計算機系統取證的方法如下:
基于入侵檢測取證技術:基于入侵檢測取證技術是指通過計算機網絡或計算機系統中的若干關鍵點收集信息并對其進行分析,從中發現網絡或系統中是否有違反安全策略的行為和遭到襲擊的跡象的一種安全技術,簡稱 IDS(Intrusion Detection System)。入侵檢測技術是動態安全技術的最核心技術之一。它的原理就是利用一個網絡適配器來實時監視和分析所有通過網絡進行傳輸的通信,而網絡證據的動態獲取也需要對位于傳輸層的網絡數據通信包進行實時的監控和分析,從中發現和獲得嫌疑人的犯罪信息。因此,計算機網絡證據的獲取完全可以依賴現有 IDS 系統的強大網絡信息收集和分析能力,結合取證應用的實際需求加以改進和擴展,就可以輕松實現網絡證據的獲取。
來源取證技術:來源取證技術的主要目的是確定嫌疑人所處位置和具體作案設備。主要通過對網絡數據包進行捕捉和分析,或者對電子郵件頭等信息進行分析,從中獲得犯罪嫌疑人通信時的計算機 IP 地址和 MAC 地址等相關信息。調查人員通過 IP 地址定位追蹤技術進行追蹤溯源,查找出嫌疑人所處的具體位置。MAC 地址是由網絡設備制造商生產時直接寫在每個硬件內部的全球唯一地址。調查人員通過 MAC 地址和相關調查信息就可以最終確認犯罪分子的作案設備。
痕跡取證技術:痕跡取證技術是指通過專用工具軟件和技術手段,對犯罪嫌疑人所使用過的計算機設備中相關記錄和痕跡信息進行分析取證,從而獲得案件相關的犯罪證據。主要有文件內容、電子郵件、網頁內容、聊天記錄、系統日志、應用日志、服務器日志、網絡日志、防火墻日志、入侵檢測、磁盤驅動器、文件備份、已刪除可恢復的記錄信息等。痕跡取證技術要求取證人員需要具備較高的計算機專業水平和豐富的取證經驗,結合密碼破解、加密數據的解密、隱藏數據的再現、數據恢復、數據搜索等技術,對系統進行分析和采集來獲得證據。
海量數據挖掘技術:計算機的存儲容量越來越大,網絡傳輸的速度也越來越快。對于計算機內部存儲和網絡傳輸中的大量數據,可以用海量數據挖掘技術發現特定的與犯罪有關的數據。數據挖掘技術主要包括關聯規則分析、分類和聯系分析等。運用關聯規則分析方法可以提取犯罪行為之間的關聯特征,挖掘不同犯罪形式的特征、同一事件的不同證據之間的聯系;運用分類方法可以從數據獲取階段獲取的海量數據中找出可能的非法行為,將非法用戶或程序的入侵過程、入侵工具記錄下來;運用聯系分析方法可以分析程序的執行與用戶行為之間的序列關系,分析常見的網絡犯罪行為在作案時間、作案工具以及作案技術等方面的特征聯系,發現各種事件在時間上的先后關系。
網絡流量監控技術:網絡流量監控技術可以通過 Sniffer 等協議分析軟件和 P2P 流量監控軟件實時動態地跟蹤犯罪嫌疑人的通信過程,對嫌疑人正在傳輸的網絡數據進行實時連續的采集和監測,對獲得的流量數據進行統計計算,從而得到網絡主要成分的性能指標,對網絡主要成分進行性能分析,找出性能變化趨勢,得到嫌疑人的相關犯罪痕跡的技術。
會話重建技術:會話重建是網絡取證中的重要環節。分析數據包的特征,并基于會話對數據包進行重組,去除協商、應答、重傳、包頭等網絡信息,以獲取一條基于完整會話的記錄。具體過程是:首先,把捕獲到的數據包分離,逐層分析協議和內容;然后,在傳輸層將其組裝起來,在這一重新組合的過程中可以發現很多有用的證據,例如,數據傳輸錯誤、數據丟失、網絡的聯結方式等。
事前取證技術:現有的取證技術基本上都是建立在案件發生后,根據案情的需要利用各種技術對需要的證據進行獲取,即事后取證。而由于計算機網絡犯罪的特殊性,許多重要的信息,只存在于案件發生的當前狀態下,如環境信息、網絡狀態信息等在事后往往是無據可查,而且電子數據易遭到刪除、覆蓋和破壞。因此,對可能發生的事件進行預防性的取證保全,對日后出現問題的案件的調查和出庭作證都具有無可比擬的作用,它將是計算機取證技術未來發展的重要方向之一。對此類防范和預防性的取證工具軟件,在國內外還比較少見。現有據可查的就是福建伊時代公司于 2007 年推出的電子證據生成系統。該系統采用其獨創的 “數據原生態保全技術” 來標識電子證據,并將其上傳存放于安全性極高的電子證據保管中心,充分保證電子證據的完整性、真實性和安全性,使之具備法律效力。它可以全天候提供電子郵件、電子合同、網絡版權、網頁內容、電子商務、電子政務等電子證據的事前保全服務。
回答所涉及的環境:聯想天逸510S、Windows 10。
計算機系統取證的方法如下:
基于入侵檢測取證技術:基于入侵檢測取證技術是指通過計算機網絡或計算機系統中的若干關鍵點收集信息并對其進行分析,從中發現網絡或系統中是否有違反安全策略的行為和遭到襲擊的跡象的一種安全技術,簡稱 IDS(Intrusion Detection System)。入侵檢測技術是動態安全技術的最核心技術之一。它的原理就是利用一個網絡適配器來實時監視和分析所有通過網絡進行傳輸的通信,而網絡證據的動態獲取也需要對位于傳輸層的網絡數據通信包進行實時的監控和分析,從中發現和獲得嫌疑人的犯罪信息。因此,計算機網絡證據的獲取完全可以依賴現有 IDS 系統的強大網絡信息收集和分析能力,結合取證應用的實際需求加以改進和擴展,就可以輕松實現網絡證據的獲取。
來源取證技術:來源取證技術的主要目的是確定嫌疑人所處位置和具體作案設備。主要通過對網絡數據包進行捕捉和分析,或者對電子郵件頭等信息進行分析,從中獲得犯罪嫌疑人通信時的計算機 IP 地址和 MAC 地址等相關信息。調查人員通過 IP 地址定位追蹤技術進行追蹤溯源,查找出嫌疑人所處的具體位置。MAC 地址是由網絡設備制造商生產時直接寫在每個硬件內部的全球唯一地址。調查人員通過 MAC 地址和相關調查信息就可以最終確認犯罪分子的作案設備。
痕跡取證技術:痕跡取證技術是指通過專用工具軟件和技術手段,對犯罪嫌疑人所使用過的計算機設備中相關記錄和痕跡信息進行分析取證,從而獲得案件相關的犯罪證據。主要有文件內容、電子郵件、網頁內容、聊天記錄、系統日志、應用日志、服務器日志、網絡日志、防火墻日志、入侵檢測、磁盤驅動器、文件備份、已刪除可恢復的記錄信息等。痕跡取證技術要求取證人員需要具備較高的計算機專業水平和豐富的取證經驗,結合密碼破解、加密數據的解密、隱藏數據的再現、數據恢復、數據搜索等技術,對系統進行分析和采集來獲得證據。
海量數據挖掘技術:計算機的存儲容量越來越大,網絡傳輸的速度也越來越快。對于計算機內部存儲和網絡傳輸中的大量數據,可以用海量數據挖掘技術發現特定的與犯罪有關的數據。數據挖掘技術主要包括關聯規則分析、分類和聯系分析等。運用關聯規則分析方法可以提取犯罪行為之間的關聯特征,挖掘不同犯罪形式的特征、同一事件的不同證據之間的聯系;運用分類方法可以從數據獲取階段獲取的海量數據中找出可能的非法行為,將非法用戶或程序的入侵過程、入侵工具記錄下來;運用聯系分析方法可以分析程序的執行與用戶行為之間的序列關系,分析常見的網絡犯罪行為在作案時間、作案工具以及作案技術等方面的特征聯系,發現各種事件在時間上的先后關系。
網絡流量監控技術:網絡流量監控技術可以通過 Sniffer 等協議分析軟件和 P2P 流量監控軟件實時動態地跟蹤犯罪嫌疑人的通信過程,對嫌疑人正在傳輸的網絡數據進行實時連續的采集和監測,對獲得的流量數據進行統計計算,從而得到網絡主要成分的性能指標,對網絡主要成分進行性能分析,找出性能變化趨勢,得到嫌疑人的相關犯罪痕跡的技術。
會話重建技術:會話重建是網絡取證中的重要環節。分析數據包的特征,并基于會話對數據包進行重組,去除協商、應答、重傳、包頭等網絡信息,以獲取一條基于完整會話的記錄。具體過程是:首先,把捕獲到的數據包分離,逐層分析協議和內容;然后,在傳輸層將其組裝起來,在這一重新組合的過程中可以發現很多有用的證據,例如,數據傳輸錯誤、數據丟失、網絡的聯結方式等。
事前取證技術:現有的取證技術基本上都是建立在案件發生后,根據案情的需要利用各種技術對需要的證據進行獲取,即事后取證。而由于計算機網絡犯罪的特殊性,許多重要的信息,只存在于案件發生的當前狀態下,如環境信息、網絡狀態信息等在事后往往是無據可查,而且電子數據易遭到刪除、覆蓋和破壞。因此,對可能發生的事件進行預防性的取證保全,對日后出現問題的案件的調查和出庭作證都具有無可比擬的作用,它將是計算機取證技術未來發展的重要方向之一。對此類防范和預防性的取證工具軟件,在國內外還比較少見。現有據可查的就是福建伊時代公司于 2007 年推出的電子證據生成系統。該系統采用其獨創的 “數據原生態保全技術” 來標識電子證據,并將其上傳存放于安全性極高的電子證據保管中心,充分保證電子證據的完整性、真實性和安全性,使之具備法律效力。它可以全天候提供電子郵件、電子合同、網絡版權、網頁內容、電子商務、電子政務等電子證據的事前保全服務。
回答所涉及的環境:聯想天逸510S、Windows 10。