返回
计算机取证中易失性数据的收集分析

计算机取证中易失性数据的收集分析

ID:23497610

大小:57.00 KB

页数:7页

时间:2018-11-08

计算机取证中易失性数据的收集分析_第1页
计算机取证中易失性数据的收集分析_第2页
计算机取证中易失性数据的收集分析_第3页
计算机取证中易失性数据的收集分析_第4页
计算机取证中易失性数据的收集分析_第5页
资源描述:

《计算机取证中易失性数据的收集分析》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、计算机取证中易失性数据的收集分析摘要:计算机中有些数据的存在有很强的时效性,因此在取证中需要及时的收集这种易丢失的数据,本文首先介绍了易失性数据的相关概念、特点、等级、易失性数据的收集与保全原则和一些常见的易失性数据收集工具,然后重点讨论了如何通过专用的取证工具盘对计算机中易失性数据的收集。关键词:关键词:计算机取证;易失性数据;收集中图分类号:TP274文献标识码:A:1.引言在计算机犯罪中,由于一些犯罪证据非常容易被彻底的删除销毁,从而给计算机取证带来了非常大的难度。一般来说,从计算机证据的时态性分类,可将计算机证据分为三种;即易

2、失性数据,硬盘数据和X络数据。其中,易失性数据是指,系统在某一时刻的详细状态信息,包括用户登入列表,登入日期时间,运行进程列表以及X络连接列表等信息。但是,这些数据都具有很强的时态性,而其证据分析难度低,因此,获取这些证据的紧急性最高,所以必须最先获取,以免意外情况造成易失性数据的丢失。2.易失性数据的相关知识2.1易失性数据的特点(1)隐蔽性。计算机系统中的各个地方都可能存在着计算机证据,而数据在计算机中是以二进制代码形式进行存储和传输的,所以人们不能直接感知,隐蔽性很强。(2)客观性。如果没有外界对数据故意的篡改,计算机证据将很少

3、受影响而发生变化,所以,一般计算机证据具有较强的证明力,能准确是反映案件的事实。(3)脆弱易逝性。计算机证据很容易受外界刻意的窃取、修改和销毁,且几乎不留痕迹。此外,计算机中的有些数据是动态存在的,所以,它有很强的时效性,这些数据可能随着时间的推移而改变或消失。2.2易失性数据的等级划分当从正处于运行的计算机中收集计算机证据时,一定要考虑各软硬件中数据易丢失的顺序,即易失性数据的等级。对易丢失等级越高的数据,如果不及时处理,那么这些数据被修改、丢失的可能性就越大。各种数据的易失性数据等级如图1所示:图1易失性数据的等级3.易失性数据的

4、收集和保全3.1易失性数据的收集易失性数据收集必须遵循如下原则:(1)保证数据的原始性。即数据是从计算机上逐位比特的复制。(2)保证在数据分析和数据传递过程中的完整性。(3)保持证据的连续性。即在证据从最初的获取状态到被提交到法庭的过程中,必须能详细说明期间证据状态的所有变化。(4)取证过程的合法性。整个取证过程必须受到全程的监督。(5)取证过程和结论能够在另外一名取证人员的操作下重现。3.2易失性数据的收集步骤易失性数据收集可按如下步骤进行:(1)取证准备。即取证工具的准备、调查小组的建立和收集策略的建立等。(2)建立概要文档。包括

5、建立取证概要文档和证据收集日志等。(3)决策的核实。主要包括:①确定调查人员在证据收集过程中的权力范围。②确定证据收集的主要方式。(4)确定易失性数据收集策略。包括确定易失性数据的类型、确定证据工具和技术、确定收集信息的输出和存储的位置以及建立可信的命令解释程序。(5)易失性数据的收集。3.3易失性数据保全原则证据的保全即数据的保护与保存,在计算机取证的整个过程中,必须保护所有的数据不能被修改,不能使数据受到任何的破坏。因此,为了证据证明力的最大化,就必须确保数据绝对的安全。在易失性数据保全过程中,必须注意以下几个原则:(1)合法性;

6、包括了方法的合法性和程序的合法性,即证据保全中应与必要的诉讼程序紧密联系,同时证据收集、保全及分析的过程中的合理性等。(2)效率和成本。保全效率是指在保全的全过程中必须严格按照法定的时间要求进行,根据实际情况确定电子证据保全的方法与过程;保全成本是指保全过程中可能需要大量的设备和技术支持,使得保全的成本非常很高。(3)及时性。电子证据具有很强的实效性,如果未在特定的时间内及时保全数据,可能照成证据消失而无法提取。(4)完整性。包括电子证据数据本身完整未被改动以及其所在的计算机系统的完整性。(5)最小破坏。即在电子证据保全的过程中,最大

7、限度的保护设备以及系统不被改动和破坏,保证证据的原始性。4.易失性数据收集范畴及实施4.1易失性数据包含的范畴易失性数据主要包含的数据有:(1)描述计算机的基本配置信息的系统概要文件。如:计算机操作系统的版本、型号、安装时间、系统目录、系统注册用户、物理内存、安装的硬件及其配置和安装的应用软件等。(2)当前系统的日期、时间等记录。(3)计算机从上一次启动到现在一共运行的时间,用于确定收集的易失性数据是否具有一定的价值。(4)当前系统运行进程列表,可能会发现一些恶意进程、未授权的软件及已终止的合法进程。(5)登录用户最近的活动记录。(6

8、)启动文件和剪贴板中的数据。4.2易失性数据收集的实施在取证过程中,首先要准备一个专用的取证工具盘,如I盘,里面包含常用的取证工具:如cmd.exe、MD5sum.exe、date.exe、time.exe、system

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。