計算機取證中易失性數(shù)據(jù)的收集分析論文

　　摘 要：摘要：計算機中有些數(shù)據(jù)的存在有很強的時效性，因此在取證中需要及時的收集這種易丟失的數(shù)據(jù)，本文首先介紹了易失性數(shù)據(jù)的相關(guān)概念、特點、等級、易失性數(shù)據(jù)的收集與保全原則和一些常見的易失性數(shù)據(jù)收集工具，然后重點討論了如何通過專用的取證工具盤對計算機中易失性數(shù)據(jù)的收集。

　　關(guān)鍵詞：關(guān)鍵詞：計算機取證；易失性數(shù)據(jù)；收集

　　中圖分類號：TP274 文獻標(biāo)識碼：A 文章編號：

　　1．引言

　　在計算機犯罪中，由于一些犯罪證據(jù)非常容易被徹底的刪除銷毀，從而給計算機取證帶來了非常大的難度。一般來說，從計算機證據(jù)的時態(tài)性分類，可將計算機證據(jù)分為三種；即易失性數(shù)據(jù)，硬盤數(shù)據(jù)和網(wǎng)絡(luò)數(shù)據(jù)。其中，易失性數(shù)據(jù)是指，系統(tǒng)在某一時刻的詳細(xì)狀態(tài)信息，包括用戶登入列表，登入日期時間，運行進程列表以及網(wǎng)絡(luò)連接列表等信息。但是，這些數(shù)據(jù)都具有很強的時態(tài)性，而其證據(jù)分析難度低，因此，獲取這些證據(jù)的緊急性最高，所以必須最先獲取，以免意外情況造成易失性數(shù)據(jù)的丟失。

　　2．易失性數(shù)據(jù)的相關(guān)知識

　　2.1 易失性數(shù)據(jù)的特點

　�。�1）隱蔽性。計算機系統(tǒng)中的各個地方都可能存在著計算機證據(jù)，而數(shù)據(jù)在計算機中是以二進制代碼形式進行存儲和傳輸?shù)模�所以人們不能直接感知，隱蔽性很強。

　�。�2）客觀性。如果沒有外界對數(shù)據(jù)故意的篡改，計算機證據(jù)將很少受影響而發(fā)生變化，所以，一般計算機證據(jù)具有較強的證明力，能準(zhǔn)確是反映案件的事實。

　�。�3）脆弱易逝性。計算機證據(jù)很容易受外界刻意的竊取、修改和銷毀，且?guī)缀醪涣艉圹E。此外，計算機中的有些數(shù)據(jù)是動態(tài)存在的，所以，它有很強的時效性，這些數(shù)據(jù)可能隨著時間的推移而改變或消失。

　　2.2 易失性數(shù)據(jù)的等級劃分

　　當(dāng)從正處于運行的計算機中收集計算機證據(jù)時，一定要考慮各軟硬件中數(shù)據(jù)易丟失的順序，即易失性數(shù)據(jù)的等級。對易丟失等級越高的數(shù)據(jù)，如果不及時處理，那么這些數(shù)據(jù)被修改、丟失的可能性就越大。各種數(shù)據(jù)的易失性數(shù)據(jù)等級如圖1所示：

　　圖1 易失性數(shù)據(jù)的等級

　　3．易失性數(shù)據(jù)的收集和保全

　　3.1 易失性數(shù)據(jù)的收集

　　易失性數(shù)據(jù)收集必須遵循如下原則：

　�。�1）保證數(shù)據(jù)的原始性。即數(shù)據(jù)是從計算機上逐位比特的復(fù)制。

　�。�2）保證在數(shù)據(jù)分析和數(shù)據(jù)傳遞過程中的完整性。

　�。�3）保持證據(jù)的連續(xù)性。即在證據(jù)從最初的獲取狀態(tài)到被提交到法庭的過程中，必須能詳細(xì)說明期間證據(jù)狀態(tài)的所有變化。

　�。�4）取證過程的合法性。整個取證過程必須受到全程的監(jiān)督。

　�。�5）取證過程和結(jié)論能夠在另外一名取證人員的操作下重現(xiàn)。

　　3.2 易失性數(shù)據(jù)的收集步驟

　　易失性數(shù)據(jù)收集可按如下步驟進行：

　�。�1）取證準(zhǔn)備。即取證工具的準(zhǔn)備、調(diào)查小組的建立和收集策略的建立等。

　�。�2）建立概要文檔。包括建立取證概要文檔和證據(jù)收集日志等。

　�。�3）決策的核實。主要包括：①確定調(diào)查人員在證據(jù)收集過程中的權(quán)力范圍。②確定證據(jù)收集的主要方式。

　�。�4）確定易失性數(shù)據(jù)收集策略。包括確定易失性數(shù)據(jù)的類型、確定證據(jù)工具和技術(shù)、確定收集信息的輸出和存儲的位置以及建立可信的命令解釋程序。

　　（5）易失性數(shù)據(jù)的收集。

　　3.3 易失性數(shù)據(jù)保全原則

　　證據(jù)的保全即數(shù)據(jù)的保護與保存，在計算機取證的整個過程中，必須保護所有的數(shù)據(jù)不能被修改，不能使數(shù)據(jù)受到任何的破壞。因此，為了證據(jù)證明力的最大化，就必須確保數(shù)據(jù)絕對的安全。在易失性數(shù)據(jù)保全過程中，必須注意以下幾個原則：

　�。�1）合法性；包括了方法的合法性和程序的合法性，即證據(jù)保全中應(yīng)與必要的訴訟程序緊密聯(lián)系，同時證據(jù)收集、保全及分析的過程中的合理性等。

　　（2）效率和成本。保全效率是指在保全的全過程中必須嚴(yán)格按照法定的時間要求進行，根據(jù)實際情況確定電子證據(jù)保全的方法與過程；保全成本是指保全過程中可能需要大量的設(shè)備和技術(shù)支持，使得保全的成本非常很高。

　�。�3）及時性。電子證據(jù)具有很強的實效性，如果未在特定的時間內(nèi)及時保全數(shù)據(jù)，可能照成證據(jù)消失而無法提取。

　�。�4）完整性。包括電子證據(jù)數(shù)據(jù)本身完整未被改動以及其所在的計算機系統(tǒng)的完整性。

　�。�5）最小破壞。即在電子證據(jù)保全的過程中，最大限度的保護設(shè)備以及系統(tǒng)不被改動和破壞，保證證據(jù)的原始性。

　　4．易失性數(shù)據(jù)收集范疇及實施

　　4.1 易失性數(shù)據(jù)包含的范疇

　　易失性數(shù)據(jù)主要包含的數(shù)據(jù)有：（1）描述計算機的基本配置信息的系統(tǒng)概要文件。如：計算機操作系統(tǒng)的版本、型號、安裝時間、系統(tǒng)目錄、系統(tǒng)注冊用戶、物理內(nèi)存、安裝的硬件及其配置和安裝的應(yīng)用軟件等。（2）當(dāng)前系統(tǒng)的日期、時間等記錄。（3）計算機從上一次啟動到現(xiàn)在一共運行的時間，用于確定收集的易失性數(shù)據(jù)是否具有一定的價值。（4）當(dāng)前系統(tǒng)運行進程列表，可能會發(fā)現(xiàn)一些惡意進程、未授權(quán)的軟件及已終止的合法進程。（5）登錄用戶最近的活動記錄。（6）啟動文件和剪貼板中的數(shù)據(jù)。

　　4.2 易失性數(shù)據(jù)收集的實施

　　在取證過程中，首先要準(zhǔn)備一個專用的取證工具盤，如I盤，里面包含常用的取證工具：如cmd.exe、MD5sum.exe、date.exe、time.exe、systeminfo.exe、psinfo.exe、netstat、Listdlls.exe、PsLoggedOn.exe、ipconfig.exe等。然后按下面的方法進行數(shù)據(jù)的收集，最后將所有數(shù)據(jù)都保存到工具盤中。

　　（1）首先，在取證前使用MD5sum.exe對專用取證工具盤計算MD5散列值，并生成到指定的文本文件中，這樣可對取證前的工具盤內(nèi)的文件通過MD5值來判斷是否作了改變。

　�。�2）取證開始之前，使用date.exe和time.exe命令獲取計算機本地日期和時間，將結(jié)果生成到指定的文本文件中，并存儲到取證工具盤，如圖2所示：

　　圖2 獲取前系統(tǒng)當(dāng)?shù)娜掌诤蜁r間

　�。�3）使用systeminfo.exe獲取系統(tǒng)概要文件（包括系統(tǒng)初始安裝時間、運行時間、BIOS版本、登錄服務(wù)器、系統(tǒng)目錄、注冊用戶等信息）并生成文本文件保存到指定的取證工具盤中，如圖3所示：

　　圖3 運行systeminfo.exe命令

　�。�4）使用psinfo.exe建立一個系統(tǒng)概要文件，獲取計算機的軟件信息。

　�。�5）確定當(dāng)前運行的進程文件�？墒褂胣etstat命令確定當(dāng)前進程的可執(zhí)行文件。使用ListDLLs可確定執(zhí)行進程的命令行。使用pslist確定進程的執(zhí)行時間。

　　（6）使用PsLoggedOn.exe可獲取本地和遠(yuǎn)程登錄的用戶信息。如賬戶登錄、注銷的時間和駐留的系統(tǒng)的時間等。

　�。�7）使用ipconfig獲取計算機的TCP/IP配置。

　�。�8）取證結(jié)束后，再次計算取證工具盤的MD5散列值。

　　（9）取證結(jié)束后，再次獲取本地日期和時間。

　　5．總結(jié)

　　本文首先介紹了易失性數(shù)據(jù)收集的概念、特點、等級、計算機證據(jù)的收集與保全規(guī)則和一些常見的易失性數(shù)據(jù)收集工具，然后重點討論了計算機易失性數(shù)據(jù)的收集方法。當(dāng)前，我國計算機犯罪的相關(guān)法律和條例還不太完善，隨著信息技術(shù)的高速發(fā)展、計算機犯罪技術(shù)的手段也在不斷的提高，計算機取證將面臨更大的挑戰(zhàn)。

　　參考文獻

　　[1] 李宵聲.計算機取證中增強電子證據(jù)時態(tài)性方案[J]. 通信技術(shù),2008,4:127-128

　　[2] 楊永川. 計算機取證[M]. 高等教育出版社,2008

　　[3] 劉凌. 淺談計算機靜態(tài)取證與計算機動態(tài)取證[J]. 計算機與現(xiàn)代化,2009,6:102-105

　　[4] 鐘秀玉. 計算機動態(tài)取證系統(tǒng)模型研究[J]. 微計算機信息,2006,24:42-45

【計算機取證中易失性數(shù)據(jù)的收集分析論文】相關(guān)文章：

計算機犯罪偵查中基于Email取證線索發(fā)現(xiàn)論文08-24

大數(shù)據(jù)在旅游網(wǎng)站設(shè)計中的應(yīng)用分析論文10-10

計算機在銀行審計中的應(yīng)用分析論文08-24

數(shù)據(jù)挖掘在ＣＲＭ中的應(yīng)用分析06-09

計算機系統(tǒng)審計的物證收集技術(shù)與方法的研究分析論文10-29

物資管理在電建企業(yè)中的重要性分析的論文10-18

關(guān)于數(shù)據(jù)安全在電子信息產(chǎn)品中的重要性論文10-15

計算機數(shù)據(jù)庫論文09-11

計算機數(shù)據(jù)庫論文07-21

研究性學(xué)習(xí)在生物教學(xué)中的實施分析論文08-19