计算机系统层次模型,计算机取证的层次模型

本词条缺少信息栏、概述图，补充相关内容使词条更完整，还能快速升级，赶紧来编辑吧！

该模型是第十九次计算机安全技术交流会上提出的.这一模型认为:计算机取证可以分为证据发现层,证据固定层,证据提取层,证据分析层和证据表达层五个层次.我们可以认为:这五个层次就构成了一个层次模型.

计算机取证的层次模型

证据发现层:计算机证据的发现就是通过侦查和现场勘察搜集最原始的证据.计算机证据的发现技术实际上属于侦查技术.可以把一般的侦查技术与计算机技术相结合进行研究.这方面的研究包括取证专用的入侵检测系统(Intrusion Detection System, IDS),网络线索自动挖掘技术,溯源技术,数据过滤,磁盘镜像技术等等.根据计算机证据的来源的不同, 计算机证据的发现可以分为网络证据的发现,单机证据的发现和相关设备证据的发现.

证据固定层:计算机证据的固定主要是解决证据的完整性验证,即通过数字签名和见证人签名等保证现场勘察和侦查获得的数据的完整性和真实性.

证据提取层:证据的提取从本质上说就是从众多的未知和不确定性中找到确定性的东西,通过数据恢复,残缺数据提取,解码,解密,过滤等技术将原始数据表达成可以理解的抽象数据.

证据分析层:分析证据是计算机取证的核心和关键.即通过关联分析证实信息的存在,信息的来源以及信息传播途径,重构犯罪行为,动机以及嫌疑人特征.证据分析的内容包括:分析计算机的类型,采用的操作系统,是否为多操作系统或有无隐藏的分区;有无可疑外设;有无远程控制,木马程序及当前计算机系统的网络环境.注意分析过程的开机,关机过程,尽可能避免正在运行的进程数据丢失或存在的不可逆转的删除程序.分析在磁盘的特殊区域中发现的所有相关数据.利用磁盘存储空闲空间的数据分析技术进行数据恢复,获得文件被增,删,改,复制前的痕迹.等等.

证据表达层:证据的提取从本质上说就是从众多的未知和不确定性中找到确定性的东西,通过数据恢复,残缺数据提取,解码,解密,过滤等技术将原始数据表达成可以理解的抽象数据.

取证人员面对的是各种互不相同的案件,有些甚至不是刑法上定义的计算机犯罪而是其他犯罪.所以计算机取证应该不仅仅是计算机犯罪证据的获取.因此,证据的获取很难说有固定的,一成不变的方法和模式,应该具体问题具体分析.

把对目标计算机系统的全面分析和追踪结果进行汇总,然后给出分析结论,这一结论的内容应包括:系统的整体情况,发现的文件结构,数据,作者的信息,对信息的任何隐藏,删除,保护,加密企图,以及在调查中发现的其它的相关信息.标明提取时间,地点,机器,提取人及见证人.然后以证据的形式按照合法的程序提交给司法机关.