求职指南网 > 职场百科 >

电子取证技术有几大方向

时间: 小龙 职场百科

电子取证技术的三大方向

计算机取证是对计算机犯罪证据的识别获取、传输、保存、分析和提交认证过程,实质是一个详细扫描计算机系统以及重建入侵事件的过程。

国内外计算机取证应用发展概况

现在美国至少有70%的法律部门拥 有自己的计算机取证实验室,取证专家在实验室内分析从犯罪现场获取的计算机(和外设),并试图找出入侵行为。

在国内,公安部门打击计算机犯罪案件是近几年的事,有关计算机取证方面的研究和实践才刚起步。中科院主攻取证机的开发,浙江大学和复旦大学在研究取证技术、吉林大学在网络逆向追踪,电子科技大学在网络诱骗、北京航空航天大学在入侵诱骗模型等方面展开了研究工作。但还没有看到相关的阶段性成果报道。

电子取证技术的三大方向

计算机电子取证的局限性以及面临的问题

计算机取证的理论和软件工具是近年来计算机安全领域内取得的重大成就,从计算机取证的软件和工具实现过程的分析中可以发现,当前计算机取证技术还存在很大局限性。

从理论上讲,计算机取证人员能否找到犯罪证据取决于:有关犯罪证据必须没有被覆盖;取证软件必须能找到这些数据;取证人员能知道这些文件,并且能证明它们与犯罪有关,从当前软件的实现情况来看,许多所谓的“取证分析”软件还仅仅是恢复使用rm或strip命令删除的文件。

计算机取证所面临的问题是入侵者的犯罪手段和犯罪技术的变化:

(1) 反取证技术的发展。反取证就是删除或隐藏证据使取证调查失效。反取证技术分为3类:数据擦除、数据隐藏和数据加密,这些技术还可以结合起来使用,让取证工作的效果大打折扣。

(2) NestWatch、NetTracker、LogSurfer、VBStats,NetLog和Analog等工具可以对日志进行分析,以得到入侵者的蛛丝马迹。一些入侵者利用Root Kit(系统后门、木马程序等)绕开系统日志,一旦攻击者获得了Root权限,就可以轻易修改或破坏或删除操作系统的日志。

计算机电子取证软件局限性表现为:

(1) 目前开发的取证软件的功能主要集中在磁盘分析上,如磁盘映像拷贝,被删除数据恢复和查找等工具软件开发研制。其它取证工作依赖于取证专家人工进行,也造成了计算机取证等同于磁盘分析软件的错觉。

(2)现在计算机取证是一个新的研究领域,许多组织、公司都投入了大量人力进行研究。但没有统一标准和规范,软件的使用者很难对这些工具的有效性和可靠性进行比较。也没有任何机构对计算机取证和工作人员进行认证,使得取证权威性受到质疑。

计算机电子取证发展研究

计算机取证技术随着黑客技术提高而不断发展,为确保取证所需的有效法律证据,根据目前网络入侵和攻击手段以及未来黑客技术的发展趋势,以及计算机取证研究工作的不断深入和改善,计算机取证将向以下几个方向发展:

电子取证工具向智能化、专业化和自动化方向发展

计算机取证科学涉及到多方面知识。现在许多工作依赖于人工实现,大大降低取证速度和取证结果的可靠性。在工具软件的开发上应该结合计算机领域内的其它理论和技术,以代替大部分人工操作。

利用无线局域网和手机、PDA、便携式计算机进行犯罪的案件逐年上升,这些犯罪的证据会以不同形式分布在计算机、路由器、入侵检测系统等不同设备上,要找到这些工具就需要针对不同的硬件和信息格式做出相应的专门的取证工具。

计算机电子取证的相关技术发展

从计算机取证的过程看,对于电子证据的识别获取可以加强动态取证技术研究,将计算机取证结合到入侵检测、防火墙、网络侦听等网络安全产品中进行动态取证技术研究;对于系统日志可采用第三方日志或对日志进行加密技术研究;对于电子证据的分析,是从海量数据中获取与计算机犯罪有关证据,需进行相关性分析技术研究,需要高效率的搜索算法、完整性检测算法优化、数据挖掘算法以及优化等方面的研究。

对入侵者要进行计算机犯罪取证学的入侵追踪技术研究,目前有基于主机追踪方法的Caller ID,基于网络追踪方法的IDIP、SWT产品。有学者针对网络层的追踪问题,提出基于聚类的流量压缩算法,研究基于概率的追踪算法优化研究,对于应用层根据信息论和编码理论,提出采用数字水印和对象标记的追踪算法和实现技术,很有借鉴意义。在调查被加密的可执行文件时,需要在计算机取证中针对入侵行为展开解密技术研究,。

计算机取证的另一个迫切技术问题就是对取证模型的研究和实现,当前应该开始着手分析网络取证的详细需求,建立犯罪行为案例、入侵行为案例和电子证据特征的取证知识库,有学者提出采用XML和OEM数据模型、数据融合技术、取证知识库、专家推理机制和挖掘引擎的取证计算模型,并开始着手研究对此模型的评价机制。

计算机电子取证的标准化研究

计算机取证工具应用,公安执法机关还缺乏有效的工具,仅只利用国外一些常用的取证工具或者自身技术经验开发应用,在程序上还缺乏一套计算机取证的流程,提出的证据很容易遭到质疑。对计算机取证应该制定相关法律、技术标准,制度以及取证原则、流程、方法等,到目前为止,还没有专门的机构对计算机取证机构或工作人员的资质进行认定。加强对具有取证职能的计算机司法鉴定机构的建设,指定取证工具的评价标准,对计算机取证操作规范是很必要的。

相关阅读:

电子证据的认定

电子证据的认证也就是审查电子证据是否符合电子证据认定的相关性,真实性,合法性等标准。在审判实践中主要审查与案件定罪、量刑等相关的电子证据的真实性和合法性。

在审查电子证据真实性过程中,首先必须严格审查电子证据的来源。在证据采信过程中,主要体现在如下几个方面:第一,证据的来源必须是客观存在的,排除臆造出来的可能性;第二,确定证据来源的真实可靠性,根据电子证据形成的时间、地点、对象、制作人、制作过程及设备情况,明确电子证据所反映的是否真实可靠,有无伪造和删改的可能。如网络银行出具的支付、结算凭据,EDI中心提供的提单签发、传输记录,CA认证中心提供的认证或公证书等就具有相当的可靠性和较强的证明力。

其次审查电子证据的内容。结合电子证据本身的技术含量及加密条件、加密方法,判断电子证据是否真实、有无剪裁、拼凑、伪造、篡改等,对于自相矛盾、内容前后不一致或不符合情理的电子证据,应谨慎审查。

最后根据唯一性的原则结合其他证据进行审查分析判断电子证据是否真实。多个连续的电子证据经过时间空间上的排列、组合之后,应同网络犯罪行为的发生、发展过程和结果一致,形成一个完整的证明体系,相互印证,所得出的结论是本案唯一的结论。如审查有无电子证据所反映的事实,同有关书证、物证、证人证言是否互相吻合,是否有矛盾。如果与其他证据相一致,共同指向同一事实,就可以认定其效力,可以作为定案根据,反之则不能作为定案根据。

看过“电子取证技术有几大方向”的人还看过:

1.

2.

3.

4.

5.

44174