信息安全 之 计算机取证[问题点数:20分,结帖人
分类:betway 热度:

  计算机取证的重要性是很显然的。

  除了没电脑的家庭个人之外,有电脑的家庭个人,还有几乎所有的公司、事业单位、政府机关、组织,要保存自己的信息,同时有选择地给他人共享。

  除了手机数量国内是全球第—之外,网民数量亦在全球第一。

  因此,移动智能终端,和网站服务器,是网民经常使用和光顾的所在。几乎第一概念、第一时间,就会联想到“三网合一”。即电信移动网,电视网,计算机网络。

  手机看电视的同时,可以以此为平台进行用户之间的交互。计算机网络中的专网,主要涉及各种能源网络是非常值得关注的。

  那么,面对如此复杂的计算环境和用户环境,计算机取证有什么轨迹可寻呢?

  第一,数据和用户的关联性。此用户,既可包括具体的个人和群体,又指使用帐号密码者,是虚拟的用户的概念,后者的核心是以其操作行为为取向的。

  法律讲究“责任、权利、义务”,就必须要将责任锁定到具体的用户及其行为。

  但这是非常困难的。

  再阐明,就是要用证据证明:“这一计算机相关联的行为,是这一用户所作”。

  第二,存储组织。

  1、可能你即使读取到硬盘和U盘上的数据,都不能作为法庭证据。要证明获取手段是合法的,并且要证明获取的正是所需。

  2、不管是用已有的程序,还是用自行编写的程序获取硬盘数据,都首先必须证明该程序合法、正确。

  3、这类程序都是承载在现有的计算机操作系统之上的。要理解这些内容。至少对EXE文件结构要充分了解。

  4、犯事都是用某种能够运行的智能程序所为,对此种智能程序要建立历史数据库(既保存各种不同的版本),能够搭建犯罪现场的平台;同时,要有回溯机制,这样才能一步步进行分析。

  5、硬盘的证据数据都是犯事程序所为,必须证明这一点。

  6、硬盘的证据数据都是犯事者使用或者利用犯事程序所为,也必须证明这一点。

  这即是开宗明义所提的“关联性”。

  第三,日期和时间。

  记叙文记叙事件时,都有“HOW,WHY,WHAT,WHO,WHERE,WHEN,WHOM”这些因素,如果不能确认这些证据数据的时间,是不行的。

  只有按照操作系统组织的数据,才会有日期和时间。包括建立时间,最新修改时间。

  象操作系统UNIX,还有文件的主要的授权信息,如拥有者,读者,写者,执行者。

  第四、需要充分、深入地利用操作系统。

上一篇:一个朋友刚搬进新房,请吃饭,送什么礼物 下一篇:没有了
猜你喜欢
各种观点
热门排行
精彩图文