计算机取证技术

计算机取证技术

供稿人：潘宏  供稿时间：2004-11-4

随着计算机技术的成熟与广泛应用，以计算机信息系统为犯罪对象和以计算机为犯罪工具的各类新型犯罪活动越来越猖獗。计算机取证是将计算机调查和分析技术应用于对存在于计算机和相关外围设备中(包括网络介质)的潜在的、有法律效力的电子证据的确定与获取。目前计算机取证技术已成为世界各先进国家的研究热点。   国内外计算机取证系统软件 国外 New Technologies Incorporated (http://www.forensics-intl.com /) NTI以命令的形式执行软件，所以速度很快，软件包的体积小，适合于在软盘上使用。该公司提供的取证工具包括：CRCMD5：一个可以验证一个或多个文件内容的CRC工具；DiskScrub：一个用于清除硬盘驱动器中所有数据的工具；DiskSig：一个CRC程序，用于验证映像备份的精确性；FileList：一个磁盘目录工具用来建立用户在该系统上的行为时间表；Filter_we：一种用于周围环境数据的智能模糊逻辑过滤器；GetSlack：一种周围环境数据收集工具，用于捕获未分配的数据；GetTime：一种周围环境数据收集工具，用于捕获分散的文件；Net Threat Analyzer：网络取证分析软件，用于识别公司互联网络账号滥用；M-Sweep：一种周围环境数据清除工具；NTI-DOC：一种文件程序用于记录文件的日期、时间以及属性；PTable：用于分析及证明硬盘驱动器分区的工具；Seized：一种用于对证据计算机上锁及保护的程序；ShowFL：用于分析文件输出清单的程序。 AccessData (http://www.accessdata.com/) AccessData公司开发的一系列有关计算机犯罪取证的软件，包括Ultimate Toolkit ™、Forensic Toolkit® (FTK™)、Registry Viewer™ 等。包括的功能有：恢复模块；从新获得已遗忘的密码；寻找、组织和分析计算机证据；分析和破译注册数据等。 EnCase (http://www.guidancesoftware.com/) Guidance Software公司开发的EnCase计算机调查和取证软件，自称是唯一一个完全集成的基于Windows界面的取证应用程序，其功能包括：数据浏览、搜索、磁盘浏览、数据预览、建立案例、建立证据文件、保存案例等。   国内 金诺网安介质取证DiskForen (http://www.netstd.com/) 金诺网安介质取证系统DiskForen，是一个旨在对存贮介质中的残缺数据进行恢复，和勘察取证的系统，可实现对各种介质和文件系统进行数据固定保全、恢复和分析取证等功能，系统具备良好的可视性和可靠性，并结合了有效的数字签名和灵活的报表分析功能。   国内外相关专利 New Technologies Armor，Inc公司拥有的两个专利US6345283、US6279010，介绍了在计算机存储设备（主要是硬盘），通过提取、分析环境数据，查找敏感信息。 上海交通大学于2003年5月8日申请了发明专利：默认数据及缓冲数据勘查取证方法，能面向多种勘查、侦破、取证工作的需要，对计算机犯罪嫌疑人的计算机，进行分析和搜索，寻找到犯罪的证据。