论文投稿_医学论文投稿_核心期刊,职称论文投稿发表_论文部落

　　3.1.3信息搜索与过滤技术

　　在计算机取证的分析阶段往往使用搜索技术进行相关数据信息的查找.这些信息可以是文本、图片、音频或视频.这方面的技术主要有:数据过滤技术、数据挖掘技术等.目前这方面的软件种类繁多，既有基于单机的，又有基于网络的，例如美国NTI(NewTechnologiesInc.)(http://www.forensics-intl.com)公司的系列取证工具中的Filter、中软通用产品研发中心信息安全实验室的NetMonitor网络信息监控与取证系统等。

　　3.1.4磁盘映像拷贝技术[15]

　　由于证据的提取和分析工作不能直接在被攻击机器的磁盘上进行，所以，磁盘的映像拷贝技术就显得十分重要和必要了.而且，这一技术可以实现磁盘数据的逐字节拷贝。

　　3.1.5反向工程技术[16]

　　反向工程技术用于分析目标主机上可疑程序的作用，从而获取证据.但目前这方面的工具还很少。

　　3.2基于网络的计算机取证技术

　　所谓网络取证技术就是在网上跟踪犯罪分子或通过网络通信的数据信息资料获取证据的技术.包括IP地址和MAC地址的获取和识别技术、身份认证技术、电子邮件的取证和鉴定技术、网络侦听和监视技术、数据过滤技术、漏洞扫描技术等[6，15].应该说，在基于网络的犯罪日益猖獗的今天，网络取证技术在计算机取证技术中占有举足轻重的地位。

　　3.2.1IP地址获取技术

　　使用pmg或traceroute命令.ping是一个简单而又非常有用的程序，它使用了因特网信息控制协议的ECHO_REQUEST数据报.该数据报向目标主机发送请求并监听ICMP应答.我们可以使用ping这样的命令来判断一台机器是否在线，然后使用What'sUpGold这样的程序继续检查这台运行着的机器.但是，ping的这种行为很容易被原段的系统发现.假设对方是一个比较高明的罪犯，它会对到自己机器的任何连接进行监视，从而发现你在调查他。

　　混乱地址的恢复[1].很多高明的罪犯使用伪造或混乱的地址发送信息，这种混乱的地址一般是一个10位长度的整数，例如http://2280853951.我们可以采用数学方法变换成正常格式:把2280853951转换成16进制为:87F311BF.然后依次把每两位16进制数都转换成10进制数并加上点号.不足两位在后边加0.从而，得到正常的IP:135.243.17.191.反过来也可以把正常的IP转化成10进制数.

　　当然，也可以使用ping命令:C:\>ping2280853951得到结果Pinging135.243.17.191with32bytesofdata.

　　使用IP扫描工具程序，就是利用特定的软件来获取IP地址.一般这种软件都有较好的用户界面，使用简单、方便.例如solarwins2001engineersedition就有扫描IP的功能。

　　由DNS获取IP地址.大多数的域名服务器都支持逆向查询，也可以使用工具软件进行手工解析.一流的工具就是nslookup，它可以基于Windows，UNIX和NT使用，可以进行正向和逆向查询。

　　MAC地址的获取.MAC地址只能使用在硬件层上，IP地址和MAC地址的转化是通过查找ARP表来实现的，该表是由地址解析协议(addressresolutionprotocol，简称ARP)自动创建的.需要指出的是，MAC地址也不能绝对信赖，因为现在已经有了很多软件可以对MAC地址进行修改，在UNIX中，就可以通过命令改变MAC地址.所以，有时虽然找到的MAC地址与我们所掌握的并不一致，但也不能说明这台主机不是嫌疑主机。

　　在ISP的支持下获取IP.-个互联网服务提供商一般通过RADIUS协议支持拨号路由器和中央用户目录之间的验证请求，这一协议可以用于用户身份认证，也可以用于记帐.RADIUS服务器通常是互联网服务提供商可以为跟踪罪犯提供记录的唯一设备，所以它对取证工作非常重要，该服务器通常会将每一个注册请求的记录保存一年以上.一般情况下，ISP都愿意提供这种日志，因为他们也不想让人利用他们的系统从事非法活动。