本站原创本文是一篇计算机论文范文,计算机方面有关毕业论文格式范文,关于计算机取证技术在打击犯罪中的应用相关大学毕业论文范文。适合计算机及计算机取证及信息技术方面的的大学硕士和本科毕业论文以及计算机相关开题报告范文和职称论文写作参考文献资料下载。
摘 要:就目前看,计算机应用的普遍使用已经给人类带来非常大的方便,但使用同时为会为罪犯利用计算机犯罪提供了方便.本文研究了计算机取证的概念、原则、及计算机取证的相关技术等.现在,运用计算机进行数据取证一直还没有形成全面的成熟的系统,应用技术还在渐渐发展,其中的一些关键问题和关键技术也在不断地探讨,一些新出现的技术依然需要研究.但可喜的是,计算机取证逐渐成为对网络防御安全并且能够打击网络犯罪的非常实用的方法,对网络的安全和抵御的意义是十分深远的.
关 键 词:计算机犯罪;电子证据;取证技术
中图分类号:TP399文献标识码:A文章编号:1007-9599(2012)09-0000-02
计算机随着信息技术的发展,应用在我们的生活和工作中也越来越多.计算机涉及的违法犯罪普遍多起来也,发生的案件在门中,涉及计算机经常遇到存储介质相关数字的情况.计算机取证技术作为刑事侦查、计算机和法学领域一门崭新的科学,慢慢引起人们的关注,并且逐渐成为研究的重点.在案件中如果有取证工作需要进行提取,那么存在计算机系统中的一些数据,大量的案例的存在涉及计算机犯罪,重新获得信息很多需要从已被加密、删除或破坏的文件中.由于易丢失性电子证据,所以进行取证时我们必须在计算机现场,为了避免损坏证据,一定要非常严格的按照科学规律进行.
一、计算机取证的概念
具体分析计算机取证的含义,就是利用计算机的软硬件技术,所有的程序都必须严格按照法律方式进行获得证据、分析、保存和出示的过程.还称为电子取证和数字取证计算机取证,就是指对计算机破坏、入侵、攻击、欺诈等行为犯罪或涉及案件的电脑,在技术上,是全盘扫描对涉案计算机分析,进行内容重新建立的过程.根据发展来看,计算机取证的核心工作分别从两个方面进行:其一就是获取介质目标内容.就是说复制到侦查人员把目标介质的内容从取证计算机中,保证这一过程的是对介质原始不能有一点改变,并且拷贝的内容和最初的数据一定要完全一致.其二就是获取了最初的介质并且获取数据成功后,必须要有针对计算机取证.最后总结出:使用计算机软件和一些必要的工具,利用计算机取证,按照预先设定的一些定义,全面程序进行有效地检查,以保护和提取相关犯罪的证据.所以,计算机取证是指法庭能够接受的利用计算机的,非常有建设的,对应的设备存在于计算机中,能够确认电子证据的归档、保护、提取的过程.
对编码信息以磁介质方式存储的相关很多内容应用于计算机的取证技术,计算机及证据数字存储介质的提取、保护、确认和归档.并且还要运用多种不同工具进行分析,并且要进行数据解析,以便获得相关证据和线索.
二、运用计算机取证的关键原则
利用计算机取证的电子证据,必须严格按照程序,以扩大对证据的收集和使用的相关证据的特殊性.从原则的总体来看,犯罪案例利用计算机搜集证据的采集必须遵循以下原则:
(一)客观性
首先要有认真科学的态度,对于收集证据的人员.而且能够娴熟运用资讯科技,负责取证过程中,得到的数据要真实客观,以确保证据不被破坏,不出差错,而且要删除干扰信息和伪造数据.不仅要收集证明犯罪嫌疑人的有罪证据,也必须保存可以证明犯罪嫌疑人没有最的证据证明.
(二)相关性
所有证据形成证据链.只有与案件有关的信息和数据,才能在收集证据的范围之内,必须确保证据的连续性,就是在证据被正式提交到法院,必须证明证据是从最初的原始状态.所有的整个检查、收集证据的一切过程中,必须要严格实施标准化,以确保所有证据向法院提交不能够发生改变,并一定要制定非常严格的保管转移,检验系统.
(三)合法性
必须建立法律,法规的意识,计算机犯罪证据收集的主体,一定要通过合法的手段和合法措施,提取证据的收集,整个取证过程中,必须依法受到适当监督和依照法定程序.收集证据使用的证据的基础和前提,研究者唯一合法的必经途径,分析出来就是所有的证据的必须确任、可靠、充分,还要能够确定案件的性质,只有这样,才能做到正确而且有针对性地打击违法犯罪行为,而且依法保护公民的合法权利和利益.
三、计算机取证技术
分析了计算机系统得出:电子证据取证的内容和技术主要来自两个方面,一个是关于计算机自身系统的,第二就是关于其他网络.其中有些内容是关于计算机系统的:系统日志文件、交换文件、入侵者残留物、临时文件、备份介质、硬盘未分配的空间、系统的缓冲区、打印机和其他设备的内存.还有一些是关于网络:网络防火墙日志、入侵检测系统日志、记录和其他网络工具生成的日志.根据这些证据的所有来源,就把计算机取证技术分为两类:独立的取证和网络取证.
(一)基于单机的电子取证技术
基于单机的计算机取证技术,是一种可以在一台不在线的任意计算机获取证据的技术.
1.数据恢复技术
能够数据恢复技术可以把两种被删除的数据恢复出来,一是直接删除,二是格式化删除.直接把文件删除的计算机操作结果,是不能一次到位把文件完全删除,一系列的过程其实,也只是把能够构成相关文件的数据,重新放回到系统当中,普通的计算机操作是一定不能够看到这些簇的.但是所有这些计算机应用簇却可以在计算机空闲块列表中读取出来,在目录项目中是看不到的.如果计算机格式化之前的硬盘上有一些应用数据存在,那么计算机格式化磁盘就是对所有计算机访问系统的各种表进行所有重新的构建,则计算机格式化之后那么,原有的数据就在磁盘上还没有删除消失.计算机数据恢复技术正,就是运用专业技术进行数据恢复,这些觉得通常不可能遇见的数据.
2.加密解密技术和口令获取
从被攻击的计算机中获取证据还要对已经加密的数据进行解密.这种解密加密的方法和工具有很多.而在计算机取证过程中一般用到的是:技术、网络窃听、口令搜索、口令提取和分析技术.
3.拷贝磁盘技术
取证操作是不允许在原始计算机上操作的,因为在被攻击过的磁盘上直接获取数据会损坏磁盘上的原始数据,造成永久性的丢失.磁盘镜像复制的办法,可以将被攻击的磁盘原样复制一份,其中包括磁盘的临时文件、交换文件以及磁盘未分配区等,然后对复制的磁盘进行取证分析.4.信息搜索与过滤技术
取证要从文本、图片、音频或视频等信息中使用搜索技术进行相关数据信息的查找,进行分析从而找出相关信息.这方面的技术主要有:数据过滤技术、数据挖掘技术等.
(二)基于网络的计算机取证技术
字面分析就是利用计算机在网上进行跟踪犯罪分子,或计算机通过相关数据信息资料来进行获取证据的技术.
1.针对电子邮件和新闻组的取证技术
对于电子邮件和新闻组进行取证,要从信息发送路径上进行痕迹分析.新闻组和电子邮件都是通过应用计算机协议和简单计算机的文本储存来进行转发,信息的计算机主体是由计算机的可以看见的字符构成,能够找到在这些信息中,发出信息的人和接收信息的人的所有路径,这些计算机信息也是只能通过计算机中间系统传递.
2.网络入侵追踪技术
入侵追踪技术能够具体定位进行攻击源的位置,判断攻击文报在计算机网络中的所有的串行路线,并且还可以发现在计算机连接网络链中“前一跳”的信息,利用这些数据找到攻击者.计算机IP报文入侵追踪技术包括连接检测、日志记录、ICMP追踪法、标记信息技术与信息安全文法等,并且还可以追溯到发送带有假冒源地址报文的所有攻击者的真实位置,所有这些操作都是利用计算机路由器作为中间环节.在取证的实际所有的应用中,一般都是两种技术结合使用,只有这样才能找到最可靠的计算机证据.
3.日志分析技术
对日志进行分析,也可以得到被攻击的痕迹.系统日志数据包括防火墙日志数据、系统审计数据、入侵检测工具的数据或来自监视器数据等.这些日志都包含被访问的端口、改变权限的尝试、执行的任务名或命令名、访问的时间等.可以通过手工或使用日志分析工具如NetTracker、LogSurfer、Netlog和Analog等进行分析.
四、结束语
计算机经过多年的发展,在理论和司法实践中电子取证技术已取得了一些成绩.但还必须要看到很多问题,因为目前为止我国运用计算机取证存在的问题还是比较多的:市场上的多个操作系统,不同的存储方法和各种应用程序,检验方法和技术的不同致使电子设备可能会有所不同适用条件;信息不准确;不能有效地使用计算机数据挖掘;在司法程序中证据的定位不完全.研究和探索这些计算机的问题,并及时能够在司法实践经验中实际进行操作结果,并一步步完善.那么我国的计算机取证的法律和法规,加强标准化建设,使计算机取证活动逐步实用化,这将促进中国的信息安全人员培训的发展和有效打击和预防各种计算机犯罪,维护司法利益.