计算机硬件检测论文

计算机常见故障分析及处理论文

当我们遇到故障时要实际联系理论，不要急于动手，仔细观察，认真分析，找出问题的真正原因，再做相应的处理。那么，计算机常见故障如何处理呢?以下是我为大家带来的计算机常见故障分析及处理，希望大家喜欢。

摘要： 随着计算机的迅速发展和广泛应用，计算机已成为现代人类工作和生活必要的设备。计算机不同于普通的电子产品，它由硬件和软件组成，用户的操作不当和计算机病毒等原因经常造成计算机故障。本文从计算机软件和硬件两个方面分析了计算机最常见故障的原因，并介绍了常用处理方法。

关键词：计算机;启动;死机;软件;硬件

死机、不加电、自检通不过和不启动是电脑最常见故障，也是比较复杂的问题。造成这些故障的原因也是多方面的，但究其原因还是硬件与软件两方面。下面介绍其形成的原因、常见现象以及处理方法。

一、计算机不加电或自检通不过

(一)开机不加电。

开机不加电是经常遇到的现象，主要表现为按下电源开关主机不加电或者只加一下电，然后就自动关机。这种故障主要表现为以两方面。

1、按下电源开关，主机不加电。这种故障主要检查供系统及电源，逐个检查插座、电源线和主机电源是否正常。

2、只加一下电，然后就自动关机。这种现象主要由以下两种故障引起的。

(1)POWER(电源)按钮或RESET(复位)按钮不回位。检查这两个按钮按下去是否能回位。

(2)硬件安装错误。现在有很多计算机具有开机自动检测设备连接功能，当设备连接错误，计算机开机后自动关机。打开机箱，仔细检测各个部件的连接是否正常。

(二)自检通不过。

自检通不过，主要表现分为以下三个方面。

1、开机后黑屏，无声音(喇叭声音)，电源灯正常。这种情况需考虑以下三方面的问题，可以按照以下步骤来分析处理。

(1)CPU频率或内存参数设置不正确。处理方法，利用CMOS放电法，恢复CMOS默认值。具体做法是在关机断电情况下，把主板上Clear CMOS 跳线(一般在电池附近的三脚插针)从原来的NORMAL状态设置为Clear CMOS状态，稍等片刻再设置为NORMAL状态。

(2)硬件接触不良。机箱内的各种部件很容易积尘，特别是主板，尘土多了使计算机各部件接触不良和不容易散热。处理办法，打开机箱，先清除机箱内的尘土，然后检查设备连线、电源插座以及插接卡是否松动。最好是把各个插接卡拔下再重新插一遍。如果有空闲插槽，可以把插接卡换一个插槽。多检查一下各个插接卡的插脚是否有氧化迹象，若有要及时处理。

(3)硬件损坏。一般说来，主板、CPU、内存、显示卡是电脑显示信息的基本要素，缺一不可。我们可以通过替换法逐一检查排除，确定问题出在哪里。

2、开机后黑屏，有声音。这种情况主要考虑显卡和内存损坏或显卡和内存与主板接触不良。处理方法打开机箱重新安装内存和显卡，如果有空闲插槽，可以更换一下插槽，如果故障不能处理，用替换内存和显卡方法检查故障。

3、开机后有显示。这种情况一般来说主要的硬件(CPU、主板、显卡、内存)没有故障，并且可以根据自检提示，找出故障所发生的部件。

二、计算机死机

(一)由硬件引起的死机。

开机后运行程序中死机。这种现象大部分是软件故障引起的，但也不能排除硬件，如CPU或显卡散热不好、内存冲突、内存接触不良、硬盘磁道损坏、主板老化也能引起计算机的死机。我们要根据实际情况，认真查看各部件，通过看、听、闻、摸、替换部件等方法找出计算机的真正故障。

(二)由软件故障引起的死机，主要表现分为以下几个方面。

目前互联网发展迅速，网络覆盖范围之广，数据传输速度之快，病毒也日益泛滥，可以说病毒无处不在，病毒是防不胜防。很多的软件死机都是由病毒引起的。这种故障我们一种办法是借助杀毒软件清除病毒;另一种办法就是把磁盘格式化，重新安装系统。除此之外由软件引起的死机故障可以分为三种情况。

1、启动操作系统时死机

这种情况主要是启动过程中出现蓝屏、黑屏或进不了桌面等。这种故障主要是操作不当引起的

(1)某些操作和设定修改了系统文件;

(2)驱动程序设置不当;

(3)启动自启动的进程过多。解决办法

(1)用安全模式启动系统，如果能进入系统，运行Msconfig系统配置文件，检查启动项中的程序，把不用的去掉;

(2)通过“设备管理器”检查找出有驱动问题的设备，重装驱动程序，然后重新启动系统，问题可能解决;

(3)如果安全模式也进不了系统，建议重装系统。

2、关机时死机

关闭系统时的死机多数是与某些操作设定和某些驱动程序的设置不当有关。系统在退出前会关闭正在使用的程序以及驱动程序，而这些驱动程序也会根据当时情况进行一次数据回写的操作或搜索设备的动作，其设定不当就可能造成无用搜索，形成死机。解决这种故障的方法是进入 “设备管理器”， 检查找出有驱动问题的设备，重装驱动程序，即可解决问题。也可以采用系统还原的办法解决问题。

3、运行应用程序时出现死机

这种情况是最常见的。原因可能是程序本身的问题，也可能是应用软件与操作系统的兼容性不好，存在冲突，还有可能是用户操作不当引起的。比如不正确的删除程序可能引起死机。有的程序用删除目录的方式是不能把所有相关文件清除，把它们留在系统中，一则增加注册表容量，降低系统速度;二则往往引起一些不可预知的故障出现，进而导致系统死机。更需注意的是，有时即使你用正确的方法卸载软件，也可能造成死机隐患。这是因为应用软件有时要与操作系统共享一些文件，如果你在删除时全删去，操作系统很可能失去了这个支持文件，造成系统稳定性的降低。另外，同时运行多个程序很容易引起死机。因为多个程序同时占用内存，很容易引起内存资源不足或内存地址冲突。解决方法，养成良好的卸载程序习惯，对于自己不能确定是否能删除的选项最好不要删除，及时关闭不使用的程序。如果删除文件造成的死机，需重新安装软件。

三、计算机不启动

这里讨论的是能通过自检，但不能引导系统。这种现象主要应考虑以下几方面的因素。

1、没接硬盘或硬盘线接触不好。在CMOS中检测一下硬盘参数是否与实际相符，如果不相符，重新安装硬盘数据线或更换硬盘数据线。

2、主、从盘跳线设置错误。如果同一条IDE数据线上接两个设备时，需要正确设置主、从盘。

3、CMOS设置不正确。

(1)查看CMOS中是否屏蔽了硬盘接口。

(2)引导设备中是否设置硬盘为可引导设备。

(3)如果使用的串口硬盘，还 需检查CMOS中SATA项设置是否正确。

(4)内存参数设置是否正确。

(5)中断号和中断方式设置是否正确。这些故障可通过执行CMOS中的Load Optimize Setup(优化设置)或Load setup defaults(系统默认设置)来解决。

4、引导程序不正确。如果上述三步都正确，那么就要考虑引导数据的故障，病毒或人为因素都可能引起引导文件损坏。这种故障有两种情况，一是系统文件损坏，可通过系统修复或重装系统解决。二是分区表损坏，可以借助分区修复工具比如DiskGenius重建分区表，恢复损坏的分区表。

5、硬盘损坏。如果经过上述第1、2、3步，仍然找不到硬盘(CMOS中检测不到硬盘)，那么硬盘可能损坏，找专用硬盘修复工具试看能否修复。

总之，当我们遇到故障时要实际联系理论，不要急于动手，仔细观察，认真分析，找出问题的真正原因，再做相应的处理。上述是本人多年来在机房工作和社会实践中总结出来的。

参考文献：

[1]高波，《计算机维修与维护技术教程》，电子工业出版社，2002年3月

[2]蔡泽光,廖乔其，《计算机组装与维护(第2版)》，清华大学出版社，2007年9月

[3]《电脑死机全面剖析》，《计算机世界报》，2001，5

1、计算机常见的软件常见故障和处理措施

（1）安装驱动程序出现的问题当计算机进入运行界面后，可以利用设备管理器对计算机的驱动安装情况进行观察。假设出现了问号和感叹号时，说明安装驱动程序存在问题。其中感叹号代表的是设备和设备间出现了冲突；问号代表的是计算机无法识别该设备。通常情况下发生此类问题的原因是未能安装好驱动程序或是未能正确安装驱动程序。其中"X"表示所安装的驱动程序和计算机设备的要求不符。例如：使用者在安装网卡的过程中，假设网卡设备出现了"！"或"？"时，使用者需要检查驱动程序的安装情况，并重新安装驱动程序。

（2）CMOS参数设置存在错误对计算机CMOS参数进行设置的重点在于设置计算机的引导系统顺序、硬件监测、病毒警告开关以及计算机密码等重要信息。这类信息的设置对计算机硬件的使用会造成一定程度的影响。所以在进入计算机系统后，使用者需要重新调整不准确的数据信息。

2、计算机维修方法

（1）最小系统法这类方法分为计算机软件和硬件最小系统法。其中计算机软件最小系统以内存、显示器、主板、中央处理器、电源等为主。检查该部分是否存在常见故障，主要看计算机系统能否正常运行。而计算机硬件最小系统，将主板、CPU和电源视为重点部位。在计算机系统中，假设未出现连接信号，则利用听声分辩方式对计算机故障进行分析。一旦存在异常声响，使用者就需要对主板、CPU和电源等重点部位进行检查。

（2）查看听声法这类方法多是用于计算机CMOS参数设置和计算机设备发生冲突的情况下，对计算机的软件和硬件等故障进行仔细检查。通常情况下，出现警报声是由于计算机硬件问题造成的。使用者需要有针对性地检查计算机的硬件设备，快速找出发生故障的部位，并加以解决。

（3）替换法替换法是指使用者利用优质零件替换掉可能发生故障的零件，以此观察计算机发生的反应。这类方法操作较为简单，但是工作量较大，且操作繁琐。一般情况下，替换法只用于处理内存卡或显卡等常见故障。此外，在计算机的日常维护过程中，计算机需要在一个干燥、通风的环境下运行，杜绝产生静电，防止计算机中的小型部件遭到破坏；计算机系统需要安装安全卫士；要在安全卫士检测下浏览网页；定期对计算机系统进行杀毒和扫描，避免计算机病毒的入侵。

摘要： 在人们生活中，计算机的应用已经无处不在，随处可见计算机的身影，它正在成为人们工作、学习和生活离不开的工具。作为一名计算机的.维护人员，能够分析计算机硬件、软件及故障的处理，还应积极地推广计算机的相关知识，让更多的用户必备基础的知识、有效地使用计算机并让计算机很好地为人们服务。

关键词： 计算机;日常维护;故障排除

1加强计算机维护工作具有更广阔的意义

计算机已经深入到工作的每一角落、每个家庭甚至每个人当中，使人们的生活更加丰富多彩、绚丽多姿。但是很多人对计算机系统知识是非常迷茫的，每当系统出现问题时就束手无策，手忙脚乱。文章以从计算机的日常说起，分析计算机简要理论，期望让人们都不用再担心系统问题，不用在系统上再去花冤枉钱；让人们对计算机的系统维护维修不再害怕，让人们的生活因懂计算机而美丽。

2计算机的硬件正常使用对正常工作具有实际意义

对硬件进行日常维护，认真分析计算机的环境，了解各种器件的功能及日常维护，能够提高工作效率。下面笔者就认真分析主要部件，简述在实际工作中遇到问题时所采取的有效解决办法。

(1)计算机出现不断重启，其表现为有时刚刚出现启动画面即重启，或者进入系统后不久就重启。分析解决：因为该机已通过ADSL连入宽带网，而且近期网上病毒肆虐，所以先查杀病毒，问题依旧。朋友曾下载和试用各种软件，于是重新格式化硬盘安装系统。在安装过程中出现蓝屏和死机的现象，跳过错误提示后，总算装完了系统。可是，系统不断重启的问题依然没有解决。电脑买来有3年了，很少对机箱进行过清理，是不是内部灰尘过多引发的硬件接触不良呢？打开机箱，对重要的部件如电源、CPU风扇、内存进行了清洁和擦拭。完工后重新开机，电脑依然不断重启。到这时候，笔者意识到可能某个电脑硬件出了问题。首先电源的疑问最大，直接更换了某名牌300W的电源，故障依旧。随后，笔者只有拿出了杀手锏——“最小系统法”。保留系统启动必备的硬件进行故障排查，结果电脑依然不断重启，不过这就圈定了引起故障的嫌疑范围。接着祭出“换件大法”，直到更换CPU并安装良好后，故障才消失，系统重启的元凶居然是CPU。原来，朋友电脑的CPU曾更换过风扇和散热器。由于安装不当造成散热器和CPU接触不良，影响了CPU的散热，在长时间的使用后，大大缩短了CPU的寿命。对于一般的电脑故障，如果不是系统彻底瘫痪，人们很少怀疑到CPU损坏的可能。但什么事都不是绝对的，在发生故障时，要谨慎、小心地按顺序认真排查，不放过一丝可疑，就能找到故障的真正所在。

(2)系统无法识别硬盘时，可按下述方法进行排查解决：首先开机进入BIOS，确认BIOS中是否能够识别硬盘,若BIOS无法识别到硬盘，拆开机箱，确认SATA接口，硬盘电源线是否有松动的情况。如果接口检查无异常，则证明此时硬盘已经损坏，无法使用了。若能够识别到硬盘，检查硬盘容量、转速等信息是否正确，继续下面步骤。将硬盘拆开，挂载到其他电脑的SATA接口上，或者使用移动硬盘盒将其用作移动硬盘，将其他电脑开机进入系统，打开磁盘管理器，确认是否识别到硬盘，若识别不到，证明硬盘还是有硬件故障，无法使用。若能识别到，右击选择对其进行“初始化”，之后再进行分区，格式化等操作，此时硬盘就可以正常读取使用了。

(3)显示器需要正常使用，显示的效果处理不好，可能伤害眼睛，而合理地选择显示器的分辨率和刷新率会使人们感觉舒适。刷新率在85时效果最好。有时显示器也会出一些故障、一些非正常现象，例如：开机正常，但是开机时几分钟内不动鼠标，就会蓝屏。可以应用的检查办法是开机时移动鼠标后，电脑使用一切正常。具体的解决办法是可以通过“控制面版”的“外观和主题”的“显示”的“屏幕保护程序”来选择。

3计算机软件维护可以保证日常工作的工作效率

(1)对于操作系统，笔者认为在长期的使用过程中，会产生一些垃圾文件，占用系统资源。笔者一般是在4个月到半年左右的时间会重装系统，是重装，不是还原。目前光驱装系统好像已经逐渐退出了圈子，个人支持使用U盘装系统。使用U盘装系统很简单，网上也有很多工具，一般情况下是在U盘里面装个winPE系统，将系统文件copy到U盘里面。插上U盘，启动电脑的时候，按F2键(个别电脑是F8键)，在出现的bios界面进行设置U盘启动，之后就可以根据说明进行装机，如果到了这一步之后还是不知道怎么操作，那么在启动的winPE里面有浏览器，可以上网查询。

(2)根据实际工作中，出现的比较突出的问题，详细分析如下。

①遇到启动计算机系统时，提示蓝屏，先不要盲目重装系统，可使用以下几种方法依次进行尝试。

方法1:如有新安装的硬件，首先拆除，再重启。

方法2：进入安全模式将最后安装的软件进行删除，重启后进行测试。

方法3：如未安装过软件，则进入安全模式，将有“！”或“？”号的驱动进行卸载，若无此符号，则卸载显卡驱动，DELL电脑建议卸载声卡驱动，重启后进行测试。

方法4：在WINPE下运行诺顿磁盘医生，并进行全盘扫描及修复，如果是异常断电引起的蓝屏，通常此方法十分有效。

方法5：个别计算机蓝屏是因为360漏洞补丁和当前操作系统不匹配，而导致的。在引导菜单中，会有360漏洞补丁引起蓝屏的修复项，可进行选择修复。

②计算机启动后，黑屏无显示处理步骤：将计算机电源线拨出，反复按电源按钮若干下，再将电源线插入，如正常启动，则说明，计算机进入了主板保护模式；将显卡与显示器两端的连线进行目测，看是否有弯针，若无弯针，则将两端重新予以固定。将独立显卡拨除。除USB鼠标外，将连接于计算机上的U盘等USB设备全部移除，再启机。最后，对于任何东西或者物品而言，都有一个生命周期，维护得好，自然可以多使用一些年限，日常维护不是太难，但是必须细心，对计算机进行检查保养，提高其使用寿命。计算机使用中出现问题是很正常的，因此，对计算机的硬件软件进行有效的维护十分重要，也是不断摸索探究的过程。这样才能对计算机进行高效的维护，这样才能使其正常工作。

参考文献:

[1]张霞.计算机故障解决对策研究[J].现代化计算机技术，2014(9)：22-23.

[2]刘俊.常见性的计算机硬件故障问题[J].民营科技，2011(11)：101-103.

[3]何正.计算机硬件问题及解决的对策[J].科技资讯，2013(3)：52-53.

计算机取证技术论文篇二 计算机取证技术研究 摘要：随着计算机和 网络技术 的飞速发展，计算机犯罪和网络安全等问题也越来越突出，也逐渐引起重视。文章对计算机取证的特点、原则和步骤进行了介绍，最后从基于单机和设备、基于网络的两类取证技术进行了深入研究。 关键词：计算机取证 数据恢复 加密解密 蜜罐网络 随着计算机和网络技术的飞速发展，计算机和网络在人类的政治、经济、 文化 和国防军事中的作用越来越重要，计算机犯罪和网络安全等问题也越来越突出，虽然目前采取了一系列的防护设备和措施，如硬件防火墙、入侵检测系统、、网络隔离等，并通过授权机制、访问控制机制、日志机制以及数据备份等安全防范措施，但仍然无法保证系统的绝对安全。 计算机取证技术是指运用先进的技术手段，遵照事先定义好的程序及符合法律规范的方式，全面检测计算机软硬件系统，查找、存储、保护、分析其与计算机犯罪相关的证据，并能为法庭接受的、有足够可信度的电子证据。计算机取证的目的是找出入侵者，并解释或重现完整入侵过程。 一、计算机取证的特点 和传统证据一样，电子证据也必须是可信的、准确的、完整的以及令人信服并符合法律规范的，除此之外，电子证据还有如下特点： 1.数字性。电子证据与传统的物证不同，它是无法通过肉眼直接看见的，必须结合一定的工具。从根本上讲，电子证据的载体都是电子元器件，电子证据本身只是按照特殊顺序组合出来的二进制信息串。 2.脆弱性。计算机数据每时每刻都可能发生改变，系统在运行过程中，数据是不断被刷新和重写的，特别是如果犯罪嫌疑人具备一定的计算机水平，对计算机的使用痕迹进行不可还原的、破坏性操作后，现场是很难被重现的。另外取证人员在收集电子证据过程中，难免会进行打开文件和程序等操作，而这些操作很可能就会对现场造成原生破坏。 3.多态性。电子证据的多态性是指电子证据可以以多种形态表现，它既可以是打印机缓冲区中的数据，也可以是各种计算机存储介质上的声音、视频、图像和文字，还可以是网络交换和传输设备中的历史记录等等，这些不同形态都可能成为被提交的证据类型。法庭在采纳证据时，不仅要考虑该电子证据的生成过程、采集过程是否可靠，还要保证电子证据未被伪造篡改、替换剪辑过。 4.人机交互性。计算机是通过人来操作的，单靠电子证据本身可能无法还原整个犯罪过程，必须结合人的操作才能形成一个完整的记录，在收集证据、还原现场的过程中，要结合人的 思维方式 、行为习惯来通盘考虑，有可能达到事半功倍的效果。 二、计算机取证的原则和步骤 (一)计算机取证的主要原则 1.及时性原则。必须尽快收集电子证据，保证其没有受到任何破坏，要求证据的获取具有一定的时效性。 2.确保“证据链”的完整性。也称为证据保全，即在证据被正式提交法庭时，必须能够说明证据从最初的获取状态到法庭上出现的状态之间的任何变化，包括证据的移交、保管、拆封、装卸等过程。 3.保全性原则。在允许、可行的情况下，计算机证据最好制作两个以上的拷贝，而原始证据必须专门负责，所存放的位置必须远离强磁、强腐蚀、高温、高压、灰尘、潮湿等恶劣环境，以防止证据被破坏。 4.全程可控原则。整个检查取证的过程都必须受到监督，在证据的移交、保管、拆封和装卸过程中，必须由两人或两人以上共同完成，每一环节都要保证其真实性和不间断性，防止证据被蓄意破坏。 (二)计算机取证的主要步骤 1.现场勘查 勘查主要是要获取物理证据。首先要保护计算机系统，如果发现目标计算机仍在进行网络连接，应该立即断开网络，避免数据被远程破坏。如果目标计算机仍处在开机状态，切不可立即将其电源断开，保持工作状态反而有利于证据的获取，比如在内存缓冲区中可能残留了部分数据，这些数据往往是犯罪分子最后遗漏的重要证据。如果需要拆卸或移动设备，必须进行拍照存档，以方便日后对犯罪现场进行还原。 2.获取电子证据 包括静态数据获取和动态数据获取。静态数据包括现存的正常文件、已经删除的文件、隐藏文件以及加密文件等，应最大程度的系统或应用程序使用的临时文件或隐藏文件。动态数据包括计算机寄存器、Cache缓存、路由器表、任务进程、网络连接及其端口等，动态数据的采集必须迅速和谨慎，一不小心就可能被新的操作和文件覆盖替换掉。 3.保护证据完整和原始性 取证过程中应注重采取保护证据的措施，应对提取的各种资料进行复制备份，对提取到的物理设备，如光盘硬盘等存储设备、路由器交换机等网络设备、打印机等外围设备，在移动和拆卸过程中必须由专人拍照摄像，再进行封存。对于提取到的电子信息，应当采用MD5、SHA等Hash算法对其进行散列等方式进行完整性保护和校验。上述任何操作都必须由两人以上同时在场并签字确认。 4.结果分析和提交 这是计算机取证的关键和核心。打印对目标计算机系统的全面分析结果，包括所有的相关文件列表和发现的文件数据，然后给出分析结论，具体包括：系统的整体情况，发现的文件结构、数据、作者的信息以及在调查中发现的其他可疑信息等。在做好各种标记和记录后，以证据的形式并按照合法的程序正式提交给司法机关。 三、计算机取证相关技术 计算机取证涉及到的技术非常广泛，几乎涵盖信息安全的各个领域，从证据的获取来源上讲，计算机取证技术可大致分为基于单机和设备的计算机取证技术、基于网络的计算机取证技术两类。 (一)基于单机和设备的取证技术 1.数据恢复技术 数据恢复技术主要是用于将用户删除或格式化的磁盘擦除的电子证据恢复出来。对于删除操作来说，它只是将文件相应的存放位置做了标记，其文件所占的磁盘空间信息在没有新的文件重新写入时仍然存在，普通用户看起来已经没有了，但实际上通过恢复文件标记可以进行数据恢复。对于格式化操作来讲，它只是将文件系统的各种表进行了初始化，并未对数据本身进行实际操作，通过重建分区表和引导信息，是可以恢复已经删除的数据的。实验表明，技术人员可以借助数据恢复工具，把已经覆盖过7次的数据重新还原出来。 2.加密解密技术 通常犯罪分子会将相关证据进行加密处理，对取证人员来讲，必须把加密过的数据进行解密，才能使原始信息成为有效的电子证据。计算机取证中使用的密码破解技术和方法主要有：密码分析技术、密码破解技术、口令搜索、口令提取及口令恢复技术。 3.数据过滤和数据挖掘技术 计算机取证得到的数据，可能是文本、图片、音频或者视频，这些类型的文件都可能隐藏着犯罪信息，犯罪分子可以用隐写的方法把信息嵌入到这些类型的文件中。若果犯罪分子同时结合加密技术对信息进行处理，然后再嵌入到文件中，那么想要还原出原始信息将变得非常困难，这就需要开发出更优秀的数据挖掘工具，才能正确过滤出所需的电子证据。 (二)基于网络的取证技术 基于网络的取证技术就是利用网络跟踪定位犯罪分子或通过网络通信的数据信息资料获取证据的技术，具体包括以下几种技术： 1.IP地址和MAC地址获取和识别技术 利用ping命令，向目标主机发送请求并监听ICMP应答，这样可以判断目标主机是否在线，然后再用其他高级命令来继续深入检查。也可以借助IP扫描工具来获取IP，或者利用DNS的逆向查询方法获取IP地址，也可以通过互联网服务提供商ISP的支持来获取IP。 MAC地址属于硬件层面，IP地址和MAC的转化是通过查找地址解析协议ARP表来实现的，当然，MAC跟IP地址一样，也可能被修改，如此前一度横行的“ARP欺”木马，就是通过修改IP地址或MAC来达到其目的的。 2.网络IO系统取证技术 也就是网络输入输出系统，使用netstat命令来跟踪嫌疑人，该命令可以获取嫌疑人计算机所在的域名和MAC地址。最具代表性的是入侵检测技术IDS，IDS又分为检测特定事件的和检测模式变化的，它对取证最大帮助是它可以提供日志或记录功能，可以被用来监视和记录犯罪行为。 3.电子邮件取证技术 电子邮件使用简单的应用协议和文本存储转发，头信息包含了发送者和接受者之间的路径，可以通过分析头路径来获取证据，其关键在于必须了解电子邮件协议中的邮件信息的存储位置。对于POP3协议，我们必须访问工作站才能获取头信息;而基于HTTP协议发送的邮件，一般存储在邮件服务器上;而微软操作系统自带的邮件服务通常采用SMTP协议。对于采用SMTP协议的邮件头信息，黑客往往能轻易在其中插入任何信息，包括伪造的源地址和目标地址。跟踪邮件的主要方法是请求ISP的帮助或使用专用的如NetScanTools之类的工具。 4.蜜罐网络取证技术 蜜罐是指虚假的敏感数据，可以是一个网络、一台计算机或者一项后台服务，也可以虚假口令和数据库等。蜜罐网络则是由若干个能收集和交换信息的蜜罐组成的网络体系，研究人员借助数据控制、数据捕获和数据采集等操作，对诱捕到蜜罐网络中的攻击行为进行控制和分析。蜜罐网络的关键技术包括网络欺、攻击捕获、数据控制、攻击分析与特征提取、预警防御技术。目前应用较多是主动蜜罐系统，它可以根据入侵者的攻击目的提供相应的欺服务，拖延入侵者在蜜罐中的时间，从而获取更多的信息，并采取有针对性的措施，保证系统的安全性。 参考文献： [1]卢细英.浅析计算机取证技术[J],福建电脑,2008(3). [2]刘凌.浅谈计算机静态取证与计算机动态取证[J],计算机与现代化,2009(6). 看了“计算机取证技术论文”的人还看： 1. 计算机犯罪及取征技术的研究论文 2. 安卓手机取证技术论文 3. 计算机安全毕业论文 4. 计算机安全论文 5. 计算机安全论文范文