取证领域专业人才匮乏,难以满足实际需求。
培训和教育不足
现有的培训和教育体系对电子取证领域的关注不够,导致执法人员缺乏必要的专业知识和技能。
辅助侦查和审判
通过对电子证据的收集、 分析和呈现,有助于司法 机关查明案情、正确适用 法律。
提高司法效率
电子证据的获取和处理相 对便捷,有助于提高案件 办理效率和质量。
02
电子取证基本原则与方法
合法性原则
合法授权
取证过程必须获得合法授权,确保取证行为的 合法性。
合法手段
采用符合法律规定的手段进行取证,不得使用 非法手段获取证据。
特点
无形性、多样性、易变性、高科技性。
电子证据种类及来源
种类
包括电子邮件、电子文档、数据库文 件、手机短信、社交媒体记录等。
来源
可能来自于计算机、手机、网络服务 器、云存储等电子设备或系统。
电子证据在司法实践中作用
01
简论网络犯罪现场电子证据提取的技术要点分析
简论网络犯罪现场电子证据提取的技术要点分析论文摘要网络犯罪案件发案率高、侦破难度大,是近几年困扰公安机关的难题。
其中最主要的原因还在于电子证据提取的难度大、不容易固定和保存,特别是网络犯罪现场的电子数据。
网络犯罪现场情况复杂、范围不容易固定、证据类型多,并且现场电子数据尤其容易被破坏和丢失。
本文就目前常见的网络犯罪案件现场勘查流程为线索,分析其中常被忽略的细节,提出可以采取的技术手段和有效处理相关问题的方式方法。
论文关键词网络犯罪电子证据提取现场勘查随着计算机、手机等电子产品的逐渐普及,与之有关的犯罪案件逐年增多。
作为一类新型的高科技犯罪,网络犯罪的表现形态五花八门,而网络空间的虚拟性和电子证据的易失性也加大了此类案件的侦破难度。
为了应对日益严峻的现实,要求相关人员提高网络犯罪侦查的能力。
其中,犯罪现场电子证据的提取是网络犯罪侦查中至关重要而又不容易掌握的一项技能。
现场是案事件发生的地点,往往遗留有较多的痕迹物证。
合理有效的处置现场,尽最大可能保护线索、提取证据对整个案事件的处理具有重要的意义。
由于网络的互联性使得遗留有电子证据的场所分布广泛,既包括传统现场即物理空间,又包括非传统意义的场所即虚拟空间,也就是网络犯罪现场的空间跨度性较大。
另外,现场的空间跨度也导致了时间的连续性,会存在第一时间现场、第二时间现场等,多个现场在时间上有严格的连续性。
同时,网络犯罪现场处理中还要考虑电子证据的复杂性、脆弱性、时效性等特点。
本文就勘验、提取、固定现场留存的电子证据为线索,分析在此过程中需要关注的技术要点。
一、网络犯罪现场勘查的步骤与普通的案件处理类似,网络犯罪现场勘查也有一定的规范、原则和方法步骤。
一般来说,可以分为事前准备、现场保护、现场勘查取证、扣押等步骤。
(一)事前准备鉴于网络犯罪的特殊性,一般来说针对电子数据的现场勘查和取证要一次完成,这就要求在进入现场以前做好充分的准备。
指挥人员必须提前确定由哪些人员进入现场、需要携带哪些设备、如何制定预案、有哪些注意事项等一系列问题。
计算机取证分析
a ayi o o ue mmi r fen e t,fa r ,picpe ,poes ,t h oo is n 0O . nls f mp t f s c ro s ne e i t mso oepa e t e us r ils rcse e n lge ,a d8 i n s c l
技 术等 。
关键词 : 计算机犯 罪; 电子证据 ; 计算机取证
中图分类号 :P9 T 3 文献标识码 : A
An ls fCo ue o e sc ayi o mp trF rn is s
YU B r n 0 . U Mi2
( .a dY u oaoa Clg , a ll 303 C i .m  ̄ o eeo Pbi Ser 1J  ̄ ot V ct nl oee N lT 303 , h a2 J ,Clg ul eui acag 306 Cia i h i l ag ns i i l f c  ̄,N nhn 304 , h ) n
20 年第 1 期 06 2
于波等: 计算机取证分析
算机取证必须保障其程序和证据的合法性。
印等功能的软件 , 主要用来确定证据数据的可靠性 。
. 计算机证据的有效性和可信度是由证据的客观 3 4 分析证 据 这是计算机取证 的核心和关键。证据分析的内 原始性和取证活动 的法定性决定的( 简称计算机证据
维普资讯
20 年第 1期 06 2
计 算 机 与 现 代 化 J U MI Y XA D I U I A U / N AH A s
总第 16 3 期
计算机取证分析
于 波 涂 , 敏2
(. 1 江西青年职业学院, 江西 南昌 3 3;. 30 32江西公安专科学校, 0 江西 南昌 3(4) 306 1 摘要: 目前, 计算机取证 已 成为网络安全领域研究的又一热点。本文详细分析了计算机取证的概念和特点、 原则、 流程与
浅谈信息安全之计算机取证技术
f 张有 东, 东, 4 1 王建 朱梧梗 反 计 算机取 证技 术研 究. 河海 大学学报
( 自然科 学版 ) 2 0 , , 75 0 5
Absr c : m p tr o e is ce e s o t a tCo u e f rnsc s inc i c mpue s in eci na i v s g t n a lw o te r s- sifn i tr ce c ,rmi l n e t a o i i nd a f h c sdiep e s o i
4 06 ) 0 0 5
摘 要 :计算 机取证 学属 于计 算机科 学 、刑 事侦 查 学和 法 学的 交叉学科 ,正 日益受到 各 国和科研 机构 的重视 和研 究, 随 着计 算机犯 罪 断网络化 和职 能化 ,计算机 取证 方式 由 以前 的静 态取证 ,渐发展 为动 态取 证 ,这 两种取 证 方式相 互依 存 , 各有侧 重 。 关冀 词 :计算机 ;取 证 学;动 态取 证 ;静 态取 证
一
术 之间 的对抗 就一直 存在 ,并不 断升 级 。为了防 止敏感 信息被 发 现 ,常将 系统 中带有这 些信息 的文件 加密 、隐藏 或者删 除。 ( )静态取 证技 术 一 静 态取 证主要 是对计 算机 存储 设备 中的数据进 行保 全、 恢复 、 分析 ,主 要涉及 到数据 保护 技术 、磁盘 镜像 拷贝技 术 、隐藏 数据 识别和 提取 技术 、数据 恢复技 术 、数据分 析技 术 、磁 力显微 镜技 术 、加解 密技 术和 数据挖 掘技术 。目前 ,国内外对相 关技术研 究 比较多 ,也有 比较成 熟 的取证软 件 。 针 对计算 机静 态取证 技术 , 目前 反取 证技术 主要 有 :数据 摧 毁 技术 、数据 加密技 术 、数据擦 除技 术 、数 据 隐藏 技术 和数据 混 淆 技术 ,这些 技术可 以单 独使用 也可 以混合 使用 。如果 采用这 些 方法 消 除操作 系统 中的敏 感信息 ,有 可能使 取证人 员得 不到 电子 证据 ,给 计算机 取证 工作 带来 了一定 的难度 。传统 的计算 机取 证 主要 针对稳 定 的数据 ,包括 未删 除和 已删除 的文件 、w no s注 idw 册 表 、临 时文件 、交换 文件 、休 眠文件 、sak 空 间、浏览 器缓 lc 存 和 各种可 移动 的介质 等 。不 同于传统 的计算 机取 证,计算 机 内 存 取证 是从 内存 中提 取信 息 , 些信 息被称 为挥发 ( 这 易失 )数据 , 挥 发数据 是指 存在 于正在 运行 的计算 机或 网络设 备 的内存 中的数 据 ,关机 或重 启后这 些数据 将不 复存在 。 ( )动态 取证 技术 二 因为静态 取证技 术涉 及到基 础研 究 ,因此在 静态取 证中所 涉 及到 的技 术大部 分都 适用动 态取 证 ,也是属 于动态 取证技 术 中的 部份。 在动 态取证 中最 具特 设的取证 技术 有入侵检 测取证 技术 、 网络 追踪技 术 、信息搜 索与 过滤 技术 、陷阱 网络取 证技术 、动态 获取 内存信 息技 术 、人工智 能和 数据挖 掘技 术 ,I 地址 获取技 P 术等技 术 。针对计 算机 动态取 证技 术 ,其 反取 证技术 除包含 静态 反取证技 术 的相 关 内容外 , 有 以下 反取证 技术 : 还 数据 转换技 术、 数据 混淆 技术 、防止数据 创建 技术 ,以及 相关 的黑客木 马技术 等 。 同这些技 术可 以单独 使用 也可 以混 合使用 ,这些 技术 的使用在 一 定程 度上给 取证 人员带 来 了一定 的困难 。
探讨计算机取证技术面临的困难
、
引言
随着 网络信 息技 术 的快 速发 展及 普及 ,计 算 机技 术在给 人们 日常生 活及工 作带 来方 便 的同 时, 也潜伏 着各 种各 样 的信 息危机 。 近 年来 ,计 算机在 各个 领域 得 到 了极 为广 泛 的运 用 , 已经 成为 了 种普 通 的应 用工 具 , 而犯 罪 分子 也将其 作 为 了常 用 的犯罪 工具 , 计 算机 犯罪 案件也 层 出不 穷 ,如 :计 算机 诈骗 、 电子 商务 纠纷 、
等 , 以对 犯罪 事件 进行 重构 ,或 对某 些 同当前 操 作计 划无 关的侵 权性 活动 进行 分析 ,以助于 对犯 罪行 为进 行有 效 地打 击 ,对 人们 的财 产及 信息 安全 加 以保 护【。 J J ( )来 源 二 计算 机取 证 的主要 的信 息来 源通 常包 括 以下 几个 方面 :计 算 机 的主机 系统 、网 络及 其他 的 电子设备 。 1 机系统 . 主 计算 机主 机系 统方 面 的证据 主要 有 :用户 的 自建 文档及 保 护 文档 ,创 建文 件 ,以及在 其他 的数 据 区域 内的数 据证 据 。
( rsrain) 存档 ( c mett n)及 出示 ( rs tt n) P eev t o 、 Dou n ai o P ee ai n o
三 、计 算 机取 证的 基本 流程 要对 计算 机犯 罪 的相关 证据 进行 获取 ,通 常可 以从 以下环 节 做起 :第 一 ,做好 取证 准备 。对 取证 的条 件及 环境进 行 客观 的分 析 ;第二 ,进 行现 场勘 查 ,对证 据加 以固定 。保障 获取证 据 的合 法性 ;第 三 ,进行 相关 的数 据分 析 ,有效 的对 证据 加 以提 取 。对 所获 取 的重要 数据 信息 进行 详细 的分 析及 处理 ,将 与案件 有关 的 数据进 行确 定 , 犯罪 事 实加 以证 明, 保案件 同数据 的关联 性 。 对 确 第 四,呈 递有 效证 据 。将所 获取 的有 效 电子证 据进 行鉴 定后 ,对 犯罪 定性 加 以保 。在整个 取 证过 程 中 ,数据 的分 析及 证据 的 固定 是极 为关 键 的环节 ,同时也 是两 个技 术性 含量 最高 的环节 。 计算机 取证 的基本 流程 如图 1 。
信息安全的数字取证
信息安全的数字取证随着互联网的迅猛发展和信息技术的不断进步,数字化的生活方式已经成为当今社会的主流。
与此同时,随之而来的是信息安全威胁的不断增加。
在应对信息安全事件时,数字取证在保护用户利益、打击犯罪活动和维护社会秩序方面起着至关重要的作用。
一、数字取证的定义及重要性数字取证是通过对电子设备、网络系统和数据进行调查鉴定,以提供证据支持刑事侦查、民事诉讼和行政执法的一项关键技术。
其核心目标是识别、保护和获取可使用的电子证据。
数字取证在信息安全领域具有重要意义,它可以帮助揭示真相、还原事件过程、确保证据的可信性和完整性。
二、数字取证的作用和应用领域数字取证作为信息安全领域的一项重要技术,广泛应用于以下领域:1. 刑事侦查:在犯罪案件中,数字取证有助于追踪犯罪嫌疑人、还原犯罪经过、搜集关键证据,为司法机关提供有力的侦查支持。
2. 网络安全:对于网络攻击、数据泄露以及其他网络安全事件,数字取证可以通过追踪入侵者、还原攻击过程、查找潜在漏洞等方式,提供技术支持和预防措施。
3. 企业内部调查:在企事业单位中,数字取证可以用于员工违规行为的调查,例如涉嫌数据泄露、商业秘密盗窃等,有助于维护企业的商业利益和声誉。
4. 互联网犯罪打击:数字取证技术在打击网络诈骗、网络传销、网络盗版等互联网犯罪活动方面发挥着重要的作用,为执法机关提供技术手段和依据。
三、数字取证的技术手段和流程数字取证包括以下主要技术手段和流程:1. 设备获取:对涉案电子设备进行获取,包括计算机、手机、磁盘等。
确保采取合法、规范的方式,以保持证据完整性和可信度。
2. 数据采集:通过取证工具或数据镜像等手段,对电子设备中的数据进行完整、准确的搜集,以确保数据的真实性和可审查性。
3. 数据分析:对采集到的数据进行深入分析和挖掘,包括还原文件、还原操作过程、查找隐藏信息等,以获得关键证据。
4. 证据报告:将分析得到的证据进行整理、汇总和报告,以便进一步调查和诉讼使用。
计算机取证中日志分析技术综述
1 3 志 是 指 系 统 所 指 定 对 象 的某 些 操 作 和 其 操 作 结 果 按
系 统 正 常 行 为 的活 动 轮 廓 , 建 立 起 系 统 主体 的 正 常行 为 活 动
轮廓 。检测时 。 如果系统 中的 1 3志 数 据 与 已 建 立 的 主 体 正 常 行为特征有较 大出入 , 就 认 为 系统 遭 到入 侵 。 基 于 统 计 的 用 户 活 动 轮 廓 通 常 由 主 体 特 征 变 量 的 频 度、 均值 、 方差 、 被 监 控 行 为 属 性 变 量 的 统 计 概 率 分 布 以及 偏 差 等 统 计 量 来 描 述 。典 型 的 系 统 主 体 特 征 有 : 系 统 的 登 录 与注 销时 间 、 用户 登录失 败次数 、 C P U和 I / O利 用 率 、 文 件 访 问 数 及 访 问 出错 率 、 网络 连接 数 、 击 键频 率 、 事 件 间 的 时 间
c o mp u t e r e v i d e n c e b y ma k i n g f u l l u s e f o l o g s i n t h e c o mp u t e r f o r e n s i c s i f e l d . h i T s p a p e r a n a l y z e s t h e i mp o t r a n t r o l e o f l o g i f l e s a n d l o g a n ly a s i s i n c o mp u t e r f o r e n s i c s ,a n d r e v i e ws he t b a s i c a n d c o r r e l a t i n g a n ly a t i c me t h o d s f o r l o g a n ly a s i s , a n d p o i n t s o u t t h e d i r e c t i o n s or f l o g a n a l y s i s d e v e l o p me n t . Ke y wo r d s : c o mp u t e r f o r e n s i c s ;l o g a n ly a s i s ;t h e b a s i c me t h o d s ;a n a l y t i c me t h o d s ;c o r r e l a t i n g a n a l y s i s
开始学习计算机犯罪和数字取证
开始学习计算机犯罪和数字取证近年来,随着互联网的迅猛发展和智能设备的广泛应用,计算机犯罪和数字取证已成为一个备受关注的话题。
学习计算机犯罪和数字取证对于保护网络安全和打击犯罪行为有着重要的意义。
在本文中,我将从不同的角度探讨这一主题。
首先,我们需要明确什么是计算机犯罪和数字取证。
计算机犯罪是指利用计算机技术进行非法活动的行为,如黑客攻击、网络诈骗等。
数字取证则是指通过采集、收集和分析电子设备存储数据,以获取相关证据的过程。
这项技术往往被应用到刑事司法、企业安全以及网络安全等领域。
在学习计算机犯罪和数字取证的过程中,我们不仅需要理解相关法律法规,还需要具备扎实的计算机知识和技术能力。
毋庸置疑,计算机犯罪是一个复杂的领域,想要有效地打击犯罪行为,必须对计算机系统、网络安全以及相关技术进行全面的了解。
只有掌握了相关知识,才能更好地保护自己免受犯罪的侵害。
此外,学习计算机犯罪和数字取证也需要掌握一定的技术工具和技巧。
对于数字取证而言,如何有效地采集、保护和分析电子证据是一个重要的环节。
现今市场上有许多专门的数字取证工具和软件,通过学习和熟练掌握它们的使用方法,可以更高效地开展数字取证工作。
同时,掌握一些必要的技巧,如数据恢复与清除、系统安全漏洞分析等,也能够帮助我们更好地应对和处理计算机犯罪。
不仅如此,在学习计算机犯罪和数字取证的过程中,我们还需要了解行业发展动态和前沿技术。
计算机犯罪是一个快速变化的领域,犯罪分子不断改进技术手段,网络攻击也日益复杂。
因此,及时了解最新的犯罪手法和网络安全威胁,掌握前沿的防御技术和工具,对于提高自己的能力和技术水平至关重要。
只有不断学习和更新知识,才能保持在这个竞争激烈的领域中的竞争力。
最后,学习计算机犯罪和数字取证也需要具备一定的道德素养和责任感。
计算机犯罪行为的发生往往是由于黑客攻击、网络病毒等,这些行为对个人、企业和社会造成了巨大的损失。
作为学习者,我们应该意识到自己的学习目的是为了保护网络安全和打击犯罪行为,而不是为了从事非法活动。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
计算机取证关键技术分析金波,陶明明公安部第三研究所上海200035上海金诺网络安全技术发展股份有限公司上海 200122摘要:电子证据是一种新的证据类型,为提高电子证据的证据力,本文分析了电子取证的取证程序与取证的关键技术,提出了取证的一般性原则、数据采集方法、取证的设备和装置要求。
关键词:计算机取证, 电子证据,Analysis for Key Technology of Computer ForensicJin Bo, Tao MingmingThe Third Research Institute of Ministry of Public Security, 200035 ShanghaiKingnet Security Inc., 200122 ShanghaiAbstract:.Electronic evidence is a sort of new style evidence. To improve the probative value of electronic evidence, the paper analysis computer forensic process and key technology, provided the rule of computer forensic, data acquire method and the requirement of forensic device.Keywords:Computer Forensic, Electronic Evidence1概述随着计算机和互联网络技术的迅速发展,电子商务、网络教育、各类网络服务和电子政务在经济社会的人际交往、经营活动中被大量应用。
随之,各类经济纠纷、民事纠纷和刑事案件也会时有出现。
判定或处置各类纠纷和刑事案件过程中,电子文挡已经成为重要证据之一。
许多计算机化的产品中都会存有电子证据,例如:移动电话、PDA、路由器等,也有许多形式的存储介质,包括:硬盘、光盘、U盘等。
另外,网线、电缆甚至空气也能携带数字信息,通过适当的设备,就能将这些数字信息提取出来,以备使用。
本文以计算机证据的重要载体—硬盘为例,研究分析计算机取证中的关键技术要求,包括:取证的一般性原则、数据采集方法、取证的设备和装置要求。
2取证程序电子证据处理总共分3个阶段:证据获取、证据分析和证据表现[1]。
证据获取阶段的工作是固定证据。
电子证据容易修改,一旦决定需要获取电子证据,应该首先进行证据固定,防止有用证据的丢失。
在本阶段要求将电子证据的状态固定起来,使之在后续的分析、陈述过程中不会改变。
并能够在法庭展示证据固定的有效性,比如展示原始证据和固定后证据的Hash校验值。
证据分析阶段的工作是分析证据与案件的关联性。
电子证据包含的数据量往往很大,而且数据类型往往杂乱无章,收集的所有证据需要进行提取、整理和筛选后才能被使用。
在本阶段要求能够对证据进行全面分析,并在全面分析的基础上能够进行数据挖掘和整合,使之清晰呈现案情相关信息。
证据表现阶段要就电子证据与案件的关联性进行陈述。
在此阶段要求能够证实电子证据取得的途径、分析过程,并合理引用电子证据分析结果对案情进行陈述。
3证据获取当采集电子证据时,应将注意力放在计算机内容而不是硬件上。
当从计算机中采集数据时有两种选择,一种是采集所需要的数据,另一种是采集所有的数据。
采集所需要的数据有遗失线索和损害证据的风险,因此一般情况下,取证人员将从涉案的计算机硬盘中完整采集出所有数据。
通过硬盘克隆机或者数据获取软件是两种常用的方法。
3.1应用硬盘克隆机获取证据从硬盘中采集数据时最直接的方法是在记录了硬盘和主板的连接方式后,将硬盘从计算机上拆卸下来,然后用取证专用的硬盘克隆机制作原硬盘的克隆品[2]。
硬盘数据物理复制采集的原理框图如图1所示。
图1、硬盘数据采集原理框图硬盘数据物理复制采集可按以下步骤操作:(1) 拆除将接受数据取证的硬盘;(2) 检测接受数据取证硬盘未被物理故障造成硬盘数据无法读取;(3) 打开预备的目标硬盘,对目标硬盘进行格式化处理,清除目标硬盘内所有内容;(4) 复制原硬盘数据到目标硬盘。
硬盘复制机必须是专用、特制,具有获取完整数据的复制机。
复制机在工作状态时必须对被复制硬盘数据写保护,获取的所有数据应在复制前、后保持一致。
复制机应通过物理级复制技术获取文件系统的完整数据,包括文件Slack区和未使用的空间,并能提供和原硬盘数据完全一致的副本。
经复制机复制在目标硬盘上的数据应以位(Bit)的形式存在,复制机必须将原硬盘的数据全部复制到目标硬盘或镜像文件中。
复制范围从硬盘的逻辑第一扇区开始,一直到硬盘逻辑最末扇区结束。
复制机应具有复制传输单方向功能;即原硬盘数据向目标硬盘传输,不可逆向。
复制机应具备数据校验功能;检验目标硬盘和原硬盘数据完全一致。
复制机应具有硬盘擦除和格式化功能;可擦除目标硬盘不正确的数据。
或对目标硬盘进行格式化处理。
复制机应遵循严格的工作流程进行操作,确保数据获取的精确性和原始数据的完整性。
下图是硬盘复制机工作流程:图2、硬盘复制机工作流程3.2数据获取软件获取证据数据获取软件采集数据是另外一种方法。
目前Windows和Linux下都有相应的数据获取软件。
由于Windows是会自动在检测到的硬盘上写入数据,因此Windows的数据获取软件在使用时必须结合硬盘写保护器进行。
硬盘写保护器通过USB或1394接口和取证计算机连接。
3.2.1Windows数据获取软件和硬盘写保护器其原理如图3所示。
USB或1394数据获取图3、硬盘数据采集原理图硬盘数据镜像采集可按以下步骤操作:(1) 拆除将接受数据取证的硬盘;(2) 通过硬盘写保护器将接受数据取证的硬盘连接到另外一台计算机上。
利用计算机应用软件复制硬盘原数据到目标硬盘。
硬盘写保护器是保护原硬盘数据不更改的设备,写保护器应在主机发送对取证硬盘复制指令后,不传输任何修改指令给取证硬盘。
写保护器与取证硬盘的接口及应用程序应具有单向功能,单向的方向必须是取证硬盘向复制机的目标硬盘,不可逆向。
写保护器在收到一个来自主机的读指令操作类的操作后,应通过读操作返回请求的数据。
读指令操作可包括:从某个存储介质的特定位置请求数据并把请求的数据返回给主机的操作。
一个读操作从存储设备的介质里请求一个或多个数据块,每个数据块都有关于存储位置和长度的说明。
写保护器在收到一个来自主机的信息指令操作类的操作后,应返回主机一个包含不修改任何重要访问信息的回复。
写保护器应将受保护硬盘的任何错误情况立即报告给主机。
其他非修改的指令操作应包括:任何不属于其他的请求存储设备执行一个非破坏性动作的操作类的操作。
3.2.2Linux数据获取启动光盘Linux数据获取软件一般是以可启动光盘形式出现[3]。
取证人员可以利用可启动的、不会改写硬盘数据的光盘启动计算机,将数据采集出来。
其原理如图4所示。
图4、 Linux启动光盘采集原理图此方法的数据采集可按以下步骤操作:(1) 将接受数据取证的硬盘连接到预置的专用计算机上。
(2) 通过光盘启动计算机,直接将原硬盘的数据采集到目标硬盘上。
4证据分析主要的证据分析技术有:删除数据的恢复、加密数据破解和海量数据的线索分析。
4.1删除数据的恢复被删除数据的恢复主要从两个层次进行:文件系统级和应用级的数据恢复。
4.1.1文件系统级恢复文件系统用于存储数据,供计算机系统访问。
文件系统中的数据通常以文件目录和文件的形式存放于树状结构中。
文件系统通常以元数据描述每个文件的信息,包括文件名称、属性、时间戳。
一般元数据都位于目录入口,但另外有些元数据位于特定的文件(如NTFS的$MFT)或者其他位置(如Unix的 i-node)[4]。
但一个文件或者目录被删除,通常相关的元数据被设置标志为不激活的。
然而在绝大多数文件系统中,元数据和文件真实内容都未被真正删除。
因此,被删除的元数据仍然能够被访问到。
然而,并不是所有文件内容都能够被访问到,这依赖于元数据的结构和原始格式。
比如一个文件目录是分散在硬盘不连续区域的,如果被删除,目录的第一个数据块通常都能恢复,但是其余的数据块就无法恢复[5]。
过去的存储设备都比较昂贵和缓慢(和RAM相比),在设计文件系统时均允许操作系统以高效和快速的方式访问二级存储。
虽然不同的文件系统执行方式不同,但总体上,都具备恢复删除文件的能力。
两个最关键点是:持续写入和文件系统活动方式。
文件系统在一般情况下都尽量使用持续写入:绝大多数操作系统以连续数据块的方式往驱动器上写数据。
一个给定的数据文件,在写入磁盘后未作任何修改,这个文件数据将在连续的扇区上。
这将使得读写速度加快,因为磁头无需转移到另外的区域去读写数据。
这样,文件即使被删除,存在于连续区域的几率也比较大,根据此原理,可以找回文件数据。
[6]为了尽快和高效的文件操作,文件系统的许多活动都将变化控制在最小。
比如文件删除,绝大多数情况下,只进行逻辑删除,这就意味着真正的数据并为删除,而只是对信息进行索引的元数据发生了变化,标记或者删除。
用这项技术,文件内容不管多大,删除时都只是简单修改或者删除索引结构。
最简单的例子就是Windows FAT32文件系统删除文件。
它只是找到被删除文件在目录中的入口,并将首字节改为”0xE5”,并将文件分配表清空。
绝大多数元数据和文件内容都保留。
绝大多数情况下,这些通常的属性都能帮助进行数据恢复,不管数据位于何种文件系统中。
许多工具都可以定位潜在的文件系统对象,找到残余的元数据,并恢复最大数量的连续文件。
4.1.2应用级恢复除了文件系统级的数据恢复,还可以在应用级进行数据恢复。
通过识别应用文档特征,在整个硬盘中搜索符合此类特征的数据,达到恢复数据的目的。
以JPG文件恢复为例,JPEG 文件头都有特征,如果根据类特征在硬盘上寻找所有的JPG文件,将比只从文件系统中恢复带有JPG扩展名的文件更加彻底。
4.2加密文档的解密加密给证据分析提出了难题,像Office这样的办公软件就内置有加密文档功能。
有两种方法可以处理类似于Office这种加密程序:密钥搜索和分布式破解[7]。
4.2.1密钥搜索技术以Word®/Excel® 97/2000为例,如果加密文件使用的RC4算法,如果文件保护被使用,最简单的办法是利用字典或者暴力方式破解密码。
然而这种方法往往只能对简单密码有效。
比如如果密码有10位长,并且包含大小写和数字,首先无法找到包含这些字符的字典,只能用暴力破解。
如果使用暴力破解,则需要尝试的口令个数为:(26 + 26 + 10) ^ 10 = 839,299,365,868,340,224假如采用P4的电脑,每秒尝试1000,000个密码,也需要26614年时间完全尝试完。