计算机取证工作站 一站式取证

计算机专业分类有哪几种

计算机分类有以下几种：

1、计算机如果指的是专业层次，则包含有计算机科学与技术、软件工程、信息管理与信息系统、网络工程、计算机应用技术、计算机网络技术、物联网工程等专业。

2、计算机如果是指用途层面，按照用途分为通用计算机和专用计算机。

3、计算机如果是指电脑层面，按照综合性能指标，将计算机分为如下5大类：高性能计算机、微型计算机、工作站、服务器、嵌入式计算机。

计算机取证技术论文(2)

计算机取证技术论文篇二

计算机取证技术研究

摘要：随着计算机和网络技术的飞速发展，计算机犯罪和网络安全等问题也越来越突出，也逐渐引起重视。文章对计算机取证的特点、原则和步骤进行了介绍，最后从基于单机和设备、基于网络的两类取证技术进行了深入研究。

关键词：计算机取证数据恢复加密解密蜜罐网络

随着计算机和网络技术的飞速发展，计算机和网络在人类的政治、经济、文化和国防军事中的作用越来越重要，计算机犯罪和网络安全等问题也越来越突出，虽然目前采取了一系列的防护设备和措施，如硬件防火墙、入侵检测系统、、网络隔离等，并通过授权机制、访问控制机制、日志机制以及数据备份等安全防范措施，但仍然无法保证系统的绝对安全。

计算机取证技术是指运用先进的技术手段，遵照事先定义好的程序及符合法律规范的方式，全面检测计算机软硬件系统，查找、存储、保护、分析其与计算机犯罪相关的证据，并能为法庭接受的、有足够可信度的电子证据。计算机取证的目的是找出入侵者，并解释或重现完整入侵过程。

一、计算机取证的特点

和传统证据一样，电子证据也必须是可信的、准确的、完整的以及令人信服并符合法律规范的，除此之外，电子证据还有如下特点：

1.数字性。电子证据与传统的物证不同，它是无法通过肉眼直接看见的，必须结合一定的工具。从根本上讲，电子证据的载体都是电子元器件，电子证据本身只是按照特殊顺序组合出来的二进制信息串。

2.脆弱性。计算机数据每时每刻都可能发生改变，系统在运行过程中，数据是不断被刷新和重写的，特别是如果犯罪嫌疑人具备一定的计算机水平，对计算机的使用痕迹进行不可还原的、破坏性*作后，现场是很难被重现的。另外取证人员在收集电子证据过程中，难免会进行打开文件和程序等*作，而这些*作很可能就会对现场造成原生破坏。

3.多态性。电子证据的多态性是指电子证据可以以多种形态表现，它既可以是打印机缓冲区中的数据，也可以是各种计算机存储介质上的声音、视频、图像和文字，还可以是网络交换和传输设备中的历史记录等等，这些不同形态都可能成为被提交的证据类型。法庭在采纳证据时，不仅要考虑该电子证据的生成过程、采集过程是否可靠，还要保证电子证据未被伪造篡改、替换剪辑过。

4.人机交互性。计算机是通过人来*作的，单靠电子证据本身可能无法还原整个犯罪过程，必须结合人的*作才能形成一个完整的记录，在收集证据、还原现场的过程中，要结合人的思维方式、行为习惯来通盘考虑，有可能达到事半功倍的效果。

二、计算机取证的原则和步骤

(一)计算机取证的主要原则

1.及时性原则。必须尽快收集电子证据，保证其没有受到任何破坏，要求证据的获取具有一定的时效性。

2.确保“证据链”的完整性。也称为证据保全，即在证据被正式提交法庭时，必须能够说明证据从最初的获取状态到法庭上出现的状态之间的任何变化，包括证据的移交、保管、拆封、装卸等过程。

3.保全性原则。在允许、可行的情况下，计算机证据最好制作两个以上的拷贝，而原始证据必须专门负责，所存放的位置必须远离强磁、强腐蚀、高温、高压、灰尘、潮湿等恶劣环境，以防止证据被破坏。

4.全程可控原则。整个检查取证的过程都必须受到监督，在证据的移交、保管、拆封和装卸过程中，必须由两人或两人以上共同完成，每一环节都要保证其真实性和不间断性，防止证据被蓄意破坏。

(二)计算机取证的主要步骤

1.现场勘查

勘查主要是要获取物理证据。首先要保护计算机系统，如果发现目标计算机仍在进行网络连接，应该立即断开网络，避免数据被远程破坏。如果目标计算机仍处在开机状态，切不可立即将其电源断开，保持工作状态反而有利于证据的获取，比如在内存缓冲区中可能残留了部分数据，这些数据往往是犯罪分子最后遗漏的重要证据。如果需要拆卸或移动设备，必须进行拍照存档，以方便日后对犯罪现场进行还原。

2.获取电子证据

包括静态数据获取和动态数据获取。静态数据包括现存的正常文件、已经删除的文件、隐藏文件以及加密文件等，应最大程度的系统或应用程序使用的临时文件或隐藏文件。动态数据包括计算机寄存器、Cache缓存、路由器表、任务进程、网络连接及其端口等，动态数据的采集必须迅速和谨慎，一不小心就可能被新的*作和文件覆盖替换掉。

3.保护证据完整和原始性

取证过程中应注重采取保护证据的措施，应对提取的各种资料进行复制备份，对提取到的物理设备，如光盘硬盘等存储设备、路由器交换机等网络设备、打印机等外围设备，在移动和拆卸过程中必须由专人拍照摄像，再进行封存。对于提取到的电子信息，应当采用MD5、SHA等Hash算法对其进行散列等方式进行完整性保护和校验。上述任何*作都必须由两人以上同时在场并签字确认。

4.结果分析和提交

这是计算机取证的关键和核心。打印对目标计算机系统的全面分析结果，包括所有的相关文件列表和发现的文件数据，然后给出分析结论，具体包括：系统的整体情况，发现的文件结构、数据、作者的信息以及在调查中发现的其他可疑信息等。在做好各种标记和记录后，以证据的形式并按照合法的程序正式提交给司法机关。

三、计算机取证相关技术

计算机取证涉及到的技术非常广泛，几乎涵盖信息安全的各个领域，从证据的获取来源上讲，计算机取证技术可大致分为基于单机和设备的计算机取证技术、基于网络的计算机取证技术两类。

(一)基于单机和设备的取证技术

1.数据恢复技术

数据恢复技术主要是用于将用户删除或格式化的磁盘擦除的电子证据恢复出来。对于删除*作来说，它只是将文件相应的存放位置做了标记，其文件所占的磁盘空间信息在没有新的文件重新写入时仍然存在，普通用户看起来已经没有了，但实际上通过恢复文件标记可以进行数据恢复。对于格式化*作来讲，它只是将文件系统的各种表进行了初始化，并未对数据本身进行实际*作，通过重建分区表和引导信息，是可以恢复已经删除的数据的。实验表明，技术人员可以借助数据恢复工具，把已经覆盖过7次的数据重新还原出来。

2.加密解密技术

通常犯罪分子会将相关证据进行加密处理，对取证人员来讲，必须把加密过的数据进行解密，才能使原始信息成为有效的电子证据。计算机取证中使用的密码*技术和方法主要有：密码分析技术、密码*技术、口令搜索、口令提取及口令恢复技术。

3.数据过滤和数据挖掘技术

计算机取证得到的数据，可能是文本、图片、音频或者视频，这些类型的文件都可能隐藏着犯罪信息，犯罪分子可以用隐写的方法把信息嵌入到这些类型的文件中。若果犯罪分子同时结合加密技术对信息进行处理，然后再嵌入到文件中，那么想要还原出原始信息将变得非常困难，这就需要开发出更优秀的数据挖掘工具，才能正确过滤出所需的电子证据。

(二)基于网络的取证技术

基于网络的取证技术就是利用网络跟踪定位犯罪分子或通过网络通信的数据信息资料获取证据的技术，具体包括以下几种技术：

1.IP地址和MAC地址获取和识别技术

利用ping命令，向目标主机发送请求并监听ICMP应答，这样可以判断目标主机是否在线，然后再用其他高级命令来继续深入检查。也可以借助IP扫描工具来获取IP，或者利用DNS的逆向查询方法获取IP地址，也可以通过互联网服务提供商ISP的支持来获取IP。

MAC地址属于硬件层面，IP地址和MAC的转化是通过查找地址解析协议ARP表来实现的，当然，MAC跟IP地址一样，也可能被修改，如此前一度横行的“ARP欺骗”木马，就是通过修改IP地址或MAC来达到其目的的。

2.网络IO系统取证技术

也就是网络输入输出系统，使用netstat命令来跟踪嫌疑人，该命令可以获取嫌疑人计算机所在的域名和MAC地址。最具代表性的是入侵检测技术IDS，IDS又分为检测特定*的和检测模式变化的，它对取证最大帮助是它可以提供日志或记录功能，可以被用来监视和记录犯罪行为。

3.*取证技术

*使用简单的应用协议和文本存储转发，头信息包含了发送者和接受者之间的路径，可以通过分析头路径来获取证据，其关键在于必须了解*协议中的邮件信息的存储位置。对于POP3协议，我们必须访问工作站才能获取头信息;而基于HTTP协议发送的邮件，一般存储在邮件服务器上;而微软*作系统自带的邮件服务通常采用SMTP协议。对于采用SMTP协议的邮件头信息，黑客往往能轻易在其中*任何信息，包括伪造的源地址和目标地址。跟踪邮件的主要方法是请求ISP的帮助或使用专用的如NetScanTools之类的工具。

4.蜜罐网络取证技术

蜜罐是指虚假的敏感数据，可以是一个网络、一台计算机或者一项后台服务，也可以虚假口令和数据库等。蜜罐网络则是由若干个能收集和交换信息的蜜罐组成的网络体系，研究人员借助数据控制、数据捕获和数据采集等*作，对诱捕到蜜罐网络中的攻击行为进行控制和分析。蜜罐网络的关键技术包括网络欺骗、攻击捕获、数据控制、攻击分析与特征提取、预警防御技术。目前应用较多是主动蜜罐系统，它可以根据入侵者的攻击目的提供相应的欺骗服务，拖延入侵者在蜜罐中的时间，从而获取更多的信息，并采取有针对性的措施，保证系统的安全性。

参考文献：

[1]卢细英.浅析计算机取证技术[J],福建电脑,2008(3).

[2]刘凌.浅谈计算机静态取证与计算机动态取证[J],计算机与现代化,2009(6).

看了“计算机取证技术论文”的人还看：

1.计算机犯罪及取征技术的研究论文

2.安卓手机取证技术论文

3.计算机安全毕业论文

4.计算机安全论文

5.计算机安全论文范文

计算机犯罪主要表现在哪几个方面

二十世纪四十年代以来，随着计算机首先在军事和科学工程领域的应用，计算机犯罪开始出现，当时已有学者（如美国犯罪学家埃德温.H.萨瑟兰）开始分析和研究才智和现代技术工具的结合产生犯罪的可能性。他建议，犯罪学家应将他们的注意力从传统犯罪转向利用技术和才智实施的犯罪〖1〗。今天，利用高技术和高智慧实施的智能犯罪日益猖獗，特别是计算机犯罪已成为现代社会的一个严重的社会问题，对社会造成的危害也越来越严重，必须引起高度的重视。

一计算机犯罪概念、特点及犯罪构成要件之分析

(一)计算机犯罪的概念界定

计算机犯罪与计算机技术密切相关。随着计算机技术的飞速发展，计算机在社会中应用领域的急剧扩大，计算机犯罪的类型和领域不断地增加和扩展，从而使“计算机犯罪”这一术语随着时间的推移而不断获得新的涵义。因此在学术研究上关于计算机犯罪迄今为止尚无统一的定义(大致说来，计算机犯罪概念可归为五种:相关说、滥用说、工具说、工具对象说和信息对象说)。

结合刑法条文的有关规定和我国计算机犯罪的实际情况,我认为计算机犯罪的概念可以有广义和狭义之分:广义的计算机犯罪是指行为人故意直接对计算机实施侵入或破坏，或者利用计算机实施有关金融诈骗、盗窃、*、挪用公款、窃取*秘密或其它犯罪行为的总称；狭义的计算机犯罪仅指行为人违反*规定，故意侵入*事务、国防建设、尖端科学技术等计算机信息系统，或者利用各种技术手段对计算机信息系统的功能及有关数据、应用程序等进行破坏、制作、传播计算机病毒，影响计算机系统正常运行且造成严重后果的行为。

(二)计算机犯罪的特点分析

1.作案手段智能化、隐蔽性强

大多数的计算机犯罪，都是行为人经过狡诈而周密的安排，运用计算机专业知识，所从事的智力犯罪行为。进行这种犯罪行为时，犯罪分子只需要向计算机输入错误指令，篡改软件程序，作案时间短且对计算机硬件和信息载体不会造成任何损害，作案不留痕迹，使一般人很难觉察到计算机内部软件上发生的变化。

另外，有些计算机犯罪，经过一段时间之后，犯罪行为才能发生作用而达犯罪目的。如计算机“逻辑”，行为人可设计犯罪程序在数月甚至数年后才发生破坏作用。也就是行为时与结果时是分离的，这对作案人起了一定的掩护作用，使计算机犯罪手段更趋向于隐蔽。

2.犯罪侵害的目标较集中

就国内已经破获的计算机犯罪案件来看，作案人主要是为了非法占有财富和蓄意报复，因而目标主要集中在金融、证券、电信、大型*等重要经济部门和单位，其中以金融、证券等部门尤为突出。

3.侦查取证困难，破案难度大，存在较高的犯罪黑数

计算机犯罪黑数相当高。据统计，99％的计算机犯罪不能被人们发现。另外，在受理的这类案件中，侦查工作和犯罪证据的采集相当困难。

4.犯罪后果严重，社会危害性大

国际计算机安全专家认为，计算机犯罪社会危害性的大小，取决于计算机信息系统的社会作用，取决于社会资产计算机化的程度和计算机普及应用的程度，其作用越大，计算机犯罪的社会危害性也越来越大。

(三)计算机犯罪的犯罪构成要件

1.犯罪主体

犯罪主体是指实施危害社会的行为、依法应当负刑事责任的自然人和单位。〖2〗计算机犯罪的主体为一般主体。从计算机犯罪的具体表现来看，犯罪主体具有多样性，各种年龄、各种职业的人都可以进行计算机犯罪。一般来说，进行计算机犯罪的主体必须是具有一定计算机知识水平的行为人，而且这种水平还比较高，至少在一般人之上。

2.犯罪主观方面

犯罪主观方面是指犯罪主体对自己的危害行为及其危害社会的结果所抱的心理态度，它包括罪过（即犯罪的故意或者犯罪的过失）以及犯罪的目的和动机这几种因素。〖3〗

从犯罪的一般要件来看，任何犯罪都必须存在故意或者过失，如果行为人在主观上没有故意或者过失，那么其行为就不能构成犯罪。计算机犯罪中的故意表现在行为人明知其行为会造成对计算机系统内部信息的危害破坏，但是他由于各种动机而希望或是放任这种危害后果的发生。计算机犯罪中的过失则表现为行为人应当预见到自己行为可能会发生破坏系统数据的后果，但是由于疏忽大意而没有预见，或是行为人已经预见到这种后果但轻信能够避免这种后果而导致系统数据的破坏。

3.犯罪客体方面

犯罪客体是指我国刑法所保护的，为犯罪行为所侵害的社会关系。〖4〗从犯罪客体来说，计算机犯罪侵犯的是复杂客体，这就是说计算机犯罪是对两种或者两种以上直接客体进行侵害的行为。非法侵入计算机系统犯罪一方面侵害了计算机系统所有人的权益，另一方面则对*的计算机信息管理秩序造成了破坏，同时还有可能对受害的计算机系统当中数据所涉及的第三人的权益造成危害。这也是计算机犯罪在理论上比较复杂的原因之一。

4.犯罪客观方面

犯罪客观方面是刑法所规定的、说明行为对刑法所保护的社会关系造成侵害的客观外在事实特征。〖5〗在计算机犯罪中，绝大多数危害行为都是作为，即行为通过完成一定的行为，从而使得危害后果发生。还有一部分是不作为，构成计算机犯罪的不作为是指由于种种原因，行为人担负有排除计算机系统危险的义务，但行为人拒不履行这种义务的行为。例如由于意外，行为人*的程序出现错误，对计算机系统内部数据造成威胁，但行为人对此放任不管，不采取任何补救和预防措施，导致危害后果的发生，这种行为就是构成计算机犯罪的不作为。

二、对刑法有关条文(《刑法》285，286，287条及第17条第2款)的意见

我国《刑法》第285条、第286条是对侵入计算机信息系统、破坏计算机信息系统功能、破坏计算机数据（程序）、制作（传播）计算机病毒罪的规定，依笔者之见，这两条规定都有需要完善和明确的地方。

1、第285条，它指的是：“违反*规定，侵入*事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。”该罪属于行为犯，主观上必须是故意，客观上是采用非法跟踪、解密等手段侵入重要领域的计算机信息系统，犯罪客体只限于“*事务、国防建设、尖端科学技术领域的计算机信息系统”，那么非法侵入金融证券机构、海陆空运输系统、企业的内部商业局域网络等计算机信息系统是否构成本罪呢？该条文采取的是列举法的表述方式，因此就排除了其他行为构罪的可能。笔者以为应当扩大对计算机信息系统的保护范围，即只要是未经许可（或未具备相应的职权）、非法侵入的，不管其对象是*核心部门的系统还是普通公民的个人系统均应按“非法侵入计算机信息系统罪”定罪量刑。

2、第286条，这一条有三款，第一款是指破坏计算机信息系统功能的行为，第二款指的是破坏计算机信息系统的数据和程序的行为，第三款是指制作、传播计算机病毒的行为。第三款的规定清楚明了，在司法*作上不会存在疑义。但第一、二款在犯罪客体上却容易引起歧义，即：究竟要对谁的计算机系统功能进行“删除、修改、增加、干扰”以及对谁的计算机系统的数据、程序进行“删除、修改、增加”才构成本罪？事实上用户完全有权决定计算机信息系统的功能配置，你可以将所购买的CPU超频使用，也可选择安装或删除Windows98捆绑的IE5.0浏览器，还可以决定自己的计算机是作为普通办公/家用机型还是作为图形工作站来使用，至于对数据的“删、改、加”则更是每天开机必做的工作，这些决定或*作是犯罪行为吗？显然不是。笔者以为，“破坏计算机信息系统罪”的犯罪主体主要有两种类型，一是负有特定职责的互联单位、接入单位、商业网络等的程序员、管理员、*作员，其有意或因重大过失实施了《刑法》第286条第1、2款所规定的行为或*作造成严重后果的；二是非法侵入他人计算机信息系统并实施上述行为造成严重后果的。至于个人用户在本地机器上所进行的所有*作，只要没有违反相关软、硬件的购买使用协议或网络管理的规定，就不在刑法的调整范围之例。

此外，《刑法》第287条实际上并不是专门针对计算机犯罪*加的罪名，它仅仅是指“以计算机作为犯罪的工具和手段”，是对传统的金融诈骗罪、盗窃罪、*罪、挪用公款罪、窃取*秘密罪或者其他犯罪的犯罪手段进行的扩充，在当时的“历史”（对IT业而言）条件下这样处理并无不妥，但是随着网络的普及及犯罪者技能的提高，犯罪客体已经发生了很大的变化，如盗用上网帐号、窃取网络支付密码、冒用他人身份认证、截取数据商品等，这些被侵害客体大多已专属于计算机和网络领域，所造成的危害结果也与传统的同类犯罪有很大的区别，如果仍然沿用传统意义上的诈骗罪、盗窃罪、*罪来定罪量刑的话，不仅会造成处罚上的不公，而且可能因为罪状表述不明、客体难以确定、证据类型变迁等原因给定罪带来困难。

另外，根据刑法第十七条第二款的规定，已满十四岁不满十六岁的人，只对故意杀人、故意伤害致人重伤或者*亡、、抢劫、贩卖毒品、放火、爆炸、投毒行为负刑事责任。从已有的计算机犯罪案例来看，进行计算机犯罪的，有相当一部分是少年儿童，绝大多数都未满十六岁，这就对我们提出了一个新的问题，如何对未成年人进行的计算机犯罪进行防治？就计算机犯罪而言，由于其主体的特殊性，只要能够进行计算机犯罪，行为人的认知水平就具有相当的水平。因此即使是已满十四岁未满十六岁的人，只要能够进行计算机犯罪就证明他应该对计算机犯罪的社会危害性有一定的预见，他们进行计算机犯罪所造成的社会危害性也相当大。所以笔者认为，这些人进行计算机犯罪，造成严重后果的应该负刑事责任。

三、计算机犯罪的立法完善建议

我国目前有关计算机犯罪的立法远远不能适应形势发展的需要，存在诸多需要完善的地方。

（一）犯罪化的范围偏窄，需要予以适当扩大

例如，刑法第二百八十五条规定的非法侵入计算机信息系统罪，仅将犯罪对象限定为*事务、国防建设和尖端科学技术领域的计算机信息系统，显然太窄，实际上，有些领域如金融、医疗、交通、航运等，其计算机信息系统的安全性也极其重要，非法侵入这些领域的计算机信息系统同样具有严重的社会危害性，因此，宜将该罪的犯罪对象扩大到包括这些领域的计算机信息系统。又如，窃用计算机服务的行为，目前也处于立法空白状态，我国刑法第二百六十五条规定对窃用通信系统的行为可依照刑法第二百六十四条关于盗窃罪的规定处罚，但该条并没有包括窃用计算机服务的行为。当然，由于国外法律大多持一元犯罪观，而我国法律则持二元犯罪观，即区分违法和犯罪，因此，在借鉴国外立法例时，也不可照搬，有些国外视为犯罪的行为在我国可以用《治安管理处罚条例》来处理，如前述非法侵入计算机信息系统的行为，假如侵入的对象仅为一般用户的计算机系统，则不宜以犯罪论处，可纳入《治安管理处罚条例》的调控范围。

（二）犯罪构成的设计不合理，需要增加法人犯罪和过失犯罪

目前对计算机犯罪的主体仅限定为自然人，但从实践来看，确实存在各种各样的由法人实施的计算机犯罪，因此，增设法人可以成为计算机犯罪的主体，是现实需要。再者，刑法第二百八十六条规定的破坏计算机信息系统罪只限于故意犯罪，这是不够的，至少对于那些因严重过失导致某些重要的计算机信息系统遭破坏，造成严重后果的，应给予刑事制裁。

（三）刑罚设置不科学，应当增设罚金刑和资格刑

计算机犯罪往往造成巨大的经济损失，其中许多犯罪分子本身就是为了牟利，因而对其科以罚金等财产刑自是情理之中。同时，由于计算机犯罪分子大多对其犯罪方法具有迷恋性，因而对其判处一定的资格刑，如剥夺其长期或短期从事某种与计算机相关的职业、某类与计算机相关的活动的资格，实乃对症*之举。正因此，对计算机犯罪分子在科以自由刑的同时，再辅以罚金刑和资格刑，是当今世界各国计算机犯罪立法的通例。但我国刑法第二百八十五、第二百八十六条对计算机犯罪的处罚却既没有规定罚金刑，也没有规定资格刑，这不能不说是一大缺憾。【泉州律师】**lawtime*/quanzhou