数据取证设备一致性评价及标准体系研究

文章在对目前国内外数据取证设备的技术和标准发展情况进行分析的基础上,探讨了数据取证设备应当满足的技术要求和数据取证设备一致性评价方法,并针对国内目前尚无公开的数据取证设备标准的现状,提出了以数据取证设备技术要求及检测标准为主体的标准体系。为各生产厂商对取证设备产品的设计和生产提供指导;为数据取证设备相关的技术标准的制定和修订工作提供技术蓝图;完善数据取证设备产品标准化检测,提高产品的质量,保障公安部门获取数据的有效性,提高案件侦查的效率。     

新型智能终端取证技术研究

随着移动互联网的广泛应用,智能手机、平板等新型智能终端设备在各种各样的违法犯罪活动中开始扮演越来越重要的角色,从涉案手机中提取的数据常常包含与违法犯罪行为相关的重要线索和证据。然而,移动智能终端设备不断提升的安全设计可能使得取证人员无法从设备中提取数据,给电子数据取证鉴定工作提出了新的挑战。本文详细分析当前主流的iOS、Android和Windows Phone等平台下的移动设备的安全机制,研究了主要的安全机制破解和取证技术及其在目前电子数据取证工作中的应用。最后,对未来面向新型移动智能终端电子数据取证技术研究发展方向进行了探讨。     

数字多媒体取证技术综述

数字多媒体取证是信息安全一个刚刚兴起的研究领域,研究数字多媒体取证技术对确保多媒体数据的可靠性有着极其重要的意义。以数字图像取证为代表,从篡改检测、来源辨识、真实性鉴定、设备成分取证以及多媒体取证方法的可靠性等五个方面对现有数字多媒体取证技术进行综述,重点介绍了典型算法,并指出当前研究中存在的一些主要问题,给出本领域未来的研究方向。     

网络取证技术研究

介绍了网络取证的概念、网络证据的特点、与传统静态取证的比较及研究现状,详细分析了数据捕获、数据分析技术、专家系统和数据挖掘技术等在网络取证中的应用,并分析了目前网络取证存在的问题和发展趋势.     

伪造变造文件数字被动无损取证技术综述

伪造、变造文件检验属于司法取证中文书鉴定部分,传统方法需要依靠文检设备和专业检测人员,具有检测成本高、检测时间长,可能存在有损检验等局限。近年来只利用扫描仪和计算机的数字被动无损取证技术应运而生。文章首先阐述了文件生成过程及其伪造、变造方式,其次对伪造、变造文件的被动无损取证技术进行了总结和分析,从设备取证、纸张取证、文件变造取证三个方面详细阐述了文档来源取证、纸张来源取证和文档真实性鉴别的原理和技术方法。对具体设备和每种变造方式引入的特征进行了详细的介绍,并阐述相应的取证方法,最后给出了数字被动无损取证技术面临的问题和挑战。     

电子取证应用研究综述

近年来,电子数据取证对案件侦破起着重要的作用,由于电子数据具有易失性、易破坏性等特点,需要取证人员具备专业的电子取证技术和方法,才能最后分析出有用的证据,保证案件的真实性和客观性,详细分析三种取证技术和方法：基于Windows的电子取证、基于智能手机的电子取证,基于网络的电子取证,其中基于智能手机的电子取证包括Android手机和iPhone手机,并提出电子取证技术未来的发展方向.     

电子取证3.0时代的实验室建设思路

电子取证进入了3.0时代,电子取证实验室建设也需要跟上时代,要具备时代的特色,符合信息化的要求,适应信息科技发展的趋势。首先从网络上连接各个实验室,再从装备上进行智能互联化改造,从而构建一体化实验室,开展取证知识的汇聚与共享,取证能力的下沉,取证技术的更新,将大数据平台能力支撑给取证前端,并将人工智能技术应用到取证的各个领域。     

基于单机和设备的计算机取证技术

该文主要研究基于单机和设备的计算机取证技术,并对取证过程中的重要环节的证据分析进行逐步说明,对取证过程中涉及的相关技术,如磁盘映像拷贝技术、数据恢复技术、加解密技术等进行了分析。     

电子数据职证研究概述

随着计算机技术的飞速发展,人类社会对数字信息的依赖已达到前所未有的程度。与此同时,计算机犯罪率也以惊人的速度增长(2003CSI/FBI计算机犯罪调查报告)。由于计算机犯罪是刑事犯罪中一种新兴的高科技犯罪,政法机关在如何利用高技术手段对付这种高技术犯罪方面缺乏必要的技术保障和支持,为了保障和促进计算机信息网络健康有序发展,提高政法机关打击计算机犯罪的能力,需要对电子数据取证(数字取证、计算机取证)领域进行深入的研究,这不但需要开发切实有效的取证工具,更需要对电子数据取证领域的取证定义、取证标准、取证程序等理论基础的研究。本文正是在这种需求下,对电子数据取证领域的研究工作进行了分析,首先对电子数据取证的相关概念进行总结,然后对国内外电子数据取证的基础研究工作进行了概要性的描述,并对目前较为典型的取证工具作以介绍。本文对取证领域,尤其是对电子数据取证领域的基本理论和基本方法进行深入分析的基础上,结合其上层典型应用的行为方式为前提,力求为开发出适合我国国情的电子数据取证系统建立良好的基础。     

网络取证系统及工具分析

随着网络技术的发展,计算机网络犯罪总量持续上升,计算机取证工作显得越来越重要。计算机取证分为事后取证和实时取证。早期的实时取证所利用的网络安全工具在取证学角度都存在一定的局限性,它们所产生的数据不能成为法律意义上的证据。由此,网络取证系统应运而生,它对网络入侵事件、网络犯罪活动进行证据获取、保存、分析和还原,弥补了传统安全工具在实时取证中的不足。文中对网络取证系统进行了详细分析,并对目前的一些网络取证工具进行了比较。     

数字图像反取证技术综述

目的 数字图像的真实性问题备受人们关注,被动取证是解决该问题的有效途径。然而,如果伪造者在篡改图像的同时利用反取证技术对篡改的痕迹进行消除或伪造,那么已有的大量被动取证技术都将失效。回顾图像反取证技术的研究现状（包括兴起原因、实现原理、技术特点以及应用前景）,并根据已有文献总结反取证技术面临的主要挑战和机遇。方法 由于现有的被动取证技术大都基于遗留痕迹和固有特征的异同来辨识图像真伪,因此本文以不同的取证特征为线索来评述和比较反取证技术的原理和策略。结果 根据取证特征的不同,将反取证技术归纳为遗留痕迹隐藏、固有特征伪造和反取证检测等三类,并展示了当前各类反取证技术面临的难点和挑战。结论 对数字图像反取证技术进行总结和展望,并指出其算法未来在通用性、安全性、可靠性等方面将有待进一步的深入研究。     

分布式计算机动态取证模型

提出一个分布式计算机动态取证模型,在被保护系统中进行实时动态的证据采集,将证据及时、完整地存储到安全的证据中心,为证据分析和提取工作提供可信的原始证据数据。     

基于云的计算机取证系统研究

云计算是目前最流行的互联网计算模式,它具有弹性计算、资源虚拟化、按需服务等特点。在云计算的环境中,云计算中心直接提供由基础设施、平台、应用等组成的各种服务,用户不再拥有自己的基础设施、软件和数据,而是共享整个云基础架构。这种方式直接影响了云计算环境的安全性和可用性,给云计算带来了巨大的隐患。在分析和研究云计算环境下的安全缺陷和安全威胁的前提下,提出了一种基于云的计算机取证系统的设计方案———利用计算机取证技术解决云计算环境的安全问题,同时利用云计算技术和超算技术满足传统取证对高性能计算的需求。     

基于手机的取证调查模型研究

给出了手机取证的概念,并与计算机取证进行了比较,分析了手机取证和计算机取证的差异。结合手机取证的特点和难点,提出了基于手机的取证调查模型,分析了模型中各个阶段的具体活动。该模型对取证人员具有一定的指导意义。     

面向IaaS云服务基础设施的电子证据保全与取证分析系统设计

随着云技术在计算机网络领域的广泛应用,云环境下的安全审计与电子取证需求也日益迫切。由于云取证与传统计算机取证在取证环境、证据获取及证据分析方面有较大区别,目前尚缺乏有效的针对云的电子取证方法及技术手段,云系统作为一种信息系统,其可审计性得不到保证。文章设计了一套新的云取证系统,面向IaaS云服务的基础设施,通过采集终端对云系统中虚拟机进行监控并主动采集证据,同时将采集到的证据集中存放于一处,取证系统实时取证、证据集中保全的特性可以有效应对云环境下证据易失、证据提取困难的特点,达到高效取证。     

Locking Out the Investigator: The Need to Circumvent Security in Embedded Systems

ABSTRACT

Embedded devices are becoming ubiquitous in both domestic and commercial environments. Although smartphones, tablets, and video game consoles are all labeled by their primary function, most of these devices offer additional features and are capable of additional interactivity. Given the proprietary nature of such devices in terms of hardware and software and the protection mechanisms incorporated into these systems, it is and will continue to be extremely difficult to use “traditional digital forensics” methodologies to access storage media and acquire data for analysis. This paper examines how consumer law may be stifling research that the forensic community could ultimately depend upon to examine devices.     

An Approach for Validation of Digital Anti-Forensic Evidence

ABSTRACT

e-crime is increasing and e-criminals are becoming better at masking their activities. The task of forensic data analysis is becoming more difficult and a systematic approach towards evidence validation is necessary. With no standard validation framework, the skills and interpretation of forensic examiners are unchecked. Standard practices in forensics have emerged in recent years, but none has addressed the development of a model of valid digital evidence. Various security and forensic models exist, but they do not address the validity of the digital evidence collected. Research has addressed the issues of validation and verification of forensic software tools but failed to address the validation of forensic evidence. The forensic evidence collected using forensic software tools can be questioned using an anti-forensic approach. The research presented in this paper is not intended to question the skills of forensic examiners in using forensic software tools but rather to guide forensic examiners to look at evidence in an anti-forensic way. This paper proposes a formal procedure to validate evidence of computer crime.     

UNIX系统取证分析方法①

UNIX作为目前最常用的主流操作系统之一,研究UNIX系统的取证分析方法具有非常重要的现实意义。本文首先介绍从UNIX系统中获取易失性数据的方法,然后介绍获取被入侵UNIX机器上的硬盘数据,建立取证映像（forensic image）,然后进行取证分析的具体步骤和方法。     

Identification of AMR decompressed audio

More and more conversation recordings from phone calls are used as forensic evidence. To decide whether an unknown speech recording comes from mobile phone or not becomes an important issue in digital audio forensics. The communicating conversation recorded by mobile phones is encoded by Adaptive Multi-Rate (AMR) audio codec, which was adopted as the standard speech codec by 3GPP and widely used in GSM and UMTS. Therefore, AMR decompressed audio detection can be used to identify the source of the digital audio recording. Furthermore, it is helpful to locate the forgery position of the splicing AMR decompressed audio for forensic purposes. In this article, we focus on the identification of AMR decompressed audio, namely, given the waveform of an audio, we wish to identify whether it has been previously compressed by AMR codec or not. The artifacts introduced by the AMR codec will help to detect the source of the recordings. Based on our analysis, we find that the sample repetition rate of the AMR decompressed waveform is significantly greater than the regular waveform. Therefore, we employ the sample repetition rate as a feature to identify the AMR decompressed audio. The experimental results show that this feature is robust and effective.