计算机取证技术研究

随着信息技术、网络技术的发展,计算机越来越多的出现在犯罪活动当中,计算机取证正逐渐成为人们研究与关注的焦点。本文首先介绍了计算机取证的概念、特点、取证的原则和取证的步骤,然后探讨了计算机取证的相关技术和软件。     

计算机取证中的取证软件的联合应用研究

随着计算机应用的普及，计算机犯罪和其他犯罪的很多证据都以数字形式通过计算机或网络进行存储和传输，从而出现了电子证据。由于电子证据的特殊性，其获取、存储、传输和分析都需要特殊的技术手段和严格的程序，否则，难以保证证据的客观性、关联性和合法性。本文采用理论联系实践的方法，对计算机取证软件的应用问题进行一定的探讨。     

计算机取证中的取证软件的联合应用研究

随着计算机应用的普及,计算机犯罪和其他犯罪的很多证据都以数字形式通过计算机或网络进行存储和传输,从而出现了电子证据.由于电子证据的特殊性,其获取、存储、传输和分析都需要特殊的技术手段和严格的程序,否则,难以保证证据的客观性、关联性和合法性.本文采用理论联系实践的方法,对计算机取证软件的应用问题进行一定的探讨.     

一种诱惑策略计算机动态取证技术思路

随着网络技术的发展,利用计算机进行的犯罪案件不断增加,手段不断翻新,危害不断加大,从病毒木马肆虐到黑客入侵和间谍软件横行,网络信息安全面临极大挑战。为有力打击计算机犯罪,保障国家与公众信息安全,电子数据取证（Digital Forensic）已受到各国的高度重视,而计算机动态取证是一种以诱惑策略为主的电子数据取证技术,必将成为当前研究的热点。     

电子数据取证中数据恢复的应用

本文对Windows系统下电子数据取证中磁盘映像拷贝技术等进行研究,借助于对技术的分析和运用,提升技术的应用效果,能够满足更多电子数据取证的需求。     

计算机取证：兴起中的需求

[前言]随着计算机和互联网的普及,利用这些信息化手段犯罪的人越来越频繁,对计算机取证的需求也越来越多。同时,企业的业务订单、网银、电子商务、消费支付、工商、税务等电子化业务越来越成为大势所趋,手机短信、Email、即时通信记录等都可以作为法律证据,而这些也给法律上的技术取证带来了一定的难度和挑战,另一方面也促进了计算机取证研究以及相关技术、手段的探索和提高。本期记者采访了在计算机取证领域有着资深研究的中科院高能所网络安全实验室首席科学家许榕生研究员,他详细介绍了我国以及国际上取证技术的发展程度与现状、难题。本刊随后将推出计算机取证的相关专题系列文章,敬请大家关注!     

计算机取证分析和响应程序

由于电子证据的特殊性,计算机取证必须遵循严格的过程和程序,否则会导致所获取的证据缺乏真实性和可信性而不被采用。本文概述了制定取证分析和响应程序的目标,并就程序涉及的相关步骤进行了分析。     

浅谈电子数据取证现场勘验方法

电子科学技术的不断更新发展在给人们的日常生活带来极大便利和帮助的同时,也为不法分子提供了许多高科技的犯罪手段。针对其犯罪手段,南通市公安局采用了电子数据取证现场勘验的方法,这对迅速破获案件、搜集获取犯罪证据提供了很大的帮助,能为公安局快速抓获犯罪嫌疑人提供帮助。文章介绍了电子数据取证现场勘验的流程、原则,分析了电子数据取证在公安局办案中的困难及发展现状,并提供了一些建议。     

面向主机的计算机取证技术研究

在分析电子取证技术相关研究基础上,针对计算机主机取证技术进行研究,对主机的电子证据来源和面向主机的计算机取证流程进行了阐述,并提出了取证过程中需要注意的问题。     

浅析Apple Watch取证技术与方法

随着移动互联网技术的日益发展,移动智能终端已经能够代替计算机处理很多日常应用,而目前智能手表中最炙手可热的就是Apple Watch。本文首先对Apple Watch作了简要介绍,然后较详细的阐述了Apple Watch取证以及取证过程中应注意的问题。     

电子数据证据收集系统保护机制的研究与实现

随着计算机犯罪的不断增加,电子数据取证技术(Digital Forensic Technologies)越来越受到人们的重视.目前对计算机取证技术的研究主要集中于证据提取及证据分析等方面,而对取证机制本身的安全没有考虑,这使得电子数据证据的完整性得不到充分的保障.在对相关研究工作进行分析的基础上,文中提出安全隔离环境是用于保护电子数据取证机制的有效方法,并设计和实现一个安全保护机制——I-LOMAC,验证了以上方法是符合实际并有效的.     

基于运行期指令流的数字取证分析

Computer system's runtime information is an essential part of the digital evidence. Current digital forensic approaches mainly focus on memory and I/O data, while the runtime instructions from processes are often ignored. We present a novel approach on runtime instruction forensic analysis and have developed a forensic system which collects instruction flow and extracts digital evidence. The system is based on whole-system emulation technique and analysts are allowed to define analysis strategy to improve analysis efficiency and reduce overhead. This forensic approach and system are applicable to binary code analysis, information retrieval and malware forensics.     

A Digital Evidence Fusion Method in Network Forensics Systems with Dempster-Shafer Theory

Network intrusion forensics is an important extension to present security infrastructure,and is becoming the focus of forensics research field.However,comparison with sophisticated multi-stage attacks and volume of sensor data,current practices in network forensic analysis are to manually examine,an error prone,labor-intensive and time consuming process.To solve these problems,in this paper we propose a digital evidence fusion method for network forensics with Dempster-Shafer theory that can detect efficiently computer crime in networked environments,and fuse digital evidence from different sources such as hosts and sub-networks automatically.In the end,we evaluate the method on well-known KDD Cup1999 dataset.The results prove our method is very effective for real-time network forensics,and can provide comprehensible messages for a forensic investigators.     

一种数字内容侵权散布与取证模型

结合社交网络广泛的开放特性及非对称数字水印技术不易泄漏密钥的特点,提出了一种数字内容侵权散布与取证模型.利用非对称数字水印算法加载不可剥离版权信息来满足不易伪造性、强抗攻击性的要求.对网络传输过程中被攻击的数字内容提取水印,并转换成频域值,再通过聚类算法完成侵权信息的提取.最后对模型性能进行仿真分析,结果表明该模型具有较高的安全性及取证完整度,从而防止了非法拷贝与扩散,保护了知识版权.     

计算机取证中增强电子证据时态性方案

计算机取证中,一般的硬盘数据,作为电子证据,由于它的时态局限性,并不能反映和证实某些事件的时间及状态,这显然缩小了其证明内容的范围,降低了其证明内容的效力.文中讨论电子证据的时态性,针对易失性数据、(通信)网络数据等新的取证对象,提出了增强电子证据时态性的取证流程模型,在一定程度上可以扩大电子证据证明范围,提高其证明效力.从技术和法律视角而言,这对于制定计算机取证流程和规则、维护和保障通信网络安全、打击相关犯罪活动具有积极的司法应用和实践意义.     

暗网取证研究

随着互联网技术的高速发展,人们对上网的需求不只局限在内容上,更多地开始重视对网络信息内容、网络通信双方身份及通信模式的隐匿保护.暗网正是采用隐匿上网者的IP报文信息的手段,来保护个人私有信息并实现防追踪功能.由于暗网的特性,当前针对暗网的监管较少,同时暗网的"匿名技术"使得寻常手段很难追踪到暗网的使用者.以上因素造成了...     

利用Photoshop中高斯模糊进行篡改的取证方法

经过篡改伪造后的数字图像,几乎都需要使用模糊操作对篡改伪造边缘进行润饰处理,以实现篡改区域的不可见性,因此对模糊润饰操作的检测可以作为篡改伪造取证的重要依据之一.通过对JPEG图像中DCT系数块内相关性的分析,得到二维高斯分布描述量化DCT系数的联合概率密度分布,因此,通过提取高斯模糊篡改的图像DCT系数的联合概率密度特征与未篡改图像的DCT系数的联合概率密度进行对比检测取证.实验表明,该方法能够有效地检测经过Photoshop高斯模糊篡改的数字图像.     

从64位Windows 7系统物理内存镜像中提取网络连接信息的方法

Memory analysis gains a weight in the area of computer live forensics.How to get network connection information is one of the challenges in memory analysis and plays an important role in identifying sources of malicious cyber attack. It is more difficult to find the drivers and get network connections information from a 64-bit windows 7 memory image file than from a 32-bit operating system memory image file. In this paper, an approach to find drivers and get network connection information from 64-bit windows 7 memory images is given. The method is verified on 64-bit windows 7 version 6.1.7600 and proved reliable and efficient.     

数字示波器检定方法研究

为保证数字示波器的量值准确，针对其数字化的特点，从总体方案入手，采用分项检定的方法，详细地阐述了对时基、带宽与上升时间等项目的检定，给出了目前硬件设备条件下较为完整的检定方案。     

计算机取证研究综述

With the development of Internet and information technology, the digital crimes are also on the rise. Computer forensics is an emerging research area that applies computer investigation and analysis techniques to help detection of these crimes and gathering of digital evidence suitable for presentation in courts. This paper provides foundational concept of computer forensics, outlines various principles of computer forensics, discusses the model of computer forensics and presents a proposed model.