针对Windows7系统的计算机取证问题分析

最新的个人操作系统Windows 7给用户提供了更稳定的系统性能和更安全的操作环境,但同时也对计算机取证工作带来新的问题。针对Windows 7系统,从注册表分析、数据保护与破解、网络浏览和文档编辑等角度入手,分析了计算机取证涉及的多类问题及其解决方法,能够更好地指导计算机取证工作。     

Windows8操作系统计算机取证新特性浅析

针对Windows8系统新特性,讨论在Windows 8系统下的计算机取证问题,着重介绍了注册表分析、Metro用户界面、IE 10和通讯类应用取证时应当注意的问题.     

基于Windows 平台的动态取证系统

针对目前一些动态取证模型的不足,在分布式网络取证模型的基础上设计了一个基于Windows平台的动态取证系统,能够实现网络中的计算机作为作案目标和作案工具双重角色时的取证,具有实时获取多种数据源、取证过程隐秘、取证分析算法可扩展等特点。介绍了动态取证系统中各功能模块设计,并阐述了系统设计中涉及到的关键技术,最后通过模拟测试表明该系统能够在Windows网络下实现动态取证。     

Windows 8回收站取证分析

在计算机取证过程中,对于删除文件的分析常常提供有价值的信息。知道在哪里找到被删除文件并且能够理解文件被删除过程中产生的元数据,这是一个合格的计算机取证人员必备的素质。本文对Window 8系统的回收站与传统的Windows XP系统的回收站的相似点和不同点进行了对比分析,并详细说明了Windows 8系统回收站的工作细节,以期为计算机取证人员提供帮助。     

基于Windows系统的入侵证据收集研究

目前,世界各国对计算机取证技术进行了大量的研究与实践,但是大多数都是基于Linux(Unix)系统的计算机取证技术研究,而Windows系统作为目前最常用的操作系统,尤其在我们国家大多数人都在使用,因此,研究windows系统上的入侵证据收集方法具有非常重要的现实意义。通过对Windows系统特性分析,给出显形证据与隐形证据的收集方法,以获取重要的入侵线索和结论。为解决计算机取证遇到的问题,打击计算机犯罪、保障国家信息安全做出贡献。     

Windows 8操作系统新变化及其取证分析

所谓Windows 8操作系统新变化是与之前Windows系列操作系统相比较而言的,在计算机取证工作中要特别注意不同版本操作系统的变化对取证工作带来的影响.文章主要对Windows 8与之前几个版本之间进行对比,总结归纳出Windows 8操作系统的一些新变化,并重点结合取证工作重点对这些新的变化进行分析,以期为计算机取证工作带来更多便利.     

计算机取证-Windows系统初始响应方法

Windows系统作为目前最常用的操作系统,研究Windows系统上的计算机取证方法具有非常重要的现实意义.本文介绍了对Windows系统进行初始响应所需的常用工具及基本步骤,并给出了几个常见工具的具体使用方法.     

Windows 8计算机取证与安全机制分析

随着微软新一代操作系统Windows 8的普及,计算机取证调查人员将在实际工作中越来越多的遇到安装Windows 8操作系统的检材.文章主要对Windows 8操作系统给计算机取证带来的新变化及其本身的安全机制进行了简要分析.     

Widows 7环境下电子取证特点分析

随着微软新一代操作系统Windows7的普及,计算机取证调查人员将在实际工作中越来越多的遇到Windows7操作系统,本文介绍了Windows7环境下调查人员需要了解的取证特点以及对取证的影响进行简要的介绍和分析。     

Windows日志取证系统设计

日志文件分析是系统安全检测的重要内容，同时日志文件也是计算机取证的重要依据。文章设计了第三方的Windows日志取证系统，并讨论了今后的研究方向。     

论计算机搜查中的隐私权保护

本文对计算机所包含的内容的特点进行分析,进而说明实际计算机搜查中启动条件的随意性、搜查对象的不确定性和司法审查的欠缺性,为计算机搜查的研究提出一些问题。     

基于协议分析的网络入侵动态取证系统设计

计算机取证技术分为静态取证和动态取证两种。静态取证技术由于采用事后分析的方法提取证据,因而证据的采集不够全面,同时恢复的数据可能是已经被篡改的数据,因而法律效力低。文中将计算机取证技术与入侵检测技术结合,提出一种基于协议分析的网络入侵动态取证系统。该系统采用基于协议分析的入侵检测方法,提高了入侵检测效率及数据分析能力,有助于解决动态取证的实时性;同时系统采取了较全面的安全机制,确保收集的电子证据的真实性、有效性、不可篡改性,是动态计算机取证的一种较好解决方案。     

基于NTFS文件系统的数字证据收集技术

分析了NTFS文件系统的物理结构和逻辑框架,提出了计算机取证软件的开发需要先解决元数据的读取和碎片文件的恢复等问题,并编程实现了信息收集模块,为计算机取证软件的设计提供了一种方案。     

基于瀑布模型的可信取证方法

给出＂人＋工具＋证明＂的取证模式,提出可信取证理念。从电子数据的静态属性可信性和取证方法动态行为的可信性两个方面对可信取证体系进行研究,以便最终形成可信的电子证据结果。建立基于瀑布模型的电子取证模型,从可信表达、可信分析、可信提取、可信固定以及可信发现等方面加以分析。     

基于手机的取证调查模型研究

给出了手机取证的概念,并与计算机取证进行了比较,分析了手机取证和计算机取证的差异。结合手机取证的特点和难点,提出了基于手机的取证调查模型,分析了模型中各个阶段的具体活动。该模型对取证人员具有一定的指导意义。     

分布式计算机主动取证方法研究

从考察计算机事前取证技术的研究出发,将传统物理取证的方法学思想无缝地融入到计算机取证技术中,具体地阐述了计算机主动取证方法的轮廓,并概要地描绘了分布式计算机主动取证系统的设计思路.     

Testing closed source software: computer forensic tool case study

Computer forensic techniques are important for the prevention, detection, and investigation of electronic crime. Computer forensic investigators need computer forensic tools to produce reliable results that meet legal requirements and are acceptable in the courts. Most of these tools are closed-source, making the software a black-box for testing purposes. This paper illustrates a different black box testing method for experimenting computer forensic tools based on functional scenarios.     

计算机网络司法鉴定程序完善

计算机网络司法鉴定出现的较晚,到目前为止还没有一套具体的、完整的、合理的鉴定程序,这在理论上严重影响了计算机网络司法鉴定结论的证明力,在实践上导致了计算机网络司法鉴定工作的混乱。     

计算机取证平台研究

目前的计算机取证工具多完成计算机取证的某一方面工作。计算机取证平台由证据收集平台、证据分析平台和证据表示平台构成，涵盖了计算机取证的整个工作流程。硬盘映像拷贝工具和现场取证系统构成了证据收集平台，证据分析平台由单机和网络版证据分析软件构成，而证据表示平台则使用XML来表达证据。计算机取证平台使计算机取证工作能够在统一的平台上进行，为计算机取证工作者提供了有力的工具。