龙源期刊网httpwwwqika
comc
浅议计算机取证及网络行为取证
作者：马建军来源：《中小企业管理与科技下旬》2010年第06期
摘要由于互联网的异构性和复杂性对网络行为的分析和挖掘也成为一个复杂的课题。由于互联网的规模巨大如何在有限的资源限制条件下尽可能多地揭示网络的信息也是网络行为研究的一个值得关注的方向。对于计算机取证学来讲网络行为取证的难点不仅在于上述限制各种安全问题、资源限制问题、准确度问题都会在取证学中有所反映。本论文探讨了网络行为取证中的若干问题通过背景分析和理论探讨提出了问题研究的迫切性理论上的可行性并致力于其性能、准确性的对比。
关键词计算机取证学网络行为取证
1取证学研究背景
现在美国至少有70的法律部门拥有自己的计算机取证实验室对于计算机取证学的研究也走在比较前沿的方向。通常取证专家除了可以在实验室内静态分析从犯罪现场获取的计算机或者其他的数据也可以动态跟踪数据的发生、发展和消亡试图从中找出谁、在什么时间、从哪里、以什么方式进行了什么非法活动。
计算机取证包括物理证据获取和信息发现两个阶段前者主要是执法的方式进行后者则严重依赖于对物理数据的分析。
物理证据获取是指调查人员来到计算机犯罪或入侵的现场寻找并扣留相关的计算机硬件达到数据获取的目的信息发现是指从在犯罪现场获取的原始数据包括文件日志等中寻找可以用来证明或者反驳某些揣想或者假设的证据。与其他证据一样电子证据必须是真实、可靠、完整和符合法律规定的。而关于电子证据的法律问题的研究同时在发展现有的法律基础是薄弱的本文不会在这里泼墨太多。
物理证据获取及数据分析是全部取证工作的基础因为现场的情况复杂取证必须由专业人员来进行在获取物理证据时最重要的工作是保证存到的原始证据不受任何破坏同时证据的收集更全面。无论在任何情况下调查者都必须牢记。
不同的案例对信息发现的要求是不一样的与案件的性质和对一方造成的损失等因素息息相关。在有些情况下只需找到关键的文件、图片或邮件就可以了在其他时候则可能要求重现计算机在过去工作的细节比如入侵取证。在电视剧《越狱》里一块硬盘被从河里发现通过电镜静态分析警官找到了一些犯罪倾向并进行了阻止此时取证的难点在于从损毁的硬盘上恢复原始数据其难度可想而知。
f龙源期刊网httpwwwqika
comc
计算机证据具有数字性、高技术含量、脆弱性、多态性、交互性、复合性、动态性几个特点与数据r