前言:想要寫出一篇引人入勝的文章?我們特意為您整理了談?dòng)?jì)算機(jī)取證信息收集與數(shù)據(jù)還原范文,希望能給你帶來靈感和參考,敬請閱讀。
摘要:現(xiàn)代信息技術(shù)的發(fā)展拉近了互聯(lián)網(wǎng)和人們的距離,目前,很多企業(yè)和政府機(jī)構(gòu)都開始利用互聯(lián)網(wǎng)來進(jìn)行信息數(shù)據(jù)的采集和儲(chǔ)存,同時(shí)各級政府和事業(yè)單位都開始加大對信息安全建設(shè)的重視程度,不斷地出臺(tái)相關(guān)信息安全條例來做好信息保密安全工作。就計(jì)算機(jī)犯罪的現(xiàn)狀,展開了相應(yīng)的分析。
關(guān)鍵詞:計(jì)算機(jī);信息收集;數(shù)據(jù)還原
互聯(lián)網(wǎng)的發(fā)展讓人們可以更加便捷地進(jìn)行信息傳遞,不同人群之間也可以實(shí)現(xiàn)信息共享,國家各項(xiàng)基礎(chǔ)設(shè)施建設(shè)也開始應(yīng)用信息化技術(shù),但是與此同時(shí)各種計(jì)算機(jī)病毒也開始出現(xiàn),這直接影響了國家的安定,威脅社會(huì)安全。和一般的犯罪行為不同,計(jì)算機(jī)犯罪屬于新興高技術(shù)犯罪,它的犯罪證據(jù)很多都是通過計(jì)算機(jī)存儲(chǔ)呈現(xiàn)出來的,像計(jì)算機(jī)記錄、相關(guān)的文件、源代碼等都是非常重要的電子證據(jù)。
1計(jì)算機(jī)犯罪的現(xiàn)狀
隨著計(jì)算機(jī)技術(shù)的不斷革新,計(jì)算機(jī)犯罪的類型和范圍也在不斷地?cái)U(kuò)寬,其主要類型為網(wǎng)絡(luò)色情犯罪、網(wǎng)絡(luò)傳銷、網(wǎng)絡(luò)詐騙等。色情犯罪主要是指通過論壇、社區(qū)以及網(wǎng)絡(luò)游戲等娛樂渠道將淫穢信息名呈現(xiàn)出來,這樣一來互聯(lián)網(wǎng)中就會(huì)充斥著大量的色情信息,很多青少年在使用計(jì)算機(jī)的時(shí)候會(huì)無意間點(diǎn)開淫穢信息,也有的青少年由于自我保護(hù)意識不高會(huì)參與到淫穢信息的傳播中,這在很大程度上影響了青少年的健康成長;網(wǎng)絡(luò)傳銷和網(wǎng)絡(luò)詐騙則是由電子商務(wù)衍生出來的,它通常是以電子貨幣的形式來進(jìn)行網(wǎng)絡(luò)交易的,很多不法分子出于貪欲會(huì)想要去侵占他人的財(cái)務(wù),微信、支付寶、QQ轉(zhuǎn)賬等為此類犯罪提供了便利。近年來我國網(wǎng)絡(luò)犯罪的數(shù)量有明顯的上漲趨勢,同時(shí)網(wǎng)絡(luò)犯罪涉及的金額也在不斷地增長,這嚴(yán)重威脅了我國公民的財(cái)產(chǎn)安全,也在很大程度上對社會(huì)安定造成了破壞。另外,從世界計(jì)算機(jī)犯罪的發(fā)展情況來看,計(jì)算機(jī)犯罪在未來有向國家機(jī)關(guān)產(chǎn)業(yè)滲透的趨勢,如果不及時(shí)地采取有效措施來對計(jì)算機(jī)犯罪進(jìn)行打壓計(jì)算機(jī)犯罪的規(guī)模將會(huì)不斷地?cái)U(kuò)大,甚至還會(huì)由個(gè)人犯罪向團(tuán)伙犯罪的方向轉(zhuǎn)變、由在區(qū)域內(nèi)部犯罪演變成跨區(qū)、跨國范圍,如果計(jì)算機(jī)犯罪蔓延到世界范圍,再想對其進(jìn)行控制將會(huì)非常困難。因此應(yīng)當(dāng)從計(jì)算機(jī)犯罪的傳播途徑著手,利用技術(shù)手段來更好地對電子證據(jù)的相關(guān)數(shù)據(jù)信息進(jìn)行收集,保證電子證據(jù)的合法性[2]。與此同時(shí),相關(guān)技術(shù)人員也應(yīng)當(dāng)不斷地對相關(guān)技術(shù)進(jìn)行革新,以便更好地應(yīng)對各個(gè)領(lǐng)域出現(xiàn)的新型攻擊手段和新的BUG。
2計(jì)算機(jī)取證的內(nèi)容
2.1計(jì)算機(jī)取證的概念
計(jì)算機(jī)取證的概念是為了獲取一些合法信息而定義的,它主要是通過對磁介質(zhì)編碼信息的保護(hù)、確認(rèn)以及提取和歸檔等操作實(shí)現(xiàn)的。另外,計(jì)算機(jī)取證也可以實(shí)現(xiàn)對計(jì)算機(jī)犯罪行為的解剖,進(jìn)而將計(jì)算機(jī)犯罪中實(shí)施的證據(jù)進(jìn)行改變和調(diào)整,讓其可以變成在法庭上具備足夠說服力的電子證據(jù),以此來幫助減少計(jì)算機(jī)犯罪行為的發(fā)生。
2.2計(jì)算機(jī)取證的特點(diǎn)
計(jì)算機(jī)取證最突出的特點(diǎn)就是高科技性,不論是在對數(shù)據(jù)信息的存儲(chǔ)還是傳輸都需要通過相關(guān)的網(wǎng)絡(luò)技術(shù)來實(shí)現(xiàn);另外計(jì)算機(jī)取證還具有一定的隱蔽性,在進(jìn)行信息取證的時(shí)候相關(guān)數(shù)據(jù)會(huì)被隱藏,這樣一來就可以更加順利地取得計(jì)算機(jī)犯罪的證據(jù)而不會(huì)被感知;客觀性也是計(jì)算機(jī)取證最顯著的特點(diǎn)之一,由于計(jì)算機(jī)犯罪的證據(jù)一般都不是實(shí)物,追查、跟蹤的難度都很大,計(jì)算機(jī)取證可以更好有效避免由于外界因素帶來的影響;動(dòng)態(tài)性特征也是計(jì)算機(jī)取證的特征之一,由于計(jì)算數(shù)據(jù)本身具備一定的動(dòng)態(tài)性,它會(huì)隨著時(shí)間的變化發(fā)生變化,再加上計(jì)算機(jī)證據(jù)會(huì)以多種形式出現(xiàn),所以計(jì)算機(jī)取證也具備一定的動(dòng)態(tài)性。不僅如此,計(jì)算機(jī)的運(yùn)行需要人力操作,所以為了更好地保證計(jì)算機(jī)證據(jù)的真實(shí)性,相關(guān)部門應(yīng)當(dāng)不斷地對技術(shù)人員進(jìn)行培訓(xùn),從而幫助有效地對計(jì)算機(jī)犯罪行為進(jìn)行遏制[3]。
2.3計(jì)算機(jī)取證的基本原則
相關(guān)技術(shù)人員在進(jìn)行計(jì)算機(jī)取證的時(shí)候應(yīng)當(dāng)遵守及時(shí)性原則、可重現(xiàn)原則、安全保護(hù)原則以及多備性原則。及時(shí)性原則顧名思義就是要及時(shí)地獲取相關(guān)數(shù)據(jù),保證數(shù)據(jù)的時(shí)效性;可重現(xiàn)原則就是要保證得到的電子數(shù)據(jù)結(jié)果可以進(jìn)行重現(xiàn);安全保護(hù)原則是要保證整個(gè)證據(jù)鏈的完整性,讓整個(gè)確證過程可以合法合規(guī),這樣一來可以確保數(shù)據(jù)的有效性;多備性原則就是為了防止數(shù)據(jù)丟失或者其他因素導(dǎo)致數(shù)據(jù)遭到破壞,技術(shù)人員在進(jìn)行計(jì)算機(jī)取證之前就要備份數(shù)據(jù),避免突發(fā)情況的出現(xiàn)。
2.4計(jì)算機(jī)取證的步驟
計(jì)算機(jī)取證需要進(jìn)行的第一步工作就是明確疑似犯罪的計(jì)算機(jī)內(nèi)含有哪些數(shù)字證據(jù),同時(shí)也應(yīng)當(dāng)對這些可疑的計(jì)算機(jī)進(jìn)行保護(hù),這樣一來就可以避免計(jì)算機(jī)出現(xiàn)重啟或者后臺(tái)運(yùn)行其他程序,導(dǎo)致數(shù)據(jù)證據(jù)受到篡改[4]。第二步是要將獲取可疑計(jì)算機(jī)內(nèi)存儲(chǔ)的數(shù)據(jù)證據(jù),由于在取證的時(shí)候我們不知道哪些數(shù)據(jù)是有用的,哪些數(shù)據(jù)是無用的,所以為了以防萬一要將所有證據(jù)都都存儲(chǔ)在磁盤上,然后將這些信息數(shù)據(jù)進(jìn)行重點(diǎn)保護(hù),同時(shí)為了減少對原證物的損害;第三步就是進(jìn)行證據(jù)的搬運(yùn),搬運(yùn)的過程中相關(guān)人員也應(yīng)當(dāng)謹(jǐn)慎地對待證物,避免證物在運(yùn)輸?shù)倪^程中受到損壞,否則它就不具備證物的價(jià)值;最后一步就是要對獲得的證據(jù)進(jìn)行詳細(xì)的分析,并從中找出有效的數(shù)字證據(jù)(包括對主機(jī)數(shù)據(jù)的分析、對入侵過程的分析以及對入侵證據(jù)的提取等等),當(dāng)然上述步驟都應(yīng)當(dāng)建立在對數(shù)據(jù)進(jìn)行備份的基礎(chǔ)上,只有這樣才可以充分保證原始數(shù)據(jù)的完整性和有效性。
3數(shù)據(jù)還原
3.1對已經(jīng)被刪除數(shù)據(jù)的還原
從以往的計(jì)算機(jī)取證情況來看,在取證過程中如果沒有及時(shí)進(jìn)行取證操作就很可能會(huì)導(dǎo)致部分?jǐn)?shù)據(jù)受到損壞甚至被刪除,導(dǎo)致出現(xiàn)這種情況的原因有很多,像病毒、黑客以及取證人員操作不規(guī)范等都會(huì)導(dǎo)致數(shù)據(jù)的丟失,所以應(yīng)當(dāng)采取有效的措施來對這些已經(jīng)被破壞的數(shù)據(jù)進(jìn)行還原。具體地可以從磁盤的儲(chǔ)存結(jié)構(gòu)出發(fā)來對整個(gè)計(jì)算機(jī)系統(tǒng)進(jìn)行分析,并結(jié)合文件系統(tǒng)管理技術(shù)來對數(shù)據(jù)還原過程進(jìn)行設(shè)計(jì)[5]。首先可以設(shè)計(jì)一個(gè)系統(tǒng)來對信息結(jié)構(gòu)進(jìn)行引導(dǎo),之后再對磁盤數(shù)據(jù)進(jìn)行操作,可以利用NTFS來對文件在磁盤中的位置進(jìn)行追蹤,從而準(zhǔn)確地對文件進(jìn)行定位,要知道,在NTFS系統(tǒng)中想要對一個(gè)文件進(jìn)行刪除操作,被刪除數(shù)據(jù)的目錄、屬性以及在整個(gè)文件中架中所占的空間大小都會(huì)發(fā)生改變,因此可以首先通過NTFS對文件進(jìn)行定位,之后再根據(jù)MFT中記錄的文件信息來對文件進(jìn)行恢復(fù),這樣一來數(shù)據(jù)還原的效率就會(huì)得到很大程度的提升。另外,相關(guān)技術(shù)人員在對該系統(tǒng)進(jìn)行設(shè)計(jì)的時(shí)候應(yīng)當(dāng)首先建立相應(yīng)的模塊,之后再確定整個(gè)磁盤存儲(chǔ)的結(jié)構(gòu)信息并對信息數(shù)據(jù)進(jìn)行分區(qū),獲取到信息時(shí)候再進(jìn)行信息數(shù)據(jù)的讀取,從中獲得系統(tǒng)的分區(qū)信息。MFT的主控文件可以通過確定磁盤的存儲(chǔ)位置來對多個(gè)文件的記錄,同時(shí)在記錄的過程中NTEFA系統(tǒng)也會(huì)對相關(guān)的數(shù)據(jù)進(jìn)行分析和記錄,然后對文件進(jìn)行準(zhǔn)確地判斷,確定其是否為已經(jīng)被刪除的文件。如果發(fā)現(xiàn)文件是已經(jīng)被刪除的,就要立即根據(jù)文件的編號來對其進(jìn)行準(zhǔn)確的恢復(fù),恢復(fù)完成之后再將其存儲(chǔ)在磁盤中,這樣一來可以有效避免破壞證據(jù)的行為出現(xiàn),減少計(jì)算機(jī)犯罪證據(jù)的損壞,提升計(jì)算機(jī)系統(tǒng)運(yùn)行的安全性。
3.2對被格式化磁盤的還原
在磁盤的使用過程中,可能會(huì)受到外界因素(病毒、黑客)的影響而被格式化,已經(jīng)被格式化的數(shù)據(jù)是沒有辦法被再次利用的,它們已經(jīng)受到了損壞,甚至已經(jīng)丟失,所以為了更好地保證計(jì)算機(jī)取證信息的安全性必須要改進(jìn)相關(guān)技術(shù)來幫助提升對格式化磁盤的還原能力,進(jìn)而確保計(jì)算機(jī)取證過程的有效性。但是從實(shí)際操作過程中發(fā)現(xiàn),由于文件在刪除操作上展示的對象不同,所以當(dāng)磁盤被格式化之后,不僅磁盤內(nèi)部的存儲(chǔ)結(jié)構(gòu)會(huì)受到損壞,在磁盤內(nèi)還會(huì)形成數(shù)據(jù)引導(dǎo)區(qū),這樣一來對格式化數(shù)據(jù)的恢復(fù)難度就大大增加[6]。所以為了更好地對已經(jīng)被格式化的磁盤進(jìn)行有效還原相關(guān)技術(shù)人員也應(yīng)當(dāng)加大對磁盤還原方面的研究,不斷地提升相關(guān)技術(shù)的處理水平,從而使得被格式化磁盤內(nèi)的數(shù)據(jù)可以得到有效的還原。一般來說,當(dāng)人們想要對一個(gè)已經(jīng)格式化了的NTFS系統(tǒng)進(jìn)行處理時(shí)程序會(huì)自動(dòng)根據(jù)指令作做出相應(yīng)的反應(yīng),元數(shù)據(jù)的內(nèi)容就會(huì)立即被清空,同時(shí)根目錄內(nèi)的索引也會(huì)被清空,在這個(gè)過程中一些與系統(tǒng)運(yùn)行相關(guān)聯(lián)的數(shù)據(jù)也會(huì)受到一定的影響,但是即使所有的文件都已經(jīng)被刪除,只要根目錄的數(shù)據(jù)索引還在數(shù)據(jù)還是存在被還原的可能性的,甚至還原的比例可以達(dá)到百分之百,所以相關(guān)人員在進(jìn)行計(jì)算機(jī)取證的時(shí)候一定要合理地選擇取證方式,同時(shí)也要對整個(gè)取證過程進(jìn)行綜合地考慮。另外,在進(jìn)行計(jì)算機(jī)取證的時(shí)候,也應(yīng)當(dāng)充分利用文件的存儲(chǔ)結(jié)構(gòu),并針對文件的存儲(chǔ)結(jié)構(gòu)來有針對性地進(jìn)行還原操作,盡可能地保證大部分?jǐn)?shù)據(jù)可以得到還原,為取證過程提供更多有效的信息,從而幫助實(shí)現(xiàn)對計(jì)算機(jī)犯罪行為的打壓,保證計(jì)算機(jī)信息數(shù)據(jù)的安全性。
4結(jié)語
計(jì)算機(jī)取證對于維護(hù)社會(huì)穩(wěn)定、打擊高科技違法犯罪有著非常重要的意義。所以相關(guān)技術(shù)人員也應(yīng)當(dāng)緊跟時(shí)展的步伐,不斷地對學(xué)習(xí)專業(yè)知識,提升自己的專業(yè)水平,更好地應(yīng)對層出不窮的互聯(lián)網(wǎng)病毒和各種黑客的襲擊,提升計(jì)算機(jī)運(yùn)行的安全性。同時(shí)技術(shù)人員也應(yīng)當(dāng)利用自己的專業(yè)知識來采取相應(yīng)的措施確保證取證系統(tǒng)的正常運(yùn)行,為打壓違法犯罪提供技術(shù)保障,進(jìn)而實(shí)現(xiàn)維護(hù)我國社會(huì)和諧、穩(wěn)定發(fā)展的發(fā)展目標(biāo)。
參考文獻(xiàn)
[1]令珍蘭.計(jì)算機(jī)取證的信息收集與數(shù)據(jù)還原[J].信息技術(shù)與信息化,2016,000(004):72-74.
[2]王薇.數(shù)據(jù)恢復(fù)與計(jì)算機(jī)取證[J].電子制作,2015,000(003):150-150.
[3]李永凱.對數(shù)據(jù)恢復(fù)與計(jì)算機(jī)取證的分析[J].計(jì)算機(jī)光盤軟件與應(yīng)用,2014,000(015):137-138.
[4]張明旺.計(jì)算機(jī)取證中數(shù)據(jù)恢復(fù)技術(shù)探討[J].現(xiàn)代計(jì)算機(jī),2012,(15):55-57.
[5]吳琪.淺析計(jì)算機(jī)犯罪取證中的數(shù)據(jù)恢復(fù)原理[J].吉林公安高等??茖W(xué)校學(xué)報(bào),2011,(2):64-67.
[6]張婷婷.試論計(jì)算機(jī)取證中的數(shù)據(jù)恢復(fù)技術(shù)[J].科技風(fēng),2017,(5):61-61.
作者:孫博 單位:蘇州深鑒信息科技有限公司