数字取证技术及其发展趋势

数字取证技术已经成为信息安全领域研究热点之一。本文首先分析了数字取证的定义以及数字证据的特性。然后从取证过程模型、取证分析技术以及取证产品、标准和法规方面重点阐述了数字取证技术的研究现状,讨论了数字取证分析技术的分类方法以及文件雕刻取证分析技术。分析了数字取证领域中存在的难点问题,探讨了数字取证技术研究的发展趋势。     

一种改进的计算机取证领域的分流过程模型

随着计算机的广泛应用,计算机犯罪越来越多,由此产生了一门新的学科——计算机取证学。文章在计算机取证领域的分流过程模型CFFTPM（Computer Forensics Field Triage Process Model）的基础上,提出了一种改进的计算机取证领域的分流过程模型ICFFTPM（an Improved CFFTPM）。与CFFTPM模型相比,该模型更完整、更具体,并且可以方便地运用于实际的数字取证调查中,适用于多种计算机犯罪案件的侦破。     

Enhanced Timeline Analysis for Digital Forensic Investigations

ABSTRACT

Forensic analysis is the science of collecting, examining, and presenting evidence in order to support or refute a hypothesis. With the increasing size of storage devices and growing popularity of digital hand-held devices connecting to the Internet, performing an effective digital forensic investigation is becoming more challenging to investigators. In this article, we evaluate the existing tools of timeline analysis and identify the need for a solid timeline analysis tool. For this reason, the article studies an existing but discontinued project called Zeitline, presents its features and shortcomings, and develops new capabilities to overcome these limitations. A case study is then presented in which the application’s functionality is tested.     

计算机取证技术及其发展趋势

计算机取证研究的是如何为调查计算机犯罪提供彻底、有效和安全的技术.其关键是确保证据的真实性、可靠性、完整性和符合法律规定.介绍了计算机取证的过程以及取证软件的原理和实现,并且给出完整的取证实例.从理论和实现两个方面讨论了现有取证技术的局限性和面临的挑战,并展望其未来的发展方向.由于计算机犯罪手段的变化和其他技术的引入,现有的取证工作将向着深入和综合的方向发展.     

信息时代数字取证面临的挑战及相关对策

文章分析了信息时代数字取证技术的研究和应用所面临的六方面的挑战,提出了完善数字取证相关法律法规,推进取证规范化建设,推广动态取证技术,加强数字取证的专业化分工和研发新的取证技术、工具五个方面措施。     

法律执行过程模型研究

计算机取证必须遵循严格的过程和程序,否则,所荻取的证据缺乏可靠性和真实性。建立一个实用的计算机取证模型很重要,因为它能不依赖任何一种特殊的技术或组织环境,为研究支撑调查工作的技术提供一种抽象的参考构架。文章针对法律执行过程模型这一数字取证模型进行了简单的分析。     

浅谈计算机静态取证与计算机动态取证

通过分析计算机取证状态之间的差异,本文指出了电子证据在这两种状态的差异,给出了取证中的一般原则,并提出了一种融合两种取证状态的通用取证流程.最后探讨和研究了在两种状态下的取证和反取证技术.     

浅谈计算机静态取证与计算机动态取证

着重分析了计算机取证状态之间的差异,指出了电子证据在这两种状态中的差异。给出了取证的一般原则,并提出了一种融合两种取证状态的通用取证流程。最后探讨和研究了在两种状态下的取证和反取证技术。     

基于DEB和XML签名的电子证据管理

论述电子证据与传统物理证据的区别,分析电子证据的管理需求,提出一种电子证据管理方法。采用DEB格式作为电子证据的统一包装,设计XML数字签名链,对证据保全及保管链进行维护,以保证电子证据保全处理过程的可跟踪性。给出基于该方法的原型系统,验证了该方法的可行性。     

手机取证及其电子证据获取研究

从手机证据的来源和获取两个方面对当前国内外关于手机取证的研究现状进行概括和分析,同时介绍了一些常见的手机取证软件,并且指出了目前在此领域中尚存的一些主要问题,最后就手机取证的研究发展方向进行了展望.     

支持计算机取证的电子证据安全保护策略

计算机数据具有脆弱性,因此必须在计算机取证过程中对电子证据进行安全保护使其具有证据能力。该文提出一种基于SHA-1, RSA和Rabin容错算法实现的电子证据安全保护策略以支持计算机取证,对原始记录进行实时、安全的转移并分散存储,保证数据的真实性和完整性,能通过快速检测和还原对其进行有效性鉴定。     

电子证据源不确定性问题研究

相对确定的电子证据源有助于公安机关对计算机犯罪案件在侦查方向上的把握和法院对电子证据的采纳。本文首先介绍了当前常用的几种电子证据源判断技术和方法,对此进行了分析,并探讨了在理论和实践上如何加强对电子证据源不确定问题的研究。     

电子证据收集与还原系统的设计与实现

随着计算机技术的发展,借助计算机及网络等高科技的犯罪事件逐年增加,危害也越来越大。为了打击计算机犯罪,计算机取证技术应运而生。文章设计并实现了一款基于Windows的电子证据收集与还原系统。该系统主要采用AES算法,基于RSA的数字签名、MD5散列算法及密钥分配与管理等技术,实现从海量信息中有效快速地收集电子证据,同时还确保了电子证据从提取到分析过程中的有效性、完整性和防篡改性,使得收集的电子证据更具有证明力。通过测试与分析,证明了该系统设计合理、效率高、操作简单,具有很强的实用性。     

云计算支持下的协作式数字取证技术

为解决网络环境下电子证据分散、取证分析效率低、协作难度大等问题,在分析计算机犯罪特点以及当前数字取证所面临的相关问题基础上,针对数字取证与分析的协同需求,设计了一种具有正循环反馈机制的云计算支持下的协作式数字取证模型,并详细论述了其设计思想和体系架构.最后,研究了模型的系统实现方法、电子证据云存储调度策略、基于封锁机制的并发分析任务调度.实验表明,协作式数字取证技术可有效提高数字取证工作效率和分析结果的准确性.     

基于安全操作系统的电子证据获取与存储

基于实时取证的思想,提出了一种安全可取证操作系统(security forensics operating system,简称SeFOS)的概念和实现思路.提出了其总体结构,建立了该系统的取证行为模型,对其取证服务和取证机制进行了分析并作了有关形式化描述,阐述了证据数据的采集和安全保护方法,提出把取证机制置于内核,基于进程、系统调用、内核资源分配和网络数据等获取证据的方法,并通过模拟实验验证了SeFOS的可取证性.可取证操作系统的研究对于进一步研究可取证数据库管理系统(forensic database management system,简称FDBMS)和可取证网络系统(forensic network,简称FNetWork)具有重要意义.     

电子证据的收集技术

涉计算机案件需要从计算机上获取有关电子证据，许多证据很容易被忽视或被无意地破坏而没有起到应有的作用。本文介绍了从计算机哪些地方可以获取何种电子证据，如何采集和分析证据，以及相关注意事项。     

基于证据库的数字证据转换模型

针对目前多种证据格式兼容性差、证据转换效率低、缺乏对证据文件转换过程进行科学判定及理论说明等不足,提出证据库转换模型.该模型对现有转换方法进行分析,利用证据文件是在RAW映像文件的基础上增加了元数据及专属格式信息的重要特征,引入多层签名以确保原始信息及证据文件的准确性,不改变证据文件的相关特征,完成证据格式高效转换.同时针对现有新型证据格式(AFF)转换效率慢问题,改进现有转换算法,完成与RAW文件格式的快速转换.实验结果表明,该模型能够重建证据转换流程,能够优化算法结构,提高证据文件格式转换速度.     

电子取证现状及发展趋势

随着计算机和网络技术的普及,信息安全问题日益凸显,与计算机有关的犯罪现象越来越多。电子取证为维护信息安全和打击计算机犯罪提供科学的方法和手段,可以提供法庭需要的证据。本文首先对电子取证的国内外发展现状进行总结,然后结合信息技术的发展,分析了当前电子取证所面临的问题和挑战,最后提出加强技术开发、人员培训,完善法律法规、加强合作等四方面措施。     

电子数据证据收集系统的研究与保护

随着计算机犯罪的不断增加,电子数据取证技术（digital forensic technology）越来越受到人们的重视．电子数据证据不同于传统的犯罪证据,它们更加容易消失和被破坏,为了获得完整可信的电子数据证据,提出应在敏感主机中预先安装设置电子数据证据收集系统（digital evidence collecting system．DECS）,用来收集系统中的相关证据．由于DECS的某些模块往往存在于被攻击系统之中,提出使用安全隔离环境是保护电子数据证据收集机制有效的方法,并设计了一个安全保护机制——I-LOMAC．     

一种基于完整性指示码的电子证据分散存储改进方法

细粒度数据完整性检验可以避免因偶然的错误或个别的篡改而造成数据整体失效的灾难性后果,有效提高了电子证据的可靠性。本文设计了一种具有容错能力的电子证据分散存储方法,其思想是在保证电子证据完整性的前提下,提高其容错能力。该方法通过CRS算法将电子证据分散为(p+q)个数据分块,然后发送到多个存储节点,采用完整性指示码,用少量Hash准确指示错误数据的分布位置。在只出现不多于q个数据分块错误时,能快速进行完整性检验并恢复原始数据;在出现(q+e)(0相似文献