论文部分内容阅读
作为打击计算机犯罪案件的主要手段——计算机取证技术,在维持社会稳定和保护良好的上网环境等方面发挥着重要作用,是实现信息安全的重要保障。然而目前计算机取证面临着许多方面的挑战,比如数据量爆炸式增长、计算机犯罪技术水平提高、分析推理结论的可信性等问题日益突出。电子数据由于它自身的特性——易变性,使得电子证据捕获过程受到多方面的威胁,包括证据覆盖、证据篡改、证据删除、存储介质毁坏等威胁,同时随着反取证技术的进一步发展使得电子证据获取工具遇到了更严重的可靠性问题,取证获得的电子证据在法庭上没有说服力。电子取证的可信性是计算机取证技术实施的首要前提,是进行证据分析研究工作的基础,然而现实中却只注重电子证据的获取,却忽略了对获取的电子证据可信性的研究,取证过程及分析多是手工完成,效率低,操作失误概率大。基于以上这些问题,本文以可信的计算机取证模型作为出发点,详细讨论了证据获取过程中的电子证据的发现、数据的固定、电子数据的安全获取、证据分析技术等各阶段的可靠性问题,从磁盘数据存储内部结构的角度分析了取证工具和取证方法对电子证据的影响,并结合概率论知识给出了定量的评价指标,最后提出带有时间约束因素的有限状态自动机对取证过程进行形式化分析,使电子证据获取方法进一步科学化、形式化的取证推理方法更加规范化。归纳起来,本文的主要研究工作和章节内容安排如下。(1)了解国内外计算机安全取证领域的前沿信息。(2)分析目前一些较为常见的计算机取证模型。(3)具体的介绍可信的计算机取证模型各阶段的主要工作。(4)分析物理内存数据存储情况、镜像文件获取及分析镜像文件所用的工具。(5)了解概率论知识,为计算机证据的数据可信性分析做好基础。(6)仿真实验评估取证工具和内存自身变化对电子证据可信性的影响概率。(7)对计算机取证过程应用带有时间因素约束的有限状态自动机进行形式化推理。