论文部分内容阅读
摘 要:计算机取证本质上是一个详细扫描计算机系统以及重建入侵事件的过程。取证工作是追诉犯罪过程中一个重要环节,计算机取证也同样要遵循一般取证工作客观、真实、完整、合法的原则。随着计算机网络的飞速发展,计算机网络入侵及犯罪活动的频繁发生,包括网络入侵、盗用知识产权和网络欺骗等。人们对司法取证的要求越来越高。对计算机中被删除信息的恢复工作是获取犯罪线索和犯罪证据的一种重要途径。本文主要介绍了Unix系统计算机取证,并对数据恢复的方法进行了研究。
关键词:Unix 系统 计算机取证 数据恢复
计算机技术的迅速发展和广泛普及改变了人们传统的生产、生活和管理方式,同时也为违法犯罪分子提供了新的犯罪手段和空间。计算机犯罪活动越来越多,造成的危害也越来越大。这些案件的侦破必须要用到计算机取证技术。在计算机系统运行过程中产生的以其记录的内容来证明案件事实的电磁记录物被称为计算机证据。计算机取证(Computer Forensics)是针对计算机入侵与犯罪,进行证据获取、保存、分析和出示,在打击计算机和网络犯罪中作用十分关键,它的目的是要将犯罪者留在计算机中的"痕迹"作为有效的诉讼证据提供给法庭,以便将犯罪嫌疑人绳之以法。计算机取证是计算机领域和法学领域的一门交叉科学,被用来解决大量的计算机犯罪和事故,包括网络入侵、盗用知识产权和网络欺骗等。
1 Unix系统计算机取证
作为目前唯一可以安装和运行在个人计算机、工作站、大型机,甚至巨型机上的操作系统,Unix操作系统通过公开的源代码,用户可以方便地向操作系统中添加新的工具与功能,进而为用户提供越来越多的服务。国内外学者专家对于计算机取证的概念众说纷纭,其中,其较为广泛采用的概念是指能够为法庭接受的、足够可靠和有说服力的电子证据(Electronic Evidence)的确定、收集、保护、分析、归档以及法庭出示的过程。电子证据在计算机运行过程中产生,几乎涵盖了所有传统证据类型。随着多媒体技术的出现,电子证据的表现形式也越来越多样化。
证据是法官判定罪与非罪、此罪与彼罪的标准,其在司法证明的中的作用是无庸质疑的。侦查以入侵为途径和手段的计算机犯罪案件,需要分析并获取计算机中的相关数据和信息以及从被删除或篡改的信息中取得证据。可信、准确、完整、符合法律法规是所有证据必须具备的特点。不同于传统的物证和取证方式计算机取证是对计算机网络及设备进行调查和技术分析,确定、恢复和提取具有法律意义的数据文件,再现犯罪的过程与目的,将被入侵的计算机系统留下数字痕迹处理并作为证据使用。电子证据还具有无形性、磁介质数据的脆弱性、人机交互性、高科技性等特点。随着计算机及电信技术的不断进步,取证方法和程序都需要进行不断调整。Unix系统计算机取证中被删除、篡改的数据恢复,对追诉犯罪过程具有一定的法律意义。
2 Unix系统计算机数据储存删除以及恢复方法
文件的信息(元数据)和文件中的数据组成了Unix文件系统中的数据。文件中的数据存储在数据块中(通过位图知晓数据块中是否已经有信息存储),若干数据块中的数据经由文件系统通过元数据(索引文件、目录文件)组织成文件。用来记录文件内容所在数据块直接地址(当文件太大时需用间接数据块指针)的数组都保存在索引节点中,文件在Unix系统计算机中的索引节点是唯一的。利用文件名寻找文件在Unix系统计算机中通过使用目录文件来实现,目录文件记录着文件名和索引节点号,每個目录项的长度有特定的变量标识,也被称为目录项列表,新文件建立目录文件随之生成。所谓文件删除,实质上是系统无法对被删除目录项进行读写,究其原因则是因为被删除文件的索引节点和文件所占用的数据块状态信息标识为“空闲”,且被删除文件之前一项文件相关的目录项中的目录项长度增大。文件被删除后,硬盘中该文件的数据和元数据未被彻底去除。也正是由于文件本身并没有在文件删除的过程中进行实质性的删除操作,进而为被删除文件提供了恢复的可能。
Unix 系统计算机中文件恢复方法可以分为:知道内容的文件恢复、RAW 文件恢复以及用Debugfs恢复文件。首先,知道内容的文件恢复。某个文件被用户误删,且能够回忆出该文件的部分内容的文件需要恢复时,为了阻止其他进程覆盖被删除文件所占用的数据块或索引节点,该文件所在分区上的所有输入输出操作必须立刻停止。安全状态下,对被删除文件所在的分区用dd命令作原始拷贝,并以文件形式(recover.dsk)存放在/export分区。分区备份中进行文件恢复工作在需要在拷贝结束后将系统转为正常状态下,利用C程序或fgrep命令进行。其次,RAW 文件恢复。文件头和文件脚是专用类型的文件特定的字符串,这些字符串的内容可以通过专用磁盘编辑程序得到。RAW 文件恢复是指Unix系统中的文件被删除可以利用文件的RAW结构来恢复被删除的文件。所要恢复文件的确定实质上是代表文件开始和文件结束的文件头和文件脚的确定,对全盘进行逐扇区扫描就可以找到这些信息。最后,用Debugfs恢复文件。利用Debugfs恢复数据的同时要注意避免使用不当引起的普通文件的损坏。
计算机犯罪活动越来越多,造成的危害也越来越大。这些案件的侦破必须要用到计算机取证技术。Unix系统计算机取证中被删除、篡改的数据恢复,对追诉犯罪过程具有一定的法律意义。
参考文献
[1] 李枫,张涛. Unix系统计算机取证中数据恢复方法探讨[J].山西省政法管理干部学院学报,2001,(6).
[2] 丁丽萍,周博文,王永吉.基于安全操作系统的电子证据获取与存储[J].软件学报,2007,(18).
[3] Mandia K, Prosise C, Pepe M. 汪青青,付宇光等译.应急响应&计算机司法鉴定(第 2 版).北京:清华大学出版社, 2004.
[4]周敏,龚箭,付国瑜. UNIX 系统下的计算机取证证据收集与分析[J].计算机安全,2009(3).
[5] 殷联甫. UNIX 系统取证分析方法[J].计算机系统应用,2012(19).
[6] 曹辉,刘建辉. 基于 UNIX 系统的计算机取证研究[J].计算机安全,2005(6).
关键词:Unix 系统 计算机取证 数据恢复
计算机技术的迅速发展和广泛普及改变了人们传统的生产、生活和管理方式,同时也为违法犯罪分子提供了新的犯罪手段和空间。计算机犯罪活动越来越多,造成的危害也越来越大。这些案件的侦破必须要用到计算机取证技术。在计算机系统运行过程中产生的以其记录的内容来证明案件事实的电磁记录物被称为计算机证据。计算机取证(Computer Forensics)是针对计算机入侵与犯罪,进行证据获取、保存、分析和出示,在打击计算机和网络犯罪中作用十分关键,它的目的是要将犯罪者留在计算机中的"痕迹"作为有效的诉讼证据提供给法庭,以便将犯罪嫌疑人绳之以法。计算机取证是计算机领域和法学领域的一门交叉科学,被用来解决大量的计算机犯罪和事故,包括网络入侵、盗用知识产权和网络欺骗等。
1 Unix系统计算机取证
作为目前唯一可以安装和运行在个人计算机、工作站、大型机,甚至巨型机上的操作系统,Unix操作系统通过公开的源代码,用户可以方便地向操作系统中添加新的工具与功能,进而为用户提供越来越多的服务。国内外学者专家对于计算机取证的概念众说纷纭,其中,其较为广泛采用的概念是指能够为法庭接受的、足够可靠和有说服力的电子证据(Electronic Evidence)的确定、收集、保护、分析、归档以及法庭出示的过程。电子证据在计算机运行过程中产生,几乎涵盖了所有传统证据类型。随着多媒体技术的出现,电子证据的表现形式也越来越多样化。
证据是法官判定罪与非罪、此罪与彼罪的标准,其在司法证明的中的作用是无庸质疑的。侦查以入侵为途径和手段的计算机犯罪案件,需要分析并获取计算机中的相关数据和信息以及从被删除或篡改的信息中取得证据。可信、准确、完整、符合法律法规是所有证据必须具备的特点。不同于传统的物证和取证方式计算机取证是对计算机网络及设备进行调查和技术分析,确定、恢复和提取具有法律意义的数据文件,再现犯罪的过程与目的,将被入侵的计算机系统留下数字痕迹处理并作为证据使用。电子证据还具有无形性、磁介质数据的脆弱性、人机交互性、高科技性等特点。随着计算机及电信技术的不断进步,取证方法和程序都需要进行不断调整。Unix系统计算机取证中被删除、篡改的数据恢复,对追诉犯罪过程具有一定的法律意义。
2 Unix系统计算机数据储存删除以及恢复方法
文件的信息(元数据)和文件中的数据组成了Unix文件系统中的数据。文件中的数据存储在数据块中(通过位图知晓数据块中是否已经有信息存储),若干数据块中的数据经由文件系统通过元数据(索引文件、目录文件)组织成文件。用来记录文件内容所在数据块直接地址(当文件太大时需用间接数据块指针)的数组都保存在索引节点中,文件在Unix系统计算机中的索引节点是唯一的。利用文件名寻找文件在Unix系统计算机中通过使用目录文件来实现,目录文件记录着文件名和索引节点号,每個目录项的长度有特定的变量标识,也被称为目录项列表,新文件建立目录文件随之生成。所谓文件删除,实质上是系统无法对被删除目录项进行读写,究其原因则是因为被删除文件的索引节点和文件所占用的数据块状态信息标识为“空闲”,且被删除文件之前一项文件相关的目录项中的目录项长度增大。文件被删除后,硬盘中该文件的数据和元数据未被彻底去除。也正是由于文件本身并没有在文件删除的过程中进行实质性的删除操作,进而为被删除文件提供了恢复的可能。
Unix 系统计算机中文件恢复方法可以分为:知道内容的文件恢复、RAW 文件恢复以及用Debugfs恢复文件。首先,知道内容的文件恢复。某个文件被用户误删,且能够回忆出该文件的部分内容的文件需要恢复时,为了阻止其他进程覆盖被删除文件所占用的数据块或索引节点,该文件所在分区上的所有输入输出操作必须立刻停止。安全状态下,对被删除文件所在的分区用dd命令作原始拷贝,并以文件形式(recover.dsk)存放在/export分区。分区备份中进行文件恢复工作在需要在拷贝结束后将系统转为正常状态下,利用C程序或fgrep命令进行。其次,RAW 文件恢复。文件头和文件脚是专用类型的文件特定的字符串,这些字符串的内容可以通过专用磁盘编辑程序得到。RAW 文件恢复是指Unix系统中的文件被删除可以利用文件的RAW结构来恢复被删除的文件。所要恢复文件的确定实质上是代表文件开始和文件结束的文件头和文件脚的确定,对全盘进行逐扇区扫描就可以找到这些信息。最后,用Debugfs恢复文件。利用Debugfs恢复数据的同时要注意避免使用不当引起的普通文件的损坏。
计算机犯罪活动越来越多,造成的危害也越来越大。这些案件的侦破必须要用到计算机取证技术。Unix系统计算机取证中被删除、篡改的数据恢复,对追诉犯罪过程具有一定的法律意义。
参考文献
[1] 李枫,张涛. Unix系统计算机取证中数据恢复方法探讨[J].山西省政法管理干部学院学报,2001,(6).
[2] 丁丽萍,周博文,王永吉.基于安全操作系统的电子证据获取与存储[J].软件学报,2007,(18).
[3] Mandia K, Prosise C, Pepe M. 汪青青,付宇光等译.应急响应&计算机司法鉴定(第 2 版).北京:清华大学出版社, 2004.
[4]周敏,龚箭,付国瑜. UNIX 系统下的计算机取证证据收集与分析[J].计算机安全,2009(3).
[5] 殷联甫. UNIX 系统取证分析方法[J].计算机系统应用,2012(19).
[6] 曹辉,刘建辉. 基于 UNIX 系统的计算机取证研究[J].计算机安全,2005(6).