北京邮电大学硕士学位论文电子证据取证系统的分析与设计姓名:****请学位级别:硕士专业:软件工程指导教师:**山北京邮电大学硕上学位论文电子证据取证系统的分析与设计当前,信息网络已经成为国家的一项重要基础设施,信息网络安全已经成为关系国计民生的一个重大问题。以计算机系统为对象和工具的各类新型犯罪活动日益猖獗,各类计算机犯罪严重危害着国家的发展和稳定,打击和防范计算机犯罪己成为各国司法部门亟待解决的一大难题。而打击计算机犯罪的关键是如何将犯罪者留在计算机系统中的“痕迹"作为有效的诉讼证据提供给法庭,其中涉及的技术便是目前人们研究和关注的计算机取证技术。本文提出了新的电子证据取证流程、在线提取技术和全面的离线提取技术。在线数据分析与提取是在被取证计算机运行的状态下进行的数据分析和提取。通过在线分析与提取,可比较全面的掌握被取证计算机在现场开机状态下系统运行情况。.离线数据分析与提取是在进行了充分必要的在线提取,对原始硬盘克隆、封存和数据恢复之后,再针对克隆盘进行的数据分析与提取。对离线数据分析与提取子系统进行设计是在国内外离线取证系统现状和需求的基础上,首先构建了计算机取证系统的总体结构,其次是通过系统地分析其结构特点和主要技术难点,分析并设计了离线取证子系统的强力搜索模块、硬盘工具模块、模式匹配模块等三大模块的功能。
本文最后提出了以MD5算法和数字签名技术为基础的电子证据保全和校验方案。本文设计与开发的计算机取证系统是一种工具性软件,具有较高可用性,主要应用于司法、银行、军队等安全保卫与防范部门,具有较高的现实意义。关键词:计算机取证在线取证离线取证证据固定北京邮电人学硕士学位论文ANALYSISANDDESIGNoFTHEELECTRONICEVIDENCESFORE】叮SICSSYSTEMABSTRACTRecentlytheinformationnetworkhasbeenimportantinfrastructureofnation.Thesecurityofinformationnetworkhasbeenagrandissuethatrelatedtothenationandthepublic.Anewtypecriminalsbasedonororientedoncomputersbooming,whichimperilsanation’Sdevelopmentstability.Strikingitandkeepingawayhasbecomeanurgentworkforeverygovernment.However,thekeypickupthe‘‘marks’’leftinthecomputerbythecriminalandofferthemtothecourtaspowerfulevidence.Thatiswhytechniquesabouthowpickuptheevidenceinthecomputerarestudiedandpaidmuchattentionbypeople.Thisthesissuggestsnewconceptswhichincludessuchasworkflowfordigitalevidencecollection,thecomputerevidenceonlineextraction,thefulloffiineextraction.On—linedataanalysispick—upIII北京邮电大学颀。
卜学位论义referspickupcomputerrunningstate.Throughon—lineanalysispick—up,thesystem’Soperationofthecomputerrunningstatecanbecomprehensivegrasped.Off-linedataanalysispick-upaimsatfromtheclonedharddisk.Itisaftertheseriesofwork,includingsufficienton—linepick—ups,originalharddiskcloning,datamaintainingrecovering.Thedesignationofoff-linedataanalysispick-upsub—systemrequirementofoff-lineevidencepick-upsathomeandabroad.First,themainstructureisbuilt,andthenitsthreesub—systemsachievedbyanalyzingcharacteristicsandtechniquedifficultiesofthemainsystemsystematically.Thethreesub—systemspowerfulsearchingmodule,harddisktoolmodule,patternmatchingmodule.Attheendofthisthesis,anelectronicevidencemaintenanceandverifyingschemebasedonMD5arithmeticanddigitalsignaturewillbeproposed.Thecomputerforensicssystemdesignedinthethesisiswithhighusabilityrealityandmainlyusedsecurityprotectiondefendingdepartmentsuchasjustice,banks,andarmies.KEYWORDS:computerForensicson—lineForensicsoff-lineForensicsevidencepreservationIV独创性(或创新性)声明本人声明所呈交的论文是本人在导师指导下进行的研究工作及取得的研究成果。
尽我所知,除了文中特别加以标注和致谢中所罗列的内容以外,论文中不包含其他人已经发表或撰写过的研究成果,也不包含为获得北京邮电大学或其他教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示了谢意。申请学位论文与资料若有不实之处,本人承担一切相关责任。本人签名:日期:攀:兰:翌关于论文使用授权的说明本人完全了解北京邮电大学有关保留和使用学位论文的规定,即:研究生在校攻读学位期间论文工作的知识产权单位属北京邮电大学。学校有权保留并向国家有关部门或机构送交论文的复印件和磁盘,允许学位论文被查阅和借阅;学校可以公布学位论文的全部或部分内容,可以允许采用影印、缩印或其它复制手段 保存、汇编学位论文。 本学位论文不属于保密范围,适用本授权书。 本人签名: 导师签名: 日期:兰!望:垒:兰』 北京邮电人学硕士学位论文 1.1研究背景 第一章绪论 弟一早 随着计算机应用在我国的不断普及,计算机正日益成为人们工作、生活中不可或缺的一部分。计算机和互联网正逐步改变着人们的工作、生活、娱乐等 方式。中国互联网络信息中心(CNNIC)2008年7月发布的第22次中国互联网络 发展状况统计报告显示,截至2008年6月底,中国内地网民总人数已达2.53 亿人,其中宽带用户已经达到2.14亿,我国网民数和宽带上网人数已跃居世界 第一。
同时,计算机技术也逐渐在一些重要领域和部门广泛运用,如:政府、 军队、银行、电力等要害部门,计算机和网络承担着越来越重要的角色,成为 促进社会经济发展、保障人们基础生活的重要组成部分。 随着信息技术的不断发展,计算机越来越多地参与到人们的工作与生活中, 利用计算机网络信息系统进行的各类新型犯罪活动越来越多,与计算机相关的 法庭案例(如电子商务纠纷,计算机犯罪等)也频繁出现,一种新的证据形式, 即存在于计算机及相关外围设备(包括网络介质)中的电子证据逐渐成为新的 诉讼证据之一。大量的计算机犯罪,如商业机密信息的窃取和破坏,计算机欺 诈,对政府、军事网站的破坏——案例的取证工作需要提取存在于计算机系统 中的数据,甚至需要从已被删除、加密或破坏的文件中重获信息。电子证据本 身和取证过程的许多有别于传统物证和取证方法的特点,对司法和计算机科学 领域都提出了新的研究课题。作为计算机领域和法学领域的一门交叉科学:计 算机取证(ComputerForensics)正逐渐成为人们研究与关注的焦点,计算机 犯罪也成为危害社会的犯罪形式之一。 公安机关肩负着保障人民生命财产安全的神圣职责,面对迅速增长的计算 机安全事件,要认真分析现状,研究对策,特别是解决计算机电子数据取证等 关键问题。
打击计算机犯罪首要的任务是证据的获取,因此电子证据的提取、 鉴定和举证也随之成为司法部门亟待解决的问题。电子证据,也被称为计算机 证据,是指在计算机或计算机系统运行过程中产生的以其记录的内容来证明案 件事实的电磁记录物。电子证据的出现,则是对传统证据规则的一个挑战,而 北京邮电大学硕卜学位论文 与传统证据一样,电子证据必须是:可信的、准确的、完整的、符合法律法规 的,即可为法庭所接受的。但由于电子证据的脆弱性、隐蔽性、混合性、高科 技性等特点,导致计算机犯罪案件证据发现难、取证难和鉴定难,在很大程度 上已成为执法机关打击犯罪的瓶颈,给打击计算机违法犯罪活动带来了极大的 困难,致使违法犯罪分子不能得到应有的惩罚。因此,对电子证据的相关研究 已越来越紧迫,而建立一套高效运作的权威机制,及时对涉及计算机等电子数 据的案件进行取证、鉴定和举证,为打击计算机犯罪提供强有力的支持,已经 成为我省乃至全国公安、检察、法院等司法机关亟待解决的重大问题。 1.2研究的意义和重要性 计算机在政治、军事、金融、商业等部门的应用日益广泛,社会对计算机 的依赖程度越来越高,违法犯罪领域趋向高科技,智能化越来越强,以计算机 犯罪为主要特征的高科技犯罪即“智能型犯罪"成为新的犯罪“增长点”。
同时, 一些通常被认为不可能通过网络进行的犯罪现在也可以通过网络空间间接地蔓 延。计算机犯罪直接影响国家政治、经济、文化等各个方面的正常秩序,重要 的计算机系统一旦遭到破坏,不仅会导致社会的混乱,也会带来巨大经济损失。 世界主要工业国家中每年因利用计算机犯罪所造成的经济损失远远超过了普通 经济犯罪的经济损失。对计算机犯罪活动如不依法予以打击,不仅严重影响社 会信息化的健康发展,还会给国家、社会和个人造成严重危害。我国新修订的 刑法首次界定了计算机犯罪,规定了非法侵入计算机信息系统罪、破坏计算机 信息系统罪及利用计算机实施的犯罪等。2000年12月28日,第九届全国人民 代表大会常务委员会第十九次会议通过了《关于维护互联网安全的决定》,针对 利用互联网犯罪特点和实际情况,进一步明确对利用互联网犯罪予以惩处的刑 法适用问题。这些为我们打击网上违法犯罪活动提供了锐利的法律武器。据统 计,2006年,全国共查获涉及互联网案件达4万多起,而且这个数字还再成倍 数增长。互联网上违法犯罪案件的不断增加,严重破坏了社会主义经济秩序, 危害了我国政治和治安稳定。这不仅引起了党和国家高度的重视,也引发了全 社会对互联网安全的关注。
因此,能否及时有效地打击计算机违法犯罪活动, 对维护国家长治久安,保障互联网的运行安全和信息安全、促进互联网的健康 北京邮电大学硕:}:学位论文发展有着极其重要的意义。 1.3计算机取证技术研究应用现状 计算机犯罪证据调查取证在国外的研究工作已经先期开展,美国对于电子 证据调查取证的辅助软件系统、硬件环境已经存在产品供政府和一些特殊部门 采购。但这些软件和硬件系统由于其特殊性,保密程度很高,限制其它国家采 购,这对研究、发展我国的计算机犯罪的调查取证工作带来很大的不便。计算
