计算机犯罪及取证技术的研究


内容摘要:计算机技术的迅速发展改变了人们的生活方式、生产方式与管理方式。同时,也为违法犯罪分子提供了新的犯罪空间和手段。以计算机信息系统为犯罪对象和工具的各类新型犯罪活动越来越多,造成的危害也越来越大。如何获取与计算机犯罪相关的电子证据,将犯罪分子绳之以法。已成为司法和计算机科学领域中亟待解决的新课题。作为计算机领域和法学领域的一门交叉科学——计算机取证学成为人们研究与关注的焦点。

关键词:计算机犯罪计算机取证电子证据

计算机犯罪是伴随计算机的发明和广泛应用而产生的新的犯罪类型。随着计算机技术的飞速发展。计算机在社会中的应用领域急剧扩大。计算机犯罪的类型和领域不断增加和扩展。使“计算机犯罪”这一术语随着时间的推移不断获得新的涵义。

1 什么是计算机犯罪

在学术研究上.关于计算机犯罪迄今为止尚无统一的定义(大致说来,计算机犯罪概念可归为五种:相关说、滥用说、工具说、工具对象说和信息对象说)。根据刑法条文的有关规定和我国计算机犯罪的实际情况,计算机犯罪是指行为人违反国家规定.故意侵入国家事务、国防建设、尖端科学技术等计算机信息系统,或者利用各种技术手段对计算机信息系统的功能及有关数据、应用程序等进行破坏。制作、传播计算机病毒。影响计算机系统正常运行且造成严重后果的行为。

利用计算机进行犯罪活动,无外乎以下两种方式:一是利用计算机存储有关犯罪活动的信息;二是直接利用计算机作为犯罪工具进行犯罪活动。计算机犯罪具有犯罪主体的专业化、犯罪行为的智能化、犯罪客体的复杂化、犯罪对象的多样化、危害后果的隐蔽性等特点。使计算机犯罪明显有别于传统一般刑事犯罪。近年来,计算机犯罪案例呈逐年上升趋势。给国家带来不可估量的严重后果和巨大的经济损失,甚至威胁到国家的安全,破坏了良好的社会秩序。所以,打击利用计算机进行的犯罪,确保信息安全对于国家的经济发展和社会稳定具有重大现实意义。为有效地打击计算机犯罪,计算机取证是一个重要步骤。存在于计算机及相关外围设备(包括网络介质)中的电子证据已经成为新的诉讼证据之一。

2 什么是计算机取证

计算机取证又称为数字取证或电子取证,是指对计算机入侵、破坏、欺诈、攻击等犯罪行为利用计算机软硬件技术,按照符合法律规范的方式进行证据获取、保存、分析和出示的过程。从技术上,计算机取证是一个对受侵计算机系统进行扫描和破解,以对入侵事件进行重建的过程。

计算机取证包括物理证据获取和信息发现两个阶段。物理证据获取是指调查人员到计算机犯罪或入侵的现场,寻找并扣留相关的计算机硬件;信息发现是指从原始数据(包括文件,日志等)中寻找可以用来证明或者反驳的证据,即电子证据。与传统的证据一样,电子证据必须是真实、可靠、完整和符合法律规定的。

2.1物理证据的获取

物理证据的获取是全部取证工作的基础。获取物理证据是最重要的工作,保证原始数据不受任何破坏。无论在任何情况下,调查者都应牢记:

(1)不要改变原始记录;

(2)不要在作为证据的计算机上执行无关的操作;

(3)不要给犯罪者销毁证据的机会;

(4)详细记录所有的取证活动;

(5)妥善保存得到的物证。

若现场的计算机处于工作状态。取证人员应该设法保存尽可能多的犯罪信息。由于犯罪的证据可能存在于系统日志、数据文件、寄存器、交换区、隐藏文件、空闲的磁盘空间、打印机缓存、网络数据区和计数器、用户进程存储器、文件缓存区等不同的位置。要收集到所有的资料是非常困难的。关键的时候要有所取舍。如果现场的计算机是黑客正在入侵的目标。为了防止犯罪分子销毁证据文件,最佳选择也许是马上关掉电源;而如果计算机是作案的工具或相关信息的存储器。应尽量保存缓存中的数据。

2.2信息发现

取得了物理证据后。下一个重要的工作就是信息发现。不同的案件对信息发现的要求是不一样的。有些情况下要找到关键的文件、邮件或图片,而有些时候则可能要求计算机重现过去的工作细节(比如入侵取证)。

值得注意的是。入侵者往往在入侵结束后将自己残留在受害方系统中的“痕迹”擦除掉。犹如犯罪者销毁犯罪证据一样,尽量删除或修改日志文件及其它有关记录。殊不知一般的删除文件操作,即使在清空了回收站后,若不将硬盘低级格式化或将硬盘空间装满,仍可将“删除”的文件恢复过来。在Windows操作系统下的windowsswap(page)fde(一般用户不曾意识到它的存在)大概有20-200M的容量,记录着字符处理、Email消息、Internet浏览行为、数据库事务处理以及几乎其它任何有关windows会话工作的信息。另外。在windows下还存在着fdeslack,记录着大量Email碎片(Fragments)、字符处理碎片、目录树镜像(snapshot)以及其它潜在的工作会话碎片。以上这些都可以利用计算机取证软件来收集。事实上。现在的取证软件已经具有了非常好的数据恢复能力,同时,还可以做一些基本的文件属性获得和档案处理工作。

数据恢复以后。取证专家还要进行关键字的查询、分析文件属性和数字摘要、搜寻系统日志、解密文件等工作。由于缺乏对计算机上的所有数据进行综合分析的工具,所以,信息发现的结果很大程度上依赖于取证专家的经验。这就要求一个合格的取证专家要对信息系统有深刻的了解。掌握计算机的组成结构、计算机网络、操作系统、数据库等多方面的相关知识。

最后取证专家据此给出完整的报告。将成为打击犯罪的主要依据,这与侦查普通犯罪时法医的角色没有区别。

3一些取证工具的介绍

在计算机取证过程中。相应的取证工具必不可少,常见的有tcpdump,Argus,NFR,EnCase,tcpwrapper,sniffers,honeypot,Tripwires,Networkmonitor,镜像工具等。在国外计算机取证过程中比较流行的是镜像工具和专业的取证软件。下面以EnCase作为一个计算机取证技术的案例来分析。EnCase是目前使用最为广泛的计算机取证工具,至少超过2000家的去律执行部门在使用它。EnCase是用C 编写的容量大约为1M的程序,它能调查Windows,Macintosh,Anux,Unix或DOS机器的硬盘,把硬盘中的文件镜像或只读的证据文件。这样可以防止调查人员修改数居而使其成为无效的证据。为了确定镜像数据与原的数据相同。EnCase会与计算机CRC校验码和MD5台希值进行比较。EnCase对硬盘驱动镜像后重新组织文件结构,采用WindowsGUI显示文件的内容。允许调查员使用多个工具完成多个任务。

在检查一个硬盘驱动时,EnCase深入操作系统底层查看所有的数据——包括fileslack.未分配的空司和Windows交换分区(存有被删除的文件和其它潜生的证据)的数据。在显示文件方面,EnCase可以由多种标准,如时间戳或文件扩展名来排序。此外.EnCase可以比较已知扩展名的文件签名。使得调查人员能确定用户是否通过改变文件扩展名来隐藏证据。对调查结果可以采用html或文本方式显示。并可打印出来。

在计算机取证的过程中还有一种常用的方法是在被入侵的系统上巧妙地设立HoneyPot,模拟先前被入侵的状态来捕获入侵者的信息,即采用诱敌深入的计策达到取证的目的。

HoneyPot和Honeynet都是专门设计来让人“攻陷”的网络。一旦被入侵者攻破,入侵者的一切信息、工具都将被用来分析学习。

通常情况下,HoneyPot会模拟常见的漏洞。而Honeynet是一个网络系统,而非某台单一主机。这一网络系统隐藏在防火墙后面,所有进出的数据都受到关注、捕获及控制。这些捕获的数据可被用来研究分析入侵者使用的工具、方法及动机。

Related Articles

计算机取证技术

11/13 01:11
内容摘要:计算机取证是对计算机犯罪证据的识别.获取.传输.保存.分析和提交认证过程,实质是一个详细扫描计算机系统以及重建入侵事件的过程.本文主要介绍了计算机取证的概念.特点,计算机取证的过程,然后探讨了计算机取证的发展趋势和局限性. 计算机技术的迅速发展和广泛普及改变了人们传统的生产.生活和管理方式.同时也为违法犯罪分子提供了新的犯罪手段和空间.以计算机信息系统为犯罪对象和工具的新型犯罪活动越来越多,造成的危害也越来越大.大量的计算机犯罪-如商业机密信息的窃取和破坏,计算机诈骗,攻击政府.军事部

基于3G标准的无线视频监控系统关键技术的研究与实现方案

04/20 05:25
简介:本文主要描述了基于3G标准的无线视频监控系统关键技术的研究与实现方案,主要包括基于H.264的双码流模块.多线程.RTP打包等,它不仅具有传统监控系统稳定性高.实时性好.免布线等优点,而且用户可以随时随地通过3G网络进行视频监控和视频图像录制.测试结果表明,各模块都达到预期指标,3G无线环境下可进行实时视频浏览,视频质量与有线局域网相比相差不大. 关键词:视频监控:3G网络:双码流:RTP 引言 经过多年的发展,视频监控技术已由早期模拟设备为主的第一代视频监控系统发展到目前的数字视频监控,

35KV变电站无功补偿技术及移相技术的研究与应用

10/27 14:31
35KV变电站无功补偿技术及移相技术的研究与应用

快速而准确的数千兆赫兹级串行收发器建模技术的研究

09/17 11:34
快速而准确的数千兆赫兹级串行收发器建模技术的研究

多电平逆变器有源软开关技术的研究

04/02 21:14
多电平逆变器有源软开关技术的研究
摘要:分析和比较了多电平逆变器各种有源软开关拓扑的工作原理和主要特点,提出了各种有源软开关拓扑的优缺点,对多电平逆变器软开关技术的研究方向提出了建议. 关键词:有源软开关:多电平逆变器:拓扑结构 1引言 多电平变换技术由于具有诸如减少了器件的电压应力,勿须器件串联而无均压问题,减少了输出电压的谐波含量,减少了由于dv/dt和di/dt所造成的电磁干扰等优点,因此受到了更多关注,它的出现为高压大功率变换器的研制开辟了一条新思路.经过多年的研究和发展,多电平变换器主要有三种拓扑结构: 1)二极管箝位

基于UHF的GIS 超高频局部放电检测技术的研究

09/23 07:00
基于UHF的GIS 超高频局部放电检测技术的研究
GIS以结构紧凑.可靠性高等优点逐渐成为超高压电力系统中的主流设备.但由于制造.运输.现场装配等多种原因,GIS不可避免地存在绝缘缺陷而影响其长期可靠的运行.鉴于绝缘介质在发生击穿前都会产生局部放电,因此,对GIS进行局部放电监测可以发现绝缘的早期故障.目前,测量GIS的局部放电的方法有光电法.化学气体分析法.超声检测法和高频CT耦合检测法等,由于受灵敏度和设备运行情况的限制,这几种方法在实际中难以推广,而超高频法可以有效地避开电力系统的电晕和广播电视无线电干扰,灵敏度高,可实现定位,适合于现场

蓝牙技术在测控系统中的应用及其跳频技术的研究

04/10 08:48
蓝牙技术在测控系统中的应用及其跳频技术的研究

城市轨道交通自动售检票系统中通行识别技术的研究

08/18 23:26
内容摘要:人体识别系统是城市轨道交通自动售检票系统的关键组成部分.为了对人体识别系统中通行识别技术进行研究,采用对射式红外传感器采集通行目标的通行状态,在通道两侧分别安装传感器,在Matlab仿真的基础上将步态识别方法与人体识别规则相结合·分析闸机通道内通行目标的类型和数量,对其新型识别方法进行实验,实验结果表明该识别方法有效可靠. 关键词:红外传感器:Matlab仿真:步态识别:人体识别 引言 随着社会的进步,地铁作为城市轨道交通中的重要组成部分在人们的生活中发挥着至关重要的作用.传统方式逐步

物联网新兴技术的研究方法及发展趋势探讨

04/05 11:14
内容摘要:将物联网想象成一个动态网络,该网络中的日常对象可以彼此交互.感知环境并进行相应的响应.为了对物联网这个看上去似乎很简单,但其结构却比较复杂的新型技术进行多方面的研究,文中阐述了物联网发展所存在的一些挑战,并提出了相关新兴技术的研究方法与发展趋势. 关键词:物联网:整合:传感器:能量收集 引言 物联网可以被看成一种动态网络,每个日常对象都可以在这里相互通信,而且物联网中的对象能够感知环境并对其做出响应.它也可以被看作是从互联网触及客观实体的一种演进.换句话说,它可以为任何人在任何时间,任