时间:2016-02-02 13:44 文章来源:http://www.lunwenbuluo.com 作者:丁丽萍,王永吉 点击次数:
2.2计算机取证的步骤
2.2.1保护现场和现场勘查
现场勘查是获取证据的第1步,主要是物理证据的获取.这项工作可为下面的环节打下基础.包括封存目标计算机系统并避免发生任何数据破坏或病毒感染,绘制计算机犯罪现场图、网络拓扑图等,在移动或拆卸任何设备之前都要拍照存档,为今后模拟和还原犯罪现场提供直接依据.要特别注意保证"证据连续性",即在证据被正式提交给法庭时,必须能够说明在证据从最初的获取状态到在法庭上出现的状态之间的任何变化,当然最好是没有任何变化.而且,整个检查、取证过程必须是受到监督的.也就是说,所有调查取证工作,都应该有其他方委派的专家的监督。
2.2.2获取证据[6,7]
证据的获取从本质上说就是从众多的未知和不确定性中找到确定性的东西.而取证人员面对的是各种互不相同的案件,有些甚至不是刑法上定义的计算机犯罪而是其他犯罪.比如,北京市公安局与福建省公安厅联合破获的某两高校爆炸案,从性质上看纯粹是一般刑事案件,但该案件的证据又确实是通过计算机获取的,即计算机取证应该不仅仅是计算机犯罪证据的获取.因此,证据的获取很难说有固定的、一成不变的方法和模式,应该具体问题具体分析.有的专家认为:检查一个系统并保持可靠证据的理想的方法是冻结现有的系统并分析原有数据的拷贝.但是这种做法并不总是可行的.例如,机器设备的冻结是否合法、是否会引起非议以及在停机时间难以确定时,是否会引起有关人员的反对,等等。所以,证据的获取方法首先要合法并不会造成太大的政治和经济上的损失。又比如,对于到达现场后,是否要立即切断电源的问题也应当具体分析,在理想状态下,任何一台需要分析的计算机都可以关掉电源,重新启动,做一个完整的镜像。这时,取证人员只需取下硬盘,进行各种操作即可.但是,这仅仅是个理想状态而已.计算机取证领域最具争议的话题之一就是:在取证时究竟是让一台计算机继续运行还是立即拔掉电源,或者进行正常的管理关机过程.大多数取证人员为了使计算机停留在当前状态,采取立即拔掉电源的做法,但是这一做法会毁掉入侵过程中的相关数据,并且可能毁坏硬盘上的数据.最好的做法应该是针对现场的具体情况迅速做出判断,采取最合适的方法获取证据。
一般地,在防止远程攻击的同时保护现场证据的方法有如下几种:
联系方式
随机阅读
热门排行