论文部分内容阅读
摘要:随着计算机犯罪的日益猖獗,计算机取证技术成为了提取计算机犯罪证据的必要技术手段之一。本文主要介绍了利用WINDOWS日志进行计算机取证的主要方法,并且探讨了用此方法进计算机取证的局限性。
关键词:计算机取证 电子证据 WINDOWS 日志
随着计算机技术的发展,计算机已经深入到社会的各行各业,成为社会经济中必不可少的一个分支。但是它在为人们的生活和工作带来便利的同时,也为某些犯罪分子提供了新的犯罪手段和空间。大量的计算机犯罪——如计算机诈骗、各种政府、军事、商业机密信息的窃取和破坏、色情网站的泛滥等等,给我们的工作和生活造成了极大的影响。而要侦破这些案件就必须要用到计算机取证技术,用来搜寻罪犯及犯罪证据,并据此提起诉讼。因此,计算机取证成为目前计算机技术的一大分支。
从技术角度看,计算机取证就是对计算机存储介质中的数据及信息进行保护、确认、提取和归档的过程。而在实际操作的过程中,这些数据主要包含在犯罪分子使用的计算机的硬盘、光盘、软盘、Zip磁盘、U盘、内存缓冲和其他形式的储存介质中。而这些证据的产生、储存和传输,都必须借助于计算机技术,也就是我们需要使用相应的软件和工具,按照一些预先定义的程序,全面地检查计算机系统,以提取和保护有关计算机犯罪的证据。同时计算机取证的另一重要特征是这些证据除了要依赖于计算机技术进行提取以外,还要受到技术设备的限制,离开了这些设备,相应的证据就无法保存和传输,同时这些证据是极易被不留任何痕迹地篡改和删除的。因此为了保证证据的可信、准确、完整,我们就必须对计算机取证技术进行深入的研究和透彻的分析。
计算机取证要解决的重要问题是电子物证的收集、保护、分析和展示。而在我们的计算机系统当中可以用来作为计算机取证的信息源主要有以下几种:
1) 操作系统的文件和各种操作系统日志;
2) 在个人计算机或服务器上安装的各种防火墙和入侵检测系统的工作记录、各种防病毒软件的日志及记录;
3) 系统的审计记录、网络监控流量记录、各种往来电子邮件、计算机或服务器当中的数据库文件和数据库管理系统日志中存在的操作记录;
4) 硬盘交换分区、软件设置的参数和文件、完成特定功能的脚本文件;
5) 在个人计算机中的Web浏览器中的数据缓冲、书签、历史记录、会话日志以及实时聊天的记录等。
在以上罗列的众多证据中,系统的日志文件是一种公安机关或计算机取证爱好者经常会使用的方法,因此,加强对系统日志文件的认识和研究就成为了研究计算机取证技术的必要手段。
日志文件是Windows系统中记录系统所发生的一切事件的文件,如各种硬件、软件和系统问题的信息;各种系统服务的启动、运行、关闭等信息;也可以监视操作系统的安全事件。Windows日志包括应用程序日志、安全日志、系统日志、目录服务日志、文件复制服务日志、DNS服务器日志等等。这些文件受到“Event Log(事件记录)”服务的保护不能被删除,但可以被清空。当启动 Windows 时,“事件日志”服务自动启动,所有用户都能查看应用程序和系统日志。而安全性日志在默认情况下是关闭的,可以使用组策略来启用安全性日志,但这需要系统管理员才能实现,同时管理员也可在注册表中设置审核策略,以便当安全性日志满后使系统停止响应。
当我们在计算机上进行操作时,Windows系统的日志文件会记录下来我们进行的所有操作内容,如果这些操作内容涉及相应的计算机安全性问题,那么在系统的安全日志中就会有清淅的记录,而这些记录对系统安全工作人员相当有用。比如说当有人对系统进行IPC探测的时候,系统就会在安全日志里迅速地记下探测者所用的IP、时间、用户名等,而系统管理员在安全日志用FTP探测后,就会在FTP日志中记下IP、时间、探测所用的用户名等。因此Windows网络操作系统日志文件就成为了计算机取证的主要方法之一。
在Windows系统中查看日志文件很简单。具体过程为:“开始→控制面板→管理工具→事件查看器”,在事件查看器窗口左栏中列出本机中所包含的日志类型,如应用程序、安全、系统等(如图1所示)。而在右边窗口列出在在左栏中选中的日志类型所对应的该类型日志的所有记录,双击其中某个记录,弹出“事件属性”对话框,显示出该记录的详细信息,这样我们就能准确的掌握系统中到底发生了什么事情,一旦出现问题,即时查找排除。
为了防止被侦查到,具备高科技作案技能犯罪嫌疑人,往往在犯罪活动结束后利用数据擦除、数据隐藏、数据加密等技术将自己残留在受害方系统中的“痕迹”擦除掉,所以利用系统日志来防止非法入侵光靠系统日志还有所欠缺,要想取证工作顺利进行,还应利用一些计算机取证常用工具,如ENCASE X-WAYS FTK 效率源DATACOMPASS等,同时,还应改变计算机存放日志文件的位置并且进一步修改注册表,以防外来入侵者能够轻易修改犯罪证据。同时还应当结合其他的取证技术,才能发挥出更大的效能。如数据保护技术、数据恢复技术、数据加密技术、数据挖掘及数据分析技术、IP地址追踪与定位技术等
计算机理论和技术的发展使得目前计算机取证技术呈现出领域扩大化、学科融合化、标准化、智能化等发展趋势。因此仅仅通过现有的网络安全技术打击计算机犯罪已经不能够适应当前的形势。发挥社会道德的引导作用、完善法律的约束力量去对付形形色色的计算机犯罪才是解决问题的根本途径。
参考文献:
[1] 王玲,钱华林.计算机取证技术及其发展趋势.软件学报,2003,14(9):1635 1644
[2] 赵小敏,陈庆章.计算机取证的研究现状和展望.计算机安全.2003年.第10期
[3] 苏成.计算机安全.2006年.第01期
(责任编辑:张彬)
关键词:计算机取证 电子证据 WINDOWS 日志
随着计算机技术的发展,计算机已经深入到社会的各行各业,成为社会经济中必不可少的一个分支。但是它在为人们的生活和工作带来便利的同时,也为某些犯罪分子提供了新的犯罪手段和空间。大量的计算机犯罪——如计算机诈骗、各种政府、军事、商业机密信息的窃取和破坏、色情网站的泛滥等等,给我们的工作和生活造成了极大的影响。而要侦破这些案件就必须要用到计算机取证技术,用来搜寻罪犯及犯罪证据,并据此提起诉讼。因此,计算机取证成为目前计算机技术的一大分支。
从技术角度看,计算机取证就是对计算机存储介质中的数据及信息进行保护、确认、提取和归档的过程。而在实际操作的过程中,这些数据主要包含在犯罪分子使用的计算机的硬盘、光盘、软盘、Zip磁盘、U盘、内存缓冲和其他形式的储存介质中。而这些证据的产生、储存和传输,都必须借助于计算机技术,也就是我们需要使用相应的软件和工具,按照一些预先定义的程序,全面地检查计算机系统,以提取和保护有关计算机犯罪的证据。同时计算机取证的另一重要特征是这些证据除了要依赖于计算机技术进行提取以外,还要受到技术设备的限制,离开了这些设备,相应的证据就无法保存和传输,同时这些证据是极易被不留任何痕迹地篡改和删除的。因此为了保证证据的可信、准确、完整,我们就必须对计算机取证技术进行深入的研究和透彻的分析。
计算机取证要解决的重要问题是电子物证的收集、保护、分析和展示。而在我们的计算机系统当中可以用来作为计算机取证的信息源主要有以下几种:
1) 操作系统的文件和各种操作系统日志;
2) 在个人计算机或服务器上安装的各种防火墙和入侵检测系统的工作记录、各种防病毒软件的日志及记录;
3) 系统的审计记录、网络监控流量记录、各种往来电子邮件、计算机或服务器当中的数据库文件和数据库管理系统日志中存在的操作记录;
4) 硬盘交换分区、软件设置的参数和文件、完成特定功能的脚本文件;
5) 在个人计算机中的Web浏览器中的数据缓冲、书签、历史记录、会话日志以及实时聊天的记录等。
在以上罗列的众多证据中,系统的日志文件是一种公安机关或计算机取证爱好者经常会使用的方法,因此,加强对系统日志文件的认识和研究就成为了研究计算机取证技术的必要手段。
日志文件是Windows系统中记录系统所发生的一切事件的文件,如各种硬件、软件和系统问题的信息;各种系统服务的启动、运行、关闭等信息;也可以监视操作系统的安全事件。Windows日志包括应用程序日志、安全日志、系统日志、目录服务日志、文件复制服务日志、DNS服务器日志等等。这些文件受到“Event Log(事件记录)”服务的保护不能被删除,但可以被清空。当启动 Windows 时,“事件日志”服务自动启动,所有用户都能查看应用程序和系统日志。而安全性日志在默认情况下是关闭的,可以使用组策略来启用安全性日志,但这需要系统管理员才能实现,同时管理员也可在注册表中设置审核策略,以便当安全性日志满后使系统停止响应。
当我们在计算机上进行操作时,Windows系统的日志文件会记录下来我们进行的所有操作内容,如果这些操作内容涉及相应的计算机安全性问题,那么在系统的安全日志中就会有清淅的记录,而这些记录对系统安全工作人员相当有用。比如说当有人对系统进行IPC探测的时候,系统就会在安全日志里迅速地记下探测者所用的IP、时间、用户名等,而系统管理员在安全日志用FTP探测后,就会在FTP日志中记下IP、时间、探测所用的用户名等。因此Windows网络操作系统日志文件就成为了计算机取证的主要方法之一。
在Windows系统中查看日志文件很简单。具体过程为:“开始→控制面板→管理工具→事件查看器”,在事件查看器窗口左栏中列出本机中所包含的日志类型,如应用程序、安全、系统等(如图1所示)。而在右边窗口列出在在左栏中选中的日志类型所对应的该类型日志的所有记录,双击其中某个记录,弹出“事件属性”对话框,显示出该记录的详细信息,这样我们就能准确的掌握系统中到底发生了什么事情,一旦出现问题,即时查找排除。
为了防止被侦查到,具备高科技作案技能犯罪嫌疑人,往往在犯罪活动结束后利用数据擦除、数据隐藏、数据加密等技术将自己残留在受害方系统中的“痕迹”擦除掉,所以利用系统日志来防止非法入侵光靠系统日志还有所欠缺,要想取证工作顺利进行,还应利用一些计算机取证常用工具,如ENCASE X-WAYS FTK 效率源DATACOMPASS等,同时,还应改变计算机存放日志文件的位置并且进一步修改注册表,以防外来入侵者能够轻易修改犯罪证据。同时还应当结合其他的取证技术,才能发挥出更大的效能。如数据保护技术、数据恢复技术、数据加密技术、数据挖掘及数据分析技术、IP地址追踪与定位技术等
计算机理论和技术的发展使得目前计算机取证技术呈现出领域扩大化、学科融合化、标准化、智能化等发展趋势。因此仅仅通过现有的网络安全技术打击计算机犯罪已经不能够适应当前的形势。发挥社会道德的引导作用、完善法律的约束力量去对付形形色色的计算机犯罪才是解决问题的根本途径。
参考文献:
[1] 王玲,钱华林.计算机取证技术及其发展趋势.软件学报,2003,14(9):1635 1644
[2] 赵小敏,陈庆章.计算机取证的研究现状和展望.计算机安全.2003年.第10期
[3] 苏成.计算机安全.2006年.第01期
(责任编辑:张彬)