談計算機取證信息收集與數據還原
前言:想要寫出一篇引人入勝的文章?我們特意為您整理了談計算機取證信息收集與數據還原范文,希望能給你帶來靈感和參考,敬請閱讀。
摘要:現代信息技術的發展拉近了互聯網和人們的距離,目前,很多企業和政府機構都開始利用互聯網來進行信息數據的采集和儲存,同時各級政府和事業單位都開始加大對信息安全建設的重視程度,不斷地出臺相關信息安全條例來做好信息保密安全工作。就計算機犯罪的現狀,展開了相應的分析。
關鍵詞:計算機;信息收集;數據還原
互聯網的發展讓人們可以更加便捷地進行信息傳遞,不同人群之間也可以實現信息共享,國家各項基礎設施建設也開始應用信息化技術,但是與此同時各種計算機病毒也開始出現,這直接影響了國家的安定,威脅社會安全。和一般的犯罪行為不同,計算機犯罪屬于新興高技術犯罪,它的犯罪證據很多都是通過計算機存儲呈現出來的,像計算機記錄、相關的文件、源代碼等都是非常重要的電子證據。
1計算機犯罪的現狀
隨著計算機技術的不斷革新,計算機犯罪的類型和范圍也在不斷地擴寬,其主要類型為網絡色情犯罪、網絡傳銷、網絡詐騙等。色情犯罪主要是指通過論壇、社區以及網絡游戲等娛樂渠道將淫穢信息名呈現出來,這樣一來互聯網中就會充斥著大量的色情信息,很多青少年在使用計算機的時候會無意間點開淫穢信息,也有的青少年由于自我保護意識不高會參與到淫穢信息的傳播中,這在很大程度上影響了青少年的健康成長;網絡傳銷和網絡詐騙則是由電子商務衍生出來的,它通常是以電子貨幣的形式來進行網絡交易的,很多不法分子出于貪欲會想要去侵占他人的財務,微信、支付寶、QQ轉賬等為此類犯罪提供了便利。近年來我國網絡犯罪的數量有明顯的上漲趨勢,同時網絡犯罪涉及的金額也在不斷地增長,這嚴重威脅了我國公民的財產安全,也在很大程度上對社會安定造成了破壞。另外,從世界計算機犯罪的發展情況來看,計算機犯罪在未來有向國家機關產業滲透的趨勢,如果不及時地采取有效措施來對計算機犯罪進行打壓計算機犯罪的規模將會不斷地擴大,甚至還會由個人犯罪向團伙犯罪的方向轉變、由在區域內部犯罪演變成跨區、跨國范圍,如果計算機犯罪蔓延到世界范圍,再想對其進行控制將會非常困難。因此應當從計算機犯罪的傳播途徑著手,利用技術手段來更好地對電子證據的相關數據信息進行收集,保證電子證據的合法性[2]。與此同時,相關技術人員也應當不斷地對相關技術進行革新,以便更好地應對各個領域出現的新型攻擊手段和新的BUG。
2計算機取證的內容
2.1計算機取證的概念
計算機取證的概念是為了獲取一些合法信息而定義的,它主要是通過對磁介質編碼信息的保護、確認以及提取和歸檔等操作實現的。另外,計算機取證也可以實現對計算機犯罪行為的解剖,進而將計算機犯罪中實施的證據進行改變和調整,讓其可以變成在法庭上具備足夠說服力的電子證據,以此來幫助減少計算機犯罪行為的發生。
2.2計算機取證的特點
計算機取證最突出的特點就是高科技性,不論是在對數據信息的存儲還是傳輸都需要通過相關的網絡技術來實現;另外計算機取證還具有一定的隱蔽性,在進行信息取證的時候相關數據會被隱藏,這樣一來就可以更加順利地取得計算機犯罪的證據而不會被感知;客觀性也是計算機取證最顯著的特點之一,由于計算機犯罪的證據一般都不是實物,追查、跟蹤的難度都很大,計算機取證可以更好有效避免由于外界因素帶來的影響;動態性特征也是計算機取證的特征之一,由于計算數據本身具備一定的動態性,它會隨著時間的變化發生變化,再加上計算機證據會以多種形式出現,所以計算機取證也具備一定的動態性。不僅如此,計算機的運行需要人力操作,所以為了更好地保證計算機證據的真實性,相關部門應當不斷地對技術人員進行培訓,從而幫助有效地對計算機犯罪行為進行遏制[3]。
2.3計算機取證的基本原則
相關技術人員在進行計算機取證的時候應當遵守及時性原則、可重現原則、安全保護原則以及多備性原則。及時性原則顧名思義就是要及時地獲取相關數據,保證數據的時效性;可重現原則就是要保證得到的電子數據結果可以進行重現;安全保護原則是要保證整個證據鏈的完整性,讓整個確證過程可以合法合規,這樣一來可以確保數據的有效性;多備性原則就是為了防止數據丟失或者其他因素導致數據遭到破壞,技術人員在進行計算機取證之前就要備份數據,避免突發情況的出現。
2.4計算機取證的步驟
計算機取證需要進行的第一步工作就是明確疑似犯罪的計算機內含有哪些數字證據,同時也應當對這些可疑的計算機進行保護,這樣一來就可以避免計算機出現重啟或者后臺運行其他程序,導致數據證據受到篡改[4]。第二步是要將獲取可疑計算機內存儲的數據證據,由于在取證的時候我們不知道哪些數據是有用的,哪些數據是無用的,所以為了以防萬一要將所有證據都都存儲在磁盤上,然后將這些信息數據進行重點保護,同時為了減少對原證物的損害;第三步就是進行證據的搬運,搬運的過程中相關人員也應當謹慎地對待證物,避免證物在運輸的過程中受到損壞,否則它就不具備證物的價值;最后一步就是要對獲得的證據進行詳細的分析,并從中找出有效的數字證據(包括對主機數據的分析、對入侵過程的分析以及對入侵證據的提取等等),當然上述步驟都應當建立在對數據進行備份的基礎上,只有這樣才可以充分保證原始數據的完整性和有效性。
3數據還原
3.1對已經被刪除數據的還原
從以往的計算機取證情況來看,在取證過程中如果沒有及時進行取證操作就很可能會導致部分數據受到損壞甚至被刪除,導致出現這種情況的原因有很多,像病毒、黑客以及取證人員操作不規范等都會導致數據的丟失,所以應當采取有效的措施來對這些已經被破壞的數據進行還原。具體地可以從磁盤的儲存結構出發來對整個計算機系統進行分析,并結合文件系統管理技術來對數據還原過程進行設計[5]。首先可以設計一個系統來對信息結構進行引導,之后再對磁盤數據進行操作,可以利用NTFS來對文件在磁盤中的位置進行追蹤,從而準確地對文件進行定位,要知道,在NTFS系統中想要對一個文件進行刪除操作,被刪除數據的目錄、屬性以及在整個文件中架中所占的空間大小都會發生改變,因此可以首先通過NTFS對文件進行定位,之后再根據MFT中記錄的文件信息來對文件進行恢復,這樣一來數據還原的效率就會得到很大程度的提升。另外,相關技術人員在對該系統進行設計的時候應當首先建立相應的模塊,之后再確定整個磁盤存儲的結構信息并對信息數據進行分區,獲取到信息時候再進行信息數據的讀取,從中獲得系統的分區信息。MFT的主控文件可以通過確定磁盤的存儲位置來對多個文件的記錄,同時在記錄的過程中NTEFA系統也會對相關的數據進行分析和記錄,然后對文件進行準確地判斷,確定其是否為已經被刪除的文件。如果發現文件是已經被刪除的,就要立即根據文件的編號來對其進行準確的恢復,恢復完成之后再將其存儲在磁盤中,這樣一來可以有效避免破壞證據的行為出現,減少計算機犯罪證據的損壞,提升計算機系統運行的安全性。
3.2對被格式化磁盤的還原
在磁盤的使用過程中,可能會受到外界因素(病毒、黑客)的影響而被格式化,已經被格式化的數據是沒有辦法被再次利用的,它們已經受到了損壞,甚至已經丟失,所以為了更好地保證計算機取證信息的安全性必須要改進相關技術來幫助提升對格式化磁盤的還原能力,進而確保計算機取證過程的有效性。但是從實際操作過程中發現,由于文件在刪除操作上展示的對象不同,所以當磁盤被格式化之后,不僅磁盤內部的存儲結構會受到損壞,在磁盤內還會形成數據引導區,這樣一來對格式化數據的恢復難度就大大增加[6]。所以為了更好地對已經被格式化的磁盤進行有效還原相關技術人員也應當加大對磁盤還原方面的研究,不斷地提升相關技術的處理水平,從而使得被格式化磁盤內的數據可以得到有效的還原。一般來說,當人們想要對一個已經格式化了的NTFS系統進行處理時程序會自動根據指令作做出相應的反應,元數據的內容就會立即被清空,同時根目錄內的索引也會被清空,在這個過程中一些與系統運行相關聯的數據也會受到一定的影響,但是即使所有的文件都已經被刪除,只要根目錄的數據索引還在數據還是存在被還原的可能性的,甚至還原的比例可以達到百分之百,所以相關人員在進行計算機取證的時候一定要合理地選擇取證方式,同時也要對整個取證過程進行綜合地考慮。另外,在進行計算機取證的時候,也應當充分利用文件的存儲結構,并針對文件的存儲結構來有針對性地進行還原操作,盡可能地保證大部分數據可以得到還原,為取證過程提供更多有效的信息,從而幫助實現對計算機犯罪行為的打壓,保證計算機信息數據的安全性。
4結語
計算機取證對于維護社會穩定、打擊高科技違法犯罪有著非常重要的意義。所以相關技術人員也應當緊跟時展的步伐,不斷地對學習專業知識,提升自己的專業水平,更好地應對層出不窮的互聯網病毒和各種黑客的襲擊,提升計算機運行的安全性。同時技術人員也應當利用自己的專業知識來采取相應的措施確保證取證系統的正常運行,為打壓違法犯罪提供技術保障,進而實現維護我國社會和諧、穩定發展的發展目標。
參考文獻
[1]令珍蘭.計算機取證的信息收集與數據還原[J].信息技術與信息化,2016,000(004):72-74.
[2]王薇.數據恢復與計算機取證[J].電子制作,2015,000(003):150-150.
[3]李永凱.對數據恢復與計算機取證的分析[J].計算機光盤軟件與應用,2014,000(015):137-138.
[4]張明旺.計算機取證中數據恢復技術探討[J].現代計算機,2012,(15):55-57.
[5]吳琪.淺析計算機犯罪取證中的數據恢復原理[J].吉林公安高等專科學校學報,2011,(2):64-67.
[6]張婷婷.試論計算機取證中的數據恢復技術[J].科技風,2017,(5):61-61.
作者:孫博 單位:蘇州深鑒信息科技有限公司
