- 相關推薦
計算機取證中易失性數據的收集分析論文
摘 要:摘要:計算機中有些數據的存在有很強的時效性,因此在取證中需要及時的收集這種易丟失的數據,本文首先介紹了易失性數據的相關概念、特點、等級、易失性數據的收集與保全原則和一些常見的易失性數據收集工具,然后重點討論了如何通過專用的取證工具盤對計算機中易失性數據的收集。
關鍵詞:關鍵詞:計算機取證;易失性數據;收集
中圖分類號:TP274 文獻標識碼:A 文章編號:
1.引言
在計算機犯罪中,由于一些犯罪證據非常容易被徹底的刪除銷毀,從而給計算機取證帶來了非常大的難度。一般來說,從計算機證據的時態性分類,可將計算機證據分為三種;即易失性數據,硬盤數據和網絡數據。其中,易失性數據是指,系統在某一時刻的詳細狀態信息,包括用戶登入列表,登入日期時間,運行進程列表以及網絡連接列表等信息。但是,這些數據都具有很強的時態性,而其證據分析難度低,因此,獲取這些證據的緊急性最高,所以必須最先獲取,以免意外情況造成易失性數據的丟失。
2.易失性數據的相關知識
2.1 易失性數據的特點
(1)隱蔽性。計算機系統中的各個地方都可能存在著計算機證據,而數據在計算機中是以二進制代碼形式進行存儲和傳輸的,所以人們不能直接感知,隱蔽性很強。
(2)客觀性。如果沒有外界對數據故意的篡改,計算機證據將很少受影響而發生變化,所以,一般計算機證據具有較強的證明力,能準確是反映案件的事實。
(3)脆弱易逝性。計算機證據很容易受外界刻意的竊取、修改和銷毀,且幾乎不留痕跡。此外,計算機中的有些數據是動態存在的,所以,它有很強的時效性,這些數據可能隨著時間的推移而改變或消失。
2.2 易失性數據的等級劃分
當從正處于運行的計算機中收集計算機證據時,一定要考慮各軟硬件中數據易丟失的順序,即易失性數據的等級。對易丟失等級越高的數據,如果不及時處理,那么這些數據被修改、丟失的可能性就越大。各種數據的易失性數據等級如圖1所示:
圖1 易失性數據的等級
3.易失性數據的收集和保全
3.1 易失性數據的收集
易失性數據收集必須遵循如下原則:
(1)保證數據的原始性。即數據是從計算機上逐位比特的復制。
(2)保證在數據分析和數據傳遞過程中的完整性。
(3)保持證據的連續性。即在證據從最初的獲取狀態到被提交到法庭的過程中,必須能詳細說明期間證據狀態的所有變化。
(4)取證過程的合法性。整個取證過程必須受到全程的監督。
(5)取證過程和結論能夠在另外一名取證人員的操作下重現。
3.2 易失性數據的收集步驟
易失性數據收集可按如下步驟進行:
(1)取證準備。即取證工具的準備、調查小組的建立和收集策略的建立等。
(2)建立概要文檔。包括建立取證概要文檔和證據收集日志等。
(3)決策的核實。主要包括:①確定調查人員在證據收集過程中的權力范圍。②確定證據收集的主要方式。
(4)確定易失性數據收集策略。包括確定易失性數據的類型、確定證據工具和技術、確定收集信息的輸出和存儲的位置以及建立可信的命令解釋程序。
(5)易失性數據的收集。
3.3 易失性數據保全原則
證據的保全即數據的保護與保存,在計算機取證的整個過程中,必須保護所有的數據不能被修改,不能使數據受到任何的破壞。因此,為了證據證明力的最大化,就必須確保數據絕對的安全。在易失性數據保全過程中,必須注意以下幾個原則:
(1)合法性;包括了方法的合法性和程序的合法性,即證據保全中應與必要的訴訟程序緊密聯系,同時證據收集、保全及分析的過程中的合理性等。
(2)效率和成本。保全效率是指在保全的全過程中必須嚴格按照法定的時間要求進行,根據實際情況確定電子證據保全的方法與過程;保全成本是指保全過程中可能需要大量的設備和技術支持,使得保全的成本非常很高。
(3)及時性。電子證據具有很強的實效性,如果未在特定的時間內及時保全數據,可能照成證據消失而無法提取。
(4)完整性。包括電子證據數據本身完整未被改動以及其所在的計算機系統的完整性。
(5)最小破壞。即在電子證據保全的過程中,最大限度的保護設備以及系統不被改動和破壞,保證證據的原始性。
4.易失性數據收集范疇及實施
4.1 易失性數據包含的范疇
易失性數據主要包含的數據有:(1)描述計算機的基本配置信息的系統概要文件。如:計算機操作系統的版本、型號、安裝時間、系統目錄、系統注冊用戶、物理內存、安裝的硬件及其配置和安裝的應用軟件等。(2)當前系統的日期、時間等記錄。(3)計算機從上一次啟動到現在一共運行的時間,用于確定收集的易失性數據是否具有一定的價值。(4)當前系統運行進程列表,可能會發現一些惡意進程、未授權的軟件及已終止的合法進程。(5)登錄用戶最近的活動記錄。(6)啟動文件和剪貼板中的數據。
4.2 易失性數據收集的實施
在取證過程中,首先要準備一個專用的取證工具盤,如I盤,里面包含常用的取證工具:如cmd.exe、MD5sum.exe、date.exe、time.exe、systeminfo.exe、psinfo.exe、netstat、Listdlls.exe、PsLoggedOn.exe、ipconfig.exe等。然后按下面的方法進行數據的收集,最后將所有數據都保存到工具盤中。
(1)首先,在取證前使用MD5sum.exe對專用取證工具盤計算MD5散列值,并生成到指定的文本文件中,這樣可對取證前的工具盤內的文件通過MD5值來判斷是否作了改變。
(2)取證開始之前,使用date.exe和time.exe命令獲取計算機本地日期和時間,將結果生成到指定的文本文件中,并存儲到取證工具盤,如圖2所示:
圖2 獲取前系統當的日期和時間
(3)使用systeminfo.exe獲取系統概要文件(包括系統初始安裝時間、運行時間、BIOS版本、登錄服務器、系統目錄、注冊用戶等信息)并生成文本文件保存到指定的取證工具盤中,如圖3所示:
圖3 運行systeminfo.exe命令
(4)使用psinfo.exe建立一個系統概要文件,獲取計算機的軟件信息。
(5)確定當前運行的進程文件。可使用netstat命令確定當前進程的可執行文件。使用ListDLLs可確定執行進程的命令行。使用pslist確定進程的執行時間。
(6)使用PsLoggedOn.exe可獲取本地和遠程登錄的用戶信息。如賬戶登錄、注銷的時間和駐留的系統的時間等。
(7)使用ipconfig獲取計算機的TCP/IP配置。
(8)取證結束后,再次計算取證工具盤的MD5散列值。
(9)取證結束后,再次獲取本地日期和時間。
5.總結
本文首先介紹了易失性數據收集的概念、特點、等級、計算機證據的收集與保全規則和一些常見的易失性數據收集工具,然后重點討論了計算機易失性數據的收集方法。當前,我國計算機犯罪的相關法律和條例還不太完善,隨著信息技術的高速發展、計算機犯罪技術的手段也在不斷的提高,計算機取證將面臨更大的挑戰。
參考文獻
[1] 李宵聲.計算機取證中增強電子證據時態性方案[J]. 通信技術,2008,4:127-128
[2] 楊永川. 計算機取證[M]. 高等教育出版社,2008
[3] 劉凌. 淺談計算機靜態取證與計算機動態取證[J]. 計算機與現代化,2009,6:102-105
[4] 鐘秀玉. 計算機動態取證系統模型研究[J]. 微計算機信息,2006,24:42-45
【計算機取證中易失性數據的收集分析論文】相關文章:
大數據在旅游網站設計中的應用分析論文10-10
計算機在銀行審計中的應用分析論文08-24
數據挖掘在CRM中的應用分析06-09
物資管理在電建企業中的重要性分析的論文10-18
關于數據安全在電子信息產品中的重要性論文10-15
計算機數據庫論文09-11
計算機數據庫論文07-21
研究性學習在生物教學中的實施分析論文08-19