电子证据取证流程监管系统研究与实现

电子证据作为一种新的证据形式,逐渐成为新的诉讼证据之一.电子数据取证技术(Digital Forensic Technologies)的研究主要集中在证据查找、恢复及数据分析等方面,而对取证过程本身的合法性、真实性、完整性没有得到监控.本文在对取证步骤和过程研究基础上,模拟社会审计工作,设计了一个电子数据取证鉴定流程监管系统,以解决电子证据在获取、传输、保存、分析过程中证据连续性(chain of custody)问题.     

电子数据取证技术研究与应用

电子数据取证技术是随着互联网的发展而出现的一门新兴学科,本文对电子数据取证技术的概念、特点、所应遵循的基本原则进行了归纳总结。对电子数据取证中的证据获取、证据分析等关键技术进行了研究分析,并以硬盘取证为例,详细讲解了电子物证采集中的硬件克隆技术和软件采集技术。     

电子证据质量保障研究

本文首先对计算机取证所涉及的电子证据有关问题以及计算机取证的概念和步骤进行了总结,在此基础上,主要从电子数据鉴定的角度出发,对电子证据质量保障目标、影响电子证据质量的关键问题和保障电子证据质量的措施进行了研究和探讨。     

当前计算机取证的局限性及其发展方向

面对当前日益增多的计算机犯罪,电子证据已成为这些案件侦办过程的关键证据。由于电子证据有一些不同于常规证据的特点,因此计算机取证成为了一个打击计算机犯罪中新的课题。计算机取证技术会随着工作的需求在实践中不断发展,但当前的计算机取证工作存在着反取证技术的制约、自身软硬件的不足、办案人员的取证意识等局限性。而为了克服这些局限性,计算机取证技术今后将朝着更先进的技术、更规范的制度等方向发展。     

基于远程控制技术的动态取证系统

设计了一种新的基于远程控制技术的计算机取证系统，提供了3种不同取证方法动态获取控制目标的电子证据，研究了文件隐藏、进程隐藏、注册表修改隐藏、端口反弹、数据加密等关键技术。实验表明，该系统能动态获取网上不同监控对象的电子证据，是当前取证技术的一种新思路。     

电子数据证据收集系统的研究与保护

随着计算机犯罪的不断增加,电子数据取证技术（digital forensic technology）越来越受到人们的重视．电子数据证据不同于传统的犯罪证据,它们更加容易消失和被破坏,为了获得完整可信的电子数据证据,提出应在敏感主机中预先安装设置电子数据证据收集系统（digital evidence collecting system．DECS）,用来收集系统中的相关证据．由于DECS的某些模块往往存在于被攻击系统之中,提出使用安全隔离环境是保护电子数据证据收集机制有效的方法,并设计了一个安全保护机制——I-LOMAC．     

电子取证的发展趋势

给出电子取证中主机电子证据保全、恢复和分析技术、网络数据捕获与分析、主动取证技术、密码分析与破解技术,以及电子证据法学等研究方向的主要研究内容,并进行简要的分析.     

支持计算机取证的电子证据安全保护策略

计算机数据具有脆弱性,因此必须在计算机取证过程中对电子证据进行安全保护使其具有证据能力。该文提出一种基于SHA-1, RSA和Rabin容错算法实现的电子证据安全保护策略以支持计算机取证,对原始记录进行实时、安全的转移并分散存储,保证数据的真实性和完整性,能通过快速检测和还原对其进行有效性鉴定。     

电子证据的媒体特殊性研究

电子证据及其取证是信息安全技术的重要研究领域之一。在详细分析电子证据的媒体特征的基础上,探讨电子证据的认定、法律定位和可采标准,为开展相关研究提供参考。     

怎样发现数据的真相

随着网络化的不断普及,电子数据在法律上的地位越来越重要,逐渐成为案例真相大白的有力证据。电子数据证据一般是指以电子形式存在的、用作证据使用、能够证明案件真实情况的电磁信息。但是,与传统数据相比较,电子数据是比较脆弱的,可以被人为破坏、篡改或删除。电子数据证据取证是经国家司法机关授权的,针对犯罪分子启动的新的取证手段。存储介质中的数据如果没有进行相应的司法鉴定,也无法发挥应有的证据功能。     

并行技术在取证工作中的应用

随着计算机技术的不断发展,硬盘容量的不断提升。目前的取证方式针对大容量硬盘与突发群体性案件中的海量数据无法实现快速而高效的取证分析工作。无法满足高速、高效地为信息研判提供支持,为此需要一种高速、高效的并行取证分析方式与相关技术,加快目前针对大容量硬盘或海量硬盘数据的取证分析工作。     

一种抽象的数字取证模型

介绍了数字取证和数字取证模型的概念,然后通过对基于刑事侦查和基于企业内部网的数字取证异同点的比较,结合数字取证在非数字化犯罪领域应用中的特点,在前人工作的基础上,提出了一种不局限于特定数字取证类型、以取证实施者为中心、使用状态转换图描述的抽象数字取证模型,采用取证循环的形式描述了数字取证的过程和特征。     

Computer forensic analysis model for the reconstruction of chain of evidence of volatile memory data

Digital forensic data from volatile system memory possesses the following distinctive features: volatility, transience, phased stability, complexity, relevance of collected data, and phased behavior predictability. We present a computer forensic analysis model (CERM) for the reconstruction of a chain of evidence of volatile memory data. CERM frees analysts from being confined to the traditional analysis approach of digital forensic data that requires single evidence-oriented analysis. In CERM, they can focus on higher abstract levels involving the relationships of independent pieces of evidence and analyze patterns to construct a chain of evidence from the perspective of Evidence Law. In addition to CERM, we have designed a correlation analysis algorithm based on time series. Experimental tests have been conducted to verify the established model and designed algorithm. The experimental result shows that CERM is feasible and efficient, thus providing a new analysis perspective for digital forensic data from volatile system memory.     

数字取证的三维过程模型

在强调取证人员重要性的基础上,根据电子证据来源的不同,提出了一个三维过程模型,针对不同的案件中涉及的不同证据来源,可以采用不同的证据收集方案,扩大了数字取证模型的使用范围,同时实现了证据的自动收集和分析功能,及知识的重复使用功能,并在调查分析阶段对证据可靠性放大算法进行了改进,提高了证据的可靠性和工作效率。     

Forensic Investigation Through Data Remnants on Hadoop Big Data Storage System

Forensic examiners are in an uninterrupted battle with criminals in the use of Big Data technology. The underlying storage system is the main scene to trace the criminal activities. Big Data Storage System is identified as an emerging challenge to digital forensics. Thus, it requires the development of a sound methodology to investigate Big Data Storage System. Since the use of Hadoop as Big Data Storage System continues to grow rapidly, investigation process model for forensic analysis on Hadoop Storage and attached client devices is compulsory. Moreover, forensic analysis on Hadoop Big Data Storage System may take additional time without knowing where the data remnants can reside. In this paper, a new forensic investigation process model for Hadoop Big Data Storage System is proposed and discovered data remnants are presented. By conducting forensic research on Hadoop Big Data Storage System, the resulting data remnants assist the forensics examiners and practitioners for generating the evidences.     

电子证据的获取及可靠性关键技术研究

电子证据作为一种新的证据形式，逐渐成为新的诉讼证据之一。本文提出了一种结合法学、密码学、计算机网络安全技术、知识发现与人工智能技术来获取电子证据并保证其可靠性的研究方法，包括基于数据挖掘、入侵检测和入侵容忍技术的电子证据的高效获取技术，基于加密和网络公证技术的电子证据的可靠保全技术以及基于数据挖掘技术的电子证据的智能分析技术等。设计了一个智能取证系统Intelligent—Forensic System(IFS)，以解决电子证据的获取、传输、保存、分析、使用和可靠性保证问题。     

一种用于网络取证分析的模糊决策树推理方法

网络取证是对现有网络安全体系的必要扩展,已日益成为研究的重点.但目前在进行网络取证时仍存在很多挑战:如网络产生的海量数据;从已收集数据中提取的证据的可理解性;证据分析方法的有效性等.针对上述问题,利用模糊决策树技术强大的学习能力及其分析结果的易理解性,开发了一种基于模糊决策树的网络取证分析系统,以协助网络取证人员在网络环境下对计算机犯罪事件进行取证分析.给出了该方法的实验结果以及与现有方法的对照分析结果.实验结果表明,该系统可以对大多数网络事件进行识别(平均正确分类率为91.16%),能为网络取证人员提供可理解的信息,协助取证人员进行快速高效的证据分析.     

An Approach for Validation of Digital Anti-Forensic Evidence

ABSTRACT

e-crime is increasing and e-criminals are becoming better at masking their activities. The task of forensic data analysis is becoming more difficult and a systematic approach towards evidence validation is necessary. With no standard validation framework, the skills and interpretation of forensic examiners are unchecked. Standard practices in forensics have emerged in recent years, but none has addressed the development of a model of valid digital evidence. Various security and forensic models exist, but they do not address the validity of the digital evidence collected. Research has addressed the issues of validation and verification of forensic software tools but failed to address the validation of forensic evidence. The forensic evidence collected using forensic software tools can be questioned using an anti-forensic approach. The research presented in this paper is not intended to question the skills of forensic examiners in using forensic software tools but rather to guide forensic examiners to look at evidence in an anti-forensic way. This paper proposes a formal procedure to validate evidence of computer crime.