数字取证及其检测工具介绍

分享一下我老师大神的人工智能教程。零基础！通俗易懂！风趣幽默！还带黄段子！希望你也加入到我们人工智能的队伍中来！https://blog.csdn.net/jiangjunshow

                 

数字取证及其检测工具介绍

2007年07月02日 星期一 16:06

       

文章作者：丁丽萍1,2+,王永吉1 信息来源： https://www.xfocus.net/bbs/index.php?act=ST&f=7&t=55733&view=new 丁丽萍1,2+,王永吉1 1 (中国科学院软件研究所 互联网软件技术实验室，北京，100080) 2 (北京人民警察学院 警务科学研究所，北京，100029) 摘要： 计算机取证工具用于计算机证据的获取、分析、传输、存档、保全和呈堂，为了确保计算机证据有较强的证明力并具备证据的可采用标准，用于计算机取证的工具软件必须进行严格的检测。本文论述了计算机取证的概念和步骤，提出了计算机取证软件工具应具备的基本功能和对计算机取证工具进行检测的必要性和基本方法。 关键词： 计算机证据 计算机取证 步骤 功能 检测 方法 一、计算机取证的概念、步骤和相关的工具 1、计算机取证的概念 取证专家Reith Clint Mark认为：计算机取证（computer forensics）可以认为是“从计算机中收集和发现证据的技术和工具” [11]。实际上，计算机取证就是对于存在于计算机及其相关设备中的证据进行获取、保存、分析和出示。用于计算机取证的工具必须在计算机取证的任意一个步骤中具有特殊的功能，使得由于这一工具的使用保证了计算机取证工作能够顺利进行并获取到可以被作为证据使用的数据资料。 2 计算机取证的步骤 2.1 保护现场和现场勘查 现场勘查是获取证据的第一步，主要是物理证据的获取。这项工作可为下面的环节打下基础。包括封存目标计算机系统并避免发生任何的数据破坏或病毒感染，绘制计算机犯罪现场图、网络拓扑图等，在移动或拆卸任何设备之前都要拍照存档，为今后模拟和还原犯罪现场提供直接依据。在这一阶段使用的工具软件由现场自动绘图软件、检测和自动绘制网络拓扑图软件等组成。 2.2 获取证据[6][7] 证据的获取从本质上说就是从众多的未知和不确定性中找到确定性的东西。这一步使用的工具一般是具有磁盘镜像、数据恢复、解密、网络数据捕获等功能的取证工具。 2.3 鉴定证据[6] [9] 计算机证据的鉴定主要是解决证据的完整性验证和确定其是否符合可采用标准。计算机取证工作的难点之一是证明取证人员所搜集到的证据没有被修改过。而计算机获取的证据又恰恰具有易改变和易损毁的特点。例如，腐蚀、强磁场的作用、人为的破坏等等都会造成原始证据的改变和消失。所以，取证过程中应注重采取保护证据的措施。在这一步骤中使用的取证工具包括含有时间戳、数字指纹和软件水印等功能的软件，主要用来确定证据数据的可靠性。 .2.4 分析证据 这是计算机取证的核心和关键。证据分析的内容包括：分析计算机的类型、采用的操作系统，是否为多操作系统或有无隐藏的分区；有无可疑外设&