论文部分内容阅读
[摘要]本文提出可以通过基于计算机系统的软件工具箱来实现网络犯罪的防卫。通过这种方式,那些在网络空间中参与犯罪活动的人可以较容易地被逮捕。
[关键词]数字证据 计算机取证 网络犯罪
一、引言
计算机网络技术的迅速发展已经引起了计算机网络犯罪数量的巨大增加。最常见的计算机网络犯罪行为隐蔽在计算机系统和计算机病毒中。这些破坏分子通过互联网搞破坏。如果我们选择忽略网络犯罪,那么攻击者的野心和贪欲将会得到鼓励,因而我们将面对更加严重的网络犯罪行为。我们现在所必须做的是,通过合法的程序追踪破坏者和打击网络犯罪。对于保护我们的网络和保证网络空间的安全,这是最好的方式。
二、计算机取证允许的策略
1.保存证据:进入现场以后最重要的事情是保护证据。因此,到达网络犯罪现场的第一步是合理地控制现场,开始记录时间,实施调查和搜集所有重要的数字证据。
2.检查证据:从现场获得证据以后,下一步是对其进行分析。普通的计算机文件,图片和声音可以通过许多不同的计算机软件程序检查出来。然而,最大的问题是,有时嫌疑犯已经删除一些文件,而已经被删除的文件可能是所有证据中最重要的。因此,在硬盘驱动中不经常使用的空间也要被扫描。一个软件工具必须在这里用来做字符搜寻和文件重建。
3.证据分析:在检查和分析完证据之后,必须调查取证结果和嫌疑犯之间的关系。通过证据分类、比较和个人化,取证结果的检查能够和嫌疑犯的行为联系起来。
4.提交证据:结果必须被清楚地描述和提交。当讨论证据的来源和结果以及与嫌疑犯的关系时,为证实最终的结论,所有其他用于证实有罪或无罪的假设的可能性解释必须消除。
三、计算机取证工具的使用
1.硬盘驱动备份软件:为了保留原始证据,在进行计算机取证工作时,首要考虑的问题是数据备份。一个可靠的数据备份软件工具必须符合美国国家标准技术所(NIST)的要求。
2.识别软件:为了证明在调查期间证据没有被改变,应该使用像MD5这样的加密算法程序。
3.解密工具:(1)猜测密码。最经常使用的方法——穷举和字典破解,可以起有效作用。(2)使用系统漏洞获得管理员权限。
4.磁盘数据编辑和查询工具:当数据和文件已经被保存到硬盘驱动上时,即使在它被删除后,实际的数据仍然存在。一个身份识别代码将会添加到文件标题上,以显示它已经被删除的事实。因此,如果一个被删除的文件被找到,有可能会发现重要的证据。
5.日常审计日志文件:正常情况下,一个大的计算机主机或入侵检测系统(IDS)会有记录重要活动的日常审计文件。通过调查这些记录,攻击者最初的来源可以被确认。当确定了嫌疑犯,应该注意与帐户相关的信息、密码和使用的程序,因为这些信息会帮助追踪到攻击者。
6.追踪攻击点地址:在调查网络犯罪时需要使用IP地址。
7.数据恢复:许多罪犯会删除可能被用作犯罪证据的文件。因此,可以使用一个数据恢复工具。但是,文件不是唯一的目标;所以,R-Mail应该被用来恢复已经删除的邮件。
8.文件检查:由于文件格式的复杂性,并且大多数的罪犯为达到他们的目的而修改中间契约的名字,找到证据不是一件容易的任务。因此,Quick View Plus工具可以被用于查询证据和减少他们在掩饰方面所做的努力。
四、讨论
在计算机取证的新领域,仍然存在许多问题。下面是在调查网络犯罪时,应该注意的盲点和警告的分析与讨论。
1.识别:识别真正的攻击者是很难的,尤其是在使用匿名帐户或一个盗用的身份时。在调查网络入侵时,尽管一个MAC地址可以用来识别个人网络的网卡号,但是,在Linux系统下,MAC地址可以被改变,从而对证据的识别没有用处。
2.加密:许多程序通过密码方法来实现,许多用户通过网络获得安全应用的权限,尤其是一些硬件设备,其中在存储介质中的活动密钥被嵌入在芯片结构中,实现密码破译比以前更困难了。
3.存储容量:目前,存储容量逐年在巨增。大多数的用户拥有超过40GB的硬盘容量。容量越大,复制证据所花费的时间也就越长,同时也需要更多的存储介质。结果,分析证据需要更多的时间。
4.审计记录:为避免入侵性的攻击,系统用户可能会删除本打算存储在计算机中的审计记录,结果导致计算机识别问题。因此,为了建立一个完整的审计记录,安全管理必须取决于采取的所有安全和管理技术;这是在将来需要完成的一项任务。
5.系统的复杂性:不同的系统以多样化的形式出现。这导致在不同的计算机系统、计算机程序、硬盘设备中完成计算机识别变得更加复杂。
五、结语
在这篇论文中,我们讨论了通过计算机或网络系统实施的网络犯罪。论文中包含的探索性研究是作为一种参考工具被提出来的,是为了保护基于计算机的系统免受非法“黑客”的侵犯。
参考文献
[1][美]E.Casy.数字证据和计算机犯罪[M].学术出版社,2000:41-46.
[关键词]数字证据 计算机取证 网络犯罪
一、引言
计算机网络技术的迅速发展已经引起了计算机网络犯罪数量的巨大增加。最常见的计算机网络犯罪行为隐蔽在计算机系统和计算机病毒中。这些破坏分子通过互联网搞破坏。如果我们选择忽略网络犯罪,那么攻击者的野心和贪欲将会得到鼓励,因而我们将面对更加严重的网络犯罪行为。我们现在所必须做的是,通过合法的程序追踪破坏者和打击网络犯罪。对于保护我们的网络和保证网络空间的安全,这是最好的方式。
二、计算机取证允许的策略
1.保存证据:进入现场以后最重要的事情是保护证据。因此,到达网络犯罪现场的第一步是合理地控制现场,开始记录时间,实施调查和搜集所有重要的数字证据。
2.检查证据:从现场获得证据以后,下一步是对其进行分析。普通的计算机文件,图片和声音可以通过许多不同的计算机软件程序检查出来。然而,最大的问题是,有时嫌疑犯已经删除一些文件,而已经被删除的文件可能是所有证据中最重要的。因此,在硬盘驱动中不经常使用的空间也要被扫描。一个软件工具必须在这里用来做字符搜寻和文件重建。
3.证据分析:在检查和分析完证据之后,必须调查取证结果和嫌疑犯之间的关系。通过证据分类、比较和个人化,取证结果的检查能够和嫌疑犯的行为联系起来。
4.提交证据:结果必须被清楚地描述和提交。当讨论证据的来源和结果以及与嫌疑犯的关系时,为证实最终的结论,所有其他用于证实有罪或无罪的假设的可能性解释必须消除。
三、计算机取证工具的使用
1.硬盘驱动备份软件:为了保留原始证据,在进行计算机取证工作时,首要考虑的问题是数据备份。一个可靠的数据备份软件工具必须符合美国国家标准技术所(NIST)的要求。
2.识别软件:为了证明在调查期间证据没有被改变,应该使用像MD5这样的加密算法程序。
3.解密工具:(1)猜测密码。最经常使用的方法——穷举和字典破解,可以起有效作用。(2)使用系统漏洞获得管理员权限。
4.磁盘数据编辑和查询工具:当数据和文件已经被保存到硬盘驱动上时,即使在它被删除后,实际的数据仍然存在。一个身份识别代码将会添加到文件标题上,以显示它已经被删除的事实。因此,如果一个被删除的文件被找到,有可能会发现重要的证据。
5.日常审计日志文件:正常情况下,一个大的计算机主机或入侵检测系统(IDS)会有记录重要活动的日常审计文件。通过调查这些记录,攻击者最初的来源可以被确认。当确定了嫌疑犯,应该注意与帐户相关的信息、密码和使用的程序,因为这些信息会帮助追踪到攻击者。
6.追踪攻击点地址:在调查网络犯罪时需要使用IP地址。
7.数据恢复:许多罪犯会删除可能被用作犯罪证据的文件。因此,可以使用一个数据恢复工具。但是,文件不是唯一的目标;所以,R-Mail应该被用来恢复已经删除的邮件。
8.文件检查:由于文件格式的复杂性,并且大多数的罪犯为达到他们的目的而修改中间契约的名字,找到证据不是一件容易的任务。因此,Quick View Plus工具可以被用于查询证据和减少他们在掩饰方面所做的努力。
四、讨论
在计算机取证的新领域,仍然存在许多问题。下面是在调查网络犯罪时,应该注意的盲点和警告的分析与讨论。
1.识别:识别真正的攻击者是很难的,尤其是在使用匿名帐户或一个盗用的身份时。在调查网络入侵时,尽管一个MAC地址可以用来识别个人网络的网卡号,但是,在Linux系统下,MAC地址可以被改变,从而对证据的识别没有用处。
2.加密:许多程序通过密码方法来实现,许多用户通过网络获得安全应用的权限,尤其是一些硬件设备,其中在存储介质中的活动密钥被嵌入在芯片结构中,实现密码破译比以前更困难了。
3.存储容量:目前,存储容量逐年在巨增。大多数的用户拥有超过40GB的硬盘容量。容量越大,复制证据所花费的时间也就越长,同时也需要更多的存储介质。结果,分析证据需要更多的时间。
4.审计记录:为避免入侵性的攻击,系统用户可能会删除本打算存储在计算机中的审计记录,结果导致计算机识别问题。因此,为了建立一个完整的审计记录,安全管理必须取决于采取的所有安全和管理技术;这是在将来需要完成的一项任务。
5.系统的复杂性:不同的系统以多样化的形式出现。这导致在不同的计算机系统、计算机程序、硬盘设备中完成计算机识别变得更加复杂。
五、结语
在这篇论文中,我们讨论了通过计算机或网络系统实施的网络犯罪。论文中包含的探索性研究是作为一种参考工具被提出来的,是为了保护基于计算机的系统免受非法“黑客”的侵犯。
参考文献
[1][美]E.Casy.数字证据和计算机犯罪[M].学术出版社,2000:41-46.