孙波[1]2004年在《计算机取证方法关键问题研究》文中指出本文针对日益严重的计算机犯罪,对计算机取证方法中存在的几个关键问题进行了研究,取得了以下五个方面的主要成果: 第一、提出了奠基时期、初步发展时期和理论完善时期的阶段划分方法。本文比较系统地对计算机取证研究的基本思想、技术和方法的形成和发展过程进行了全面的分析,给出了计算机取证研究演化进程的一个全景视图,为全面认识计算机取证技术的发展水平,把握计算机取证研究的正确发展方向建立了一定的基础。 第二、本文结合软件工程中需求分析和组件的思想提出了基于需求的计算机取证过程模型。此模型提供了一个更为有效和抽象的计算机取证过程框架,它不限定哪类取证调查环境应该提供哪些取证过程,所有这些,由产品的用户、开发人员或其它第叁方在实际应用中根据实际需要来确定,这为描述不断变化的复杂现实应用环境中的安全需求提供了灵活性,也使得研究制定统一的计算机取证过程标准成为可能,同时开放性的模型框架为将其它领域中的实用方法(如传统取证中的方法)结合进来铺垫了道路。 第叁、本文提出预先设置电子数据证据收集系统(Digital Evidence Collecting System,简称DECS),用来构造计算机取证收集环境,从而保证最大限度地获取电子数据证据。 第四、DECS的保护是保证电子数据证据完整性(integrity)和真实性(fidelity)的关键问题。本文提出,安全隔离环境是用于保护DECS的有效方法。为了构造安全隔离环境,作者将访问控制机制引入了DECS的保护功能中:以LOMAC为基础,设计并实现了一种新的保护机制——I-LOMAC。通过实验测算,这种新的访问控制机制不但为DECS提供了较为完备的安全隔离环境,而且对整个系统性能影响较小。 第五、在计算机取证调查中不但由于大量计算机取证数据的存在,而且由于异常行为往往隐藏在分散的数据之中,使得调查人员很难获得潜在的数字犯罪证据。本文将传统犯罪取证研究中的犯罪轮廓构建技术的基本思想和方法应用计算书L取证方法关键问题研究于计算机犯罪证据分析的研究中,提出电子数据证据犯罪行为轮廓(C riminalBehavio:Profiling In nigital Evidenee,简称CB一PIDE)分析方法。此方法可以在大量的取证数据中确立重点调查取证范围、挖掘潜在的异常行为。通过在实际环境中对CB一PIDE分析方法的应用效果进行的测算表明,CB一PIDE分析方法可有效地缩小取证调查范围,挖掘潜在的异常行为,从而帮助调查人员确立调查策略、集中现有资源,有效地对可疑目标进行调查。 总之,本文的研究成果为进一步探讨计算机取证基本方法,从而构建实用有效的计算机取证系统建立了基础。
李敬伟[2]2015年在《计算机取证方法关键问题探究》文中指出二十一世纪被称为信息时代,就是因为计算机和网络技术已经深入人类活动的各个角落,人们的生活已经与计算机息息相关,但同时也为犯罪分子提供了更多的便利条件,当前的犯罪活动几乎都有计算机的参与,计算机犯罪日渐猖獗,我制止犯罪,应对于计算机犯罪的特殊性和技术性,"计算机取证"粉墨登场,其在打击计算机和网络犯罪中发挥着关键作用,本文对计算机取证方法进行探究,旨在寻求建立更有效的计算机取证系统,保证计算机取证工作深入、综合发展。
王连海[3]2014年在《基于物理内存分析的在线取证模型与方法的研究》文中研究说明计算机技术极大地促进了人类社会的进步,同时也带来了计算机犯罪问题。计算机取证(Computer Forensics)是打击计算机犯罪所使用的主要技术手段,一般分为离线方式和在线方式。离线方式是在关闭计算机或电子设备后,再对相关数据进行取证的方式,是以往主流的取证方式。然而,随着云计算、移动互联网等新信息技术的飞速发展以及电子数据存储量快速增长,这种以磁盘复制为主要特征的取证方式受到越来越大的挑战。为了应对这种挑战,学者们提出了在线取证(Live Forensics),并逐渐受到了人们的重视。在线取证的核心任务就是要获取计算机上的系统进程信息、加载的驱动程序、网络连接状况、当前打开的文件以及其他系统操作痕迹等易失性数据(volatile data)。这些信息是信息安全事件追查和入侵取证分析的关键要素,它们都驻留在计算机物理内存中,然而随着宕机或系统重启,这些信息将丢失。特别是在某些情况下,从内存中获取证据是取证的唯一方式。由于研究时间较短,作为一项新技术,当前的在线取证技术还存在着很多不足之处,影响了它的有效性和权威性,主要表现在如下几个方面:(1)需要采用新方法,来提高在线证据的可信性电子证据的可信性是计算机取证研究中的关键问题。传统的在线取证方法在证据收集阶段不严谨,即使取得了一些证据,其完整性(integrity)和真实性(fidelity)也很难得到证明。(2)需要根据技术发展,建立并完善在线取证模型计算机取证的技术模型,决定了取证方法、技术及相关研究工作的整体方案设计思路。当前的模型均基于传统的在线取证方式。因为其取证过程中数据的收集、保存和分析等活动交叉进行,所以很难清晰界定取证活动特定阶段的界面、活动要素。由于在线取证活动是在目标机器上进行的,这必然会在一定程度上改变系统的原始状态和少量数据,从而影响“证据”与系统数据原始状态的一致性,严谨的取证活动需要对这样的“影响”进行评估。(3)需要以新的技术和思路,来解决实际取证过程中出现的一些技术难题取证实践中尚有一些技术难题,例如屏保状态的取证问题;Webmail密码破解问题;硬盘保护密码、BIOS密码破解问题、软件加密硬盘的破解问题、即时通讯软件的取证和密码破解问题。这些难题需要研究新的技术和思路来攻克。针对上述问题,本论文从完善计算机取证理论基础的角度出发,从物理内存信息获取和分析入手,研究并提出了基于物理内存分析的计算机在线取证方法和模型。为了使基于物理内存分析的在线取证方法具有实践意义,本文紧密围绕两个问题展开研究:一是内存镜像文件与内存获取时计算机实际内存内容的差别计算问题,以及如何评估这些差别对在线证据可信性的影响;二是物理内存的可信获取和分析问题(主要包括Windows和Mac OS物理内存分析)。这两个问题都是基于物理内存分析的在线取证方法可行的前提条件。如果前一个问题不解决,那么由此方法获得的证据将面临着不被认可的局面;同样,如果不解决后一个问题,就不能有效从内存镜像提取各类在线证据,从而使得所提的取证方法毫无意义。具体的,本文主要的工作和创新如下:(1)提出了基于物理内存分析的计算机在线取证的新思路,该思路使得对计算在线证据的可信性进行评估成为可能。传统的在线取证需要在目标系统上运行各种取证软件,导致了在线获取的电子证据可信性非常差。本文以物理内存分析为突破口,将在线证据的可信性问题聚焦于内存获取这一点,从而使得评估在线证据的可信性成为可能。在此基础上,展开在线证据的可信性研究,可有效提高在线证据的可信性和证明力,有助于引导计算机在线取证技术研究向规范化、科学化前进,推动计算机取证的整体发展。(2)提出了基于物理内存分析的计算机在线取证模型,该模型比传统在线取证方式更符合传统物证技术的要求。传统的取证模型难以有效区分在线取证的各个阶段,而本文提出的基于物理内存分析的在线取证模型能够自然地区分在线取证各个阶段。由于调查和分析都依赖于所获得的物理内存映像文件,该模型易于验证分析调查工作的正确性,因而比传统的在线取证方式更符合物证技术的要求。(3)提出的基于物理内存分析的计算机在线取证方法,有利于最大限度地减少对目标系统的影响。因为专用的内存获取工具可以在较短的时间内完成内存获取工作,所以该方法对目标系统造成的影响很小。同时由于仅在内存获取阶段对目标系统造成影响,该方法有效地降低了对目标系统的影响。(4)为验证新方法的可行性,提出了基于KPCR结构的物理内存分析方法,解决了不同版本的Windows操作系统对内存分析方法的限制;研发了基于1394接口和PCIE接口的内存读写器,并应用这些技术解决了几个取证实战中的难题。(5)研究了内存获取过程中内存数据的变化情况以及其可信性评估问题,提出了把内存获取过程看作一次对内存数据的测量、把其过程中内存的变化看作误差的研究思路,参照了测量系统的方法给出了内存获取的误差等相关定义。总结了如何减少实验误差的原则。给出了系统误差的计算方法,以及系统进程误差的计算方法。这些分析表明了由基于物理内存分析的在线取证方法获得的证据是可信的。
常成月[4]2017年在《基于证据图技术的网络取证方法研究与实现》文中提出随着互联网规模越来越大,结构更加复杂,利用计算机技术犯罪的数量也在以惊人的速度增长。为了应对越来越多的计算机犯罪,计算机和网络取证应运而生。网络取证过程中会获得潜在的网络上的犯罪行为的证据。其主要通过实时监控、捕捉或搜索网络数据流、网络设备和主机的日志信息,分析并找到有效的网络入侵活动的合法证据和入侵所照成的损失,以此支持对网络刑事犯罪的指控。网络取证的问题是一个交叉着各种复杂技术的问题,而且它可以作为一个重要武器来保护网络信息安全。然而随着网络的迅速发展,网络数据的传播速度有所提高,并不是所有的流量捕获和分析都是有价值并值得调查。本文在分析现有网络取证方法的基础上,提出一种利用网络漏洞和网络证据图相结合的网络取证方法。在本文中,利用漏洞的证据和推理算法重构攻击场景,然后回溯网络数据包发现原有的证据。本文的方法可以有效地重建攻击场景,然后通过证据推理识别多级攻击。实验结果表明,使用本文的方法构建的证据图是更完整和可靠的,同时具有推理能力。针对目前网络取证所采用的技术,一些由于数据处理性能低导致数据丢失;一些由于需要过多的存储空间,无法保存完整的证据链;一些由于没有高效的数据存储格式,不能够存放各式各样网络数据格式;一些由于没有有效存储数据的存储方式,导致证据检索过程过慢。面对大量的、动态的网络数据,如何获取、分析和存储数据是网络取证过程中必须解决的关键问题。针对以上几大关键技术问题进行研究,研究内容如下:(1)提出采用数字签名与时间戳技术对原始数据信息加以数据保全,从而保证证据的原始性与连续性,使用“事件向量”统一异构数据源格式,再次将网络数据精简处理,且便于后期利用“事件向量”这一特殊数据格式有效生成证据向量。(2)提出使用机器学习算法采用41种特征准确地分类网络数据包,过滤出良性数据包和可疑数据包,通过使用小部分的训练样本,使其成为一个有效的工具来执行网络数据包分类,使数据信息数量精简。(3)提出漏洞关联分析与漏洞证据推理算法(VERA)推理出最终的攻击主机与攻击路径。其中漏洞关联分析是对开放式网络中每个主机进行漏洞扫描并给与漏洞评分,漏洞推理算法则是基于证据图并结合网络主机的漏洞分数对网络攻击进行推理,进而推理攻击主机与攻击路径,将其作为证据图呈现给法院。(4)最后本文结合以上方法,提出一种网络取证框架,并基于该框架做实验验证该框架的可行性。对本文提出的网络取证方法通过实验与原型系统测试的结果表明,提出的网络取证方法能够有效地重建攻击场景,并通过证据推理识别多级攻击。通过证据图形象生动的展示入侵路线。
丛庆[5]2017年在《计算机取证方法关键问题的思考》文中研究表明对计算机犯罪证据的识别、获取、传输、保存以及分析和提交认证的过程被称作是计算机取证,这实质上是对计算机系统进行详细扫描,并且重新模拟入侵事件的过程。本文对计算机取证的概念与特点以及计算机取证人员在取证的过程中所应当遵循的原则和操作规范进行介绍,对其中的关键的地方进行分析,分析其中存在的问题,并且尝试解决这些问题。
宋亦青[6]2007年在《电子取证若干问题研究》文中指出以电子技术、计算机技术和通信技术为代表的信息技术促使人类社会进入了日新月异的信息时代,构建了一个丰富多彩的虚拟信息空间,潜移默化地影响、改变着人类传统的意识、工作、生活等各个方面。伴随着商务、政务、教育医疗等各行业的电子化、网络化,违法犯罪的形态也在发生变化,破坏计算机系统、网络诈骗以及一切与信息技术相关的高科技犯罪日益增多,逐渐地一种新型的证据——电子证据登上了司法舞台。对于这种由信息技术衍生的新型证据,引起越来越多司法及技术界的关注,也成为近年来证据法学界的主要争议对象。无休止的争论势必会影响此类证据在实践中的应用,因此相关的立法迫在眉睫。本文对电子证据各种相关术语进行研究并结合信息技术的特征,对电子证据的特性进行总结,尤其是法学界关注较少、但却奠定了电子证据使用规则的科学技术基础的物理特性进行了较为详尽的分析。在电子证据界定的基础上,将电子证据与书证、视听资料等传统证据进行比较,提出了赋予电子证据独立的法律地位,及以电子证据取代视听资料等对证据划分体系的修改建议,进而提出重新规范传统的诉讼证据划分的观点,明确了电子证据使用的法律基础。证据是证明案件事实、定罪量刑的基础。根据刑事立法保障人权之宗旨、依据证据裁判之原则,针对高科技犯罪带来的新情况、新问题,侦查机关应在新形势下重新审视传统取证技术面对信息技术不断发展之尴尬境地,在总结传统取证技术经验的基础上,分析、归纳高科技犯罪的手段、方法,将最新科技成果的具体技术结合虚拟世界的特点,形成相应的电子取证规范,以从容应对新型犯罪的挑战。就电子取证而言,虽然目前《公安机关电子数据鉴定规则》、《计算机犯罪现场勘验与电子证据检查规则》等规定约束着电子取证的证据收集、封存、鉴定等环节,但仅仅侧重于宽泛地指导某些步骤的具体操作,既不够全面、细致也缺乏系统、规范的取证原则,社会上亦无这一方面的行业标准,加之以往包括司法机关在内的社会各界对于电子证据理解不一,造成司法实践中的许多操作很不规范和成熟,无论是技术研究还是取证实践均还处于摸索阶段,愈加显现出技术与法律脱节的严重局面,导致电子证据的可采性在诉讼中经常处于争议之窘境。本文通过对电子证据的研究、侦查理论的学习,同时结合在公安工作中的经验,概括总结出规范电子取证工作的依法取证、无损取证、全面取证和及时取证原则,对现行的电子取证工作提供符合法律要求的指导思想,继之详细地阐述了高科技犯罪案件侦查阶段电子取证的各个环节的作用、目的、要求及应该注意的问题,确保通过电子取证获取的证据的可采性,以期对今后规范高科技犯罪案件的侦查和电子取证产生一定的推动作用,使之具有科学性、法律性。本文最后从立法、技术、人才等角度阐述了叁者对电子取证顺利进行所起到的保障作用。
刘德[7]2007年在《开放网络环境下动态计算机取证技术研究》文中指出随着计算机的发展和Internet的普及应用,各种各样的网络犯罪层出不穷。由于网络环境的特殊性,与传统的取证方法相比,网络环境下的计算机取证面临着涉案人员的身份难以确定、犯罪行为难以认定、技术对抗性较强等难题,传统的取证方法已不再适应信息化发展的要求,着手建立和完善网络环境下电子证据的取证理论与方法具有重要的现实意义,已成为当务之急。针对上述问题,分析国内外关于计算机取证方面的研究进展,指出现有计算机取证技术、方法和工具存在的不足,围绕在开放的Internet环境下的如何进行动态的计算机取证进行了研究。在分析Rootkit技术原理的基础上,给出一种借助木马原理的分布式动态计算机取证系统(TBDFS),借助Rootkit木马原理,实时地对开放网络环境中的机器进行监控,分布式地收集和组织证据,并在发现非法行为时根据策略灵活的选用不同的应对方式,增强电子证据获取能力和保障证据的安全性。针对系统所涉及的关键技术,如系统实时监控、取证Agent的自我隐藏、分布式数据收集、基于规则的误用检测、灵活的策略控制、证据的安全保护、证据处理和分析等方面进行了较深入的研究。完成TBDFS系统的设计,详细说明各模块的组成及实现方法,并通过灵活的分层和插件体系结构,提供“即插即用”的方式对系统现有功能灵活地进行升级或扩展。C、C++作为原型系统的编程语言,Visual C++ 6.0和Windows Driver Development Kit 2003作为编译工具,实现了TBDFS系统原型,并在开放Internet环境中两台使用Windows XP操作系统的PC机上进行了现场测试,测试结果表明:该原型系统可以实现匿名举报、电子证据的侦察和收集与分析功能,实现了开放网络环境下电子证据的秘密收集与刑事侦察,为法官全面审查证据和做出公正判决提供一种新的思路。
金凌杰[8]2011年在《计算机证据材料污染问题及相关对策》文中研究表明计算机证据是一种新型的证据形式,它的出现是伴随着人类近代的信息技术衍生出来的,对于计算机证据的表述,计算机证据具有高科技性、易损毁和消逝性、可挽救性、隐秘性的特点,因此,计算机取证由于不同于其他证据的取证方式,其所遭到的修改、篡改、删除都是让人难以察觉到的,如果发生在计算机证据的生成、收集、储存、保全、固定、传输等环节中,就会影响了计算机的完整性,将会导致计算机证据证明力的下降,可以说此时的计算机证据已经遭受到了污染。因此,笔者认为计算机证据污染就是指计算机证据在生成、收集、固定、保全、传输等环节由于人为、环境或者其他客观因素影响了证据的完整性。本文通过历史研究、比较研究、定性分析等方法阐明了什么是计算机证据材料的污染、介绍影响证据污染的因素,并针对这些情况制定必要的方式方法,提出了相应的对策防止计算机取证过程中证据遭到污染。全文共分四章,第一章介绍了计算机证据、计算机取证等概念通过比较分类的方式介绍了计算机证据的概念,通过对历史研究,比较研究的方法对计算机取证进行了定义。第二章,对什么是计算机证据污染进行了定义,介绍证据污染的几种情况,并分析证据污染所造成的影响。第叁章,仔细分析了造成计算机取证过程中证据遭受污染的各种因素,比如认为因素、取证技术的因素、取证方法模型的因素。第四章,经过第叁章分析了导致计算机证据污染的各种因素,提出来了相应的对策,比如针对取证模型的设计,根据现实情况的需求,扩大“事件准备”阶段的工作内容,另外引入电子数据收集系统,通过该系统维护系统环境,保证取证过程的顺利进行,降低取证过程中证据遭受污染的可能性。
杨珺[9]2011年在《计算机取证分析关键问题研究》文中指出近年来,计算机犯罪活动日趋猖獗,各国政府和人民在社会活动的各个领域中均面临着严重的威胁。因此,有效地打击计算机犯罪活动是净化计算机网络环境、保障国家安全、维护社会公共利益的必然要求。有效打击计算机犯罪活动的关键是获取具有法律效力的电子证据,因此计算机取证受到了人们的普遍关注,计算机取证技术已经成为计算机安全领域的研究热点。本文针对计算机取证技术中急迫解决的问题,重点研究了计算机取证过程模型、电子证据分析方法、电子证据统一表示方法、电子证据融合方法和取证数据过滤方法,具体内容如下:依据电子证据的特点和我国的法律法规,提出了计算机取证调查过程模型。该模型借鉴了传统证据调查过程工作流程以及数字取证研究组计算机取证基本框架模型的基本思想。该模型的建立有助于进一步深入并细化研究适合我国国情的计算机取证模型。为了解决数据挖掘证据分析方法存在的证据分析效率低的问题,提出了采用免疫克隆选择算法来构建频繁长模式行为轮廓的证据分析方法。与基于Apriori-CGA算法的证据分析方法相比,该方法的行为轮廓建立时间和异常数据检测时间均大幅降低。该方法有助于提高证据分析的效率以及确立重点调查取证的范围。针对电子证据格式繁杂不利于形成证据链的问题,提出了电子证据元数据表示方法。通过对计算机异常事件证据元数据的设计,表明该方法能够对电子证据的内在属性和关系进行统一的表达,能够方便地组织、分析、融合和提交电子证据。针对计算机取证因果关联证据融合方法存在的算法复杂、重现场景不够精确等问题,提出了基于隐马尔科夫模型的证据融合方法。与基于贝叶斯网络的证据融合方法相比,该方法的算法复杂度和抵御干扰项的能力均得到了明显的改善。该方法能够以较小的代价较精确地重现计算机入侵的犯罪现场。为降低取证数据对存储资源的要求以及减小取证数据对取证分析过程的干扰,提出一种基于人工免疫网络聚类的取证数据过滤方法。实验结果表明,在不具备先验知识以及在合理选取时间窗口和过滤阂值的情况下,算法能够提供较高的数据压缩比。该方法能够有效地确立调查数据的范围,有助于提高取证分析的效率。
邓金城[10]2013年在《面向Windows的计算机取证系统关键技术研究与实现》文中提出随着计算机技术和互联网技术的不断发展,个人电脑和信息化办公越来越普及。但是与此同时,涉及到计算机的违法犯罪行为越来越多。在这种背景下,近年来计算机取证技术作为一种新型取证技术取得了巨大的发展。它是一门融合了计算机技术和法学的数字取证学科,它主要研究如何科学合法的从计算机及其外设中获取到有效的、可被法院采纳的计算机证据。本文依据实际项目需求,在前人研究的基础上,研究并设计了一种面向Windows的计算机取证系统,并实现了数据分析取证子系统,重点阐述了子系统中的叁个关键技术。论文主要内容包括:首先,从计算机取证的研究现状和发展趋势角度出发,分析了国内外计算机取证研究的成果和差异。其次介绍了计算机取证的定义,总结了计算机取证的原则、基本步骤以及基本框架。然后依据实际需要,参照已有的研究现状,提出一种面向Windows的计算机取证系统总体框架,设计了数据分析取证子系统,并对相关功能模块进行概要说明。接着对本系统中的叁个关键技术:快速文件内容搜索技术、系统多维度痕迹提取技术、基于文件存储格式特征匹配的深度痕迹提取技术进行了详细阐述。最后,对原型系统中的叁个关键技术模块进行了详细的测试与分析。本文的主要贡献在于:1.设计并实现了一种高效的文件内容快速搜索方法,支持TXT、PDF、Office03系列、Office07系列等文件类型以及常见图片文件。2.针对操作系统、浏览器的不断发展,完成注册表痕迹提取技术对Windows64位系统的兼容;设计并实现了常见浏览器(Chrome、Firefox)的上网痕迹提取方法;针对Windows7出现的新的系统痕迹—跳转列表文件记录提出新的提取方法。3.通过对Hive文件、Index.dat文件存储格式的逆向与研究,提出Index.dat上网痕迹和USB设备使用痕迹的特征匹配方式,实现了一种快速的基于特征匹配的痕迹深度提取方法,提高了系统痕迹深度提取的速度。本文研究并实现的计算机取证的叁个关键技术性能良好,对已有的取证技术进行了一定的改进,并对新出现的取证问题,提出了解决方法。对面向Windows的计算机取证技术的发展有一定的推动作用。
参考文献:
[1]. 计算机取证方法关键问题研究[D]. 孙波. 中国科学院研究生院(软件研究所). 2004
[2]. 计算机取证方法关键问题探究[J]. 李敬伟. 法制博览. 2015
[3]. 基于物理内存分析的在线取证模型与方法的研究[D]. 王连海. 山东大学. 2014
[4]. 基于证据图技术的网络取证方法研究与实现[D]. 常成月. 北京工业大学. 2017
[5]. 计算机取证方法关键问题的思考[J]. 丛庆. 科技视界. 2017
[6]. 电子取证若干问题研究[D]. 宋亦青. 中国政法大学. 2007
[7]. 开放网络环境下动态计算机取证技术研究[D]. 刘德. 华中科技大学. 2007
[8]. 计算机证据材料污染问题及相关对策[D]. 金凌杰. 中国政法大学. 2011
[9]. 计算机取证分析关键问题研究[D]. 杨珺. 武汉大学. 2011
[10]. 面向Windows的计算机取证系统关键技术研究与实现[D]. 邓金城. 电子科技大学. 2013
标签:计算机软件及计算机应用论文; 电子证据论文; 计算机取证论文; 网络模型论文; 网络犯罪论文; 物理内存论文; 电脑论文;