电子证据收集与还原系统的设计与实现

随着计算机技术的发展,借助计算机及网络等高科技的犯罪事件逐年增加,危害也越来越大。为了打击计算机犯罪,计算机取证技术应运而生。文章设计并实现了一款基于Windows的电子证据收集与还原系统。该系统主要采用AES算法,基于RSA的数字签名、MD5散列算法及密钥分配与管理等技术,实现从海量信息中有效快速地收集电子证据,同时还确保了电子证据从提取到分析过程中的有效性、完整性和防篡改性,使得收集的电子证据更具有证明力。通过测试与分析,证明了该系统设计合理、效率高、操作简单,具有很强的实用性。     

电子数据证据收集系统的研究与保护

随着计算机犯罪的不断增加,电子数据取证技术（digital forensic technology）越来越受到人们的重视．电子数据证据不同于传统的犯罪证据,它们更加容易消失和被破坏,为了获得完整可信的电子数据证据,提出应在敏感主机中预先安装设置电子数据证据收集系统（digital evidence collecting system．DECS）,用来收集系统中的相关证据．由于DECS的某些模块往往存在于被攻击系统之中,提出使用安全隔离环境是保护电子数据证据收集机制有效的方法,并设计了一个安全保护机制——I-LOMAC．     

计算机取证模型研究

在计算机犯罪发生后对现场信息进行事后的收集,难以确保证据的真实性和及时性。提出了一个基于动态采集理念的计算机取证模型,介绍了该模型的功能模块,将模糊C均值聚类算法引入到数据分析阶段,采用XML技术表示取证结果,实现了基于该模型的计算机取证原型系统。实验证明,原型系统能采集到准确、有效的电子证据。     

电子取证实验室建设谈

电子取证又称为计算机取证或计算机法医学,是研究如何对计算机、网络入侵与犯罪的证据进行获取、保存、分析和出示的科学技术。在实施电子取证如何做到取证的准确和可靠,如何保证取证中的电子证据合规有效,如何规避在电子取证实施过程中的安全风险,是我国电子取证领域研究亟待解决的问题,而构建安全可靠的电子取证队伍,特别是加强实验室建设,是解决这一问题的有效途径。为此,本刊编辑部特邀请了部分业内专家,介绍了国内电子取证发展现状及各实验室的建设情况。     

分布式自治型计算机取证系统研究

针对目前取证系统的时效性不足和通信瓶颈等问题,提出了一种分布式自治型计算机取证系统。该系统利用自治取证节点对所有可能的入侵行为进行实时动态取证,并采用了安全有效的方式对证据及时保存。由于取证节点具有自治取证能力,系统的整体性能得到了优化。实验表明：该系统能实时取到真实有效的电子证据,并具有很强的容错能力。     

面向IaaS云服务基础设施的电子证据保全与取证分析系统设计

随着云技术在计算机网络领域的广泛应用,云环境下的安全审计与电子取证需求也日益迫切。由于云取证与传统计算机取证在取证环境、证据获取及证据分析方面有较大区别,目前尚缺乏有效的针对云的电子取证方法及技术手段,云系统作为一种信息系统,其可审计性得不到保证。文章设计了一套新的云取证系统,面向IaaS云服务的基础设施,通过采集终端对云系统中虚拟机进行监控并主动采集证据,同时将采集到的证据集中存放于一处,取证系统实时取证、证据集中保全的特性可以有效应对云环境下证据易失、证据提取困难的特点,达到高效取证。     

基于协议分析的网络入侵动态取证系统设计

计算机取证技术分为静态取证和动态取证两种。静态取证技术由于采用事后分析的方法提取证据,因而证据的采集不够全面,同时恢复的数据可能是已经被篡改的数据,因而法律效力低。文中将计算机取证技术与入侵检测技术结合,提出一种基于协议分析的网络入侵动态取证系统。该系统采用基于协议分析的入侵检测方法,提高了入侵检测效率及数据分析能力,有助于解决动态取证的实时性;同时系统采取了较全面的安全机制,确保收集的电子证据的真实性、有效性、不可篡改性,是动态计算机取证的一种较好解决方案。     

网络取证系统及工具分析

随着网络技术的发展,计算机网络犯罪总量持续上升,计算机取证工作显得越来越重要。计算机取证分为事后取证和实时取证。早期的实时取证所利用的网络安全工具在取证学角度都存在一定的局限性,它们所产生的数据不能成为法律意义上的证据。由此,网络取证系统应运而生,它对网络入侵事件、网络犯罪活动进行证据获取、保存、分析和还原,弥补了传统安全工具在实时取证中的不足。文中对网络取证系统进行了详细分析,并对目前的一些网络取证工具进行了比较。     

基于协议分析的网络入侵动态取证系统设计

计算机取证技术分为静态取证和动态取证两种。静态取证技术由于采用事后分析的方法提取证据，因而证据的采集不够全面，同时恢复的数据可能是已经被篡改的数据，因而法律效力低。文中将计算机取证技术与入侵检测技术结合，提出一种基于协议分析的网络入侵动态取证系统。该系统采用基于协议分析的入侵检测方法，提高了入侵检测效率及数据分析能力，有助于解决动态取证的实时性；同时系统采取了较全面的安全机制，确保收集的电子证据的真实性、有效性、不可篡改性，是动态计算机取证的一种较好解决方案。     

网络取证系统及工具分析

随着网络技术的发展,计算机网络犯罪总量持续上升,计算机取证工作显得越来越重要.计算机取证分为事后取证和实时取证.早期的实时取证所利用的网络安全工具在取证学角度都存在一定的局限性,它们所产生的数据不能成为法律意义上的证据.由此,网络取证系统应运而生,它对网络入侵事件、网络犯罪活动进行证据获取、保存、分析和还原,弥补了传统安全工具在实时取证中的不足.文中对网络取证系统进行了详细分析,并对目前的一些网络取证工具进行了比较.     

基于Windows系统的入侵证据收集研究

目前,世界各国对计算机取证技术进行了大量的研究与实践,但是大多数都是基于Linux(Unix)系统的计算机取证技术研究,而Windows系统作为目前最常用的操作系统,尤其在我们国家大多数人都在使用,因此,研究windows系统上的入侵证据收集方法具有非常重要的现实意义。通过对Windows系统特性分析,给出显形证据与隐形证据的收集方法,以获取重要的入侵线索和结论。为解决计算机取证遇到的问题,打击计算机犯罪、保障国家信息安全做出贡献。     

计算机动态取证系统模型研究

在犯罪事件发生后对犯罪行为进行事后的取证,存在着证据的真实性、有效性和及时性问题。本文提出将取证技术结合到防火墙、入侵检测系统中,对所有可能的计算机犯罪行为进行实时的动态取证,重点研究了基于数据挖掘的多智能代理动态取证系统模型以及基于该模型下的数据获取模块和数据分析模块。     

基于UNIX系统的计算机取证标准体系研究

本文首先对计算机取证进行概要论述;然后提出计算机取证遇到的问题-计算机证据有效性问题和基于UNIX系统的计算机取证困难问题;分析得出建立基于UNIX系统的计算机取证标准体系是有效的应对途径;建立规范且有利于实务操作的基于UNIX系统的计算机取证标准体系。解决计算机取证遇到的问题,为打击计算机犯罪、保障国家信息安全作贡献。     

Network forensics based on fuzzy logic and expert system

Network forensics is a research area that finds the malicious users by collecting and analyzing the intrusion or infringement evidence of computer crimes such as hacking. In the past, network forensics was only used by means of investigation. However, nowadays, due to the sharp increase of network traffic, not all the information captured or recorded will be useful for analysis or evidence. The existing methods and tools for network forensics show only simple results. The administrators have difficulty in analyzing the state of the damaged system without expert knowledge. Therefore, we need an effective and automated analyzing system for network forensics. In this paper, we firstly guarantee the evidence reliability as far as possible by collecting different forensic information of detection sensors. Secondly, we propose an approach based on fuzzy logic and expert system for network forensics that can analyze computer crimes in network environment and make digital evidences automatically. At the end of the paper, the experimental comparison results between our proposed method and other popular methods are presented. Experimental results show that the system can classify most kinds of attack types (91.5% correct classification rate on average) and provide analyzable and comprehensible information for forensic experts.     

针对Windows7系统的计算机取证问题分析

最新的个人操作系统Windows 7给用户提供了更稳定的系统性能和更安全的操作环境,但同时也对计算机取证工作带来新的问题。针对Windows 7系统,从注册表分析、数据保护与破解、网络浏览和文档编辑等角度入手,分析了计算机取证涉及的多类问题及其解决方法,能够更好地指导计算机取证工作。     

电子取证应用研究综述

近年来,电子数据取证对案件侦破起着重要的作用,由于电子数据具有易失性、易破坏性等特点,需要取证人员具备专业的电子取证技术和方法,才能最后分析出有用的证据,保证案件的真实性和客观性,详细分析三种取证技术和方法：基于Windows的电子取证、基于智能手机的电子取证,基于网络的电子取证,其中基于智能手机的电子取证包括Android手机和iPhone手机,并提出电子取证技术未来的发展方向.     

论计算机取证

随着信息技术的发展,计算机犯罪活动越来越多。如何利用计算机取证技术搜集电子证据、惩治犯罪,已成为人们关注的焦点。该文主要介绍了计算机取证的概念、原则、过程以及一些常用的计算机取证工具,并详细介绍了Encase软件的使用。     

云取证模型的构建与分析

计算机取证存在证据获取困难及日志处理量大的问题。为此,将云计算思想引入计算机取证中,提出一种云取证模型。该模型利用Agent技术获取证据,增强证据获取的自主性、智能性,利用云计算中的虚拟化技术和协作技术,提高取证效率及计算机证据的安全性,引入反馈技术,完善取证体制。实验结果验证了该模型的有效性。     

Quality assurance evidence collection model for MSN forensics

Instant Messaging (IM) applications have become an important tool for business and social communication. However, when using IM, individuals and companies expose themselves to many security threats. Collecting all available data and preserving the integrity of evidence is a challenging task to perform IM forensics. In particular, under resource constrained situations, a good evidence collection mechanism is required to provide effective event collection in a network environment with heavy traffic. The emphasis of this paper is on the development of an effective evidence collection control mechanism that achieves an optimal outcome with a reasonable forensic service requests acceptance ratio and tolerable level of data capture loss. In this paper, we propose an evidence collection control model used in network forensics, called Quality Assurance Evidence Collection (QAEC). QAEC dynamically adjusts the amount of data to be collected on an evidence flow according to the storage capacity level. QAEC is firstly modeled as the Continuous Time Markov Chain (CTMC) and is realized by a cost function that comprises both flow-level and packet-level components to reflect the efforts on the evidence reconstruction process. We also present a prototype system (known as the MSN-Shot) as a MSN forensic system which uses QAEC to select an appropriate evidence collection strategy to maximize the given cost function. With the numerical analysis and prototype results, this study confirmed that the QAEC model meets cost-effective requirements and provides a practical security solution and guarantees a high level of quality assurance for network forensics.