公務(wù)員期刊網(wǎng) 論文中心 正文

談?dòng)?jì)算機(jī)取證信息收集與數(shù)據(jù)還原

前言:想要寫(xiě)出一篇引人入勝的文章?我們特意為您整理了談?dòng)?jì)算機(jī)取證信息收集與數(shù)據(jù)還原范文,希望能給你帶來(lái)靈感和參考,敬請(qǐng)閱讀。

談?dòng)?jì)算機(jī)取證信息收集與數(shù)據(jù)還原

摘要:現(xiàn)代信息技術(shù)的發(fā)展拉近了互聯(lián)網(wǎng)和人們的距離,目前,很多企業(yè)和政府機(jī)構(gòu)都開(kāi)始利用互聯(lián)網(wǎng)來(lái)進(jìn)行信息數(shù)據(jù)的采集和儲(chǔ)存,同時(shí)各級(jí)政府和事業(yè)單位都開(kāi)始加大對(duì)信息安全建設(shè)的重視程度,不斷地出臺(tái)相關(guān)信息安全條例來(lái)做好信息保密安全工作。就計(jì)算機(jī)犯罪的現(xiàn)狀,展開(kāi)了相應(yīng)的分析。

關(guān)鍵詞:計(jì)算機(jī);信息收集;數(shù)據(jù)還原

互聯(lián)網(wǎng)的發(fā)展讓人們可以更加便捷地進(jìn)行信息傳遞,不同人群之間也可以實(shí)現(xiàn)信息共享,國(guó)家各項(xiàng)基礎(chǔ)設(shè)施建設(shè)也開(kāi)始應(yīng)用信息化技術(shù),但是與此同時(shí)各種計(jì)算機(jī)病毒也開(kāi)始出現(xiàn),這直接影響了國(guó)家的安定,威脅社會(huì)安全。和一般的犯罪行為不同,計(jì)算機(jī)犯罪屬于新興高技術(shù)犯罪,它的犯罪證據(jù)很多都是通過(guò)計(jì)算機(jī)存儲(chǔ)呈現(xiàn)出來(lái)的,像計(jì)算機(jī)記錄、相關(guān)的文件、源代碼等都是非常重要的電子證據(jù)。

1計(jì)算機(jī)犯罪的現(xiàn)狀

隨著計(jì)算機(jī)技術(shù)的不斷革新,計(jì)算機(jī)犯罪的類(lèi)型和范圍也在不斷地?cái)U(kuò)寬,其主要類(lèi)型為網(wǎng)絡(luò)色情犯罪、網(wǎng)絡(luò)傳銷(xiāo)、網(wǎng)絡(luò)詐騙等。色情犯罪主要是指通過(guò)論壇、社區(qū)以及網(wǎng)絡(luò)游戲等娛樂(lè)渠道將淫穢信息名呈現(xiàn)出來(lái),這樣一來(lái)互聯(lián)網(wǎng)中就會(huì)充斥著大量的色情信息,很多青少年在使用計(jì)算機(jī)的時(shí)候會(huì)無(wú)意間點(diǎn)開(kāi)淫穢信息,也有的青少年由于自我保護(hù)意識(shí)不高會(huì)參與到淫穢信息的傳播中,這在很大程度上影響了青少年的健康成長(zhǎng);網(wǎng)絡(luò)傳銷(xiāo)和網(wǎng)絡(luò)詐騙則是由電子商務(wù)衍生出來(lái)的,它通常是以電子貨幣的形式來(lái)進(jìn)行網(wǎng)絡(luò)交易的,很多不法分子出于貪欲會(huì)想要去侵占他人的財(cái)務(wù),微信、支付寶、QQ轉(zhuǎn)賬等為此類(lèi)犯罪提供了便利。近年來(lái)我國(guó)網(wǎng)絡(luò)犯罪的數(shù)量有明顯的上漲趨勢(shì),同時(shí)網(wǎng)絡(luò)犯罪涉及的金額也在不斷地增長(zhǎng),這嚴(yán)重威脅了我國(guó)公民的財(cái)產(chǎn)安全,也在很大程度上對(duì)社會(huì)安定造成了破壞。另外,從世界計(jì)算機(jī)犯罪的發(fā)展情況來(lái)看,計(jì)算機(jī)犯罪在未來(lái)有向國(guó)家機(jī)關(guān)產(chǎn)業(yè)滲透的趨勢(shì),如果不及時(shí)地采取有效措施來(lái)對(duì)計(jì)算機(jī)犯罪進(jìn)行打壓計(jì)算機(jī)犯罪的規(guī)模將會(huì)不斷地?cái)U(kuò)大,甚至還會(huì)由個(gè)人犯罪向團(tuán)伙犯罪的方向轉(zhuǎn)變、由在區(qū)域內(nèi)部犯罪演變成跨區(qū)、跨國(guó)范圍,如果計(jì)算機(jī)犯罪蔓延到世界范圍,再想對(duì)其進(jìn)行控制將會(huì)非常困難。因此應(yīng)當(dāng)從計(jì)算機(jī)犯罪的傳播途徑著手,利用技術(shù)手段來(lái)更好地對(duì)電子證據(jù)的相關(guān)數(shù)據(jù)信息進(jìn)行收集,保證電子證據(jù)的合法性[2]。與此同時(shí),相關(guān)技術(shù)人員也應(yīng)當(dāng)不斷地對(duì)相關(guān)技術(shù)進(jìn)行革新,以便更好地應(yīng)對(duì)各個(gè)領(lǐng)域出現(xiàn)的新型攻擊手段和新的BUG。

2計(jì)算機(jī)取證的內(nèi)容

2.1計(jì)算機(jī)取證的概念

計(jì)算機(jī)取證的概念是為了獲取一些合法信息而定義的,它主要是通過(guò)對(duì)磁介質(zhì)編碼信息的保護(hù)、確認(rèn)以及提取和歸檔等操作實(shí)現(xiàn)的。另外,計(jì)算機(jī)取證也可以實(shí)現(xiàn)對(duì)計(jì)算機(jī)犯罪行為的解剖,進(jìn)而將計(jì)算機(jī)犯罪中實(shí)施的證據(jù)進(jìn)行改變和調(diào)整,讓其可以變成在法庭上具備足夠說(shuō)服力的電子證據(jù),以此來(lái)幫助減少計(jì)算機(jī)犯罪行為的發(fā)生。

2.2計(jì)算機(jī)取證的特點(diǎn)

計(jì)算機(jī)取證最突出的特點(diǎn)就是高科技性,不論是在對(duì)數(shù)據(jù)信息的存儲(chǔ)還是傳輸都需要通過(guò)相關(guān)的網(wǎng)絡(luò)技術(shù)來(lái)實(shí)現(xiàn);另外計(jì)算機(jī)取證還具有一定的隱蔽性,在進(jìn)行信息取證的時(shí)候相關(guān)數(shù)據(jù)會(huì)被隱藏,這樣一來(lái)就可以更加順利地取得計(jì)算機(jī)犯罪的證據(jù)而不會(huì)被感知;客觀(guān)性也是計(jì)算機(jī)取證最顯著的特點(diǎn)之一,由于計(jì)算機(jī)犯罪的證據(jù)一般都不是實(shí)物,追查、跟蹤的難度都很大,計(jì)算機(jī)取證可以更好有效避免由于外界因素帶來(lái)的影響;動(dòng)態(tài)性特征也是計(jì)算機(jī)取證的特征之一,由于計(jì)算數(shù)據(jù)本身具備一定的動(dòng)態(tài)性,它會(huì)隨著時(shí)間的變化發(fā)生變化,再加上計(jì)算機(jī)證據(jù)會(huì)以多種形式出現(xiàn),所以計(jì)算機(jī)取證也具備一定的動(dòng)態(tài)性。不僅如此,計(jì)算機(jī)的運(yùn)行需要人力操作,所以為了更好地保證計(jì)算機(jī)證據(jù)的真實(shí)性,相關(guān)部門(mén)應(yīng)當(dāng)不斷地對(duì)技術(shù)人員進(jìn)行培訓(xùn),從而幫助有效地對(duì)計(jì)算機(jī)犯罪行為進(jìn)行遏制[3]。

2.3計(jì)算機(jī)取證的基本原則

相關(guān)技術(shù)人員在進(jìn)行計(jì)算機(jī)取證的時(shí)候應(yīng)當(dāng)遵守及時(shí)性原則、可重現(xiàn)原則、安全保護(hù)原則以及多備性原則。及時(shí)性原則顧名思義就是要及時(shí)地獲取相關(guān)數(shù)據(jù),保證數(shù)據(jù)的時(shí)效性;可重現(xiàn)原則就是要保證得到的電子數(shù)據(jù)結(jié)果可以進(jìn)行重現(xiàn);安全保護(hù)原則是要保證整個(gè)證據(jù)鏈的完整性,讓整個(gè)確證過(guò)程可以合法合規(guī),這樣一來(lái)可以確保數(shù)據(jù)的有效性;多備性原則就是為了防止數(shù)據(jù)丟失或者其他因素導(dǎo)致數(shù)據(jù)遭到破壞,技術(shù)人員在進(jìn)行計(jì)算機(jī)取證之前就要備份數(shù)據(jù),避免突發(fā)情況的出現(xiàn)。

2.4計(jì)算機(jī)取證的步驟

計(jì)算機(jī)取證需要進(jìn)行的第一步工作就是明確疑似犯罪的計(jì)算機(jī)內(nèi)含有哪些數(shù)字證據(jù),同時(shí)也應(yīng)當(dāng)對(duì)這些可疑的計(jì)算機(jī)進(jìn)行保護(hù),這樣一來(lái)就可以避免計(jì)算機(jī)出現(xiàn)重啟或者后臺(tái)運(yùn)行其他程序,導(dǎo)致數(shù)據(jù)證據(jù)受到篡改[4]。第二步是要將獲取可疑計(jì)算機(jī)內(nèi)存儲(chǔ)的數(shù)據(jù)證據(jù),由于在取證的時(shí)候我們不知道哪些數(shù)據(jù)是有用的,哪些數(shù)據(jù)是無(wú)用的,所以為了以防萬(wàn)一要將所有證據(jù)都都存儲(chǔ)在磁盤(pán)上,然后將這些信息數(shù)據(jù)進(jìn)行重點(diǎn)保護(hù),同時(shí)為了減少對(duì)原證物的損害;第三步就是進(jìn)行證據(jù)的搬運(yùn),搬運(yùn)的過(guò)程中相關(guān)人員也應(yīng)當(dāng)謹(jǐn)慎地對(duì)待證物,避免證物在運(yùn)輸?shù)倪^(guò)程中受到損壞,否則它就不具備證物的價(jià)值;最后一步就是要對(duì)獲得的證據(jù)進(jìn)行詳細(xì)的分析,并從中找出有效的數(shù)字證據(jù)(包括對(duì)主機(jī)數(shù)據(jù)的分析、對(duì)入侵過(guò)程的分析以及對(duì)入侵證據(jù)的提取等等),當(dāng)然上述步驟都應(yīng)當(dāng)建立在對(duì)數(shù)據(jù)進(jìn)行備份的基礎(chǔ)上,只有這樣才可以充分保證原始數(shù)據(jù)的完整性和有效性。

3數(shù)據(jù)還原

3.1對(duì)已經(jīng)被刪除數(shù)據(jù)的還原

從以往的計(jì)算機(jī)取證情況來(lái)看,在取證過(guò)程中如果沒(méi)有及時(shí)進(jìn)行取證操作就很可能會(huì)導(dǎo)致部分?jǐn)?shù)據(jù)受到損壞甚至被刪除,導(dǎo)致出現(xiàn)這種情況的原因有很多,像病毒、黑客以及取證人員操作不規(guī)范等都會(huì)導(dǎo)致數(shù)據(jù)的丟失,所以應(yīng)當(dāng)采取有效的措施來(lái)對(duì)這些已經(jīng)被破壞的數(shù)據(jù)進(jìn)行還原。具體地可以從磁盤(pán)的儲(chǔ)存結(jié)構(gòu)出發(fā)來(lái)對(duì)整個(gè)計(jì)算機(jī)系統(tǒng)進(jìn)行分析,并結(jié)合文件系統(tǒng)管理技術(shù)來(lái)對(duì)數(shù)據(jù)還原過(guò)程進(jìn)行設(shè)計(jì)[5]。首先可以設(shè)計(jì)一個(gè)系統(tǒng)來(lái)對(duì)信息結(jié)構(gòu)進(jìn)行引導(dǎo),之后再對(duì)磁盤(pán)數(shù)據(jù)進(jìn)行操作,可以利用NTFS來(lái)對(duì)文件在磁盤(pán)中的位置進(jìn)行追蹤,從而準(zhǔn)確地對(duì)文件進(jìn)行定位,要知道,在NTFS系統(tǒng)中想要對(duì)一個(gè)文件進(jìn)行刪除操作,被刪除數(shù)據(jù)的目錄、屬性以及在整個(gè)文件中架中所占的空間大小都會(huì)發(fā)生改變,因此可以首先通過(guò)NTFS對(duì)文件進(jìn)行定位,之后再根據(jù)MFT中記錄的文件信息來(lái)對(duì)文件進(jìn)行恢復(fù),這樣一來(lái)數(shù)據(jù)還原的效率就會(huì)得到很大程度的提升。另外,相關(guān)技術(shù)人員在對(duì)該系統(tǒng)進(jìn)行設(shè)計(jì)的時(shí)候應(yīng)當(dāng)首先建立相應(yīng)的模塊,之后再確定整個(gè)磁盤(pán)存儲(chǔ)的結(jié)構(gòu)信息并對(duì)信息數(shù)據(jù)進(jìn)行分區(qū),獲取到信息時(shí)候再進(jìn)行信息數(shù)據(jù)的讀取,從中獲得系統(tǒng)的分區(qū)信息。MFT的主控文件可以通過(guò)確定磁盤(pán)的存儲(chǔ)位置來(lái)對(duì)多個(gè)文件的記錄,同時(shí)在記錄的過(guò)程中NTEFA系統(tǒng)也會(huì)對(duì)相關(guān)的數(shù)據(jù)進(jìn)行分析和記錄,然后對(duì)文件進(jìn)行準(zhǔn)確地判斷,確定其是否為已經(jīng)被刪除的文件。如果發(fā)現(xiàn)文件是已經(jīng)被刪除的,就要立即根據(jù)文件的編號(hào)來(lái)對(duì)其進(jìn)行準(zhǔn)確的恢復(fù),恢復(fù)完成之后再將其存儲(chǔ)在磁盤(pán)中,這樣一來(lái)可以有效避免破壞證據(jù)的行為出現(xiàn),減少計(jì)算機(jī)犯罪證據(jù)的損壞,提升計(jì)算機(jī)系統(tǒng)運(yùn)行的安全性。

3.2對(duì)被格式化磁盤(pán)的還原

在磁盤(pán)的使用過(guò)程中,可能會(huì)受到外界因素(病毒、黑客)的影響而被格式化,已經(jīng)被格式化的數(shù)據(jù)是沒(méi)有辦法被再次利用的,它們已經(jīng)受到了損壞,甚至已經(jīng)丟失,所以為了更好地保證計(jì)算機(jī)取證信息的安全性必須要改進(jìn)相關(guān)技術(shù)來(lái)幫助提升對(duì)格式化磁盤(pán)的還原能力,進(jìn)而確保計(jì)算機(jī)取證過(guò)程的有效性。但是從實(shí)際操作過(guò)程中發(fā)現(xiàn),由于文件在刪除操作上展示的對(duì)象不同,所以當(dāng)磁盤(pán)被格式化之后,不僅磁盤(pán)內(nèi)部的存儲(chǔ)結(jié)構(gòu)會(huì)受到損壞,在磁盤(pán)內(nèi)還會(huì)形成數(shù)據(jù)引導(dǎo)區(qū),這樣一來(lái)對(duì)格式化數(shù)據(jù)的恢復(fù)難度就大大增加[6]。所以為了更好地對(duì)已經(jīng)被格式化的磁盤(pán)進(jìn)行有效還原相關(guān)技術(shù)人員也應(yīng)當(dāng)加大對(duì)磁盤(pán)還原方面的研究,不斷地提升相關(guān)技術(shù)的處理水平,從而使得被格式化磁盤(pán)內(nèi)的數(shù)據(jù)可以得到有效的還原。一般來(lái)說(shuō),當(dāng)人們想要對(duì)一個(gè)已經(jīng)格式化了的NTFS系統(tǒng)進(jìn)行處理時(shí)程序會(huì)自動(dòng)根據(jù)指令作做出相應(yīng)的反應(yīng),元數(shù)據(jù)的內(nèi)容就會(huì)立即被清空,同時(shí)根目錄內(nèi)的索引也會(huì)被清空,在這個(gè)過(guò)程中一些與系統(tǒng)運(yùn)行相關(guān)聯(lián)的數(shù)據(jù)也會(huì)受到一定的影響,但是即使所有的文件都已經(jīng)被刪除,只要根目錄的數(shù)據(jù)索引還在數(shù)據(jù)還是存在被還原的可能性的,甚至還原的比例可以達(dá)到百分之百,所以相關(guān)人員在進(jìn)行計(jì)算機(jī)取證的時(shí)候一定要合理地選擇取證方式,同時(shí)也要對(duì)整個(gè)取證過(guò)程進(jìn)行綜合地考慮。另外,在進(jìn)行計(jì)算機(jī)取證的時(shí)候,也應(yīng)當(dāng)充分利用文件的存儲(chǔ)結(jié)構(gòu),并針對(duì)文件的存儲(chǔ)結(jié)構(gòu)來(lái)有針對(duì)性地進(jìn)行還原操作,盡可能地保證大部分?jǐn)?shù)據(jù)可以得到還原,為取證過(guò)程提供更多有效的信息,從而幫助實(shí)現(xiàn)對(duì)計(jì)算機(jī)犯罪行為的打壓,保證計(jì)算機(jī)信息數(shù)據(jù)的安全性。

4結(jié)語(yǔ)

計(jì)算機(jī)取證對(duì)于維護(hù)社會(huì)穩(wěn)定、打擊高科技違法犯罪有著非常重要的意義。所以相關(guān)技術(shù)人員也應(yīng)當(dāng)緊跟時(shí)展的步伐,不斷地對(duì)學(xué)習(xí)專(zhuān)業(yè)知識(shí),提升自己的專(zhuān)業(yè)水平,更好地應(yīng)對(duì)層出不窮的互聯(lián)網(wǎng)病毒和各種黑客的襲擊,提升計(jì)算機(jī)運(yùn)行的安全性。同時(shí)技術(shù)人員也應(yīng)當(dāng)利用自己的專(zhuān)業(yè)知識(shí)來(lái)采取相應(yīng)的措施確保證取證系統(tǒng)的正常運(yùn)行,為打壓違法犯罪提供技術(shù)保障,進(jìn)而實(shí)現(xiàn)維護(hù)我國(guó)社會(huì)和諧、穩(wěn)定發(fā)展的發(fā)展目標(biāo)。

參考文獻(xiàn)

[1]令珍蘭.計(jì)算機(jī)取證的信息收集數(shù)據(jù)還原[J].信息技術(shù)與信息化,2016,000(004):72-74.

[2]王薇.數(shù)據(jù)恢復(fù)與計(jì)算機(jī)取證[J].電子制作,2015,000(003):150-150.

[3]李永凱.對(duì)數(shù)據(jù)恢復(fù)與計(jì)算機(jī)取證的分析[J].計(jì)算機(jī)光盤(pán)軟件與應(yīng)用,2014,000(015):137-138.

[4]張明旺.計(jì)算機(jī)取證中數(shù)據(jù)恢復(fù)技術(shù)探討[J].現(xiàn)代計(jì)算機(jī),2012,(15):55-57.

[5]吳琪.淺析計(jì)算機(jī)犯罪取證中的數(shù)據(jù)恢復(fù)原理[J].吉林公安高等專(zhuān)科學(xué)校學(xué)報(bào),2011,(2):64-67.

[6]張婷婷.試論計(jì)算機(jī)取證中的數(shù)據(jù)恢復(fù)技術(shù)[J].科技風(fēng),2017,(5):61-61.

作者:孫博 單位:蘇州深鑒信息科技有限公司