返回
信息安全原理与技术 蒋朝惠 武彤 王晓鹏 邓 第9章 计算机取证

信息安全原理与技术 蒋朝惠 武彤 王晓鹏 邓 第9章 计算机取证

ID:40239822

大小:1.52 MB

页数:73页

时间:2019-07-28

信息安全原理与技术 蒋朝惠 武彤 王晓鹏 邓 第9章 计算机取证 _第1页
信息安全原理与技术 蒋朝惠 武彤 王晓鹏 邓 第9章 计算机取证 _第2页
信息安全原理与技术 蒋朝惠 武彤 王晓鹏 邓 第9章 计算机取证 _第3页
信息安全原理与技术 蒋朝惠 武彤 王晓鹏 邓 第9章 计算机取证 _第4页
信息安全原理与技术 蒋朝惠 武彤 王晓鹏 邓 第9章 计算机取证 _第5页
资源描述:

《信息安全原理与技术 蒋朝惠 武彤 王晓鹏 邓 第9章 计算机取证 》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、信息安全原理与技术蒋朝惠武彤王晓鹏邓少勋编著中国铁道出版社2009.5第9章计算机取证9.1电子证据9.2计算机取证的概念9.3计算机取证的原则与步骤9.3.1计算机取证的基本原则9.3.2计算机取证的一般步骤第9章计算机取证(续)9.4计算机取证技术9.4.1基本的取证技术9.4.2基于IDS的取证技术9.4.3基于蜜罐的取证技术9.5常用的取证工具第9章计算机取证作为计算机领域和法学领域的一门交叉科学,计算机取证(computerforensics)正逐渐成为人们研究于关注的焦点。本章从电子证据的概念、特点、类型与来源以及常见电子设备中潜在的电子证据入手,介绍了计算机取证的

2、概念、原理与步骤以及常用工具,最后介绍了计算机取证的常用技术——蜜罐。9.1电子证据电子证据是自计算机技术出现及发展以后产生的一种新型证据类型,是指以储存的电子化信息资料来证明案件真实情况的电子物品或者电子记录。1、电子证据的概念电子材料说:电子证据是以电子形式存在的、用作证据使用的一切材料及其派生物;或者说,借助电子技术或电子设备而形成的一切证据。电子物品说:电子证据是指以储存的电子化信息资料来证明案件真实情况的电子物品或者电子记录。网上证据说:网上证据即电子证据,是指在计算机或计算机系统运行过程中产生的以其记录的内容来证明案件事实的电磁记录物。1、电子证据的概念(续)计算机

3、证据说:计算机证据是指在计算机或计算机系统运行过程中产生的以其记录的内容来证明案件事实的电磁记录物。独立证据说:电子证据是以通过计算机存储的材料和证据证明案件事实的一种手段,它最大的功能是存储数据,能综合、连续地反映与案件有关的资料数据,是一种介于物证与书证之间的独立证据。诉讼证据说:电子证据是存储于磁性介质之中,以电子数据形式存在的诉讼证据。2.电子证据的特点表现形式的多样性电于证据超越了以往所有的证据形式,不仅可以用文字、图像和声音等多种方式存储,还可以以多媒体形式存在。例如:某出版社出版的“大百科图书光盘”,通过计算机播放,不仅有文宇,而且配有图像、动画甚至电影片段,还有

4、优美的解说,这种将多种表现形式融为一体的特点是电子证据所特有的。2.电子证据的特点(续)存储介质的电子性电子证据依据计算机技术产生,化为一组组电子信息存储在特定的电子介质上,例如,计算机硬盘和光盘等,它的产生和重现必须依赖于这些特定的电子介质,而传统的证据(例如笔录)则毋需依赖于其他介质就可以独立重现,这点也正是电子证据的弱点,直接削弱了它的证明力度。因为,如果有人在电子介质上做手脚,例如,运用黑客手段人侵电脑网络,就能改变电子证据本来面目,给证据的认定带来困难。2.电子证据的特点(续)准确性电子信息严格按照运行于计算机上的各种软件和技术标准产生和运行,其结果完全是“铁面无私”

5、的机器内部对一组组二进制编码的运行结果,丝毫不会受到感情、经验等多种主观因素的影响。因此,如果没有人为的蓄意修改或毁坏,电子证据能准确地反映整个事件的完整过程和每一细节,准确度非常高。2.电子证据的特点(续)脆弱性书面文件使用纸张为载体,不仅真实记录有签署人的笔迹和各种特征,而且可以长久保存;如有任何改动或添加,都会留下“蛛丝马迹”,通过专家或司法鉴定等手段均不难识别。但电子证据使用电磁介质,储存的数据修改简单而且不易留下痕迹,这导致了当有人利用非法手段入侵系统、盗用密码、操作人员误操作时或供电系统和网络故障等情况发生时,电子证据均有可能被轻易地盗取、修改甚至全盘毁灭而不留下任

6、何证据。它还容易受到电磁攻击,比如,鉴定证据时,一旦不小心打开文件,那么文件的最近修改时间就会改变。2.电子证据的特点(续)数据的挥发性在计算机系统中,有些紧急事件的数据必须在一定的时间内获得才有效,这就是数据的“挥发性”,即经过一段时间数据可能就无法得到或失效了,就像“挥发”了一样。因此,在收集电子证据时必须充分考虑到数据的挥发性,在数据的有效期内及时收集数据。表9-1描述了数据的挥发性。2.电子证据的特点(续)数据硬件或位置存活时间CPU高速缓冲存储器,管道数个时钟周期系统高速缓冲存储器,管道数个时钟周期内核表RAM直至系统关闭固定介质进程中直至系统关闭可移动的介质Swap

7、/tmp直至被覆盖或被抹掉打印输出Cdrom、Floppy、HDD直至被覆盖或被抹掉表9-1数据的挥发性2.电子证据的特点(续)电子证据和传统证据相比,具有以下优点:可以被精确的复制,这样只需对副件进行检查分析,避免原件受损坏的风险;用适当的软件工具和原件对比,很容易鉴别当前的电子证据是否有改变,譬如MD5算法可以认证消息的完整性,数据中的一个比特(bit)的变化就会引起检验结果的很大差异;在一些情况下,犯罪嫌疑人完全销毁电子证据是比较困难的,如计算机中的数据被删除后还可以从磁盘中恢复,数据

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。