精华内容
下载资源
问答
  • 计算机取证
    2021-07-18 00:30:03

    【100个】计算机取证论文参考文献推荐供您参考,希望能解决毕业生们的计算机取证论文参考文献哪里找相关问题,整理好参考文献那就开始写计算机取证论文吧!

    一、计算机取证论文参考文献范文

    [1]探索基于网络的信息犯罪与计算机取证课程.唐玲,2013第六届全国高校计算机网络教学暨网络工程专业建设研讨会

    [2]在云计算环境下浅谈计算机取证技术.王帅,2014第四届全国计算机取证技术研讨会

    [3]计算机取证中Office文件的调查.刘浩阳,2012第27次全国计算机安全学术交流会

    [4]数据挖掘技术在计算机取证中的应用研究.齐战胜.高峰.腾达,2011第26次全国计算机安全学术交流会

    [5]计算机取证课程与学科建设.唐玲,2014第四届全国计算机取证技术研讨会

    [6]犯罪人特征剖析在计算机取证中的应用.王兵,2011第三届证据理论与科学国际研讨会

    [7]基于云的计算机取证系统研究.武鲁.王连海.顾卫东,20112011年全国高性能计算学术年会

    [8]一种基于用户行为的Windows系统取证方法.施维,2014第四届全国计算机取证技术研讨会

    [9]基于Benford法则的计算机取证研究.单美静,20112011年青年通信国际会议

    [10]计算机取证与反取证初探.郭军,2010第21届全国计算机新科技与计算机教育学术大会

    二、计算机取证论文期刊参考资料

    [1].计算机取证技术及其发展趋势.《软件学报》.被中信所《中国科技期刊引证报告》收录ISTIC.被EI收录EI.被北京大学《中文核心期刊要目总览》收录PKU.2003年9期.王玲.钱华林.

    [2].计算机取证的相关法律技术问题研究.《软件学报》.被中信所《中国科技期刊引证报告》收录ISTIC.被EI收录EI.被北京大学《中文核心期刊要目总览》收录PKU.2005年2期.丁丽萍.王永吉.

    [3].社交网络取证初探?.《软件学报》.被中信所《中国科技期刊引证报告》收录ISTIC.被EI收录EI.被北京大学《中文核心期刊要目总览》收录PKU.2014年12期.吴信东.李亚东.胡东辉.

    [4].一种细粒度数据完整性检验方法.《软件学报》.被中信所《中国科技期刊引证报告》收录ISTIC.被EI收录EI.被北京大学《中文核心期刊要目总览》收录PKU.2009年4期.陈龙.王国胤.

    [5].基于免疫的网络监控模型.《计算机学报》.被中信所《中国科技期刊引证报告》收录ISTIC.被EI收录EI.被北京大学《中文核心期刊要目总览》收录PKU.2006年9期.李涛.

    [7].有限域上高效的细粒度数据完整性检验方法.《计算机学报》.被中信所《中国科技期刊引证报告》收录ISTIC.被EI收录EI.被北京大学《中文核心期刊要目总览》收录PKU.2011年5期.陈龙.王国胤.

    [8].网络取证隐马尔可夫模型证据融合方法.《电子科技大学学报》.被中信所《中国科技期刊引证报告》收录ISTIC.被EI收录EI.被北京大学《中文核心期刊要目总览》收录PKU.2013年3期.杨珺.马秦生.王敏.曹阳.

    [9].一种计算机取证中需求定义的方法.《电子学报》.被中信所《中国科技期刊引证报告》收录ISTIC.被EI收录EI.被北京大学《中文核心期刊要目总览》收录PKU.2006年5期.孙波.刘欣然.孙玉芳.

    [10].计算机取证概述.《计算机工程与应用》.被中信所《中国科技期刊引证报告》收录ISTIC.被北京大学《中文核心期刊要目总览》收录PKU.2001年21期.许榕生.吴海燕.刘宝旭.

    三、计算机取证毕业论文参考文献

    [1].目录.基于日志的计算机取证技术的研究及系统设计与实现.被引次数:40作者:赵小敏.计算机应用技术浙江工业大学2002(学位年度)

    [2]目录.计算机取证方法关键问题研究.被引次数:68作者:孙波.计算机软件与理论中国科学院软件研究所2004(学位年度)

    [3].计算机取证中关键技术研究.被引次数:10作者:李岩.计算机应用技术上海交通大学2010(学位年度)

    [4].目录.基于Windows系统的计算机取证研究.被引次数:5作者:邹海荣.计算机应用技术西安电子科技大学2009(学位年度)

    [5].目录.计算机取证的安全性及取证推理研究.被引次数:12作者:陈龙.计算机应用技术西南交通大学2009(学位年度)

    [6].基于Windows平台的计算机取证系统研究与实现.作者:黄灿.计算机应用技术电子科技大学2014(学位年度)

    [7].多浏览器计算机取证工具的研究与实现.作者:王全.软件工程南京航空航天大学2012(学位年度)

    [8].计算机取证协同分析系统设计与实现.被引次数:2作者:张志强.软件工程上海交通大学2012(学位年度)

    [9].目录.关联规则挖掘技术的改进及其在计算机取证中的应用.被引次数:1作者:詹焰霞.计算机软件与理论安徽大学2012(学位年度)

    [10].目录.数据挖掘在计算机取证分析中的应用研究及系统设计.被引次数:18作者:金可仲.计算机应用技术浙江工业大学2004(学位年度)

    总有很多大学生不知道计算机取证论文参考文献哪里找,下面为广大毕业生推荐计算机取证论文参考文献推荐.

    计算机取证范文

    更多相关内容
  • 日志是指系统所指定对象的某些操作和其操作结果按时间有序的集合,每个日志文件由日志记录组成,每条日志记录描述了一次单独的系统事件,如何充分利用日志发掘有效的计算机证据,是计算机取证研究领域中一个重要的...
  • 计算机取证

    2022-06-30 00:17:08
    计算机取证

    计算机取证

    一、计算机取证概述

    计算机取证(Computer Forensics)在打击计算机和⽹络犯罪中作⽤⼗分关键,它的⽬的是要将犯罪者留在计算机中的“痕迹”作为有效的诉讼。证据提供给法庭,以便将犯罪嫌疑⼈绳之以法 。

    是计算机、⽹络空间安全、法学、侦查实践等学科的交叉学科

    识别、恢复、提取、保存电⼦存储信息(ESI),形成报告并使之成为法律证据的科学——First ICCE

    二、电子数据

    电⼦数据(Electronic Data),是指基于计算机应⽤、通 信和现代管理技术等电⼦化技术⼿段形成包括⽂字、图形 符号、数字、字⺟等的客观资料。

    电⼦数据是案件发⽣过程中形成的,以数字化形式存储、 处理、传输的,能够证明案件事实的数据。

    电⼦数据取证涉及法律和技术两个层⾯:

    技术:采⽤技术⼿段,获取、固定、提取、分析、归档、出示 电⼦数据作为认定事实的科学

    法律:能够为法庭所接受的、⾜够可靠和有说服性的、存在于计算机和相关外设中的电⼦数据的(收集、保全、确认、鉴定、报告及呈堂的)过程。 取和证是⼀个闭环的过程,最终的⽬标是形成“证据链”

    合法性、客观性、关联性

    三、取证基本步骤

    ⽬前没有⼀个范式,基本分为四个步骤

    1.评估

    电⼦数据取证⼈员应针对⼯作作出全⾯的评估,以决定下⼀步采取的⾏动。

    2.获取

    电⼦数据必须保存于原始状态中,防⽌被不正确的处理⽅法所影响、损害或删除。

    3.分析

    提取出有⽤证据,分析判断其中的关联性,将数据转换为可读可⻅的形式。

    4.报告

    所有操作都必须以⽇志形式记录,所有的结果都必须以报告形式记录展现。

    该流程适⽤于电⼦数据取证的各个环节,包括侦查、勘验和电⼦数据检验鉴定。

    四、UNIX/Linux取证

    (一)基本描述

    1.Linux操作系统是UNIX系统家族中的⼀个优秀分⽀

    2.Android系统是Linux系统的⼀个深度定制版本

    3.UNIX/Linux处于活跃状态的发⾏版本数量有数百个

    4.所有发⾏版本都会遵循UNIX/Linux的⼀些基本设计思想 

    (二)Linux发行版本和文件系统

    1.Linux发⾏版本

    Kali、Arch、Debian、Ubuntu、Redhat、CentOS、Fedora、SuSE、FreeBSD...

    Deepin、StartOS、红旗Linux、CecOS、中标麒麟、中兴新⽀点,优麒麟、UOS

    2.Linux⽂件系统

    ⽂件系统定义了硬盘上储存⽂件的⽅法和数据结构

    UNIX发⾏版中常⽤的⽂件系统是UFS系列,但是每个⼚商对其进⾏了⼀些私有的扩展,有 不兼容的情况存在

    Linux⽂件系统的核⼼思想来⾃于UFS,常⽤的⽂件系统有Ext2、Ext3、Ext4、btrfs

    (三)Linux取证示例

    1.Linux逻辑卷管理(Logical Volume Manager)

    LVM提供管理功能:在硬盘分区之上,⼜创建⼀个逻辑层,以⽅便系统管理硬盘分区系统

    调查⼈员因缺乏对LVM的了解,为进⾏正确设置导致⽆法正常识别Linux的⽂件系统

    常⻅版本有LVM和LVM2,⽀持其⾃动识别及解析的取证软件有Encase、FTK和取证⼤师

    2.Linux开机取证

    涉案服务器常处于远程或不能关机状态,需在开机运⾏的情况下进⾏取证

    UNIX/Linux提供了强⼤的基于命令⾏的⼯具集,需在开机取证过程中有效加以使⽤

    shell是⼀种命令解释器,它提供了⽤户和操作系统之间的交互接⼝

    系统进程:ps

    ⽤户登录信息:who、w

    ⽂件内容搜索:grep

    ⽂件查找:find

    (四)可引导Linux取证光盘

    与Windows操作系统不同,Linux系统内置有对硬盘⽂件系统进⾏加载和控制的能⼒

    通过命令mount即可以写保护(只读)⽅式来加载⽂件系统,由此,诞⽣了不少基于 Linux内核的取证系统光盘 :Kali、DEFT、CAINE、PALADIN、SIFT、LinEn

    五、网站服务器取证基本流程

    ⽹站服务器取证的基本流程为:

    1.分析前台⽹站服务器的配置⽂件,找到⽹站服务⽂件所在的⽬录和全部代码,导出

    2.通过分析⽹站服务器⽂件的配置,找出⽹站数据库类型等,导出所有数据

    3.利⽤仿真的⽅式或者利⽤提取的⽹站代码和数据库构建模拟⽹站服务器

    4.使⽤同样的⽅式导出后台管理服务器的代码和数据库中的所有数据

    5.通过登录前台界⾯、模拟⽤户操作⾏为,确定与之相关联的⽹站程序和模块

    6.通过登录后台管理界⾯,确定并分析后台管理数据

    7.综合分析⽹站数据,查清⽹站结构、⼈员组织架构、涉案资⾦流转等情况

    (一)Apache配置目录的内容

    (二)Apache主要配置选项

    六、IP/路由器/MAC的取证

    (一)IP取证

    IP地址的基本描述

    IP地址是指因特⽹协议地址(Internet Protocol Address,⼜译为⽹际协议地址),是IP Address的缩写

    IP地址是IP协议提供的⼀种统⼀的地址格式,它为因特⽹上的每⼀个⽹络或每⼀台主机分配⼀个逻辑地址

    IP地址就像是⽹络上的⻔牌号,⽤以区分⽹络上不同的⽹络设备

    IP地址的动态分配、随机分配

    IP地址的获取:

    ⼀个IP地址对应⼀个⽹络设备,⽽不是⼀个⼈  

    查看本机IP地址

    Windows:ipconfig

    Mac OS及Unix:ifconfig

    通过访问www.ip.cn等⽹站,获取本地⽹络的公⽹IP地址

    调查相关⽹络设备或服务器的留存资料

    查询存储型路由器、交换机等⽹络设备,获取主机IP地址

    从相关⽹络服务器调阅IP⽇志资料 

    按证据调取规定,到相应的⽹络服务应⽤商处调取对应登录IP地址资

    调查IP地址:

    使⽤nslookup查询IP的⽤途

    使⽤Tracert跟踪IP路由

    Tracert命令通过发送⼀个TTL数据包,监听返回的ICMP超时消息来判断其路由路径

    好处是可以获得最后到达⽬的IP的路由地址,从⽽判断出⽬的IP的真实属性和运营商

    利⽤端⼝扫描判断IP所属⽹络设备的类型

    ⼀个端⼝代表⼀个服务,⽽有些服务是⼀些操作系统所特有的(默认的)

    利⽤⽹络搜索综合判断IP性质

    利⽤各⼤搜索引擎对IP地址进⾏搜索,根据搜索结果对IP地址进⾏综合判断

    (二)路由器的取证

    1.路由器作为连接⽹络节点的关键设备

    不仅会记录⼀般数据传输的路由信息

    也会记录⼀些关键的IP地址或MAC地址的访问信息

    2.企业级的路由器⼀般带有⽇志功能

    提取⽇志进⾏分析

    3.⼀般家庭或⼩型企业使⽤的路由器均不带⽇志存储功能

    需要在路由器断电之前进⾏取证

    ⼀旦断电或重启路由器后

    ⼀些重要的数据,如路由表、监听的服务、当前使⽤的密码等重要的数据信息就会丢失,达不到取证的效果

    (三)MAC地址相关的取证

    1.Media Access Control,也即,物理地址、硬件地址

    ⽤来定义⽹络设备的位置

    MAC地址采⽤⼗六进制数表示,共六个字节(48位)形如:01-23-45-AB-CD-EF

    2.查询本机⽹卡MAC地址(⽹卡标签上可以找到)

    开机状态下,通过ifconfig、wincfg、ipconfig /all等命令或查询注册表等⽅式获取

    3.通过arp命令查询局域⽹中⽹络设备的MAC地址

    每台计算机都存有⼀个记录MAC地址与IP地址对应关系的ARP表

    4.查询⽹络应⽤软件记录的MAC地址

    很多⽹络软件商将其记录并作为识别终端⽤户的特征值

    七、VPN的取证

    (一)VPN的分类和特点

    1.PPTP(Point to Point Tunneling Protocol)点到点隧道协议

    在PPP协议的基础上开发的⼀种新的增强型安全协议

    ⽀持通过密码验证协议(PAP)、可扩展认证协议(EAP)增强其安全性

    2.L2TP(Layer Two Tunneling Protocol)第⼆层隧道协议

    结合了微软的PPTP协议及Cisco的L2F协议,通常以UDP报⽂的形式发送

    L2TP本身没有加密,是⼀种传输模式的IPSEC隧道

    3.IPSec(IP Security)IP安全协议

    是IETF IPSec⼯作组为了在IP层提供通信安全⽽制定的⼀套协议族

    包括安全协议部分和密钥协商部分

    (二)VPN调查取证方法和技巧

    1.端⼝扫描确定VPN

    ⼤多数VPN服务开放的端⼝为1723(L2TP隧道端⼝为1701,连接端⼝随

    机),且不易改变

    2.巧妙利⽤搜索引擎查找VPN服务器

    ✓ 提供VPN服务的企业在提供服务时,需要发布VPN服务器的IP资料信息

    3.调取VPN服务器⽇志资料

    在可以接触到VPN服务器的情况下,应尽快调取VPN⽇志资料

    默认情况下,主流的微软⾃带的VPN⽇志记录了客户端IP、连⼊时间、客

    户端机器名等信息

    八、总结

    常用的网络取证应用技术

    1.IP地址获取技术

    2.电⼦邮件的取证技术

    3.⽹络输⼊输出系统取证技术

    4.⽹络⼊侵跟踪技术

    5.⼈⼯智能和数据挖掘技术

    6.IDS 取证技术

    7.蜜阱取证技术

    8.恶意代码技术

    9.⼊侵容忍技术

    10.⽹络监控和传感器技术

    11.⽹络透视技术

    12.Agent技术

    13.SVM取证技术

    展开全文
  • 计算机取证研究的是如何为调查计算机犯罪提供彻底、有效和安全的技术.其关键是确保证据的真实性、可靠性、完整性和符合法律规定.介绍了计算机取证的过程以及取证软件的原理和实现,并且给出完整的取证实例.从理论和...
  • 计算机取证技术PPT课件.pptx
  • 计算机取证实验报告

    2019-01-29 16:06:47
    9.1实验一 事发现场收集易失性数据 9.1.1实验目的 (1)会创建应急工具箱,并生成工具箱校验和。 (2)能对突发事件进行初步调查,做出适当的响应。 (3)能在最低限度地改变系统状态的情况下收集易失性数据。
  • 电子证据是一种新的证据类型,为提高电子证据的证据力,本文分析了电子取证取证程序与取证的关键技术,提出了取证的一般性原则、数据采集方法、取证的设备和装置要求。随着计算机和互联网络技术的迅速发展,电子...
  • 中南大学计算机取证技术实验报告.pdf
  • 计算机取证研究

    2018-08-24 22:26:10
    计算机取证研究
  • LINUX系统下的计算机取证技术研究.pdf
  • 本文从法律和计算机技术两方面对计算机取证进行分析,阐明了计算机取证相关法律问题,重点分析了计算机取证的技术方法,提出了目前相关技术的不足,指出了今后计算机取证技术的发展趋势。1 法律认定计算机证...

    b2b929ee1ba96d69385ef00328f0b68b.png

    计算机应用普及后,很多计算机和其他犯罪的证据在计算机或网络中以数字形式存储和传输。 随着我国法学家对计算机证据这一特殊证据类型的重视,提出了新的法律观点。 同时,有些计算机科学家已开始研究计算机取证技术。 本文从法律和计算机技术两方面对计算机取证进行分析,阐明了计算机取证相关法律问题,重点分析了计算机取证的技术方法,提出了目前相关技术的不足,指出了今后计算机取证技术的发展趋势。

    1 法律认定计算机证据及其特征

    我国的《刑事诉讼法》把证据分为 7 类:物证、书证;证人证言;被害人陈述;犯罪嫌疑人、被告人供述和辩解;鉴定结论;勘验、检查笔录;视听资料。 我国证据法学家认为,计算机证据是存储有电子数据的电、磁、光记录物,这些电子数据是在计算机系统运行过程中产生的, 并能够以其内容证明案件事实,它们可以转换为不同的输出表现形式。 计算机证据本身的存在形式是数字形式,人们不能识别,只有计算机及其附属设备才能识别。

    计算机证据的特征表现如下:①数字性;②技术性;③脆弱性;④多态性;⑤人机交互性;⑥复合性。 由于计算机证据具有以上特征,有法学专家建议,把计算机证据作为一独立证据种类或用“电、磁、光记录物”取代视听资料作为一个证据种类以涵盖视听资料和计算机证据。

    2 计算机取证原则和流程

    在刑事诉讼活动中,收集证据的方法主要是现场勘验、检查、询问证人、询问被害人、讯问被告人、搜查、扣押和鉴定。 计算机取证,是指在现场勘查和搜查的过程中及时、准确、完整地获取或者扣押与案件有关的电子数据和相关的证据。 计算机证据的易受损特性对收集证据、 审查判断证据都提出了严格的程序要求。 另外,由于网络的无国界性,不同国家在法律、道德和意识形态上是有差异的, 可能会造成案件无法继续侦查的结果。 根据这样的特点,计算机取证的原则是:及时性原则;多备份原则;环境安全原则;严格管理过程的原则。

    计算机取证流程如下:①保护现场和现场勘查,主要是物理证据的获取。 ②获取证据,证据的获取从本质上说就是从众多的未知和不确定性中找到确定性的东西。 ③鉴定证据,计算机证据的鉴定主要是解决证据的完整性验证。 ④分析证据,这是计算机取证的核心和关键。 证据分析的内容包括:分析计算机的类型、 采用的操作系统是否为多操作系统或有无隐藏的分区;有无可疑外设;有无远程控制、木马程序及当前计算机系统的网络环境。 ⑤进行追踪。 ⑥提交结果,打印对目标计算机系统的全面分析和追踪结果,然后给出分析结论。

    3 计算机取证的技术方法分析

    以计算机证据来源为标准,计算机取证技术可分为:单取证技术、网络取证技术和相关设备取证技术。

    (1)基于单机和设备的计算机取证技术,单机取证技术是针对一台可能含有证据的非在线计算机进行证据获取的技术。 包括存储设备的数据恢复技术、隐藏数据的再现技术、加密数据的解密技术和数据挖掘技术等等。 具体包括:①数据恢复技术; ②加密解密技术和口令获取; ③信息搜索与过滤技术;④磁盘映像拷贝技术;⑤反向工程技术。

    (2)基于网络的 计算机取证技术 ,包括 :①IP 地 址获 取 技术;②针对电子邮件和新闻组的取证技术;③网络输入输出系统取证技术;④网络入侵追踪技术;⑤人工智能和数据挖掘技术。

    4 不足之处及其发展趋势

    ①需要健全法律法规和规范化取证工作。 目前,计算机取证工作的程序没有标准和规范,取证工作随意性太大,获取证据的证明力差。 任何具备一定技能的人员,都可以取证,由于取证人员水平偏低,或缺乏经验或法律知识匮乏,取得的证据不具备可靠性。②完善和发展计算机取证技术。目前计算机取证,主要是手工操作硬件或者使用工具软件,能够在作案的同时或一定的时限内取得证据的可能性几乎没有。 所以计算机取证技术的另一个发展趋势就是设计对证据数据的操作尽可能少的取证工具。 今后,计算机取证学将会飞速发展,形成系统理论, 并会研制出大量的专门用于取证的自动化程度较高的工具,培养一批“电子法医”(取证人员),为打击犯罪获取强有力的证据。

    本文研究了计算机证据的法律认定、 计算机取证原则和流程、计算机取证应用的技术。 提出应从法律和技术两个方面进行研究并指出其不足和今后发展趋势。 对计算机取证的法律和技术问题进行深入分析, 促进计算机取证法律法规的健全和计算机取证技术的进一步完善。

    参考文献

    [1]何家弘。新编证据法学。北京:法律出版社,2000.

    [2] 公 安 部 教 材 编 审 委 员 会 . 信 息 网 络 安 全 监 察 . 北 京 : 群 众 出 版 社 ,2000.

    [3]何 明。计算机安全学的新焦点---计算机取证学。系统安全,2002.

    [4]梁 锦 华 ,蒋 建 春 ,戴 飞 雁 ,卿 斯 汉。计 算 机 取 证 技 术研究。计 算 机 工程,2002.

    [5]张 越 今。网络 安 全 与 计 算 机 犯罪 勘 查 技术学。北 京 :清 华 大 学 出 版社,2003.

    [6]张 静 ,龚 剑。网 络入 侵追 踪 研究 综 述。计 算 机 科学 ,2003,30 (10):155~166.

    展开全文
  • 计算机取证调查指南

    2018-08-20 14:21:37
    计算机取证,和司法取证,安全圈朋友们可以看看,就像应该提前熟悉刑法一样
  • 计算机取证案例分析

    2021-07-10 01:17:21
    六、计算机取证中注意事项 计算机取证不同于一般意义上的数据恢复,基于证据的合法性、客观性、关联性的要求,对原始证据不能有一丝变动。在静态分析硬盘数据时需要对嫌疑人的计算机硬盘进行扇区级克隆,并通过哈希...

    ——高位清零后的文件提取

    张广辉  于海波

    一、引言

    在一起受贿案件的侦查中,行贿人交代一份详细记录行贿对象、行贿时间、行贿金额的word文档被其以Shifit+Delete的方式删除,由于行贿的对象和次数较多,行贿人无法回忆出详细的行贿情况,因而对这份电子证据的提取和固定就显得尤为重要。幸运的是行贿人还能回忆出的文件名、存储位置等相关信息。对行贿人的电脑硬盘进行克隆并校验哈希值,对镜像进行分析后发现存储该文档的分区格式是FAT32,根据行贿人提供的情况通过取证软件很快定位到该文件的目录项,但是根据目录项提取出来的文档无法打开,对提取出来的文档用winhex分析发现其根本不是复合文档结构[1],是行贿人说谎了吗?答案肯定不会那么简单。

    二、高位清零产生的原因以及影响

    FAT32文件系统是以簇为单位对数据进行存取,以目录的方式对数据进行管理,通过FAT表对数据所占用的簇进行追踪。在FAT32文件系统中,如果文件以Shift+Delete的方式删除,那么其所对应的短文件目录项的首字节会变成“E5”,用于记录该文件存储的首簇位置的高位数值被清零,其他像低位数值、文件大小、创建、修改时间等信息仍然留在短文件名目录项中。而根据文件目录项直接提取文件能够成功必须同时满足三个条件,就是文件没有被覆盖、文件没有碎片以及该文件目录项中首簇高位数值没有被清理,如果出现上面三种现象之一,那么提取出来的文件很可能不能正常打开或者不是我们想要的数据,所以本文要解决的高位清零问题是在文件没有碎片或者被覆盖的前提下进行的。

    由于记录文件首簇位置的高位数值被清零,所以在数据恢复时就无法准确定位文件在磁盘中的存储位置。手工数据恢复的常规思路以及众多数据恢复软件的工作原理就是根据被删除的文件目录项中残留的文件首簇位置定位到文件在磁盘中存储位置,然后截取符合文件大小的扇区数到新文件中,如果文件高位被清零了,那么定位到的首簇位置就是错误的。

    三、实验模拟

    下面我们通过一个实例来模拟文章开头提到的案例:操作系统windowsXP SP3,取证工具:winhex15.6 SR-6

    在我计算机F盘根目录下有987654.doc这个文档,我们首先来看一下这个文档的目录项然后将其删除。如下图所示:

    此文件的目录项如下图所示:

    将该文档用Shift+Delete删除后的目录项如下图所示:

    通过观察可知,目录项的首字节变成E5,首簇高位部分被清零。这份文档如果通过傻瓜式的数据恢复软件进行恢复的话,恢复出来肯定是打不开的,因为文件首簇的高位部分已经被清空,软件根据低位簇号提取出来的数据并不是我们想要的。图中偏移“FC~FF”处的“00 80 0E 00”,也就是目录项的最后四个字节记载的就是文件的实际大小。

    四、解决高位清零的方法

    (一)通过创建时间猜测高位数值

    寻找与待恢复文档创建时间最接近的文档,获取其目录项的高位簇号,然后将该数值代入到待恢复文档的目录相中,进行手工验证。在这个实例中,我们找到了一份创建时间与待恢复文档一致的文件目录项,也就是F盘根目录下的456789.txt,其目录项如下图所示:

    上图偏移“CE~CF”处的“45 B3”就是该目录项的创建时间,可以直接通过winhex的数据解释器解释出来。偏移“D4~D5”中用阴影突出的“06 00”就是其首簇高位数值,我们将其代入到987654.doc的目录项中,通过手工验证,发现文件提取成功。

    需要指出的是这种方法较传统,成功概率很大程度上有运气成分,受到很多条件限制,成功的几率不是很高且效率低下,从而就有下面笔者研究出来的方法。

    (二)逐一验证法

    1.逐一验证的原理

    FAT文件系统是按簇对数据进行管理,既然文件的大小和文档存储位置第一个簇的低位簇号在残留的目录信息中可以直接获取,那么我们就可以首先在winhex中打开与待恢复文档同种类型的文件,获取文件头的前几位十六进制特征码,然后通过固定低位簇号,逐步增加高位簇号的值,提取符合条件的第一个簇的前八位十六进制值与特征码进行比对,如果符合条件,就截取符合文件大小的簇数将其提取,不符合就继续验证下一个符合条件的簇。

    就上文提到的一个实例而言,一份用office2003创建的Word文档通过winhex打开,发现前八位十六进制特征码为“D0CF11E0A1B11AE1”,通过目录项发现被删除文档987654.doc的首簇的地位簇号为“F6 78”,通过程序设计可以让光标分别定位到簇号为0x178F6、0x278F6、0x378F6……0xM78F6等位置,然后提取这些簇的前八个十六进制数值与“D0CF11E0A1B11AE1”进行比对,如果相符,就从该簇开始往下提取符合文件大小的簇置入新文件,就这样逐一验证所有符合条件的簇。其实原理很简单,很多人都会想到,但是重要的是如何将该原理简洁有效地变为现实。

    通过手工实现上述方法固然可行,但显得既没效率又无必要,这里我们主要通过程序实现。像VB、VC++,Delphi等很多程序语言可以实现上述过程,但是从效率角度来讲我们选择winhex脚本语言,因为磁盘的读写等基础架构已经不需要你花精力了,而且比其他语言更易掌握,具有相当的灵活性,与强大的磁盘编辑工具winhex融合在一起。

    2.Winhex脚本代码

    Open ":?" Read-only

    MessageBox  "运行此脚本必须在分区中进行,您需要知道2号簇对应的扇区号,每扇区的字节数。查找到被删除文档的目录项,记下文件大小和首簇的低位数值,如果你已经注意到以上提醒,请按确定,否则按取消!"

    GetUserInputI TheLowClusterNumber "请输入需要恢复文件的低位簇号(十进制):"

    GetUserInputI TheFileSize "请输入你想要恢复的文件大小(字节数,十进制):"

    GetUserInputI TheSectorsBeforeSecondCluster "请输入2号簇所对应的扇区号(十进制):"

    //也就是输入2号簇之前一共有多少个扇区。

    GetUserInputI BytesPerSector "请输入每扇区字节数(十进制):"

    //一般为512,也有不同情况,请根据自己把握。

    GetClusterSize q

    Assign r (TheFileSize%q)

    IfEqual r 0

    Assign TheFileCluster  (TheFileSize/q)

    Else

    Assign  TheFileCluster  ((TheFileSize/q)+1)

    EndIf

    MessageBox  TheFileCluster

    //以上是判断需要的恢复文件所占用的簇数。

    Assign M 0

    Assign file 0

    Assign L GetSize

    {

    Assign N ((16*16*16*16*M+TheLowClusterNumber-2)*q+TheSectorsBeforeSecondCluster*BytesPerSector)

    Inc M

    IfGreater N L

    ExitLoop

    Else

    goto N

    Read  TheFileHead 8

    IfEqual TheFileHead 0xD0CF11E0A1B11AE1

    //此处的特征值“0xD0CF11E0A1B11AE1” 需要根据情况自己设置。

    Move -8

    Assign b1 CurrentPos

    Goto (b1+(TheFileCluster*q)-1)

    Assign b2 CurrentPos

    Block b1 b2

    Inc file

    CopyIntoNewFile "d:\恢复文档+file+.doc"

    EndIf

    EndIf

    }[unlimited]

    3.上述脚本的解释和运行效果

    上面的这段代码稍有程序语言基础的人都可以看懂,就是实现了通过文件头特征和首簇的低位簇号两个条件寻找出符合条件的文档并提取出来,该脚本具有一定的通用性,使用时只需对参数稍加修改就可以适应不同环境。需要注意的是由于winhex中十六进的直接运算支持得不好,所以笔者将十六进制都转换成十进制进行运算。该脚本运行速度相当快,瞬间工夫就将笔者15G大小的分区遍历完毕,到D盘根目录下查看,发现已经生成“恢复文档1.doc”、“恢复文档2.doc”两份word文档,双击发现两份电子文档都能顺利打开,通过对照内容发现“恢复文档1.doc”中的内容与被我们删除的“987654.doc”的内容一致,至此取证工作初步完成。

    五、提取的文档打不开或者不是待恢复文档的解决办法

    1.脚本参数的设置不对

    如填写低位簇号、文件大小时未加注意以及little-endian的问题,2号簇的对应的扇区号不对等等。

    2.文件部分被覆盖了

    如果该文档被删除后用户对该分区又进行了存储操作,那么极有可能该文档被部分覆盖了。就世界范围而言,恢复被覆盖的数据尚未有先例,但可以将尚未覆盖的部分提取出来,通过修复软件或手工重建其文件结构,使部分数据可视。

    3.文件存在碎片

    由于FAT32系统容易产生文件碎片,碰到恢复出来的文档不能打开时就不得不考虑文件存在碎片的可能,文件碎片的提取必须深谙文件系统结构和文档本身的结构,有时还要加上一点点运气才能提取成功,由于不是本文探讨的主题,这里点到为止。

    六、计算机取证中注意事项

    计算机取证不同于一般意义上的数据恢复,基于证据的合法性、客观性、关联性的要求,对原始证据不能有一丝变动。在静态分析硬盘数据时需要对嫌疑人的计算机硬盘进行扇区级克隆,并通过哈希值进行校验,克隆时应当通过只读设备进行。

    使用Winhex提取证据时应在只读模式下对克隆出的硬盘镜像进行操作[2],操作完成后还需要对镜像进行哈希值校验,确保分析对象的同一性。整个取证分析过程可对工作机进行屏幕录像以供日后法庭查证。如果文档提取成功,提取出来的文档应当通过行贿人的口供予以固定。如讯问嫌疑人的此文档的创建时间、存储位置、文档的基本内容,让行贿人对该文档进行确认。

    七、结语

    回到文章开篇提到的案例,如果取证技术不过关,我们很可能会偏执地认为行贿人在说谎而失去这份关键证据,从而使整个案件的侦查工作功亏一篑。计算机技术飞速发展,而我国的计算机取证技术无论是硬件还是软件都很匮乏,这里笔者只是讨论了实际工作中的一个案例,以求抛砖引玉。

    (作者单位:湖州市人民检察院)

    --------------------------------------------------------------------------------

    [1] 像word、excel等文档结构都是复合结构,其结构特征具有一定的标识,很多微软复合文档的标识是八个字节大小的十六进制数值,如word、excel的文件头“D0CF11E0A1B11AE1”。

    [2] 为了确保证据的安全性,须及时备份硬盘镜像,先在备份上进行操作,等操作成功后再在原始镜像上操作。

    展开全文
  • 计算机取证习题.doc

    2022-06-13 23:43:23
    计算机取证习题 Q:计算机中的质量保障(Quality Assurance)主要涉及哪些内容? A:质量保障指一个包含很多规则的文件方面很完备的系统,用以确保分析结果的准确性 和可靠性,包括: 同行评审报告、证据的处理、案件...
  • Linux计算机取证工具volatility资源,kali可用 计算机取证工具 volatility 资源以及安装说明
  • 计算机取证实验的报告以及所用到的一些工具集合
  • 一、实验项目名称 FTK Imager——证据获取 二、实验目的 掌握 FTK Imager的使用 三、实验任务 1、熟悉FTK Imager的使用 2、使用FTK Imager制作一个物理磁盘镜像,并计算出该盘的MD5. 3、制作一个逻辑磁盘镜像,...
  • 计算机研究 -计算机取证研究.pdf
  • 计算机取证练习题

    千次阅读 2021-06-13 14:34:31
    计算机取证是将计算机调查和分析技术应用于对潜在的,有法律效力的证据的确定与提 取。以下关于计算机取证的描述中,错误的是( )。 A.计算机取证包括保护目标计算机系统、确定收集和保存电子证据,必须在开机的...
  • 计算机取证与司法鉴定-教材课件汇总完整版ppt全套课件最全教学教程整本书电子教案全书教案合集最新课件汇编.pptx
  • 本文从法律和计算机技术两方面对计算机取证进行分析,阐明了计算机取证相关法律问题,重点分析了计算机取证的技术方法,提出了目前相关技术的不足,指出了今后计算机取证技术的发展趋势。1 法律认定计算机证...
  • 计算机研究 -计算机取证综合系统研究.pdf
  • 计算机研究 -计算机取证中关键技术研究.pdf
  • 计算机研究 -计算机取证技术的应用研究.pdf
  • 计算机取证简答

    千次阅读 2021-06-22 16:04:26
    计算机取证简答题 1、在现场有一块 500GB SATA 硬盘、 一款智能手机(开机状态), 请简要描述从其获取到取证分析之间所注意的事项。 (1)获取时记录其具体位置 (2)必要时现场计算硬盘哈希值;硬盘放入证物袋,注意防磁...
  • 计算机研究 -计算机取证技术研究与系统设计.pdf
  • OS X Auditor是免费的Mac OS X计算机取证工具。 OS X Auditor在正在运行的系统或您要分析的系统副本上解析并散列以下工件: 内核扩展 系统代理和守护程序 第三方的代理和守护程序 旧的和过时的系统以及第三方的...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 7,702
精华内容 3,080
关键字:

计算机取证

友情链接: 57492176.rar