政法论文:
经济论文:
电子论文:
文史论文:
教育论文:
理工论文:
农业论文:
医学论文:
展开
计算机网络
位置:中国悠悠期刊咨询网 > 学术论文 > 电子论文 > 计算机网络 >

计算机技术论文计算机犯罪及取征技术的研究(2)
发布时间:2016-04-21   |  所属分类:计算机网络:论文发表  |  浏览:  |  加入收藏

  2.2信息发现

  取得了物理证据后。下一个重要的工作就是信息发现。不同的案件对信息发现的要求是不一样的。有些情况下要找到关键的文件、邮件或图片,而有些时候则可能要求计算机重现过去的工作细节(比如入侵取证)。

  值得注意的是。入侵者往往在入侵结束后将自己残留在受害方系统中的“痕迹”擦除掉。犹如犯罪者销毁犯罪证据一样,尽量删除或修改日志文件及其它有关记录。殊不知一般的删除文件操作,即使在清空了回收站后,若不将硬盘低级格式化或将硬盘空间装满,仍可将“删除”的文件恢复过来。在Windows操作系统下的windows swap(page)fde(一般用户不曾意识到它的存在)大概有20-200M的容量,记录着字符处理、Email消息、Internet浏览行为、数据库事务处理以及几乎其它任何有关windows会话工作的信息。另外。在windows下还存在着fde slack,记录着大量Email碎片(Fragments)、字符处理碎片、目录树镜像(snapshot)以及其它潜在的工作会话碎片。以上这些都可以利用计算机取证软件来收集。事实上。现在的取证软件已经具有了非常好的数据恢复能力,同时,还可以做一些基本的文件属性获得和档案处理工作。

  数据恢复以后。取证专家还要进行关键字的查询、分析文件属性和数字摘要、搜寻系统日志、解密文件等工作。由于缺乏对计算机上的所有数据进行综合分析的工具,所以,信息发现的结果很大程度上依赖于取证专家的经验。这就要求一个合格的取证专家要对信息系统有深刻的了解。掌握计算机的组成结构、计算机网络、操作系统、数据库等多方面的相关知识。

  最后取证专家据此给出完整的报告。将成为打击犯罪的主要依据,这与侦查普通犯罪时法医的角色没有区别。

  3一些取证工具的介绍

  在计算机取证过程中。相应的取证工具必不可少,常见的有tcpdump,Argus,NFR,EnCase,tcpwrapper,sniffers,honeypot,Tripwires,Network monitor,镜像工具等。在国外计算机取证过程中比较流行的是镜像工具和专业的取证软件。下面以EnCase作为一个计算机取证技术的案例来分析。EnCase是目前使用最为广泛的计算机取证工具,至少超过2000家的去律执行部门在使用它。EnCase是用C++编写的容量大约为1M的程序,它能调查Windows,Macintosh,Anux,Unix或DOS机器的硬盘,把硬盘中的文件镜像或只读的证据文件。这样可以防止调查人员修改数居而使其成为无效的证据。为了确定镜像数据与原的数据相同。EnCase会与计算机CRC校验码和MD5台希值进行比较。EnCase对硬盘驱动镜像后重新组织文件结构,采用Windows GUI显示文件的内容。允许调查员使用多个工具完成多个任务。

  在检查一个硬盘驱动时,EnCase深入操作系统底层查看所有的数据——包括file slack.未分配的空司和Windows交换分区(存有被删除的文件和其它潜生的证据)的数据。在显示文件方面,EnCase可以由多种标准,如时间戳或文件扩展名来排序。此外.EnCase可以比较已知扩展名的文件签名。使得调查人员能确定用户是否通过改变文件扩展名来隐藏证据。对调查结果可以采用html或文本方式显示。并可打印出来。

  在计算机取证的过程中还有一种常用的方法是在被入侵的系统上巧妙地设立HoneyPot,模拟先前被入侵的状态来捕获入侵者的信息,即采用诱敌深入的计策达到取证的目的。

  HoneyPot和Honeynet都是专门设计来让人“攻陷”的网络。一旦被入侵者攻破,入侵者的一切信息、工具都将被用来分析学习。

  通常情况下,HoneyPot会模拟常见的漏洞。而Honeynet是一个网络系统,而非某台单一主机。这一网络系统隐藏在防火墙后面,所有进出的数据都受到关注、捕获及控制。这些捕获的数据可被用来研究分析入侵者使用的工具、方法及动机。

  4 当前计算机取证技术的局限和反取证技术

  计算机取证的理论和软件是近年来计算机安全领域内取得的重大成果。然而,在实际取证过程中。我们发现目前的计算机取证技术还存在着很大的局限性。首先,有关犯罪的电子证据必须没有被覆盖:其次,取证软件必须能够找到这些数据。并能知道它代表的内容。但从当前软件的实现情况来看。许多取证分析软件并不能恢复所有被删除的文件。

  正是由于技术上的局限性。使得一些犯罪分子认为有机可乘。因此在取证技术迅速发展的同时.一种叫做反取证的技术也悄悄出现了。反取证技术就是删除或隐藏证据,使取证调查无效。现在反取证技术主要分为三类:数据擦除、数据隐藏、数据加密。这些技术还可结合使用,使取证工作变得很困难。

  数据擦除是最有效的反取证方法。它清除所有的证据。由于原始数据不存在了。取证自然就无法进行。数据隐藏仅在取证者不知道到哪里寻找证据时才有效。为逃避取证,犯罪者还把暂时不能删除的文件伪装成其他类型的文件或把他们隐藏在图形或音乐文件中。也有人将数据文件隐藏在磁盘的隐藏空间中。

  加密文件的作用是我们所熟知的。对可执行文件的加密是因为在被入侵主机上执行的黑客程序无法被隐藏,而黑客又不想让取证人员有方向地分析出这些程序的作用,因此,在程序运行前先执行一个文本解密程序。来解密被加密的代码。而被解密的代码可能是黑客程序。也可能是另一个解密程序。

转载请注明来自:http://www.uuqikan.com/jisuanjiwangluolw/17418.html


上一篇:计算机网络论文校园网基本网络搭建及网络安全设计
下一篇:信息网络有何安全问题

论文发表攻略PAPER
最新期刊Periodical
最新论文Paper