|
什么的計算機取證
計算機取證(Computer Forensics、計算機取證技術��、計算機鑒識�、計算機法醫(yī)學)是指運用計算機辨析技術,對計算機犯罪行為進行分析以確認罪犯及計算機證據(jù)�,并據(jù)此提起訴訟。也就是針對計算機入侵與犯罪�����,進行證據(jù)獲取�����、保存���、分析和出示��。計算機證據(jù)指在計算機系統(tǒng)運行過程中產生的以其記錄的內容來證明案件事實的電磁記錄物�����。從技術上而言�,計算機取證是一個對受侵計算機系統(tǒng)進行掃描和破解,以對入侵事件進行重建的過程����。可理解為“從計算機上提取證據(jù)”即: 獲取��、保存 分析 出示 提供的證據(jù)必須可信 ;
計算機取證(Computer Forensics)在打擊計算機和網絡犯罪中作用十分關鍵��,它的目的是要將犯罪者留在計算機中的“痕跡”作為有效的訴訟證據(jù)提供給法庭��,以便將犯罪嫌疑人繩之以法��。因此���,計算機取證是計算機領域和法學領域的一門交叉科學�����,被用來解決大量的計算機犯罪和事故����,包括網絡入侵、盜用知識產權和網絡欺騙等�。
計算機取證的方式
從技術角度看,計算機取證是分析硬盤�、光盤、軟盤���、Zip磁盤、U盤�、內存緩沖和其他形式的儲存介質以發(fā)現(xiàn)犯罪證據(jù)的過程,即計算機取證包括了對以磁介質編碼信息方式存儲的計算機證據(jù)的保護��、確認��、提取和歸檔���。取證的方法通常是使用軟件和工具����,按照一些預先定義的程序�,全面地檢查計算機系統(tǒng),以提取和保護有關計算機犯罪的證據(jù)。
計算機取證主要是圍繞電子證據(jù)進行的�����。電子證據(jù)也稱為計算機證據(jù)�,是指在計算機或計算機系統(tǒng)運行過程中產生的,以其記錄的內容來證明案件事實的電磁記錄��。多媒體技術的發(fā)展�,電子證據(jù)綜合了文本、圖形����、圖像、動畫��、音頻及視頻等多種類型的信息����。與傳統(tǒng)證據(jù)一樣,電子證據(jù)必須是可信�、準確、完整���、符合法律法規(guī)的����,是法庭所能夠接受的。同時���,電子證據(jù)與傳統(tǒng)證據(jù)不同��,具有高科技性����、無形性和易破壞性等特點���。高科技性是指電子證據(jù)的產生���、儲存和傳輸��,都必須借助于計算機技術�、存儲技術、網絡技術等��,離開了相應技術設備�,電子證據(jù)就無法保存和傳輸。無形性是指電子證據(jù)肉眼不能夠直接可見的���,必須借助適當?shù)墓ぞ?����。易破壞性是指電子證據(jù)很容易被篡改�����、刪除而不留任何痕跡���。計算機取證要解決的重要問題是電子物證如何收集��、如何保護����、如何分析和如何展示�。
可以用做計算機取證的信息源很多,如系統(tǒng)日志�,防火墻與入侵檢測系統(tǒng)的工作記錄、反病毒軟件日志����、系統(tǒng)審計記錄、網絡監(jiān)控流量�����、電子郵件、操作系統(tǒng)文件��、數(shù)據(jù)庫文件和操作記錄����、硬盤交換分區(qū)、軟件設置參數(shù)和文件��、完成特定功能的腳本文件�����、Web瀏覽器數(shù)據(jù)緩沖��、書簽�、歷史記錄或會話日志��、實時聊天記錄等�����。為了防止被偵查到�,具備高科技作案技能犯罪嫌疑人���,往往在犯罪活動結束后將自己殘留在受害方系統(tǒng)中的“痕跡”擦除掉,如盡量刪除或修改日志文件及其他有關記錄���。但是����,一般的刪除文件操作�����,即使在清空了回收站后�,如果不是對硬盤進行低級格式化處理或將硬盤空間裝滿,仍有可能恢復已經刪除的文件����。
計算機取證方法說明
計算機調查取證方式在目前的調查取證中新興的技術模式,其在目前實踐環(huán)境下得到相關調查機構的不斷重視;計算機取證的方法就是計算機取證過程中涉及的具體措施��、具體程序�、具體方法。計算機取證的方法非常多�,而且在計算取證過程中通常又涉及到證據(jù)的分析,取證與分析兩者很難完全孤立開來�����,所以對計算機取證的分類十分復雜,往往難以按一定的標準進行合理分類��。通常情況下根據(jù)取得的證據(jù)的用途不同進行分類�����,通??梢苑譃閮深惒煌再|的取證。一類是來源取證���,一類是事實取證�����。
1.來源取證
所謂來源取證���,指的是取證的目的主要是確定犯罪嫌疑人或者證據(jù)的來源。例如在網絡犯罪偵查中�,為了確定犯罪嫌疑人,可能需要找到犯罪嫌疑人犯罪時使用的機器的IP地址��,則尋找IP地址便是來源取證���。這類取證中�,主要有IP地址取證���、MAC地址取證���、電子郵件取證、軟件賬號取證等���。
IP地址取證主要是利用在互聯(lián)網中�,每一臺聯(lián)網的計算機����,在某一時刻都有唯一的全局IP地址。根據(jù)在案發(fā)現(xiàn)場找到的IP地址信息�����,進一步確定犯罪嫌疑人的機器����,由犯罪人的機器再尋找案件相關人的方法。
MAC地址取證主要在一些局域網中或動態(tài)分配IP地址網絡中,由于IP地址使用有一定的自由�����,如果哪一個IP地址由誰租用并不清楚時�����,可以根據(jù)物理地址與邏輯地址的關系���,找到物理地址����,而物理地址也是唯一的����,且一般情況下,也比較難以更改��。所以MAC地址與特定計算機設備中網卡存在一定的對應關系��,可以用來確定來源����。
電子郵件取證,指的是根據(jù)電子郵件頭部信息找到發(fā)送電子郵件的機器,并根據(jù)已鎖定的機器找到特定人的取證方法�����。
軟件賬號取證���,指特定軟件如果其某個賬號與特定人存在一一對應關系時,可以用來證明案件的來源�。
2.事實取證
事實取證指的取證目的不是為了查明犯罪嫌疑人。而是取得與證明案件相關事實的證據(jù)��,例如犯罪嫌疑人的犯罪事實證據(jù)�����。在事實取證中常見的取證方法有文件內容調查�、使用痕跡調查、軟件功能分析�����、軟件相似性分析�、日志文件分析、網絡狀態(tài)分析��、網絡數(shù)據(jù)包分析等。
文件內容調查指的是在存儲設備中取得文檔文件����、圖片文件、音頻視頻文件�、動畫文件、網頁��、電子郵件內容等相關文件的內容�。包括這些文件被刪除以后、文件系統(tǒng)被格式化后或者數(shù)據(jù)恢復以后的文件內容��。
使用痕跡調查包括windows運行的痕跡(包括運行欄歷史記錄����、搜索欄歷史記錄、打開/保存文件記錄��、臨時文件夾��、最近訪問的文件等使用文件與程序調查)���、上網記錄的調查(緩存��、歷史記錄��、自動完成記錄��、瀏覽器地址欄下拉網址��,Cookies����,index.dat文件等等)���、Office�,realplay和mediaplay的播放列表及其它應用軟件使用歷史記錄��。
軟件功能分析主要針對特定軟件和程序的性質和功能進行分析���,常見是對惡意代碼的分析��,確定其破壞性�����、傳染性等特征�����。此類取證方法通常在破壞計算機信息系統(tǒng)�、入侵計算機信息系統(tǒng)、傳播計算機病毒行為中經常使用�。
軟件相似性分析是指比較兩軟件,找出兩者之間是否存在實質性相似的證據(jù)���。此類取證方法主要在軟件知識產權相關案件中使用��。
日志文件分析���,指通過系統(tǒng)日志、數(shù)據(jù)庫日志���、網絡日志���、應用程序日志等進行分析發(fā)現(xiàn)系統(tǒng)是否存在入侵行為或者其它訪問行為的證據(jù)。
網絡狀態(tài)分析指的是取得特定時刻計算機聯(lián)網狀態(tài)�����。例如網絡中哪些機器與本機相連����,本機的網絡配置��、開啟了哪些服務�����、哪些用戶登錄到本機等信息���。
網絡數(shù)據(jù)包分析指的是通過分析網絡中傳輸?shù)臄?shù)據(jù)包發(fā)現(xiàn)相關證據(jù)的過程。網絡數(shù)據(jù)包分析主要發(fā)生在實時取證中�����,是一種綜合的取證方法�。有時候網絡數(shù)據(jù)包分析也稱呼為“網絡偵聽”���。在對網絡犯罪實時偵查或“誘惑性”偵查時�����,往往采取網絡偵聽的方法發(fā)現(xiàn)犯罪嫌疑人的犯罪活動����,掌握犯罪的線索��,為抓獲犯罪嫌疑人提供支持。
在常用的證據(jù)調查方法體系中���,計算機取證作為一項新興的調查取證方式�����,有著其極高的專業(yè)性和技術性���,但一旦有所突破,亦能獲得較為明顯的證據(jù)線索��,有效的促進案件的證據(jù)整理工作�,作為專業(yè)的證據(jù)調查部,我們不斷的總結��,掌握熟練的計算機取證技術�����,更好的為客戶提供優(yōu)質的證據(jù)服務;
計算機取證常用工具
計算機取證常用工具有ENCASE X-WAYS FTK 效率源DATACOMPASS等工具
如何進行計算機取證
根據(jù)電子證據(jù)的特點��,在進行計算機取證時�����,首先要盡早搜集證據(jù),并保證其沒有受到任何破壞��。在取證時必須保證證據(jù)連續(xù)性�����,即在證據(jù)被正式提交給法庭時����,必須能夠說明在證據(jù)從最初的獲取狀態(tài)到在法庭上出現(xiàn)狀態(tài)之間的任何變化,當然最好是沒有任何變化�。特別重要的是,計算機取證的全部過程必須是受到監(jiān)督的����,即由原告委派的專家進行的所有取證工作�,都應該受到由其他方委派的專家的監(jiān)督。計算機取證的通常步驟如下����。 (1)保護目標計算機系統(tǒng)���。計算機取證時首先必須凍結目標計算機系統(tǒng)�,不給犯罪嫌疑人破壞證據(jù)的機會。避免出現(xiàn)任何更改系統(tǒng)設置�、損壞硬件、破壞數(shù)據(jù)或病毒感染的情況����。 (2)確定電子證據(jù)���。在計算機存儲介質容量越來越大的情況下�����,必須根據(jù)系統(tǒng)的破壞程度���,在海量數(shù)據(jù)中區(qū)分哪些是電子證據(jù),哪些是無用數(shù)據(jù)����。要尋找那些由犯罪嫌疑人留下的活動記錄作為電子證據(jù),確定這些記錄的存放位置和存儲方式�。 (3)收集電子證據(jù)����?��! ∮涗浵到y(tǒng)的硬件配置和硬件連接情況,以便將計算機系統(tǒng)轉移到安全的地方進行分析���。
對目標系統(tǒng)磁盤中的所有數(shù)據(jù)進行鏡像備份�����。備份后可對計算機證據(jù)進行處理���,如果將來出現(xiàn)對收集的電子證據(jù)發(fā)生疑問時,可通過鏡像備份的數(shù)據(jù)將目標系統(tǒng)恢復到原始狀態(tài)��。 用取證工具收集的電子證據(jù)�����,對系統(tǒng)的日期和時間進行記錄歸檔����,對可能作為證據(jù)的數(shù)據(jù)進行分析���。對關鍵的證據(jù)數(shù)據(jù)用光盤備份�����,也可直接將電子證據(jù)打印成文件證據(jù)�����。 利用程序的自動搜索功能�����,將可疑為電子證據(jù)的文件或數(shù)據(jù)列表����,確認后發(fā)送給取證服務器。 對網絡防火墻和入侵檢測系統(tǒng)的日志數(shù)據(jù)�,由于數(shù)據(jù)量特別大,可先進行光盤備份����,保全原始數(shù)據(jù),然后進行犯罪信息挖掘����。 各類電子證據(jù)匯集時,將相關的文件證據(jù)存入取證服務器的特定目錄,將存放目錄�����、文件類型��、證據(jù)來源等信息存入取證服務器的數(shù)據(jù)庫�。
(4)保護電子證據(jù)
對調查取證的數(shù)據(jù)鏡像備份介質加封條存放在安全的地方。對獲取的電子證據(jù)采用安全措施保護��,無關人員不得操作存放電子證據(jù)的計算機��。不輕易刪除或修改文件以免引起有價值的證據(jù)文件的永久丟失�。
|
