………………………………………………………………………………….38第五章总结及未来的工作…………………………………………………………“40 5.1总结……………………………………………………………………………………………………….40 5.2未来的工作……………………………………………………………………。
41致{射………………………………………………………………………………………………………………“42攻硕期间从事的科研工作及取得的研究成果………………………………………43参考文献………………………………………………………………………………44 lV重庆邮电大学硕士论文 第一章绪论 第一章绪论1.1论文选题背景 信息化时代的高速发展,电子商务和因特网技术的日新月异使计算机犯罪愈演愈烈,计算机取证成为研究的一个热点领域。
与此同时,反取证技术的出现则使得证据获取、数据恢复等多方面的取证问题变得更为复杂。
简单来说,反取证就是通过删除或隐藏证据等,使取证调查无效的技术【l】。
目前的反取证技术主要有数据擦除、数据隐藏、数据加密,以及这些技术的结合使用【2,3】。
数据擦除是最有效的反取证方法,它清除所有的证据,原始数据一旦不存在,取证自然就无法进行;数据隐藏则是将证据隐藏在取证者找不到的地方,例如,犯罪者把暂时不能删除的文件伪装成其他类型的文件,或把它们隐藏在图形或音乐文件中,也可以将数据文件隐藏在磁盘的隐藏空间中等等【4】;数据加密,多是对可执行文件的加密,因为在被入侵主机上执行的黑客程序无法被隐藏,这些程序不想被取证人员分析其作用的话,就在程序运行前,执行一个文本解密程序,被解密的代码可能是黑客程序,也可能是另一个解密程序。
计算机取证,又称数字取证或电子取证,是指对计算机入侵、破坏、欺诈、攻击等犯罪行为利用计算机软硬件技术,按照符合法律规范的方式进行证据获取、保存、分析和出示的过程【5,6】。
从技术角度而言,计算机取证是一个对受侵计算机系统进行扫描和破解17一,对入侵事件进行重建的过程。
各类反取证技术本质上都是针对潜在证据进行隐藏或破坏,所以,在计算机取证过程中,计算机证据占据着关键的地位。
计算机证据也称为电子证据,是指在计算机系统运行过程中产生的,以数字形式保存于计算机主存储器或外部存储介质中,以其记录的内容来证明案件真实情况的数据或信息【9】。
电子证据表现为文档、图形、图像、声音等形式【l o】,除了必须具备传统证据的可信性、准确性、完整性,以及能被法庭认可外,还具有自己的特点:电子证据是不断变化的,并且容易受到破坏;电子证据不是直观的,不能直接被人眼所识别,必须借助一定的取证工具才能获取;电子证据能够被反复使用;电子证据存在的形式具有多样性【11,121。
电子证据是计算机取证的核心,其关键在于自身是否具有法律认可的证明力【l3’14J,电子证据要具有法律认可的证据能力就必须是真实、可靠、完整和符合法律规定的。
由于电子证据具有明显的数字化特性:易被删除、易被伪造、易被篡改、篡改后不易被发现等,保证电子证据的完整性就成为了研究热点。
重庆邮电大学硕士论文 第一章绪论 当前,随着取证案件复杂性的不断变大,案件涉及的往往不是单个计算机,而存储设备的存储容量也飞速增长,因此,取证对象呈千兆字节乃至百亿字节的增长。
计算机取证面临的主要难题之一是海量证据处理,由于目前的取证调查过程都偏于手工化,取证的时效性与取证成本都难以控制,大规模数字取证调查面临如何满足海量待处理数据的计算需求的挑战Il 5。
。
H础工具,是自动化计算机取证分析的重要手段之一【16】。
HaSh函数是一种把任意长的输入字符串变化成固定长度的输出字符串的函数,它在公钥密码、数字签名、完整性检验、身份认证等安全技术中有着广泛的应用。
HaSh函数主要有MDx系列和SHA系列,MDx系列包括MD4、MD5、HAVAL、赳PEMD等;SHA系列包括SHA.1、SHA.256、SHA.384等,