计算机取证中日志分析技术综述

日志是指系统所指定对象的某些操作和其操作结果按时间有序的集合,每个日志文件由日志记录组成,每条日志记录描述了一次单独的系统事件,如何充分利用日志发掘有效的计算机证据,是计算机取证研究领域中一个重要的问题。本文分析了日志文件及日志分析在计算机取证中的重要作用,综述了日志分析的基本方法和关联分析方法,指出日志分析技术的发展方向。     

计算机取证技术及其发展趋势研究

计算机取证技术是计算机安全技术的重要组成部分,通过对嫌疑人计算机中的相应数据进行识别、获取、传输、保存、分析、提交和认证,从而呈现出可以被法庭认可的证据文件。该过程需要详细剖析计算机数据,只有具备了计算机取证和计算机证据专业知识,才能更好地开展工作。文章分别从计算机取证的定义、特征以及操作过程等方面进行介绍,并对计算机取证技术面临的问题以及发展趋势进行描述。     

Windows系统中入侵证据获取方法研究

为了解决Windows系统中计算机取证困难的问题,有效实施打击与遏制计算机犯罪快速发展。分析并研究了如何从Windows系统的文件系统、日志文件和注册表获取系统中入侵计算机证据的方法。该方案保障了计算机证据的客观、真实与可靠性,并保证了计算机证据收集的合法性。通过解决系统中计算机取证存在的问题,得到提高打击计算机犯罪、保障计算机系统信息安全的作用。     

计算机取证中磁盘快速搜索算法研究

在计算机取证中,快速而又准确地查找并提取潜在的证据信息成为计算机取证的关键。主要研究了计算机取证中磁盘深层取证的一些方法,并对其中可能用到的搜索和模式匹配算法（包括BF、KMP、BM和BMH算法）在不同缓存条件下进行了对比实验分析,找出了效率最高的取证算法和环境,为实际的计算机磁盘取证项目提供理论支持。     

基于USN日志的取证技术研究

计算机系统查痕及取证是指通过一定的技术手段和方法,收集目标计算机中的各种信息,取得可以利用的线索与证据的过程。USN日志是NTFS文件系统中记录文件变更消息的子系统,保存了文件系统中文件增加、修改和删除等信息,对USN日志的分析和解读可以被用于计算机犯罪侦查和取证。研究对NTFS文件系统中的USN日志分析和解读的方法,通过系统自带命令以及编写代码两种不同的方式获取USN日志中可以用于计算机犯罪侦查的线索和证据,具有十分重要的意义。     

Windows系统静态取证技术研究

随着计算机技术的发展和信息化的普及,计算机犯罪事件频繁发生,如何最大限度地获取计算机犯罪相关的电子证据,其中涉及的技术就是计算机取证技术。计算机取证包括对计算机犯罪现场数据的确认、保护、提取、分析。文中对W indows系统被动取证的相关技术进行深入的研究和探讨,在犯罪事件发生后对犯罪行为进行事后的取证,存在着证据的真实性、有效性和及时性问题。计算机取证收集的证据往往是海量的,而且来源复杂,格式不一,文中重点分析了取证过程中如何生成鉴定复件、证据的来源、如何收集分析证据、如何保全证据。     

深度文件取证系统的设计与实现

随着计算机犯罪事件的不断增加,计算机取证技术越来越受到人们的重视。文章分析和讨论了计算机取证技术,总结了计算机取证的一般流程和取证原则,在此基础上提出和分析了深入信息提取,并给出了深度文件取证系统的设计和实现。主要包括两个方面的内容：一是研究了办公文件的数据组织结构,设计出了元数据信息的提取方案;二是研究被删除文件的磁盘存储结构,利用磁盘上残留的文件信息恢复出被删除的文件,从而为司法鉴定取得有用信息。     

Windows链接文件取证分析

Windows链接文件是Windows系统中文件打开后生成的记录被打开文件相关信息的特殊文件,在电子数据取证中有着极为重要的作用。文中介绍了链接文件的基本结构,分析了从链接文件中获取目标文件属性,以及产生该链接文件所在计算机的MAC地址等信息的方法。并以具体案例说明了链接文件在取证的实践应用,分析了如何从一个链接文件中获取已经被删除的可疑文件以及所在计算机的相关信息。     

计算机犯罪证据的搜集

计算机证据的提取与分析是侦办计算机犯罪案件的重点和难点。由于计算机证据本身的特点 ,取证过程及证据分析与传统物证差别较大 ,因此需要对计算机证据的提取与分析技术进行研究。本文从侦查工作的实际出发 ,对计算机证据的基本取证步骤、证据分析及证据审查等问题进行探讨。     

基于日志挖掘的计算机取证系统

随着网络犯罪的日益猖獗,计算机取证正逐步成为人们研究与关注的焦点.为了能从海量的可疑数据中发现证据,数据挖掘技术的参与必不可少.文中提出了基于日志文件的计算机取证原型系统,并对其中的重要模块--数据预处理模块、数据分析模块进行了详细描述.最后给出了进一步研究工作的重点.     

网络协同取证系统的设计与实现

随着网络传输速度的不断提高和网络应用的飞速发展,如何实时获取网络信息,准确快速地进行网络取证,已经成为计算机科学领域专家关注的热点问题。文中在分析网络取证技术和取证过程特点的基础上,给出了对主机、网络数据包和安全设备的协同取证系统,针对从不同取证要素获取的数据,系统并行地采用多种处理技术,最后采用模糊决策方法进行证据的分析和判定。该系统在计算机网络取证方面实现了协同并行处理、实时快速响应及综合智能分析。     

通信网络中犯罪行为的取证技术

随着信息技术的不断发展和计算机网络的广泛运用,危害通信网络与信息安全的犯罪活动也日趋增多,因此,计算机取证逐渐成为人们关注与研究的焦点.计算机取证研究如何为调查计算机犯罪提供彻底、有效和安全的技术以及程序和方法,其关键在于确保证据的真实、可靠、完整和合法(符合法律法规以及司法程序的规定和要求).本文对通信网络中犯罪行为的计算机取证技术进行了较为详细的分析和研究.     

计算机取证研究综述

With the development of Internet and information technology, the digital crimes are also on the rise. Computer forensics is an emerging research area that applies computer investigation and analysis techniques to help detection of these crimes and gathering of digital evidence suitable for presentation in courts. This paper provides foundational concept of computer forensics, outlines various principles of computer forensics, discusses the model of computer forensics and presents a proposed model.     

计算机取证分析和响应程序

由于电子证据的特殊性,计算机取证必须遵循严格的过程和程序,否则会导致所获取的证据缺乏真实性和可信性而不被采用。本文概述了制定取证分析和响应程序的目标,并就程序涉及的相关步骤进行了分析。     

分布式计算机取证模型研究

在计算机犯罪发生后对现场信息进行事后的收集,难以确保证据的真实性、可靠性和完整性.提出了一个分布式的计算机取证模型,设计了其中的主要模块,实现了基于该模型的计算机取证系统.实验表明,提出的模型、设计的系统是高效可行的.     

计算机取证中增强电子证据时态性方案

计算机取证中,一般的硬盘数据,作为电子证据,由于它的时态局限性,并不能反映和证实某些事件的时间及状态,这显然缩小了其证明内容的范围,降低了其证明内容的效力.文中讨论电子证据的时态性,针对易失性数据、(通信)网络数据等新的取证对象,提出了增强电子证据时态性的取证流程模型,在一定程度上可以扩大电子证据证明范围,提高其证明效力.从技术和法律视角而言,这对于制定计算机取证流程和规则、维护和保障通信网络安全、打击相关犯罪活动具有积极的司法应用和实践意义.     

基于蜜罐技术的计算机动态取证系统研究

提出了一种基于蜜罐的计算机动态取证方法.该方法通过蜜罐技术将入侵转移到一个虚拟的环境,不仅可以保护网络或主机不受攻击,而且还可以为证据的提取争取到更长的时间,从而获得更为真实的电子证据.实验结果表明:基于蜜罐的动态取证系统具有检测率高、误报率低、取证能力强的特性.