八点了解
简论计算机数据恢复技术在犯罪侦查中的应用
摘 要: 随着科技的进步与发展,在计算机犯罪案件中,犯罪分子往往破坏现场、毁灭证据,以逃脱罪责。数据恢复技术具有将被破坏的数据还原为原始数据的功能。把数据恢复技术应用于计算机犯罪侦查中,将为我们有效地打击计算机犯罪开辟一条新的途径。
关键词: 计算机;数据恢复;计算机犯罪侦查;电子证据;数据比对
在计算机犯罪案件的侦查过程中,犯罪分子往往会想方设法将作案的痕迹抹掉,以逃脱罪责。由于电子设备的特点,犯罪分子在实施犯罪的过程中,很容易做到破坏现场、毁灭证据。同信息技术一起发展起来的数据恢复技术具有将被删除或破坏的数据还原为原始数据的能力。掌握了数据恢复技术,我们就能够恢复计算机犯罪案件的作案现场,找到犯罪分子的作案证据,从而为有效地打击计算机犯罪提供技术保证。
首先,我们来了解一下计算机数据恢复的原理:从广义上说,驻留在计算机存储介质上的信息都是数据。任何使这些数据发生主观意愿之外的变化都可视为破坏。数据恢复就是将遭到破坏的数据还原为正常数据的过程。当我们对磁盘等存储介质上的文件进行删除操作,或对磁盘进行格式化时,磁盘上的数据并没有真正从磁盘上消失,一般情况下,这些数据是可以恢复的。这是由存储介质的结构和数据在存储介质上的存放方式所决定的。一般要将硬盘分成主引导扇区MBR、操作系统引导扇区DBR、文件分配表FAT、根目录区DIR和数据区Data等五部分。DATA区是真正作用上的存放数据的地方,位于DIR之后,占据硬盘的大部分空间。一般情况下,数据区的数据都是不会被破坏的,除非进行了擦除或进行了低级格式化。一个文件被删除之后,它并不是真正地从磁盘上抹掉全部数据,而仅仅是把文件头中的前两个代码(文件名的`第一个字符,与文件内容无关)做了修改,这一信息映射在文件分配表中,在分配表中做出该文件删除的标记,而这个文件中的全部数据仍保存在磁盘上原来的簇中,除非被后来保存的其他数据覆盖。既然文件被删除后,其中的全部数据仍保存在磁盘上、文件分配表中也还存有它的信息,那么,这个文件就有恢复的机会。具体的做法是将文件头找出来,恢复或重写原来的前两个代码,在文件分配表中重新映射一下,这个文件就被恢复了。
接下来我们再来看一下数据恢复的策略:一般地说,常用的数据恢复策略有如下三种:利用系统自身的还原功能恢复数据、使用专业的数据恢复软件以及软件和硬件结合进行数据恢复。
1、利用系统自身的还原功能恢复数据:有些操作系统和应用程序自身带有数据还原和记录用户操作信息的功能,利用这些功能就可以达到数据恢复的目的。如操作系统的回收站就具有数据还原的功能,在通常的情况下,数据被删除,常常只是删除到回收站中,数据仍驻留在磁盘上。如果没有清空回收站,就可以利用回收站的还原功能非常容易地将数据恢复到原来的位置。一些系统软件和应用软件中对已操作过的文件也有相应的记录,如果能找到这些记录,用不着完全恢复原始数据就可以发现线索或认定犯罪事实。
2、使用专业的数据恢复软件:在文件被删除(并从回收站中清除)、FAT表或者磁盘根区被病毒侵蚀造成文件信息全部丢失、物理故障造成FAT表或者磁盘根目录区不可读或对磁盘格式化造成全部文件信息丢失的情况下,可以借助数据恢复软件如EasyRecovery、FinalData和Norton Utility等进行数据恢复。
3、软件和硬件结合恢复数据的策略:当文件破坏比较严重或磁盘有物理损伤时,单纯使用软件恢复数据可能难以达到预期的效果。这种情况下,最好的策略是将数据恢复工具软件和专门的数据恢复仪器结合起来进行数据恢复。
最后,我们再来研究一下计算机犯罪侦查中使用数据恢复技术的原则与策略:1、要根据具体的情况合理选择数据恢复技术和策略,选择数据恢复的技术和策略时要考虑的因素有:犯罪现场中机器所使用的操作系统、网络环境以及存储介质的种类和结构等。不同的操作系统可能使用不同的文件系统,而不同的文件系统决定数据在存储介质上不同的存储方式。不同的存储介质其数据的存放方式和存取方式也不尽相同,进行数据恢复时也要考虑这个因素。2、进行数据恢复前要做好数据备份。进行数据恢复是要冒一定风险的,因为如果犯罪嫌疑人做了手脚或自己操作不当,不但不能恢复数据还可能破坏要恢复的数据,造成无法挽回的损失。因此每一步操作都要有明确的目的,在进行操作之前要考虑好做完该步骤之后能达到什么目的,可能造成什么后果,能不能回退到上一状态。特别是对一些破坏性操作,一定要考虑周到。只要条件允许,就一定要在操作之前,进行数据备份。3、进行数据恢复的每一个步骤要严格依照法律规定的程序,确保得到的数据可以作为具有法律效力的电子证据,由于计算机中的数据具有可修改性、多重性、可灭失性和技术性等特点,任何一点失误或疏漏都可能造成电子证据失去法律效力。因此在进行数据恢复的过程中,要详细记录操作的策略、使用的工具(包括软件和硬件)、操作的每一个步骤甚至包括存储介质运输和保存
的过程与策略等,这对防止在法庭上辩护方试图针对后来重新组装的系统和介质中储存信息的合法性提出异议是十分必要的。4、与数据比对技术结合使用,在计算机犯罪侦查取证过程中应用数据恢复技术不同于一般的数据恢复,在一般情况下没有必要追求百分之百的恢复,因为我们的目的是认定犯罪,只要得到的数据能够充分证明犯罪事实就可以了。要确定这些数据同我们已经掌握的数据具有同一性,就要利用数据比对技术进行对比分析,通过数据比对技术能够认定其统一性就行了。
综上所述,随着信息技术的发展,计算机犯罪的技术性越来越强,获取电子证据的难度越来越大,给警方的侦查破案工作带来越来越大的压力。如果将数据恢复技术应用于计算机犯罪侦查,可以为警方获取电子证据开辟一条新的途径,这对有效地打击计算机犯罪将会起
到重要的作用。利用一定的科学策略并遵循一定的工作程序将会取得更多的案件线索和各种电子证据,这对有效打击计算机犯罪将会起到非常重要的作用。数据恢复技术还有待于做更深一步的研究,如,在处理有物理损坏的硬盘、查找文件碎片及对特殊文件的分析等方面取证进展将对于计算机取证具有十分重要的作用。
参考文献
[1] 戴士剑,涂彦晖编著.数据恢复技术[M]. 电子工业出版社, 2005
[2] 涂彦晖,戴士剑编著.数据安全与编程技术[M]. 清华大学出版社, 2005
[3] (美),(美)著,詹剑锋等译.Windows 2000内部揭密[M]. 机械工业出版社, 2001
[4] 尤晋元等编著.Windows操作系统原理[M]. 机械工业出版社, 2001
[5] 姜灵敏编著.微机硬盘管理技术[M]. 人民邮电出版社, 1999
Hello糖咖啡
起例说明假如你在通过qq诈骗了我,让我给你汇了10万元。取证过程如下(对于个人,这基本上=不可能完成的任务)1、先通过显示ip地址的qq得到你的ip(这有两种可能。一种是真的是你的ip。另一种是你可能使用了代理服务器)2、联系你ip所地地的相对应网络服务商,让他提供x年x月x日x点x分,这个ip的使用情况(也就是这个ip分配给谁了。一般网络服务商会保存最少半年以上,但作为你个人去查这东西,结果应该是没有人理你,不给你看)3、如果取得了第二步证据后就可以起诉或报案了(普通网络犯罪你啥证据都没有情况下,报案也是白报。)个人认为目前网络诈骗类的,如果你上当了,如果金额在3万以下,还是认倒霉吧。因为你会为这件事支付的金额远远大于你损失的金额,而且还有可能赢了官司要不到钱。
萨瓦底卡Fs
算机取证技术发展不到20年,其中美国取证技术的发展最具有代表。计算机取证的定义由 International Association of Computer Specialists (IACIS)在 1991年美国举行的国际计算机专家会议上首次提出。计算机取证也称数字取证、电子取证,是指对取证人员如何按照符合法律规范的方式,对能够成为合法、可靠、可信的,存在于计算机、相关外设和网络中的电子证据的识别、获取、传输、保存、分析和提交数字证据的过程。数字证据一般情况下是指关键的文件、图片和邮件,有时候则应要求重现计算机在过去工作中的细节,比如入侵取证,网络活动状态取证等。
艺术边上观望
计算机取证技术论文篇二 计算机取证技术研究 摘要:随着计算机和 网络技术 的飞速发展,计算机犯罪和网络安全等问题也越来越突出,也逐渐引起重视。文章对计算机取证的特点、原则和步骤进行了介绍,最后从基于单机和设备、基于网络的两类取证技术进行了深入研究。 关键词:计算机取证 数据恢复 加密解密 蜜罐网络 随着计算机和网络技术的飞速发展,计算机和网络在人类的政治、经济、 文化 和国防军事中的作用越来越重要,计算机犯罪和网络安全等问题也越来越突出,虽然目前采取了一系列的防护设备和措施,如硬件防火墙、入侵检测系统、、网络隔离等,并通过授权机制、访问控制机制、日志机制以及数据备份等安全防范措施,但仍然无法保证系统的绝对安全。 计算机取证技术是指运用先进的技术手段,遵照事先定义好的程序及符合法律规范的方式,全面检测计算机软硬件系统,查找、存储、保护、分析其与计算机犯罪相关的证据,并能为法庭接受的、有足够可信度的电子证据。计算机取证的目的是找出入侵者,并解释或重现完整入侵过程。 一、计算机取证的特点 和传统证据一样,电子证据也必须是可信的、准确的、完整的以及令人信服并符合法律规范的,除此之外,电子证据还有如下特点: 1.数字性。电子证据与传统的物证不同,它是无法通过肉眼直接看见的,必须结合一定的工具。从根本上讲,电子证据的载体都是电子元器件,电子证据本身只是按照特殊顺序组合出来的二进制信息串。 2.脆弱性。计算机数据每时每刻都可能发生改变,系统在运行过程中,数据是不断被刷新和重写的,特别是如果犯罪嫌疑人具备一定的计算机水平,对计算机的使用痕迹进行不可还原的、破坏性操作后,现场是很难被重现的。另外取证人员在收集电子证据过程中,难免会进行打开文件和程序等操作,而这些操作很可能就会对现场造成原生破坏。 3.多态性。电子证据的多态性是指电子证据可以以多种形态表现,它既可以是打印机缓冲区中的数据,也可以是各种计算机存储介质上的声音、视频、图像和文字,还可以是网络交换和传输设备中的历史记录等等,这些不同形态都可能成为被提交的证据类型。法庭在采纳证据时,不仅要考虑该电子证据的生成过程、采集过程是否可靠,还要保证电子证据未被伪造篡改、替换剪辑过。 4.人机交互性。计算机是通过人来操作的,单靠电子证据本身可能无法还原整个犯罪过程,必须结合人的操作才能形成一个完整的记录,在收集证据、还原现场的过程中,要结合人的 思维方式 、行为习惯来通盘考虑,有可能达到事半功倍的效果。 二、计算机取证的原则和步骤 (一)计算机取证的主要原则 1.及时性原则。必须尽快收集电子证据,保证其没有受到任何破坏,要求证据的获取具有一定的时效性。 2.确保“证据链”的完整性。也称为证据保全,即在证据被正式提交法庭时,必须能够说明证据从最初的获取状态到法庭上出现的状态之间的任何变化,包括证据的移交、保管、拆封、装卸等过程。 3.保全性原则。在允许、可行的情况下,计算机证据最好制作两个以上的拷贝,而原始证据必须专门负责,所存放的位置必须远离强磁、强腐蚀、高温、高压、灰尘、潮湿等恶劣环境,以防止证据被破坏。 4.全程可控原则。整个检查取证的过程都必须受到监督,在证据的移交、保管、拆封和装卸过程中,必须由两人或两人以上共同完成,每一环节都要保证其真实性和不间断性,防止证据被蓄意破坏。 (二)计算机取证的主要步骤 1.现场勘查 勘查主要是要获取物理证据。首先要保护计算机系统,如果发现目标计算机仍在进行网络连接,应该立即断开网络,避免数据被远程破坏。如果目标计算机仍处在开机状态,切不可立即将其电源断开,保持工作状态反而有利于证据的获取,比如在内存缓冲区中可能残留了部分数据,这些数据往往是犯罪分子最后遗漏的重要证据。如果需要拆卸或移动设备,必须进行拍照存档,以方便日后对犯罪现场进行还原。 2.获取电子证据 包括静态数据获取和动态数据获取。静态数据包括现存的正常文件、已经删除的文件、隐藏文件以及加密文件等,应最大程度的系统或应用程序使用的临时文件或隐藏文件。动态数据包括计算机寄存器、Cache缓存、路由器表、任务进程、网络连接及其端口等,动态数据的采集必须迅速和谨慎,一不小心就可能被新的操作和文件覆盖替换掉。 3.保护证据完整和原始性 取证过程中应注重采取保护证据的措施,应对提取的各种资料进行复制备份,对提取到的物理设备,如光盘硬盘等存储设备、路由器交换机等网络设备、打印机等外围设备,在移动和拆卸过程中必须由专人拍照摄像,再进行封存。对于提取到的电子信息,应当采用MD5、SHA等Hash算法对其进行散列等方式进行完整性保护和校验。上述任何操作都必须由两人以上同时在场并签字确认。 4.结果分析和提交 这是计算机取证的关键和核心。打印对目标计算机系统的全面分析结果,包括所有的相关文件列表和发现的文件数据,然后给出分析结论,具体包括:系统的整体情况,发现的文件结构、数据、作者的信息以及在调查中发现的其他可疑信息等。在做好各种标记和记录后,以证据的形式并按照合法的程序正式提交给司法机关。 三、计算机取证相关技术 计算机取证涉及到的技术非常广泛,几乎涵盖信息安全的各个领域,从证据的获取来源上讲,计算机取证技术可大致分为基于单机和设备的计算机取证技术、基于网络的计算机取证技术两类。 (一)基于单机和设备的取证技术 1.数据恢复技术 数据恢复技术主要是用于将用户删除或格式化的磁盘擦除的电子证据恢复出来。对于删除操作来说,它只是将文件相应的存放位置做了标记,其文件所占的磁盘空间信息在没有新的文件重新写入时仍然存在,普通用户看起来已经没有了,但实际上通过恢复文件标记可以进行数据恢复。对于格式化操作来讲,它只是将文件系统的各种表进行了初始化,并未对数据本身进行实际操作,通过重建分区表和引导信息,是可以恢复已经删除的数据的。实验表明,技术人员可以借助数据恢复工具,把已经覆盖过7次的数据重新还原出来。 2.加密解密技术 通常犯罪分子会将相关证据进行加密处理,对取证人员来讲,必须把加密过的数据进行解密,才能使原始信息成为有效的电子证据。计算机取证中使用的密码破解技术和方法主要有:密码分析技术、密码破解技术、口令搜索、口令提取及口令恢复技术。 3.数据过滤和数据挖掘技术 计算机取证得到的数据,可能是文本、图片、音频或者视频,这些类型的文件都可能隐藏着犯罪信息,犯罪分子可以用隐写的方法把信息嵌入到这些类型的文件中。若果犯罪分子同时结合加密技术对信息进行处理,然后再嵌入到文件中,那么想要还原出原始信息将变得非常困难,这就需要开发出更优秀的数据挖掘工具,才能正确过滤出所需的电子证据。 (二)基于网络的取证技术 基于网络的取证技术就是利用网络跟踪定位犯罪分子或通过网络通信的数据信息资料获取证据的技术,具体包括以下几种技术: 地址和MAC地址获取和识别技术 利用ping命令,向目标主机发送请求并监听ICMP应答,这样可以判断目标主机是否在线,然后再用其他高级命令来继续深入检查。也可以借助IP扫描工具来获取IP,或者利用DNS的逆向查询方法获取IP地址,也可以通过互联网服务提供商ISP的支持来获取IP。 MAC地址属于硬件层面,IP地址和MAC的转化是通过查找地址解析协议ARP表来实现的,当然,MAC跟IP地址一样,也可能被修改,如此前一度横行的“ARP欺骗”木马,就是通过修改IP地址或MAC来达到其目的的。 2.网络IO系统取证技术 也就是网络输入输出系统,使用netstat命令来跟踪嫌疑人,该命令可以获取嫌疑人计算机所在的域名和MAC地址。最具代表性的是入侵检测技术IDS,IDS又分为检测特定事件的和检测模式变化的,它对取证最大帮助是它可以提供日志或记录功能,可以被用来监视和记录犯罪行为。 3.电子邮件取证技术 电子邮件使用简单的应用协议和文本存储转发,头信息包含了发送者和接受者之间的路径,可以通过分析头路径来获取证据,其关键在于必须了解电子邮件协议中的邮件信息的存储位置。对于POP3协议,我们必须访问工作站才能获取头信息;而基于HTTP协议发送的邮件,一般存储在邮件服务器上;而微软操作系统自带的邮件服务通常采用SMTP协议。对于采用SMTP协议的邮件头信息,黑客往往能轻易在其中插入任何信息,包括伪造的源地址和目标地址。跟踪邮件的主要方法是请求ISP的帮助或使用专用的如NetScanTools之类的工具。 4.蜜罐网络取证技术 蜜罐是指虚假的敏感数据,可以是一个网络、一台计算机或者一项后台服务,也可以虚假口令和数据库等。蜜罐网络则是由若干个能收集和交换信息的蜜罐组成的网络体系,研究人员借助数据控制、数据捕获和数据采集等操作,对诱捕到蜜罐网络中的攻击行为进行控制和分析。蜜罐网络的关键技术包括网络欺骗、攻击捕获、数据控制、攻击分析与特征提取、预警防御技术。目前应用较多是主动蜜罐系统,它可以根据入侵者的攻击目的提供相应的欺骗服务,拖延入侵者在蜜罐中的时间,从而获取更多的信息,并采取有针对性的措施,保证系统的安全性。 参考文献: [1]卢细英.浅析计算机取证技术[J],福建电脑,2008(3). [2]刘凌.浅谈计算机静态取证与计算机动态取证[J],计算机与现代化,2009(6). 看了“计算机取证技术论文”的人还看: 1. 计算机犯罪及取征技术的研究论文 2. 安卓手机取证技术论文 3. 计算机安全毕业论文 4. 计算机安全论文 5. 计算机安全论文范文
三到五万字 (一)mba毕业论文字数要求 一般来说,大多数的mba论文字数都要求在3—5万字之间,当然不同的学院和导师可能有不同的规定,但都相差不大。学位论文必
爱吃爱玩007 3人参与回答 2023-12-12 随着信息技术发展速度的不断加快,计算机技术已经成为整个社会发展的不可或缺的内容之一,越来越多的领域开始应用计算机技术。下面是我给大家推荐的计算机应用技术毕业论文
蝴蝶圆舞曲 4人参与回答 2023-12-11 首先介绍下云计算,的发展历史,他的前身,现在的应用,然后在介绍现在计算机的应用,在应用之中的不足,然后,着重阐述云计算的优势,我这里有一份关于这方面的对比及心得
江苏友道木业 3人参与回答 2023-12-07 摘要: 1一 绪论 21.1问题的提出 2二 系统概述 42.1 本系统主要完成的功能 42.2 系统预览图 4三 系统需求分析 5四 系统设计和架构 64.1
海螺拍客 6人参与回答 2023-12-05 1、技术含量。以本科生为例,如果题目涉及到的是进销存管理系统,那么当前的进销存管理系统如何面对大数据时代的要求,以及能否满足互联网业务的需求,这些都是可能会面临
特别爱吃大蒜 5人参与回答 2023-12-10 