计算机取证系统的与设计

更新时间:2024-01-24 作者:用户投稿原创标记本站原创 点赞:5254 浏览:19153

摘 要 :高科技的不断发展使得计算机犯罪活动不断增多,计算机取证成为人们研究与关注的焦点.根据研究,列出了计算机取证的原则、步骤,从而引申出计算机取证的核心技术和系统设计,最后对未来的发展进给予总结和展望.


关 键 词 :计算机犯罪 计算机取证 计算机取证系统设计

中图分类号:TP311.5 文献标识码:A 文章编号:1007-9416(2013)08-0139-02

1.什么是计算机取证

计算机取证和传统物证的取证是不同的,它需要从计算机系统中提取数据,从已删除、加密甚至是破坏的文件中重新获取信息.简单地说,计算机取证是指对能够为法庭接受的、足够可靠和有说服性的,应用计算机技术及相关软件以磁介质编码信息方式存储的计算机系统,对潜在的、有法律效力的犯罪证据的确认、保护、提取和归档的过程.

1.1 计算机取证的原则

(1)尽早获取电子证据,避免人为删除、毁坏和修改.(2)计算机取证必须按照法律的规定公开进行,不能采取非法手段.(3)不对原始证据进行分析,电子证据在移交、保管、检查的过程中必须由相关专业人员完成和监督.

1.2 计算机取证的主要步骤

(1)在取证检查时,冻结目标计算机系统,避免系统发生任何更改设置、损坏、数据破坏或病毒感染.(2)获取电子证据时,需根据破坏程度,确定犯罪者留下的活动记录存在哪里、是怎样存储的.(3)收集电子证据时,首先记录系统的硬件配置,使用数据恢复软件对系统进行全面的备份,以便分析时可用原始数据做后期证据使用;其次最大程度的显示目标系统中的所有文件包括隐藏文件,对其中可能作为证据的数据通过加密程序发送给取证怎么写作器进行分析.(4)电子证据进行镜像备份后,要有措施的进行保护,不是工作人员不操作存放电子证据的计算机,不删除、修改与证据无关的文件,以免引起有价值的证据文件的丢失.(5)电子证据具有不可见性,分析得出的结果报告能否在法庭上展示,是作为起诉计算机犯罪者的重要证据.(6)归档:作为法庭的诉讼证据,需要对各类电子证据的分析结果和评估报告等进行归档处理.

2.计算机取证核心技术分析

计算机取证系统需要解读所获取的司法鉴定复件或合格司法鉴定复件,正确解读司法复件数据格式之后,识别文件系统,然后恢复被删除和隐藏的数据,在此基础上进行犯罪证据的查找.因此计算机取证系统要解决的几个主要问题有:磁盘数据组织分析、各种常用文件系统的分析、隐藏数据的发现、被删除数据的恢复等问题.

2.1 磁盘数据组织分析

计算机取证系统通过镜像软件制作的特殊格式文件进行解读,并对数据进行各项分析和调查,因此首要问题是对磁盘盘片上的数据组织进行分析.硬盘在存储数据之前,一般需要经过低级格式化、分区和高级格式化三个步骤之后才能使用.硬盘上的数据逻辑结构分为五个区域,主引导记录区(MBR)、分区引导记录区、文件分配区、文件目录目标区和数据区实现对数据的存储与管理.对于分区,系统只是修改了主引导记录和DBR(DOS引导记录),绝大部分的DATA区的数据并没有被修改.

2.2 FAT16/32文件系统分析

FAT16/32是从文件分配表(FAT)文件系统派生而来的文件系统.与FAT相比,FAT16/32能支持更小的簇及更大的容量,从而更加高效的分配磁盘空间.FAT32比FAT16的存储效率要高,同时它还可以重新定位根目录和使用FAT的备份副本,另外FAT32分区的启动记录被包含在一个含有关键数据的结构中,减少了计算机系统崩溃的可能.

2.3 EXT2/3文件系统分析

Ext2/3是Linux系统的标准文件系统,其优点为存取文件的性能好,由线形排列的数据块组成,每个数据块具有相同的大小,所有块又被划分为若干个块组,每个块组都包含了一份文件系统关键控制信息的拷贝,以及描述组内数据存储与控制信息的位示图,节点位图和节点表.EXT3文件系统比EXT2更加完整,增加了日志容量,避免了意外宕机对文件系统的破坏,以便文件系统在出现问题后进行恢复和修复.

2.4 NTFS文件系统分析

NTFS是一个基于安全性、可靠性、先进性的文件系统,它通过使用标准的事务处理日志和恢复技术来保证分区的一致性.发生系统失败事件时,NTFS使用日志文件和检查点信息来恢复文件系统的一致性.NTFS采用了更小的簇,可以更有效率地管理磁盘空间,簇的大小都比相应的FAT16/32簇小;NTFS可以比FAT32更有效地管理磁盘空间,最大限度地避免了磁盘空间的浪费.

2.5 数据流隐藏数据的发现技术

数据流隐藏技术源自Macintosh分级文件系统NTFS,它可以把任何文件作为某个文件的另一个实例附在其中,而Windows资源管理器无法显示.另外如果将数据文件隐藏在磁盘Slack闲散空间、交换空间或未分配空间中,这使得查找隐藏文件有很大难度.因此,解读NTFS文件系统的镜像文件时,检查标准的文件属性类别即可识别出隐藏的文件,同时在进行证据分析时可以读取slack space中文件碎片的二进制数据.

2.6 删除数据的恢复技术

数据恢复技术,就是将保存在存储介质上的资料重新拼接整理,即使资料被误删或者硬盘出现故障,只要在存储介质的存储区域没有严重受损,还是可以把丢失和遭到破坏的数据还原为正常数据.文件系统的数据删除,实质是把文件索引表清空,但实际的数据并未删除,直到存储该数据的物理扇区被覆盖之后实际数据才会被删除.

2.6.1 FAT16/32系统删除数据恢复

在FAT文件系统中,删除文件实质上是在该文件的目录项第一个字符更改为“E5H”表示文件已被删除,然后把文件分配表中所占有的簇标记为“空簇”,而DATA区中的簇仍保存着原文件内容. 2.6.2 EXT2/3系统删除数据恢复

EXT2/3是一种带日志功能的文件系统,每个文件都是通过Inode来描述其数据存放的具体位置,文件的读写都是通过Inode来实现,当文件被删除以后,Inode的数据指针部分被清零,文件目录区没有太多变化.当数据丢失时,可以把数据丢失的文件系统经过DD镜像到另外的存储空间上作为最原始的备份,使用Grep命令搜索关键字的方法来恢复文件.

3.计算机取证系统的设计

计算机取证技术为确保取到有效的法律证据,并保证其安全性和可靠性,根据对系统核心技术的分析,该系统的设计包括数据识别并获取、加密与传输、保存、分析和提交5步骤.

3.1 数据识别和获取

识别和获取与案件有关的数据是计算机取证的第一步.本模块采用模式识别技术,当有未经授权的网络访问或直接进行网络攻击(如端口扫描、系统探测、SYF Flood攻击)等情况时,识别和获取模块会将这些数据过滤出来,对系统日志文件和经过网络接口的数据进行基于模式匹配的智能识别,确定所属应用的类型,自动对关键数据进行记录,然后完整安全的将数据从目标机器转移到取证机器上保存和分析.

3.2 加密与传输

基于IPSec协议,建立虚拟加密认证隧道,在网络上安全传递信息,保证加密算法和密钥的管理可以按用户的要求进行更替,防止网络监听、破坏和欺骗.IPSec ESP协议通过放置加密的数据给需要保护的数据供机密性和完整性,并根据用户需求进行更替.认证支持IPSec AH协议,为用户IP数据信息提供检查与数据源认证,以保证网络信息的真实性与完整性.

3.3 保存

计算机取证系统的保存模块功能是保护存储在目标机器上所记录的数据,保证这些数据的完整性、和真实性.本模块采用物理隔离、加密技术、访问控制技术,其中,数据的加密采用基于对称密钥加密算法DES,来建立一套全面的安全监控系统,实时监控取证系统的运行状态,随时检查系统的使用情况,一旦有非法入侵者进入系统,能及时发现并采取相应措施,确定和堵塞安全及保密的漏洞,以保证数据不被篡改和窃取.

3.4 分析

本系统的功能核心是对捕获来的数据进行分析和处理,考虑到收集的数据之间存在关联性,采用隐藏数据挖掘、数据库中的知识发现(KDD)和智能推理机制等方法,对收集的数据进行过滤和处理,分析出入侵来源和入侵的方法,以可向法院提交的格式产生报表.

3.5 提交

依据法律程序,向法庭提交取证系统生成的报表.

4.计算机取证存在的问题及发展趋势

(1)计算机取证工具缺乏统一的检测和鉴定机构,整个过程需严格规范化.(2)计算机取证技术应融合解密技术、反向工程、入侵追踪等更多的相关技术,现今大多的工作依然依赖于人工进行.(3)计算机取证方面必须制定相关法律,完善法规.(4)各种计算机设备都可能成为犯罪目标,因此需要开发出相应的取证工具进行取证.(5)准确有效地在海量数据中审查判断出与案件关联的犯罪证据,现有的取证工具不能满足需求,而有些数据依赖特定的环境才能被显示.

5.结语

通过对计算机取证系统的研究与设计及存在的问题,相信计算机取证会向着更广更深的方向发展,为在确保国家安全、金融安全和打击计算机犯罪方面发挥更大的作用.