本文關(guān)鍵詞：計算機取證技術(shù)及其發(fā)展趨勢，由筆耕文化傳播整理發(fā)布。

計算機取證技術(shù)及其發(fā)展趨勢的研究 投稿：黃袾袿

摘要：計算機取證具有特殊性，只有對計算機取證以及計算機證據(jù)有深入了解，才能更好的開展工作。本文就如何確保計算機證據(jù)采集的標準性、真實性與合法性所使用的相應(yīng)技術(shù)方法進行的了探討，并且就現(xiàn)今計算機取證可能出現(xiàn)的問題以及計算機取證將來發(fā)展形勢作出了研究。關(guān)…

摘要：本文主要介紹了一種通過傳感器與計算機輔助的變力做功演示儀，主要由微型計算機、變力做功裝置，數(shù)據(jù)采集卡所組成，通過編程得到功的計算結(jié)果，旨在體現(xiàn)現(xiàn)代計算機與傳感器工具給物理學(xué)習(xí)帶來的便利。關(guān)鍵詞：變力做功；傳感器；計算機編程中圖分類號：G633.…

【摘要】國家賠償因果關(guān)系要件的認定脫胎于哲學(xué)對“因果關(guān)系”范疇的研究�；诎罡褚蚬ⅠR奇因果、薩普斯因果關(guān)系三大哲學(xué)模型，法學(xué)界提出了認定國家賠償因果關(guān)系要件的三大主流學(xué)說――“條件說”、“直接因果關(guān)系說”、“相對因果關(guān)系說”。結(jié)合甘肅省岷縣洮河大橋…

　　摘 要：計算機取證具有特殊性，只有對計算機取證以及計算機證據(jù)有深入了解，才能更好的開展工作。本文就如何確保計算機證據(jù)采集的標準性、真實性與合法性所使用的相應(yīng)技術(shù)方法進行的了探討，并且就現(xiàn)今計算機取證可能出現(xiàn)的問題以及計算機取證將來發(fā)展形勢作出了研究。

　　關(guān)鍵詞：發(fā)展；研究；計算機證據(jù)；犯罪
　　中圖分類號：TP399
　　伴隨著科技的發(fā)展，時代的進步，計算機網(wǎng)絡(luò)技術(shù)也得到了迅猛的發(fā)展和廣泛的應(yīng)用，在信息快速傳播的今天，計算機網(wǎng)絡(luò)的安全隱患也越來越需要我們重視。對此，我們需要制定完善的網(wǎng)絡(luò)法制法規(guī)以及使用合理的技術(shù)控制手段，以此來解決計算機網(wǎng)絡(luò)日益惡化的信息安全問題。本文就計算機動態(tài)和靜態(tài)取證，以及計算機網(wǎng)絡(luò)取證將來發(fā)展的趨勢展開了分析與研究。
　　1 計算機取證過程
　　計算機進行證據(jù)提取是指對計算機進行入侵、竊取、詐騙、控制、破壞等等一系列行為，使用計算機硬件或者軟件上的技術(shù)，按照正規(guī)法律程序的流程，對法庭認可的、有說服力的、儲存在計算機或者相關(guān)網(wǎng)絡(luò)中電子信息數(shù)據(jù)進行證據(jù)提取、傳輸、存儲、認證與提交的一系列過程。計算機取證的本質(zhì)可以理解為對計算機軟件或硬件系統(tǒng)進行檢測借此還原入侵控制系統(tǒng)事件過程。
　　通常，計算機取證分為六個步驟：第一步是現(xiàn)場調(diào)查，進行現(xiàn)場保護、搜索、尋找物理證據(jù)，具體實行需要到達現(xiàn)場，進行現(xiàn)場保護調(diào)查，看證據(jù)能否取走，不能取走做好記錄，分析其原因，檢查計算機是否安全，比如；調(diào)查最后一次計算器啟動情況，網(wǎng)絡(luò)信息記錄等等，然后關(guān)掉計算機，查看能否做鏡像處理，分析問題發(fā)生原因，對已獲得信息數(shù)據(jù)進行深入剖析，整理以及存檔，然后上交法庭。第二步是識別計算機獲取的證據(jù)，對已獲得證據(jù)進行分門別類和分析獲得信息方法。第三步是進行數(shù)據(jù)傳輸，把已經(jīng)獲得的數(shù)據(jù)信息完整的保存到計算機取證分析儀器上面。第四步存儲數(shù)據(jù)，把原信息數(shù)據(jù)進行原封不動的保存，保證其完整性。第五步分析計算機取證，以可顯示方法分析，確保分析結(jié)果的精確度。第六步是按照相關(guān)的法律程序向有關(guān)部門提交證據(jù)。
　　2 計算機提取證據(jù)的技術(shù)
　　2.1 計算機靜態(tài)取證
　　在大多數(shù)犯罪案例當中有黑客入侵計算機目的、作案使用工具以及犯罪信息數(shù)據(jù)儲存器三種角色。但是無論是哪一種角色，在計算機犯罪過程當中都會遺留大量犯罪證據(jù)，計算機網(wǎng)絡(luò)靜態(tài)取證也可以稱為計算機醫(yī)學(xué)，是把計算機當成犯罪場所，應(yīng)用先進的科學(xué)技術(shù)，對其犯罪行為進行解剖，通過計算機硬件上保留的信息，提起訴訟并作為呈堂證供。
　　靜態(tài)取證可以分為獲得物理證據(jù)與信息發(fā)現(xiàn)兩部分。獲得物理證據(jù)是指調(diào)查人員到犯罪現(xiàn)場，發(fā)現(xiàn)并扣留有關(guān)的計算機犯罪設(shè)施；信息發(fā)現(xiàn)指的是通過相關(guān)文件、日志等原始數(shù)據(jù)來發(fā)現(xiàn)的相關(guān)憑證，和其他證據(jù)一樣計算機證據(jù)也務(wù)必要具有可靠性、安全性、真實性等符合法律法規(guī)的特點。
　　復(fù)原計算機信息技術(shù)，這主要是把罪犯銷毀或者通過刪除的計算機軟件信息進行還原。首先計算機是通過它硬件磁盤的表層磁性來保留記錄數(shù)據(jù)的，需要強調(diào)的是，在編寫數(shù)據(jù)的時候，磁盤表面介質(zhì)不能徹底脫離最初狀態(tài)的影響。打個比方，如果我們把“1”編寫到磁盤上，那么磁力強度就該是“1”，但是我們把“1”編寫在原來是“0”的位置，我們所得到的介質(zhì)磁力強度將會是“0.95”左右，而本身是“1”的位置磁盤介質(zhì)強度大約就為“1.05”這樣。磁盤一般的會把兩個位置的值都認定為“1”。但是我們利用類似磁盤顯微鏡的專業(yè)設(shè)備，就能通過技術(shù)手段，還原一層或兩層的原始數(shù)據(jù)。另外，因為新改寫的數(shù)據(jù)幾乎難到達寫在原有一樣地方的精準度，所以即便是經(jīng)過多次覆蓋，我們照樣可以通過磁盤顯微鏡這樣的技術(shù)給找出來。這樣的結(jié)論可以給調(diào)查注入更多可能，讓被格式化的數(shù)據(jù)恢復(fù)成為現(xiàn)實。
　　因為硬盤格式化僅僅是把進入過的文件表系統(tǒng)重新構(gòu)造。如果文件格式化的時候硬盤上已經(jīng)有數(shù)據(jù)存在，那么在格式化之后，被格式化的數(shù)據(jù)依然會被硬盤所記錄，另一方面格式化會引發(fā)另一個全新的索引列表，指向沒有分配的數(shù)據(jù)模塊。刪除文件的操作并不能在真正意義上把文件進行徹底的刪除，而是把組成文件的數(shù)據(jù)簇還回到系統(tǒng)當中。對于一般意義上的計算機寫讀操作來說，這些數(shù)據(jù)簇是看不見的，在目錄項也尋找不到，但是能夠從空閑列表當中獲得。這便使計算機取證的效率獲得極大的提升。
　　對于加鎖解密技術(shù)研究，計算機取證常常會碰到需要將加密數(shù)據(jù)解密的情況。在現(xiàn)階段使用的密碼技術(shù)有很多，如防火墻、安全路由器、口令提取、安全網(wǎng)關(guān)、黑客入侵檢測、系統(tǒng)脆弱性掃描軟件等，主要手段是進行口令提取，而口令搜索范圍涵蓋物理搜索或是邏輯搜索，從電子文檔之中搜索文明口令；網(wǎng)絡(luò)監(jiān)聽，在網(wǎng)絡(luò)中尋找文明口令；進行口令提取，然后進行恢復(fù)口令，很多電腦系統(tǒng)口令基本都是按文明的形式在相應(yīng)的規(guī)定區(qū)域或是注冊表，可以在相關(guān)區(qū)域獲得口令，再用密碼鑰匙恢復(fù)機制在高級管理員處得到口令。
　　2.2 計算機動態(tài)取證
　　動態(tài)取證是為了更好的完善網(wǎng)絡(luò)防御技術(shù)以及入侵檢測系統(tǒng)漏洞，把取證技術(shù)與防火墻相融合，把一切計算機的犯罪過程進行及時數(shù)據(jù)的截獲和分析，科學(xué)的分析犯罪分子目的，采取積極有效的措施，在夠能保證自身系統(tǒng)安全的前提下，把計算機證據(jù)保存、鑒定、提交的過程。計算機動態(tài)取證是在全方面獲得真實數(shù)據(jù)的同時，對犯罪分子的出發(fā)點、目的、作案方法進行剖析，從而制定出積極有效的應(yīng)對方案，由外至內(nèi)形成安全防御體系。
　　計算機動態(tài)取證的方法主要是根據(jù)網(wǎng)絡(luò)信號使用取證技術(shù)對犯罪分子進行跟蹤，或者是經(jīng)由網(wǎng)絡(luò)信息數(shù)據(jù)分析獲得證據(jù)的方法。當中涵蓋了IP、MAC地址跟蹤與識別技術(shù)、身份證鑒定技術(shù)、以及網(wǎng)絡(luò)監(jiān)聽、漏洞掃描等手段。在當下網(wǎng)絡(luò)犯罪趨勢直線上升的今天，，計算機動態(tài)取證在取證技術(shù)中有著不可替代的位置。
　　首先了解電子郵件動態(tài)取證技術(shù)。電子郵件結(jié)構(gòu)簡單，幾乎全是使用文本進行存儲和發(fā)送，規(guī)定信息只能在中間系統(tǒng)進過。信息的主要構(gòu)成部分是以字符構(gòu)成，頭信息含有發(fā)送以及接收地址。因此可以在文本發(fā)送信息路徑上進行研究借此獲取信息。其次是獲得IP技術(shù)，可以獲得IP的技術(shù)多種多樣，主要有對ping命令的使用、還原混亂IP、使用掃描IP地址工具、通過區(qū)域服務(wù)器逆向查詢、MAC硬件地址獲取以及ISP供應(yīng)商的地址提供以上手段都可以進行IP地址的獲取。最后動態(tài)取證也可以使用人工智能以及數(shù)據(jù)挖掘方式，計算機儲存量越多，網(wǎng)絡(luò)進行傳輸?shù)男试礁摺τ谟嬎銠C存儲以及龐大的網(wǎng)絡(luò)傳輸量，可以根據(jù)NFAT標準，按照其開發(fā)的系統(tǒng)（ES），把其融入到檢測系統(tǒng)或者防火墻，對于網(wǎng)絡(luò)傳送的數(shù)據(jù)進行分析以及發(fā)現(xiàn)的犯罪行為進行證據(jù)提取。
　　3 計算機取證發(fā)展趨勢
　　計算機取證是根據(jù)計算機網(wǎng)絡(luò)犯罪的出現(xiàn)而發(fā)展起來的，現(xiàn)在黑客所采用的技術(shù)和手段也越來越多種多樣，相對的我國所使用的計算機取證技術(shù)也應(yīng)當?shù)玫较鄳?yīng)的提升，加入更多先進技術(shù)，比如反向跟蹤、入侵鎖定、數(shù)據(jù)挖掘等等。務(wù)必要把這些取證技術(shù)融入到檢測系統(tǒng)與防火墻當中，對于網(wǎng)絡(luò)安全實施動態(tài)取證的技術(shù)開發(fā)。首先現(xiàn)今網(wǎng)絡(luò)罪犯基本是無孔不入，通常除了計算機外，其他的存儲電子工具也成為這些犯罪分子的目標，比如手機、局域網(wǎng)、平板電腦等等，而犯罪證據(jù)將以各種不同的形式留在以上所述設(shè)備之中，對此需要針對不同設(shè)備使用不同的取證方法。其次實現(xiàn)計算機取證的專業(yè)化與智能化提高，這樣可以大大加強計算機取證的工作效率。最后應(yīng)該建立標準化的計算機取證體制，隨著網(wǎng)絡(luò)科技的發(fā)展完善，對于網(wǎng)絡(luò)犯罪我們應(yīng)該及時采取措施，以便于計算機取證，比如設(shè)立計算機取證人員上崗資格、建立相應(yīng)的網(wǎng)絡(luò)法律法規(guī)等等，使網(wǎng)絡(luò)罪犯得到相應(yīng)的懲罰。
　　參考文獻：
　　[1]楊繼武.對計算機取證技術(shù)的一些探討[J].制造業(yè)自動化，2012，34（5）：67-69.83.
　　[2]顧艷林.計算機取證技術(shù)的運用分析[J].中國管理信息化.2012，15（4）：65-67.
　　[3]曾學(xué)軍.計算機取證技術(shù)的發(fā)展困境與前景[J].商業(yè)時代，2009，（28）：107-108.
　　[4]王淼.探討計算機取證技術(shù)面臨的困難[J].計算機光盤軟件與應(yīng)用，2012，（14）：39-40.
　　作者簡介：劉蓉（1983.1-），男，湖南益陽人，工學(xué)碩士，研究方向：計算機取證。
　　作者單位：長沙公安局，長沙 410000

摘要：計算機取證具有特殊性，只有對計算機取證以及計算機證據(jù)有深入了解，才能更好的開展工作。本文就如何確保計算機證據(jù)采集的標準性、真實性與合法性所使用的相應(yīng)技術(shù)方法進行的了探討，并且就現(xiàn)今計算機取證可能出現(xiàn)的問題以及計算機取證將來發(fā)展形勢作出了研究。關(guān)…

摘要：計算機取證具有特殊性，只有對計算機取證以及計算機證據(jù)有深入了解，才能更好的開展工作。本文就如何確保計算機證據(jù)采集的標準性、真實性與合法性所使用的相應(yīng)技術(shù)方法進行的了探討，并且就現(xiàn)今計算機取證可能出現(xiàn)的問題以及計算機取證將來發(fā)展形勢作出了研究。關(guān)…

摘要：計算機取證具有特殊性，只有對計算機取證以及計算機證據(jù)有深入了解，才能更好的開展工作。本文就如何確保計算機證據(jù)采集的標準性、真實性與合法性所使用的相應(yīng)技術(shù)方法進行的了探討，并且就現(xiàn)今計算機取證可能出現(xiàn)的問題以及計算機取證將來發(fā)展形勢作出了研究。關(guān)…

>> 查看更多相關(guān)文檔

  本文關(guān)鍵詞：計算機取證技術(shù)及其發(fā)展趨勢，由筆耕文化傳播整理發(fā)布。