計(jì)算機(jī)證據(jù)獲取技術(shù)研究與應(yīng)用.pdf

1、現(xiàn)有的計(jì)算機(jī)取證模型普遍存在缺乏基本的需求分析、取證過(guò)程無(wú)時(shí)間性約束、交叉重復(fù)工作表述不明確、取證全程缺乏有效監(jiān)督、取證過(guò)程法律約束不明確等等問(wèn)題,不能很好適應(yīng)取證工作的需要。為此,我們?cè)O(shè)計(jì)了實(shí)用化的計(jì)算機(jī)取證工作模型,該模型將計(jì)算機(jī)取證工作分成五個(gè)階段,各階段按計(jì)算機(jī)取證工作流程關(guān)系銜接,以保證工作過(guò)程的有序關(guān)聯(lián),在每個(gè)工作階段都附之與工作階段的證據(jù)要求相適應(yīng)的證據(jù)屬性約束條件,形成計(jì)算機(jī)取證工作與證據(jù)法律要求的有機(jī)融合,真正實(shí)現(xiàn)了獲

2、取計(jì)算機(jī)證據(jù)的目的。為了便于人們更清楚地了解計(jì)算機(jī)取證活動(dòng),使用Petri網(wǎng)形式化描述了實(shí)用的計(jì)算機(jī)取證工作模型。根據(jù)實(shí)用化的計(jì)算機(jī)取證工作模型的框架要求,首先提出了計(jì)算機(jī)取證工具和自選工具的應(yīng)用標(biāo)準(zhǔn),規(guī)定了到達(dá)取證現(xiàn)場(chǎng)后需要立即采取的證據(jù)保護(hù)措施。然后對(duì)取證工作的需求進(jìn)行了具體的分析,找出了核心工作內(nèi)容和與之對(duì)應(yīng)的操作方法,保證在證據(jù)提取階段有效獲取證據(jù)或發(fā)現(xiàn)深入工作的行動(dòng)線索。對(duì)于取證階段的部分內(nèi)容,如恢復(fù)文件、IP地址追蹤等,進(jìn)行

3、了較深入的討論,給出了某些具體問(wèn)題的解決方法,這些內(nèi)容對(duì)實(shí)際的取證工作有幫助、指導(dǎo)意義。基于證據(jù)分析的需要,提出了系統(tǒng)功能相關(guān)性、時(shí)間相關(guān)性、行為相關(guān)性分析的方法,這些方法能夠滿足獲取特殊計(jì)算機(jī)證據(jù)的要求。為了幫助取證人員有目的地使用證據(jù)分析法,對(duì)各種分析方法的適用對(duì)象或范圍進(jìn)行了界定。為了加深對(duì)證據(jù)分析方法的理解,有些內(nèi)容以實(shí)例的形式展示,以便取證人員能更有效地利用這些工具,發(fā)掘取證或深入工作的切入點(diǎn)。最后,給出了計(jì)算機(jī)取證工作流程框