計(jì)算機(jī)取證中易失性數(shù)據(jù)的收集分析論文

計(jì)算機(jī)取證中易失性數(shù)據(jù)的收集分析論文

　　摘 要：摘要：計(jì)算機(jī)中有些數(shù)據(jù)的存在有很強(qiáng)的時(shí)效性，因此在取證中需要及時(shí)的收集這種易丟失的數(shù)據(jù)，本文首先介紹了易失性數(shù)據(jù)的相關(guān)概念、特點(diǎn)、等級(jí)、易失性數(shù)據(jù)的收集與保全原則和一些常見的易失性數(shù)據(jù)收集工具，然后重點(diǎn)討論了如何通過專用的取證工具盤對(duì)計(jì)算機(jī)中易失性數(shù)據(jù)的收集。

　　關(guān)鍵詞：關(guān)鍵詞：計(jì)算機(jī)取證；易失性數(shù)據(jù)；收集

　　中圖分類號(hào)：TP274 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：

　　1．引言

　　在計(jì)算機(jī)犯罪中，由于一些犯罪證據(jù)非常容易被徹底的刪除銷毀，從而給計(jì)算機(jī)取證帶來了非常大的難度。一般來說，從計(jì)算機(jī)證據(jù)的時(shí)態(tài)性分類，可將計(jì)算機(jī)證據(jù)分為三種；即易失性數(shù)據(jù)，硬盤數(shù)據(jù)和網(wǎng)絡(luò)數(shù)據(jù)。其中，易失性數(shù)據(jù)是指，系統(tǒng)在某一時(shí)刻的詳細(xì)狀態(tài)信息，包括用戶登入列表，登入日期時(shí)間，運(yùn)行進(jìn)程列表以及網(wǎng)絡(luò)連接列表等信息。但是，這些數(shù)據(jù)都具有很強(qiáng)的時(shí)態(tài)性，而其證據(jù)分析難度低，因此，獲取這些證據(jù)的緊急性最高，所以必須最先獲取，以免意外情況造成易失性數(shù)據(jù)的丟失。

　　2．易失性數(shù)據(jù)的相關(guān)知識(shí)

　　2.1 易失性數(shù)據(jù)的特點(diǎn)

　�。�1）隱蔽性。計(jì)算機(jī)系統(tǒng)中的各個(gè)地方都可能存在著計(jì)算機(jī)證據(jù)，而數(shù)據(jù)在計(jì)算機(jī)中是以二進(jìn)制代碼形式進(jìn)行存儲(chǔ)和傳輸?shù)�，所以人們不能直接感知，隱蔽性很強(qiáng)。

　�。�2）客觀性。如果沒有外界對(duì)數(shù)據(jù)故意的篡改，計(jì)算機(jī)證據(jù)將很少受影響而發(fā)生變化，所以，一般計(jì)算機(jī)證據(jù)具有較強(qiáng)的證明力，能準(zhǔn)確是反映案件的事實(shí)。

　�。�3）脆弱易逝性。計(jì)算機(jī)證據(jù)很容易受外界刻意的竊取、修改和銷毀，且?guī)缀醪涣艉圹E。此外，計(jì)算機(jī)中的有些數(shù)據(jù)是動(dòng)態(tài)存在的，所以，它有很強(qiáng)的時(shí)效性，這些數(shù)據(jù)可能隨著時(shí)間的推移而改變或消失。

　　2.2 易失性數(shù)據(jù)的等級(jí)劃分

　　當(dāng)從正處于運(yùn)行的計(jì)算機(jī)中收集計(jì)算機(jī)證據(jù)時(shí)，一定要考慮各軟硬件中數(shù)據(jù)易丟失的順序，即易失性數(shù)據(jù)的等級(jí)。對(duì)易丟失等級(jí)越高的數(shù)據(jù)，如果不及時(shí)處理，那么這些數(shù)據(jù)被修改、丟失的可能性就越大。各種數(shù)據(jù)的易失性數(shù)據(jù)等級(jí)如圖1所示：

　　圖1 易失性數(shù)據(jù)的等級(jí)

　　3．易失性數(shù)據(jù)的收集和保全

　　3.1 易失性數(shù)據(jù)的收集

　　易失性數(shù)據(jù)收集必須遵循如下原則：

　　（1）保證數(shù)據(jù)的原始性。即數(shù)據(jù)是從計(jì)算機(jī)上逐位比特的復(fù)制。

　�。�2）保證在數(shù)據(jù)分析和數(shù)據(jù)傳遞過程中的完整性。

　�。�3）保持證據(jù)的連續(xù)性。即在證據(jù)從最初的獲取狀態(tài)到被提交到法庭的過程中，必須能詳細(xì)說明期間證據(jù)狀態(tài)的所有變化。

　�。�4）取證過程的合法性。整個(gè)取證過程必須受到全程的監(jiān)督。

　�。�5）取證過程和結(jié)論能夠在另外一名取證人員的操作下重現(xiàn)。

　　3.2 易失性數(shù)據(jù)的收集步驟

　　易失性數(shù)據(jù)收集可按如下步驟進(jìn)行：

　�。�1）取證準(zhǔn)備。即取證工具的準(zhǔn)備、調(diào)查小組的建立和收集策略的建立等。

　�。�2）建立概要文檔。包括建立取證概要文檔和證據(jù)收集日志等。

　�。�3）決策的核實(shí)。主要包括：①確定調(diào)查人員在證據(jù)收集過程中的權(quán)力范圍。②確定證據(jù)收集的主要方式。

　�。�4）確定易失性數(shù)據(jù)收集策略。包括確定易失性數(shù)據(jù)的類型、確定證據(jù)工具和技術(shù)、確定收集信息的輸出和存儲(chǔ)的位置以及建立可信的命令解釋程序。

　�。�5）易失性數(shù)據(jù)的收集。

　　3.3 易失性數(shù)據(jù)保全原則

　　證據(jù)的保全即數(shù)據(jù)的保護(hù)與保存，在計(jì)算機(jī)取證的整個(gè)過程中，必須保護(hù)所有的數(shù)據(jù)不能被修改，不能使數(shù)據(jù)受到任何的破壞。因此，為了證據(jù)證明力的最大化，就必須確保數(shù)據(jù)絕對(duì)的安全。在易失性數(shù)據(jù)保全過程中，必須注意以下幾個(gè)原則：

　�。�1）合法性；包括了方法的合法性和程序的合法性，即證據(jù)保全中應(yīng)與必要的訴訟程序緊密聯(lián)系，同時(shí)證據(jù)收集、保全及分析的過程中的合理性等。

　�。�2）效率和成本。保全效率是指在保全的全過程中必須嚴(yán)格按照法定的時(shí)間要求進(jìn)行，根據(jù)實(shí)際情況確定電子證據(jù)保全的方法與過程；保全成本是指保全過程中可能需要大量的設(shè)備和技術(shù)支持，使得保全的成本非常很高。

　�。�3）及時(shí)性。電子證據(jù)具有很強(qiáng)的實(shí)效性，如果未在特定的時(shí)間內(nèi)及時(shí)保全數(shù)據(jù)，可能照成證據(jù)消失而無法提取。

　�。�4）完整性。包括電子證據(jù)數(shù)據(jù)本身完整未被改動(dòng)以及其所在的計(jì)算機(jī)系統(tǒng)的完整性。

　　（5）最小破壞。即在電子證據(jù)保全的過程中，最大限度的保護(hù)設(shè)備以及系統(tǒng)不被改動(dòng)和破壞，保證證據(jù)的原始性。

　　4．易失性數(shù)據(jù)收集范疇及實(shí)施

　　4.1 易失性數(shù)據(jù)包含的范疇

　　易失性數(shù)據(jù)主要包含的數(shù)據(jù)有：（1）描述計(jì)算機(jī)的基本配置信息的系統(tǒng)概要文件。如：計(jì)算機(jī)操作系統(tǒng)的版本、型號(hào)、安裝時(shí)間、系統(tǒng)目錄、系統(tǒng)注冊用戶、物理內(nèi)存、安裝的硬件及其配置和安裝的應(yīng)用軟件等。（2）當(dāng)前系統(tǒng)的日期、時(shí)間等記錄。（3）計(jì)算機(jī)從上一次啟動(dòng)到現(xiàn)在一共運(yùn)行的`時(shí)間，用于確定收集的易失性數(shù)據(jù)是否具有一定的價(jià)值。（4）當(dāng)前系統(tǒng)運(yùn)行進(jìn)程列表，可能會(huì)發(fā)現(xiàn)一些惡意進(jìn)程、未授權(quán)的軟件及已終止的合法進(jìn)程。（5）登錄用戶最近的活動(dòng)記錄。（6）啟動(dòng)文件和剪貼板中的數(shù)據(jù)。

　　4.2 易失性數(shù)據(jù)收集的實(shí)施

　　在取證過程中，首先要準(zhǔn)備一個(gè)專用的取證工具盤，如I盤，里面包含常用的取證工具：如cmd.exe、MD5sum.exe、date.exe、time.exe、systeminfo.exe、psinfo.exe、netstat、Listdlls.exe、PsLoggedOn.exe、ipconfig.exe等。然后按下面的方法進(jìn)行數(shù)據(jù)的收集，最后將所有數(shù)據(jù)都保存到工具盤中。

　　（1）首先，在取證前使用MD5sum.exe對(duì)專用取證工具盤計(jì)算MD5散列值，并生成到指定的文本文件中，這樣可對(duì)取證前的工具盤內(nèi)的文件通過MD5值來判斷是否作了改變。

　�。�2）取證開始之前，使用date.exe和time.exe命令獲取計(jì)算機(jī)本地日期和時(shí)間，將結(jié)果生成到指定的文本文件中，并存儲(chǔ)到取證工具盤，如圖2所示：

　　圖2 獲取前系統(tǒng)當(dāng)?shù)娜掌诤蜁r(shí)間

　　（3）使用systeminfo.exe獲取系統(tǒng)概要文件（包括系統(tǒng)初始安裝時(shí)間、運(yùn)行時(shí)間、BIOS版本、登錄服務(wù)器、系統(tǒng)目錄、注冊用戶等信息）并生成文本文件保存到指定的取證工具盤中，如圖3所示：

　　圖3 運(yùn)行systeminfo.exe命令

　�。�4）使用psinfo.exe建立一個(gè)系統(tǒng)概要文件，獲取計(jì)算機(jī)的軟件信息。

　　（5）確定當(dāng)前運(yùn)行的進(jìn)程文件。可使用netstat命令確定當(dāng)前進(jìn)程的可執(zhí)行文件。使用ListDLLs可確定執(zhí)行進(jìn)程的命令行。使用pslist確定進(jìn)程的執(zhí)行時(shí)間。

　�。�6）使用PsLoggedOn.exe可獲取本地和遠(yuǎn)程登錄的用戶信息。如賬戶登錄、注銷的時(shí)間和駐留的系統(tǒng)的時(shí)間等。

　�。�7）使用ipconfig獲取計(jì)算機(jī)的TCP/IP配置。

　�。�8）取證結(jié)束后，再次計(jì)算取證工具盤的MD5散列值。

　�。�9）取證結(jié)束后，再次獲取本地日期和時(shí)間。

　　5．總結(jié)

　　本文首先介紹了易失性數(shù)據(jù)收集的概念、特點(diǎn)、等級(jí)、計(jì)算機(jī)證據(jù)的收集與保全規(guī)則和一些常見的易失性數(shù)據(jù)收集工具，然后重點(diǎn)討論了計(jì)算機(jī)易失性數(shù)據(jù)的收集方法。當(dāng)前，我國計(jì)算機(jī)犯罪的相關(guān)法律和條例還不太完善，隨著信息技術(shù)的高速發(fā)展、計(jì)算機(jī)犯罪技術(shù)的手段也在不斷的提高，計(jì)算機(jī)取證將面臨更大的挑戰(zhàn)。

　　參考文獻(xiàn)

　　[1] 李宵聲.計(jì)算機(jī)取證中增強(qiáng)電子證據(jù)時(shí)態(tài)性方案[J]. 通信技術(shù),2008,4:127-128

　　[2] 楊永川. 計(jì)算機(jī)取證[M]. 高等教育出版社,2008

　　[3] 劉凌. 淺談?dòng)?jì)算機(jī)靜態(tài)取證與計(jì)算機(jī)動(dòng)態(tài)取證[J]. 計(jì)算機(jī)與現(xiàn)代化,2009,6:102-105

　　[4] 鐘秀玉. 計(jì)算機(jī)動(dòng)態(tài)取證系統(tǒng)模型研究[J]. 微計(jì)算機(jī)信息,2006,24:42-45

【計(jì)算機(jī)取證中易失性數(shù)據(jù)的收集分析論文】相關(guān)文章：

1.計(jì)算機(jī)數(shù)據(jù)庫安全管理分析論文

2.mba案例研究中的數(shù)據(jù)分析方法的論文

3.計(jì)算機(jī)教學(xué)評(píng)價(jià)中數(shù)據(jù)挖掘的應(yīng)用論文

4.計(jì)算機(jī)教育在職業(yè)教育中的實(shí)用性分析論文

5.分析計(jì)算機(jī)數(shù)據(jù)庫在信息管理中的應(yīng)用策略論文

6.數(shù)據(jù)挖掘技術(shù)在計(jì)算機(jī)教學(xué)中的運(yùn)用論文

7.聲樂教學(xué)中語言的重要性分析論文

8.應(yīng)對(duì)GMAT數(shù)學(xué)中的數(shù)據(jù)充分性