關(guān) 閉

新聞中心

EEPW首頁(yè) > 工控自動(dòng)化 > 設(shè)計(jì)應(yīng)用 > 計(jì)算機(jī)犯罪及取征技術(shù)的研究

計(jì)算機(jī)犯罪及取征技術(shù)的研究

作者: 時(shí)間:2012-07-10 來(lái)源:網(wǎng)絡(luò) 收藏

要:技術(shù)的迅速發(fā)展改變了人們的生活方式、生產(chǎn)方式與管理方式。同時(shí),也為違法犯罪分子提供了新的犯罪空間和手段。以信息系統(tǒng)為犯罪對(duì)象和工具的各類(lèi)新型犯罪活動(dòng)越來(lái)越多,造成的危害也越來(lái)越大。如何獲取與犯罪相關(guān)的電子證據(jù),將犯罪分子繩之以法。已成為司法和計(jì)算機(jī)科學(xué)領(lǐng)域中亟待解決的新課題。作為計(jì)算機(jī)領(lǐng)域和法學(xué)領(lǐng)域的一門(mén)交叉科學(xué)——計(jì)算機(jī)取證學(xué)成為人們研究與關(guān)注的焦點(diǎn)。

本文引用地址:http://butianyuan.cn/article/202262.htm

關(guān)鍵詞:計(jì)算機(jī)犯罪計(jì)算機(jī)取證電子證據(jù)

Abstract:Therapiddevelopmentofcomputertechnologyhaschangedthewayofliving,productionandmanagement.Italsopresentsnewguiltywaysforthecriminals.Thenewtypesofcrimesbytakingthecomputerinformationsystemastheobjectandtoolsareincreasing.It’sgettingmoreharmful.Howtogettheevidenceofcomputercriminalsisanewtaskforthelawandcomputersciencearea.Proofbycomputer,asascienceofcomputerandlawarea.becomesafocusofattention.

KeyWords:CrimeonComputer,ComputerEvidence,ElectronicEvidence

計(jì)算機(jī)犯罪是伴隨計(jì)算機(jī)的發(fā)明和廣泛應(yīng)用而產(chǎn)生的新的犯罪類(lèi)型。隨著計(jì)算機(jī)技術(shù)的飛速發(fā)展。計(jì)算機(jī)在社會(huì)中的應(yīng)用領(lǐng)域急劇擴(kuò)大。計(jì)算機(jī)犯罪的類(lèi)型和領(lǐng)域不斷增加和擴(kuò)展。使“計(jì)算機(jī)犯罪”這一術(shù)語(yǔ)隨著時(shí)間的推移不斷獲得新的涵義。

1 什么是計(jì)算機(jī)犯罪

在學(xué)術(shù)研究上.關(guān)于計(jì)算機(jī)犯罪迄今為止尚無(wú)統(tǒng)一的定義(大致說(shuō)來(lái),計(jì)算機(jī)犯罪概念可歸為五種:相關(guān)說(shuō)、濫用說(shuō)、工具說(shuō)、工具對(duì)象說(shuō)和信息對(duì)象說(shuō))。根據(jù)刑法條文的有關(guān)規(guī)定和我國(guó)計(jì)算機(jī)犯罪的實(shí)際情況,計(jì)算機(jī)犯罪是指行為人違反國(guó)家規(guī)定.故意侵入國(guó)家事務(wù)、國(guó)防建設(shè)、尖端科學(xué)技術(shù)等計(jì)算機(jī)信息系統(tǒng),或者利用各種技術(shù)手段對(duì)計(jì)算機(jī)信息系統(tǒng)的功能及有關(guān)數(shù)據(jù)、應(yīng)用程序等進(jìn)行破壞。制作、傳播計(jì)算機(jī)病毒。影響計(jì)算機(jī)系統(tǒng)正常運(yùn)行且造成嚴(yán)重后果的行為。

利用計(jì)算機(jī)進(jìn)行犯罪活動(dòng),無(wú)外乎以下兩種方式:一是利用計(jì)算機(jī)存儲(chǔ)有關(guān)犯罪活動(dòng)的信息;二是直接利用計(jì)算機(jī)作為犯罪工具進(jìn)行犯罪活動(dòng)。計(jì)算機(jī)犯罪具有犯罪主體的專(zhuān)業(yè)化、犯罪行為的智能化、犯罪客體的復(fù)雜化、犯罪對(duì)象的多樣化、危害后果的隱蔽性等特點(diǎn)。使計(jì)算機(jī)犯罪明顯有別于傳統(tǒng)一般刑事犯罪。近年來(lái),計(jì)算機(jī)犯罪案例呈逐年上升趨勢(shì)。給國(guó)家?guī)?lái)不可估量的嚴(yán)重后果和巨大的經(jīng)濟(jì)損失,甚至威脅到國(guó)家的安全,破壞了良好的社會(huì)秩序。所以,打擊利用計(jì)算機(jī)進(jìn)行的犯罪,確保信息安全對(duì)于國(guó)家的經(jīng)濟(jì)發(fā)展和社會(huì)穩(wěn)定具有重大現(xiàn)實(shí)意義。為有效地打擊計(jì)算機(jī)犯罪,計(jì)算機(jī)取證是一個(gè)重要步驟。存在于計(jì)算機(jī)及相關(guān)外圍設(shè)備(包括網(wǎng)絡(luò)介質(zhì))中的電子證據(jù)已經(jīng)成為新的訴訟證據(jù)之一。

2 什么是計(jì)算機(jī)取證

計(jì)算機(jī)取證又稱(chēng)為數(shù)字取證或電子取證,是指對(duì)計(jì)算機(jī)入侵、破壞、欺詐、攻擊等犯罪行為利用計(jì)算機(jī)軟硬件技術(shù),按照符合法律規(guī)范的方式進(jìn)行證據(jù)獲取、保存、分析和出示的過(guò)程。從技術(shù)上,計(jì)算機(jī)取證是一個(gè)對(duì)受侵計(jì)算機(jī)系統(tǒng)進(jìn)行掃描和破解,以對(duì)入侵事件進(jìn)行重建的過(guò)程。

計(jì)算機(jī)取證包括物理證據(jù)獲取和信息發(fā)現(xiàn)兩個(gè)階段。物理證據(jù)獲取是指調(diào)查人員到計(jì)算機(jī)犯罪或入侵的現(xiàn)場(chǎng),尋找并扣留相關(guān)的計(jì)算機(jī)硬件;信息發(fā)現(xiàn)是指從原始數(shù)據(jù)(包括文件,日志等)中尋找可以用來(lái)證明或者反駁的證據(jù),即電子證據(jù)。與傳統(tǒng)的證據(jù)一樣,電子證據(jù)必須是真實(shí)、可靠、完整和符合法律規(guī)定的。

2.1物理證據(jù)的獲取

物理證據(jù)的獲取是全部取證工作的基礎(chǔ)。獲取物理證據(jù)是最重要的工作,保證原始數(shù)據(jù)不受任何破壞。無(wú)論在任何情況下,調(diào)查者都應(yīng)牢記:

(1)不要改變?cè)加涗洠?/p>

(2)不要在作為證據(jù)的計(jì)算機(jī)上執(zhí)行無(wú)關(guān)的操作;

(3)不要給犯罪者銷(xiāo)毀證據(jù)的機(jī)會(huì);

(4)詳細(xì)記錄所有的取證活動(dòng);

(5)妥善保存得到的物證。

若現(xiàn)場(chǎng)的計(jì)算機(jī)處于工作狀態(tài)。取證人員應(yīng)該設(shè)法保存盡可能多的犯罪信息。由于犯罪的證據(jù)可能存在于系統(tǒng)日志、數(shù)據(jù)文件、寄存器、交換區(qū)、隱藏文件、空閑的磁盤(pán)空間、打印機(jī)緩存、網(wǎng)絡(luò)數(shù)據(jù)區(qū)和計(jì)數(shù)器、用戶(hù)進(jìn)程存儲(chǔ)器、文件緩存區(qū)等不同的位置。要收集到所有的資料是非常困難的。關(guān)鍵的時(shí)候要有所取舍。如果現(xiàn)場(chǎng)的計(jì)算機(jī)是黑客正在入侵的目標(biāo)。為了防止犯罪分子銷(xiāo)毀證據(jù)文件,最佳選擇也許是馬上關(guān)掉電源;而如果計(jì)算機(jī)是作案的工具或相關(guān)信息的存儲(chǔ)器。應(yīng)盡量保存緩存中的數(shù)據(jù)。

2.2信息發(fā)現(xiàn)

取得了物理證據(jù)后。下一個(gè)重要的工作就是信息發(fā)現(xiàn)。不同的案件對(duì)信息發(fā)現(xiàn)的要求是不一樣的。有些情況下要找到關(guān)鍵的文件、郵件或圖片,而有些時(shí)候則可能要求計(jì)算機(jī)重現(xiàn)過(guò)去的工作細(xì)節(jié)(比如入侵取證)。

值得注意的是。入侵者往往在入侵結(jié)束后將自己殘留在受害方系統(tǒng)中的“痕跡”擦除掉。猶如犯罪者銷(xiāo)毀犯罪證據(jù)一樣,盡量刪除或修改日志文件及其它有關(guān)記錄。殊不知一般的刪除文件操作,即使在清空了回收站后,若不將硬盤(pán)低級(jí)格式化或?qū)⒂脖P(pán)空間裝滿(mǎn),仍可將“刪除”的文件恢復(fù)過(guò)來(lái)。在Windows操作系統(tǒng)下的windowsswap(page)fde(一般用戶(hù)不曾意識(shí)到它的存在)大概有20-200M的容量,記錄著字符處理、Email消息、Internet瀏覽行為、數(shù)據(jù)庫(kù)事務(wù)處理以及幾乎其它任何有關(guān)windows會(huì)話工作的信息。另外。在windows下還存在著fdeslack,記錄著大量Email碎片(Fragments)、字符處理碎片、目錄樹(shù)鏡像(snapshot)以及其它潛在的工作會(huì)話碎片。以上這些都可以利用計(jì)算機(jī)取證軟件來(lái)收集。事實(shí)上?,F(xiàn)在的取證軟件已經(jīng)具有了非常好的數(shù)據(jù)恢復(fù)能力,同時(shí),還可以做一些基本的文件屬性獲得和檔案處理工作。

數(shù)據(jù)恢復(fù)以后。取證專(zhuān)家還要進(jìn)行關(guān)鍵字的查詢(xún)、分析文件屬性和數(shù)字摘要、搜尋系統(tǒng)日志、解密文件等工作。由于缺乏對(duì)計(jì)算機(jī)上的所有數(shù)據(jù)進(jìn)行綜合分析的工具,所以,信息發(fā)現(xiàn)的結(jié)果很大程度上依賴(lài)于取證專(zhuān)家的經(jīng)驗(yàn)。這就要求一個(gè)合格的取證專(zhuān)家要對(duì)信息系統(tǒng)有深刻的了解。掌握計(jì)算機(jī)的組成結(jié)構(gòu)、計(jì)算機(jī)網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫(kù)等多方面的相關(guān)知識(shí)。

最后取證專(zhuān)家據(jù)此給出完整的報(bào)告。將成為打擊犯罪的主要依據(jù),這與偵查普通犯罪時(shí)法醫(yī)的角色沒(méi)有區(qū)別。

3一些取證工具的介紹

在計(jì)算機(jī)取證過(guò)程中。相應(yīng)的取證工具必不可少,常見(jiàn)的有tcpdump,Argus,NFR,EnCase,tcpwrapper,sniffers,honeypot,Tripwires,Networkmonitor,鏡像工具等。在國(guó)外計(jì)算機(jī)取證過(guò)程中比較流行的是鏡像工具和專(zhuān)業(yè)的取證軟件。下面以EnCase作為一個(gè)計(jì)算機(jī)取證技術(shù)的案例來(lái)分析。EnCase是目前使用最為廣泛的計(jì)算機(jī)取證工具,至少超過(guò)2000家的去律執(zhí)行部門(mén)在使用它。EnCase是用C 編寫(xiě)的容量大約為1M的程序,它能調(diào)查Windows,Macintosh,Anux,Unix或DOS機(jī)器的硬盤(pán),把硬盤(pán)中的文件鏡像或只讀的證據(jù)文件。這樣可以防止調(diào)查人員修改數(shù)居而使其成為無(wú)效的證據(jù)。為了確定鏡像數(shù)據(jù)與原的數(shù)據(jù)相同。EnCase會(huì)與計(jì)算機(jī)CRC校驗(yàn)碼和MD5臺(tái)希值進(jìn)行比較。EnCase對(duì)硬盤(pán)驅(qū)動(dòng)鏡像后重新組織文件結(jié)構(gòu),采用WindowsGUI顯示文件的內(nèi)容。允許調(diào)查員使用多個(gè)工具完成多個(gè)任務(wù)。:本文來(lái)自中國(guó)電子網(wǎng)歡迎轉(zhuǎn)載。

在檢查一個(gè)硬盤(pán)驅(qū)動(dòng)時(shí),EnCase深入操作系統(tǒng)底層查看所有的數(shù)據(jù)——包括fileslack.未分配的空司和Windows交換分區(qū)(存有被刪除的文件和其它潛生的證據(jù))的數(shù)據(jù)。在顯示文件方面,EnCase可以由多種標(biāo)準(zhǔn),如時(shí)間戳或文件擴(kuò)展名來(lái)排序。此外.EnCase可以比較已知擴(kuò)展名的文件簽名。使得調(diào)查人員能確定用戶(hù)是否通過(guò)改變文件擴(kuò)展名來(lái)隱藏證據(jù)。對(duì)調(diào)查結(jié)果可以采用html或文本方式顯示。并可打印出來(lái)。

在計(jì)算機(jī)取證的過(guò)程中還有一種常用的方法是在被入侵的系統(tǒng)上巧妙地設(shè)立HoneyPot,模擬先前被入侵的狀態(tài)來(lái)捕獲入侵者的信息,即采用誘敵深入的計(jì)策達(dá)到取證的目的。

HoneyPot和Honeynet都是專(zhuān)門(mén)設(shè)計(jì)來(lái)讓人“攻陷”的網(wǎng)絡(luò)。一旦被入侵者攻破,入侵者的一切信息、工具都將被用來(lái)分析學(xué)習(xí)。

通常情況下,HoneyPot會(huì)模擬常見(jiàn)的漏洞。而Honeynet是一個(gè)網(wǎng)絡(luò)系統(tǒng),而非某臺(tái)單一主機(jī)。這一網(wǎng)絡(luò)系統(tǒng)隱藏在防火墻后面,所有進(jìn)出的數(shù)據(jù)都受到關(guān)注、捕獲及控制。這些捕獲的數(shù)據(jù)可被用來(lái)研究分析入侵者使用的工具、方法及動(dòng)機(jī)。

更多計(jì)算機(jī)與外設(shè)信息請(qǐng)關(guān)注:21ic計(jì)算機(jī)與外設(shè)頻道



關(guān)鍵詞: 計(jì)算機(jī)

評(píng)論


相關(guān)推薦

技術(shù)專(zhuān)區(qū)

關(guān)閉