基于木马的计算机监控和取证系统研究

阐述了常用动态取证工具和取证系统的特点,分析了取证模式及木马技术,设计了一种基于木马的计算机取证系统.通过木马的隐藏和抗查杀等关键技术的应用,取证系统能提供3种不同取证方法实现对监控目标的秘密、实时、动态取证.     

我国刑法修正案（七）实施后计算机病毒的刑法规制

计算机病毒为祸已久,21世纪以来发展更加迅速,并出现了以获取他人信息为主要目的而侵入、控制他人计算机系统的木马程序,1997年刑法第286条对制作、传播计算机病毒等破坏性程序做出了规定,有效的保护了计算机系统,但对于新型的木马程序则无能为力。刑法修正案（七）通过增加为非法侵入、控制计算机信息系统非法提供程序、工具罪,对非法提供用于侵入、控制计算机系统的新型木马程序进行宁打击。并增设了非法获取计算机数据罪、非法控制计算机信息系统罪,修订了非法侵入计算机信息系统罪,通过多个罪名构建了计算机病毒、木马的完善规制体系,以期达到遏制计算机病毒发展的目的。     

利用病毒非法操控他人证券账户之案件分析

利用他人网上认证信息进入计算机信息系统,或者在系统中植入木马、后门程序,获取存储、处理或传输的信息数据,构成非法获取计算机信息系统数据罪。实务部门不仅应当运用好相关刑法规定打击非法侵入计算机信息系统获取数据的行为之外,还应当严厉打击为上述犯罪分子制作、提供、完善相关计算机病毒程序、网络犯罪工具的犯罪人。     

一种基于计算机取证的信息一致性方案

计算机数据自身的脆弱性,使计算机取证信息的一致性问题成为计算机证据鉴定过程中的关键所在。该文在计算机取证的基础上,运用DSA签名机制,提出了一种证明计算机证据完整性的一致性方案。该方案能够在计算机系统运行过程中,实时、安全地转移所获取的取证信息,并进行证据固定,以保证其完整性。在基于某些密码学假设的前提下,证明了方案的安全性。     

面向Windows操作系统的内存取证技术研究

传统的计算机取证方法收集被攻击的计算机磁盘等能持久化保存数据的介质。但是随着磁盘存储能力的提升以及数据加密等技术的发展,使用原来针对硬盘的取证方法获取数据进行分析变得越来越困难。对计算机的取证开始采用其他数据源,包括计算机内存中易失性的信息。对Windows操作系统的主要内存获取、分析方法以及内存取证过程进行介绍,采用分析和对比的手段对每种方法的特点、优势和不足进行比较,得出比较结果并给出计算机犯罪内存取证领域未来需要研究的方向。     

电子数据职证研究概述

随着计算机技术的飞速发展,人类社会对数字信息的依赖已达到前所未有的程度。与此同时,计算机犯罪率也以惊人的速度增长(2003CSI/FBI计算机犯罪调查报告)。由于计算机犯罪是刑事犯罪中一种新兴的高科技犯罪,政法机关在如何利用高技术手段对付这种高技术犯罪方面缺乏必要的技术保障和支持,为了保障和促进计算机信息网络健康有序发展,提高政法机关打击计算机犯罪的能力,需要对电子数据取证(数字取证、计算机取证)领域进行深入的研究,这不但需要开发切实有效的取证工具,更需要对电子数据取证领域的取证定义、取证标准、取证程序等理论基础的研究。本文正是在这种需求下,对电子数据取证领域的研究工作进行了分析,首先对电子数据取证的相关概念进行总结,然后对国内外电子数据取证的基础研究工作进行了概要性的描述,并对目前较为典型的取证工具作以介绍。本文对取证领域,尤其是对电子数据取证领域的基本理论和基本方法进行深入分析的基础上,结合其上层典型应用的行为方式为前提,力求为开发出适合我国国情的电子数据取证系统建立良好的基础。     

基于UNIX系统的计算机取证研究

本文首先对计算机取证进行概要论述。针对计算机取证遇到的问题——基于UNIX系统的计算机取证困难及研究不充分问题,以及对基于UNIX系统的计算机取证关键技术——UNIX取证软件工具包、UNIX证据收集、UNIX证据分析进行深入研究。通过解决计算机取证遇到的问题,为打击计算机犯罪、保障国家信息安全做出贡献。     

电子数据取证研究概述

随着计算机技术的飞速发展,人类社会对数字信息的依赖已达到前所未有的程度。与此同时,计算机犯罪率也以惊人的速度增长(2003 CSI／FBI计算机犯罪调查报告)。由于计算机犯罪是刑事犯罪中一种新兴的高科技犯罪,政法机关在如何利用高技术手段对付这种高技术犯罪方面缺乏必要的技术保障和支持,为了保障和促进计算机信息网络健康有序发展,提高政法机关打击计算机犯罪的能力,需要对电子数据取证(数字取证、计算机取证)领域进行深入的研究,这不但需要开发切实有效的取证工具,更需要对电子数据取证领域的取证定义、取证标准、取证程序等理论基础的研究。本文正是在这种需求下,对电子数据取证领域的研究工作进行了分析,首先对电子数据取证的相关概念进行总结,然后对国内外电子数据取证的基础研完工作进行了概要性的描述,并对目前较为典型的取证工具作以介绍。本文对取证领域,尤其是对电子数据取证领域的基本理论和基本方法进行深入分析的基础上,结合其上层典型应用的行为方式为前提,力求为开发出适合我国国情的电子数据取证系统建立良好的基础。     

基于Shamir秘密共享的安全取证服务器方案

为解决计算机取证系统现有方案中没有考虑到取证信息可能在传输过程中及取证服务器中被破坏这一安全性问题,提出了基于Shamir秘密共享的安全取证服务器方案。方案首次将Shamir秘密共享的思想引入计算机取证中,利用Shamir(n,t)算法共享取证信息m成n份,然后将n份信息传输并分别储存于n个独立的服务器,从而有效提高了取证信息在传输过程、存储过程及存储区内的安全性。n个独立的取证存储区使系统可以在取证存储区的破坏数不超过n-t时仍能完成取证审计,提高了取证信息在取证服务器中的安全性,增强了系统的容错、容侵性能。     

计算机取证技术的运用分析

近几年随着互联网+技术的发展,意味着计算机信息技术也在进一步拓展.在我们享受计算机技术给我们带来的便利的同时,有关计算机技术的犯罪也越来越多.同时为犯罪分析提供了更加新型的犯罪手段,网络诈骗、信息诈骗、网络入侵、信息盗取等等.由此计算机取证技术崛起与发展,变的尤为重要.合理的运用计算机取证技术,保证其在未来网络信息犯罪中起到先决作用,成了目前国内主要攻克的难题之一.本文主要通过对计算机取证技术介绍以及取证技术的应用展开论述,首先通过对目前国内外专家学者和专业研究机构在计算机取证技术的研究现状,从而揭示当下计算机取证技术的困难所.再通过对计算机取证技术的解读与分析,了解计算机取证技术基本概念与取证原则.最后通过对计算机取证技术的应用技术,分别讨论不同种类计算机取证技术的应用形式,简单介绍了集中计算机取证技术的技术方法与实例.从而对计算机取证技术进行定位,并讨论了计算机取证技术的发展趋势,为今后研究电子取证技术做出铺垫.     

基于UNIX系统的计算机取证标准体系研究

本文首先对计算机取证进行概要论述;然后提出计算机取证遇到的问题-计算机证据有效性问题和基于UNIX系统的计算机取证困难问题;分析得出建立基于UNIX系统的计算机取证标准体系是有效的应对途径;建立规范且有利于实务操作的基于UNIX系统的计算机取证标准体系。解决计算机取证遇到的问题,为打击计算机犯罪、保障国家信息安全作贡献。     

计算机取证模型研究

在计算机犯罪发生后对现场信息进行事后的收集,难以确保证据的真实性和及时性。提出了一个基于动态采集理念的计算机取证模型,介绍了该模型的功能模块,将模糊C均值聚类算法引入到数据分析阶段,采用XML技术表示取证结果,实现了基于该模型的计算机取证原型系统。实验证明,原型系统能采集到准确、有效的电子证据。     

探讨计算机取证技术面临的困难

计算机犯罪属于一类破坏性极大的犯罪,必须对其进行严厉查处和打击,而进行计算机取证是对犯罪行为进行打击的重要性技术,是对案件进行侦破的关键性环节,如:证据获取、对犯罪嫌疑人进行确定等。目前,计算机取证技术还是一个比较前沿的新兴领域,其主要的研究内容主要是对数字证据进行获取,并对相关的技术细节进行确定,从而为打击计算机犯罪提供一套操作性强、应用范围广的实践取证标准,以获得关联性强、客观、合法的电子数字证据。但由于受到某些方面的技术条件限制,计算机取证技术在运用和发展过程中还面临着许多的困难,如:反取证技术使证据得到隐藏或删除导致取证无效等。本文将结合笔者的实际经验,围绕计算机取证技术展开探讨,阐述了计算机取证技术的含义,分析了计算机取证技术的取证流程,并对计算机取证技术所面临的困难及作案规律进行了总结,以对相关工作人员提供某些参考性意见。     

网站入侵案件中的电子证据研究

为了提高电子证据勘查取证水平,有效打击网站入侵案件,笔者通过模拟网络环境对常见网站入侵方式进行研究,同时也对近两年侦办的网站入侵案件进行了分析.文章阐述了在网站入侵案件中电子证据现场勘查需要重点勘查服务器日志、网站日志、木马文件、特殊目录下的特殊文件等日志和文件,需要提取、固定IP地址、用户名、计算机名称、虚拟身份、入...     

网络取证系统及工具分析

随着网络技术的发展,计算机网络犯罪总量持续上升,计算机取证工作显得越来越重要。计算机取证分为事后取证和实时取证。早期的实时取证所利用的网络安全工具在取证学角度都存在一定的局限性,它们所产生的数据不能成为法律意义上的证据。由此,网络取证系统应运而生,它对网络入侵事件、网络犯罪活动进行证据获取、保存、分析和还原,弥补了传统安全工具在实时取证中的不足。文中对网络取证系统进行了详细分析,并对目前的一些网络取证工具进行了比较。     

Windows 8回收站取证分析

在计算机取证过程中,对于删除文件的分析常常提供有价值的信息。知道在哪里找到被删除文件并且能够理解文件被删除过程中产生的元数据,这是一个合格的计算机取证人员必备的素质。本文对Window 8系统的回收站与传统的Windows XP系统的回收站的相似点和不同点进行了对比分析,并详细说明了Windows 8系统回收站的工作细节,以期为计算机取证人员提供帮助。     

一种计算机数据取证有效性的证明方法

简述计算机数据取证的基本要求,给出一种计算机数据取证有效性的证明系统,对电子数据取证有效性理念及其体系进行研究。通过对取证方法有效性和所取数据有效性进行一系列的定义和推导,研究计算机数据取证有效性的一种形式化证明方法。利用上述证明方法对一个计算机取证实例进行取证有效性的形式化证明。     

行为序列灰色模糊判定下计算机木马检测方法分析

计算机木马是隐藏在计算机里的恶意软件,需要进行清除,保证计算机的正常运行以及数据安全。计算机木马的判定比较困难,针对这一问题,提出了行为序列灰色模糊判定下计算机木马检测的方法。探讨具体判定方法,对计算机网络通信、开机启动、隐藏运行以及自我防护方面的木马程序进行检测,实现计算机正常程序和木马程序的有效区分。讨论检测木马的原理,为提高计算机安全性提供保障。     

基于虚拟机与API调用监控技术的APT木马取证研究

APT（Advanced Persistent Threat）攻击通常由具有丰富经验的网络渗透组织或团队实施,具有持续时间长、技术性强、策略性高的特点,攻击中使用的APT木马变化无穷,常规杀毒软件难于检测,严重威胁了国家核心机构和重点部门的安全,同时也给电子数据取证带来了很大的挑战。文章提出了一种基于基于虚拟机与API调用监控技术的APT木马取证模型,可有效对APT木马的攻击行为进行取证。     

计算机取证技术研究

随着信息技术的发展,计算机取证正逐渐成为人们研究与关注的焦点。本文首先对计算机取证进行了简要的介绍,并提出了计算机取证系统的结构,同时讨论了计算机取证中用到的关键技术,最后就计算机取证的标准化问题进行了探讨。