计算机取证技术与应用,计算机取证技术及其工具应用的研究

科技广场2009.3

0引言

随着计算机技术的成熟与广泛应用，以计算机信息系统为犯罪对象和以计算机为犯罪工具的各类新型犯罪活动持续上升。计算机取证是将计算机调查和分析技术应用于对存在计算机和相关外设中潜在的、有法律效力的电子证据的确定与获取。目前计算机取证作为计算机安全领域的一个新的热点正引起人们的普遍关注。

1计算机取证的概念

1.1什么是计算机取证

计算机取证(Computer Forensics)这个名词是由The In-ternational Association Of Computer Investigative Specialists (IACIS)在1991年首次提出的。随后引起国内外学者专家不断地对其加以总结、扩充。

一般来讲，计算机取证也称数字取证、电子取证,是指对计算机入侵、破坏、欺诈、攻击等犯罪行为，利用计算机软硬件技术，按照符合法律规范的方式进行识别、保存、分析和提交数字证据的过程。

1.2计算机证据的概念及特点

计算机证据，也称电子证据，是通过计算机储存的数据和资料证明案件事实的一种工具，是一种介于物证与书证之间的独立的证据。与传统证据相比具有以下几个特点：

(1)计算机证据容易被伪造、篡改，并且不留痕迹。

(2)计算机证据容易损毁，证据的可信度不高。计算机信息以数字信号的方式存在，对数字证据进行接收、监听、删节、剪接等操作，从直观上讲无法查清。而且由于人为的原因或环境和技术条件的影响容易造成数字证据的不完整，降低证据的可信度。

(3)高科技性。计算机是现代化的计算、通信和信息处理工具。电子证据的产生、储存和传输，都必须借助于计算机软硬技术、存储技术、网络技术。离开了高科技含量的技术设备，电子证据无法保存和传输。而电子证据的收集和审查判断，往往也需要一定的科学技术，甚至是尖端的科学技术，并且伴随科技的发展进程会不断地更新、变化。

2计算机取证常用技术

2.1计算机取证技术分析方案

计算机取证的分析方案主要有以下两种：事后取证和实时取证。

(1)事后取证

事后取证则是指在计算机系统受到入侵之后，计算机专家利用各种计算机软硬件技术，对数据进行提取、分析，抽取出有效的计算机证据。当中涉及到的技术主要有数据恢复和数据分析。

①数据恢复技术

数据恢复技术主要包括：对计算机系统和文件的安全获取技术；对磁盘或其它存储介质的安全无损伤备份技术；对已删除文件的恢复、重建技术；对磁盘空间、未分配空间和自由空间中包含的信息的发掘技术；对交换文件、缓存文件、临时文件中包含的信息的复原技术等。

计算机取证技术及其工具应用的研究

Research of Computer Forensics Technology and Tools in Application

张丹杨丽

Zhang Dan Yang Li

(河北工程大学信息与电气工程学院，河北邯郸056038)

(School of Information&Electronic Engineering,Hebei University of Engineering,Hebei Handan056038)

摘要:本文主要介绍了计算机取证和计算机证据的基本概念，进而对实施计算机取证时的相关技术及工具应用进行了探讨，最后分析了该技术发展趋势。

关键词:计算机取证；计算机证据；数据恢复

中图分类号：TP301文献标识码：A文章编号：1671-4792-(2009)3-0076-02

Abstract:This article introduces the basic concepts of computer forensics and computer evidence,and it discusses on the computer forensics with relevant technology and tools in this application.At last,it analyzes the developmental tendency of computer forensics.

Keywords:Computer Forensics;Computer Evidence;Data Restorati on

76