论文投稿_医学论文投稿_核心期刊,职称论文投稿发表_论文部落

　　2.2.5进行追踪

　　上面提到的计算机取证步骤是静态的，即事件发生后对目标系统的静态分析.随着计算机犯罪技术手段的升级，这种静态的分析已经无法满足要求，发展趋势是将计算机取证与入侵检测等网络安全工具和网络体系结构技术相结合，进行动态取证.整个取证过程将更加系统化并具有智能性，也将更加灵活多样.对某些特定案件，如网络遭受黑客攻击，应收集的证据包括:系统登录文件、应用登录文件、AAA登录文件(比如RADIUS登录)、网络单元登录(networkelementlogs)、防火墙登录、HIDS事件、NIDS事件、磁盘驱动器、文件备份、电话记录等等。对于在取证期间犯罪还在不断进行的计算机系统，采用入侵检测系统对网络攻击进行监测是十分必要的.也可以通过采用相关的设备或设置陷阱跟踪捕捉犯罪嫌疑人。

　　2.2.6提交结果

　　打印对目标计算机系统的全面分析和追踪结果，然后给出分析结论:系统的整体情况，发现的文件结构、数据、作者的信息，对信息的任何隐藏、删除、保护、加密企图，以及在调查中发现的其他相关信息.标明提取时间、地点、机器、提取人及见证人.然后以证据的形式按照合法的程序提交给司法机关.

　　3计算机取证的技术方法和工具

　　取证专家ReithClintMark认为:计算机取证(computerforensics)可以认为是"从计算机中收集和发现证据的技术和工具[11]".以计算机证据的来源为标准，计算机取证技术可分为:单机取证技术、网络取证技术和相关设备取证技术。

　　3.1基于单机和设备的计算机取证技术

　　单机取证技术是针对一台可能含有证据的非在线计算机进行证据获取的技术.包括存储设备的数据恢复技术、隐藏数据的再现技术、加密数据的解密技术和数据挖掘技术等等。

　　3.1.1数据恢复技术

　　数据恢复技术主要用于把犯罪嫌疑人删除或者通过格式化磁盘擦除的数字证据恢复出来.由于磁盘的格式化只不过是对用于访问文件系统的各种表进行了重新构造，因此，如果格式化之前的硬盘上有数据存在，则格式化操作后这些数据仍然存放在磁盘上，同时，格式化操作会创建一个新的空索引列表，指向未分配数据块.删除文件的操作也不能真正删除文件，只不过把构成这些文件的数据簇放回到系统中，对于通常的读写操作而言，这些簇不可见.这些簇可以从空闲块列表中得到，而从目录项(或mode项)中访问不到.可能包含已删除数据的文件系统区域有:应用程序产生的数据文件可能包含文件系统中的游离数据;文件的最后一个簇通常会因为没有被完全使用而使得上次写进这个簇的数据没有被全部覆盖;不在使用中的文件系统的未分配数据块(或簇);计算机的当前配置可能没有使用硬盘上的所有空间，但以前的配置可能使用了，则这些空间就可能含有隐藏数据[12];分区表和引导信息所在的磁道也可能有证据信息.我们可以使用国际取证专家普遍看好的取证软件TCT(theCoronor'stoolkit)和Encase等把这些数据恢复出来.即使使用安全删除工具删除的数据也会留有痕迹，擦除一个磁道的数据时留下的边缘数据和被覆盖后仍留下的痕迹称为阴影数据(shadowdata)[13]，我们可以使用特殊的电子显微镜一比特一比特地恢复写过多次的磁道.一个有经验的技术人员，可以使用适当的设备恢复被覆盖过7次以上的数据.在国外，这种数据恢复服务公司或机构已经存在，如Ontrack公司、Ibas实验室等[6].3.1.2加密解密技术和口令获取取证在很多情况下都面临如何将加密的数据进行解密的问题.目前的加密解密算法及工具很多[14]，计算机取证中使用的密码破解技术和方法主要有：

　　（1）密码分析技术.这种技术需要取证专家具有密码学专业领域的知识，目前的软件工具也并不实用。

　　（2）密码破解技术.包括口令字典、重点猜测、穷举破解等技术.其中口令字典一般是基于软件的，而且已经有了多种字典可供使用.目前基于字典的口令破解软件很多，如专门用于Office文件的破解工具AOPR(advancedofficepasswordrecovery)等，这些软件的破解效率很高。

　　（3）口令搜索.包括物理搜索(在计算机四周搜查可能有口令的地方)、逻辑搜索(在文档或电子邮件中搜索明文的口令)和网络窃听(从网络中捕获明文口令)。

　　（4）口令提取.许多Windows的口令都以明文的形式存储在注册表或其他指定的地方，我们可以从注册表中提取口令。

　　（5）口令恢复.使用密钥恢复机制可以从高级管理员那里获得口令。