论文投稿_医学论文投稿_核心期刊,职称论文投稿发表_论文部落

　　在取证中心设置专门的取证计算机来进行硬盘的检查和镜像.这一方法不必担心可疑主机上软硬件环境的有效性.产生的证据在法庭上很容易得到认可.但是这样做很不方便，要取走可疑主机的硬盘，比较费时，容易丢失数据。

　　将可疑主机关闭后，用经过验证的写保护的软盘或者光盘启动被检查的系统.这种做法方便、快捷.如果可以将硬盘以只读方式装载的话，产生的证据是比较有证明力的.但是，这一方法容易使可疑主机的硬件系统受损害，也容易丢失数据。

　　使用经过验证的软件的外部介质来检查原有的系统.这种方法方便、快捷，能够检查易失信息.但当系统内核受到损害时，产生的结果可能是错误的.同时，外部介质可能不具备所有需要的工具。

　　首先验证可疑系统上的软件，并使用经验证的本地软件来进行检查.这需要很少的前期准备，可以检查易失信息，能够进行远程的检查.然而，由于这样做缺乏对可疑硬盘的写保护，使得产生的证据很难具备可靠性.而且，需要的时间较长.

　　不经验证地使用可疑系统上的软件检查可疑系统.这样的做法所需要的准备时间最少，可以检查易失信息，能够进行远程检查.但是，这样做是最不可靠的，入侵者也最希望取证人员采用这种技术以便他们发现后采取反取证措施.所以，在某种情况下，这种方法完全是浪费时间。

　　因为计算机证据必须是真实、可靠、完整和符合法律规定的[7]，所以，取证人员在开始取证阶段所采取的行动对整个取证工作是至关重要的，如果这一阶段采取的方法不正确或者程序不正确都会导致证据可靠性的丧失，甚至一无所获。

　　2.2.3鉴定证据[6,9]

　　计算机证据的鉴定主要是解决证据的完整性验证.计算机取证工作的难点之一是证明取证人员所搜集到的证据没有被修改过.而计算机证据又恰恰具有易改变和易损毁的特点.例如，腐蚀、强磁场的作用、人为的破坏等等都会造成原始证据的改变和消失.所以，取证过程中应注重采取保护证据的措施.例如，可以采用形成所谓的证据监督链的技术和方法.电子指纹技术是常用的技术，它也被称为数字指纹，其对象可以是单个的文件，也可以是整张软盘或者硬盘.其原理是:如果一方的身份"签名"未与任何应签署的报文(message)本身相联系，就留下了篡改、冒充或抵赖的可能性.我们需要从报文中提取一种格式确定的、符号性的摘要，以将千差万别的报文与数字签名不可分割地结合起来，这种"报文摘要(messagedigest)"就是"数字指纹(digitalfingerprint)".在开始取证时就使用数字指纹技术，而且，每做一个分析动作，都要再生成数字指纹，与分析前进行对比以保证所收集到的证据是可靠的[10]。

　　时间戳也是取证工作中非常有用的技术，必将成为一种有效的证据鉴定方法.它是对数字对象进行登记来提供注册后特定事物存在于特定日期的时间和证据.时间戳对于收集和保存数字证据非常有效.因为它提供了数字证据在特定的时间和日期里是存在的，并且从该时刻到出庭这段时间里不曾被修改过。

　　2.2.4分析证据

　　这是计算机取证的核心和关键.证据分析的内容包括:分析计算机的类型、采用的操作系统是否为多操作系统或有无隐藏的分区;有无可疑外设;有无远程控制、木马程序及当前计算机系统的网络环境.注意，分析过程的开机、关机过程，尽可能地避免正在运行的进程数据丢失或存在的不可逆转的删除程序.分析在磁盘的特殊区域中发现的所有相关数据.利用磁盘存储空闲空间的数据分析技术进行数据恢复，获得文件被增、删、改、复制前的痕迹.通过将收集的程序、数据和备份与当前运行的程序数据进行对比，从中发现篡改痕迹.可以通过该计算机的所有者，或电子签名、密码、交易记录、回邮信箱、邮件发送服务器的日志、上网IP等计算机特有信息识别体，结合全案其他证据进行综合审查.注意，该计算机证据要与其他证据相互印证、相互联系起来综合分析.同时，要注意计算机证据能否为侦破该案提供其他线索或确定可能的作案时间和罪犯。

　　例如，在单机情况下，证据的分析过程是:首先，使用ImageMaSSter(这是专门为取证设计的工具，有两个版本，这是桌面版.可移动的便携式版本的体积比硬盘稍大，适合室外使用，称为SoloForensic)制作两份原始数据的备份[6]，每次取出原始证据都必须在报告和证据监督链记录中作相应的记录.并且要严格按照操作准则(尽管目前没有这种准则)进行.在处理证据时，采取的步骤越少，发生错误的可能性就越小.分析过程是基于原始证据的数字拷贝进行的.一份用于取证的备份必须是对原始数据的每一比特的精确克隆.同时，在进行分析之前，一定要为被分析的数据生成数字指纹.接下来就可以正式开始分析工作了.第1步，分析硬盘的分区表.分区表的内容是我们最后提交法庭的报告的一项重要内容，同时也决定着下一步分析工具的采用.假定是NTFS格式的分区，则只能采用支持这种格式的工具，例如，"诺顿反删除"工具就不支持这种文件系统.第2步，浏览文件系统的目录树并将其打印出来.在分析过程中还要注意分析犯罪嫌疑人的技术实力.假如他经常使用加密程序或解密程序的话，他可能就是一位狡猾的高手.第3步，进行关键字搜索.使用特制的取证程序检查主引导区记录和引导扇区.要特别注意那些标记为已损坏的簇，要使用工具仔细检查，因为其中可能藏有有效的证据.关键字要进行多种可能的变换，如张三，可以用张三、章三等进行多种尝试.第4步，使用数据恢复工具找回那些已经被删除的文件.第5步，使用专门的工具软件，检查文件系统中的未分配空间和闲散空间以寻找残留的数据.最后，对找到的证据做多份备份，并制作成具有可读性的文件。