談?dòng)?jì)算機(jī)取證信息收集與數(shù)據(jù)還原

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了談?dòng)?jì)算機(jī)取證信息收集與數(shù)據(jù)還原范文，希望能給你帶來靈感和參考，敬請閱讀。

摘要：現(xiàn)代信息技術(shù)的發(fā)展拉近了互聯(lián)網(wǎng)和人們的距離，目前，很多企業(yè)和政府機(jī)構(gòu)都開始利用互聯(lián)網(wǎng)來進(jìn)行信息數(shù)據(jù)的采集和儲(chǔ)存，同時(shí)各級(jí)政府和事業(yè)單位都開始加大對信息安全建設(shè)的重視程度，不斷地出臺(tái)相關(guān)信息安全條例來做好信息保密安全工作。就計(jì)算機(jī)犯罪的現(xiàn)狀，展開了相應(yīng)的分析。

關(guān)鍵詞：計(jì)算機(jī)；信息收集；數(shù)據(jù)還原

互聯(lián)網(wǎng)的發(fā)展讓人們可以更加便捷地進(jìn)行信息傳遞，不同人群之間也可以實(shí)現(xiàn)信息共享，國家各項(xiàng)基礎(chǔ)設(shè)施建設(shè)也開始應(yīng)用信息化技術(shù)，但是與此同時(shí)各種計(jì)算機(jī)病毒也開始出現(xiàn)，這直接影響了國家的安定，威脅社會(huì)安全。和一般的犯罪行為不同，計(jì)算機(jī)犯罪屬于新興高技術(shù)犯罪，它的犯罪證據(jù)很多都是通過計(jì)算機(jī)存儲(chǔ)呈現(xiàn)出來的，像計(jì)算機(jī)記錄、相關(guān)的文件、源代碼等都是非常重要的電子證據(jù)。

1計(jì)算機(jī)犯罪的現(xiàn)狀

隨著計(jì)算機(jī)技術(shù)的不斷革新，計(jì)算機(jī)犯罪的類型和范圍也在不斷地?cái)U(kuò)寬，其主要類型為網(wǎng)絡(luò)色情犯罪、網(wǎng)絡(luò)傳銷、網(wǎng)絡(luò)詐騙等。色情犯罪主要是指通過論壇、社區(qū)以及網(wǎng)絡(luò)游戲等娛樂渠道將淫穢信息名呈現(xiàn)出來，這樣一來互聯(lián)網(wǎng)中就會(huì)充斥著大量的色情信息，很多青少年在使用計(jì)算機(jī)的時(shí)候會(huì)無意間點(diǎn)開淫穢信息，也有的青少年由于自我保護(hù)意識(shí)不高會(huì)參與到淫穢信息的傳播中，這在很大程度上影響了青少年的健康成長；網(wǎng)絡(luò)傳銷和網(wǎng)絡(luò)詐騙則是由電子商務(wù)衍生出來的，它通常是以電子貨幣的形式來進(jìn)行網(wǎng)絡(luò)交易的，很多不法分子出于貪欲會(huì)想要去侵占他人的財(cái)務(wù)，微信、支付寶、QQ轉(zhuǎn)賬等為此類犯罪提供了便利。近年來我國網(wǎng)絡(luò)犯罪的數(shù)量有明顯的上漲趨勢，同時(shí)網(wǎng)絡(luò)犯罪涉及的金額也在不斷地增長，這嚴(yán)重威脅了我國公民的財(cái)產(chǎn)安全，也在很大程度上對社會(huì)安定造成了破壞。另外，從世界計(jì)算機(jī)犯罪的發(fā)展情況來看，計(jì)算機(jī)犯罪在未來有向國家機(jī)關(guān)產(chǎn)業(yè)滲透的趨勢，如果不及時(shí)地采取有效措施來對計(jì)算機(jī)犯罪進(jìn)行打壓計(jì)算機(jī)犯罪的規(guī)模將會(huì)不斷地?cái)U(kuò)大，甚至還會(huì)由個(gè)人犯罪向團(tuán)伙犯罪的方向轉(zhuǎn)變、由在區(qū)域內(nèi)部犯罪演變成跨區(qū)、跨國范圍，如果計(jì)算機(jī)犯罪蔓延到世界范圍，再想對其進(jìn)行控制將會(huì)非常困難。因此應(yīng)當(dāng)從計(jì)算機(jī)犯罪的傳播途徑著手，利用技術(shù)手段來更好地對電子證據(jù)的相關(guān)數(shù)據(jù)信息進(jìn)行收集，保證電子證據(jù)的合法性[2]。與此同時(shí)，相關(guān)技術(shù)人員也應(yīng)當(dāng)不斷地對相關(guān)技術(shù)進(jìn)行革新，以便更好地應(yīng)對各個(gè)領(lǐng)域出現(xiàn)的新型攻擊手段和新的BUG。

2計(jì)算機(jī)取證的內(nèi)容

2．1計(jì)算機(jī)取證的概念

計(jì)算機(jī)取證的概念是為了獲取一些合法信息而定義的，它主要是通過對磁介質(zhì)編碼信息的保護(hù)、確認(rèn)以及提取和歸檔等操作實(shí)現(xiàn)的。另外，計(jì)算機(jī)取證也可以實(shí)現(xiàn)對計(jì)算機(jī)犯罪行為的解剖，進(jìn)而將計(jì)算機(jī)犯罪中實(shí)施的證據(jù)進(jìn)行改變和調(diào)整，讓其可以變成在法庭上具備足夠說服力的電子證據(jù)，以此來幫助減少計(jì)算機(jī)犯罪行為的發(fā)生。

2．2計(jì)算機(jī)取證的特點(diǎn)

計(jì)算機(jī)取證最突出的特點(diǎn)就是高科技性，不論是在對數(shù)據(jù)信息的存儲(chǔ)還是傳輸都需要通過相關(guān)的網(wǎng)絡(luò)技術(shù)來實(shí)現(xiàn)；另外計(jì)算機(jī)取證還具有一定的隱蔽性，在進(jìn)行信息取證的時(shí)候相關(guān)數(shù)據(jù)會(huì)被隱藏，這樣一來就可以更加順利地取得計(jì)算機(jī)犯罪的證據(jù)而不會(huì)被感知；客觀性也是計(jì)算機(jī)取證最顯著的特點(diǎn)之一，由于計(jì)算機(jī)犯罪的證據(jù)一般都不是實(shí)物，追查、跟蹤的難度都很大，計(jì)算機(jī)取證可以更好有效避免由于外界因素帶來的影響；動(dòng)態(tài)性特征也是計(jì)算機(jī)取證的特征之一，由于計(jì)算數(shù)據(jù)本身具備一定的動(dòng)態(tài)性，它會(huì)隨著時(shí)間的變化發(fā)生變化，再加上計(jì)算機(jī)證據(jù)會(huì)以多種形式出現(xiàn)，所以計(jì)算機(jī)取證也具備一定的動(dòng)態(tài)性。不僅如此，計(jì)算機(jī)的運(yùn)行需要人力操作，所以為了更好地保證計(jì)算機(jī)證據(jù)的真實(shí)性，相關(guān)部門應(yīng)當(dāng)不斷地對技術(shù)人員進(jìn)行培訓(xùn)，從而幫助有效地對計(jì)算機(jī)犯罪行為進(jìn)行遏制[3]。

2．3計(jì)算機(jī)取證的基本原則

相關(guān)技術(shù)人員在進(jìn)行計(jì)算機(jī)取證的時(shí)候應(yīng)當(dāng)遵守及時(shí)性原則、可重現(xiàn)原則、安全保護(hù)原則以及多備性原則。及時(shí)性原則顧名思義就是要及時(shí)地獲取相關(guān)數(shù)據(jù)，保證數(shù)據(jù)的時(shí)效性；可重現(xiàn)原則就是要保證得到的電子數(shù)據(jù)結(jié)果可以進(jìn)行重現(xiàn)；安全保護(hù)原則是要保證整個(gè)證據(jù)鏈的完整性，讓整個(gè)確證過程可以合法合規(guī)，這樣一來可以確保數(shù)據(jù)的有效性；多備性原則就是為了防止數(shù)據(jù)丟失或者其他因素導(dǎo)致數(shù)據(jù)遭到破壞，技術(shù)人員在進(jìn)行計(jì)算機(jī)取證之前就要備份數(shù)據(jù)，避免突發(fā)情況的出現(xiàn)。

2．4計(jì)算機(jī)取證的步驟

計(jì)算機(jī)取證需要進(jìn)行的第一步工作就是明確疑似犯罪的計(jì)算機(jī)內(nèi)含有哪些數(shù)字證據(jù)，同時(shí)也應(yīng)當(dāng)對這些可疑的計(jì)算機(jī)進(jìn)行保護(hù)，這樣一來就可以避免計(jì)算機(jī)出現(xiàn)重啟或者后臺(tái)運(yùn)行其他程序，導(dǎo)致數(shù)據(jù)證據(jù)受到篡改[4]。第二步是要將獲取可疑計(jì)算機(jī)內(nèi)存儲(chǔ)的數(shù)據(jù)證據(jù)，由于在取證的時(shí)候我們不知道哪些數(shù)據(jù)是有用的，哪些數(shù)據(jù)是無用的，所以為了以防萬一要將所有證據(jù)都都存儲(chǔ)在磁盤上，然后將這些信息數(shù)據(jù)進(jìn)行重點(diǎn)保護(hù)，同時(shí)為了減少對原證物的損害；第三步就是進(jìn)行證據(jù)的搬運(yùn)，搬運(yùn)的過程中相關(guān)人員也應(yīng)當(dāng)謹(jǐn)慎地對待證物，避免證物在運(yùn)輸?shù)倪^程中受到損壞，否則它就不具備證物的價(jià)值；最后一步就是要對獲得的證據(jù)進(jìn)行詳細(xì)的分析，并從中找出有效的數(shù)字證據(jù)（包括對主機(jī)數(shù)據(jù)的分析、對入侵過程的分析以及對入侵證據(jù)的提取等等），當(dāng)然上述步驟都應(yīng)當(dāng)建立在對數(shù)據(jù)進(jìn)行備份的基礎(chǔ)上，只有這樣才可以充分保證原始數(shù)據(jù)的完整性和有效性。

3數(shù)據(jù)還原

3．1對已經(jīng)被刪除數(shù)據(jù)的還原

從以往的計(jì)算機(jī)取證情況來看，在取證過程中如果沒有及時(shí)進(jìn)行取證操作就很可能會(huì)導(dǎo)致部分?jǐn)?shù)據(jù)受到損壞甚至被刪除，導(dǎo)致出現(xiàn)這種情況的原因有很多，像病毒、黑客以及取證人員操作不規(guī)范等都會(huì)導(dǎo)致數(shù)據(jù)的丟失，所以應(yīng)當(dāng)采取有效的措施來對這些已經(jīng)被破壞的數(shù)據(jù)進(jìn)行還原。具體地可以從磁盤的儲(chǔ)存結(jié)構(gòu)出發(fā)來對整個(gè)計(jì)算機(jī)系統(tǒng)進(jìn)行分析，并結(jié)合文件系統(tǒng)管理技術(shù)來對數(shù)據(jù)還原過程進(jìn)行設(shè)計(jì)[5]。首先可以設(shè)計(jì)一個(gè)系統(tǒng)來對信息結(jié)構(gòu)進(jìn)行引導(dǎo)，之后再對磁盤數(shù)據(jù)進(jìn)行操作，可以利用NTFS來對文件在磁盤中的位置進(jìn)行追蹤，從而準(zhǔn)確地對文件進(jìn)行定位，要知道，在NTFS系統(tǒng)中想要對一個(gè)文件進(jìn)行刪除操作，被刪除數(shù)據(jù)的目錄、屬性以及在整個(gè)文件中架中所占的空間大小都會(huì)發(fā)生改變，因此可以首先通過NTFS對文件進(jìn)行定位，之后再根據(jù)MFT中記錄的文件信息來對文件進(jìn)行恢復(fù)，這樣一來數(shù)據(jù)還原的效率就會(huì)得到很大程度的提升。另外，相關(guān)技術(shù)人員在對該系統(tǒng)進(jìn)行設(shè)計(jì)的時(shí)候應(yīng)當(dāng)首先建立相應(yīng)的模塊，之后再確定整個(gè)磁盤存儲(chǔ)的結(jié)構(gòu)信息并對信息數(shù)據(jù)進(jìn)行分區(qū)，獲取到信息時(shí)候再進(jìn)行信息數(shù)據(jù)的讀取，從中獲得系統(tǒng)的分區(qū)信息。MFT的主控文件可以通過確定磁盤的存儲(chǔ)位置來對多個(gè)文件的記錄，同時(shí)在記錄的過程中NTEFA系統(tǒng)也會(huì)對相關(guān)的數(shù)據(jù)進(jìn)行分析和記錄，然后對文件進(jìn)行準(zhǔn)確地判斷，確定其是否為已經(jīng)被刪除的文件。如果發(fā)現(xiàn)文件是已經(jīng)被刪除的，就要立即根據(jù)文件的編號(hào)來對其進(jìn)行準(zhǔn)確的恢復(fù)，恢復(fù)完成之后再將其存儲(chǔ)在磁盤中，這樣一來可以有效避免破壞證據(jù)的行為出現(xiàn)，減少計(jì)算機(jī)犯罪證據(jù)的損壞，提升計(jì)算機(jī)系統(tǒng)運(yùn)行的安全性。

3．2對被格式化磁盤的還原

在磁盤的使用過程中，可能會(huì)受到外界因素（病毒、黑客）的影響而被格式化，已經(jīng)被格式化的數(shù)據(jù)是沒有辦法被再次利用的，它們已經(jīng)受到了損壞，甚至已經(jīng)丟失，所以為了更好地保證計(jì)算機(jī)取證信息的安全性必須要改進(jìn)相關(guān)技術(shù)來幫助提升對格式化磁盤的還原能力，進(jìn)而確保計(jì)算機(jī)取證過程的有效性。但是從實(shí)際操作過程中發(fā)現(xiàn)，由于文件在刪除操作上展示的對象不同，所以當(dāng)磁盤被格式化之后，不僅磁盤內(nèi)部的存儲(chǔ)結(jié)構(gòu)會(huì)受到損壞，在磁盤內(nèi)還會(huì)形成數(shù)據(jù)引導(dǎo)區(qū)，這樣一來對格式化數(shù)據(jù)的恢復(fù)難度就大大增加[6]。所以為了更好地對已經(jīng)被格式化的磁盤進(jìn)行有效還原相關(guān)技術(shù)人員也應(yīng)當(dāng)加大對磁盤還原方面的研究，不斷地提升相關(guān)技術(shù)的處理水平，從而使得被格式化磁盤內(nèi)的數(shù)據(jù)可以得到有效的還原。一般來說，當(dāng)人們想要對一個(gè)已經(jīng)格式化了的NTFS系統(tǒng)進(jìn)行處理時(shí)程序會(huì)自動(dòng)根據(jù)指令作做出相應(yīng)的反應(yīng)，元數(shù)據(jù)的內(nèi)容就會(huì)立即被清空，同時(shí)根目錄內(nèi)的索引也會(huì)被清空，在這個(gè)過程中一些與系統(tǒng)運(yùn)行相關(guān)聯(lián)的數(shù)據(jù)也會(huì)受到一定的影響，但是即使所有的文件都已經(jīng)被刪除，只要根目錄的數(shù)據(jù)索引還在數(shù)據(jù)還是存在被還原的可能性的，甚至還原的比例可以達(dá)到百分之百，所以相關(guān)人員在進(jìn)行計(jì)算機(jī)取證的時(shí)候一定要合理地選擇取證方式，同時(shí)也要對整個(gè)取證過程進(jìn)行綜合地考慮。另外，在進(jìn)行計(jì)算機(jī)取證的時(shí)候，也應(yīng)當(dāng)充分利用文件的存儲(chǔ)結(jié)構(gòu)，并針對文件的存儲(chǔ)結(jié)構(gòu)來有針對性地進(jìn)行還原操作，盡可能地保證大部分?jǐn)?shù)據(jù)可以得到還原，為取證過程提供更多有效的信息，從而幫助實(shí)現(xiàn)對計(jì)算機(jī)犯罪行為的打壓，保證計(jì)算機(jī)信息數(shù)據(jù)的安全性。

4結(jié)語

計(jì)算機(jī)取證對于維護(hù)社會(huì)穩(wěn)定、打擊高科技違法犯罪有著非常重要的意義。所以相關(guān)技術(shù)人員也應(yīng)當(dāng)緊跟時(shí)展的步伐，不斷地對學(xué)習(xí)專業(yè)知識(shí)，提升自己的專業(yè)水平，更好地應(yīng)對層出不窮的互聯(lián)網(wǎng)病毒和各種黑客的襲擊，提升計(jì)算機(jī)運(yùn)行的安全性。同時(shí)技術(shù)人員也應(yīng)當(dāng)利用自己的專業(yè)知識(shí)來采取相應(yīng)的措施確保證取證系統(tǒng)的正常運(yùn)行，為打壓違法犯罪提供技術(shù)保障，進(jìn)而實(shí)現(xiàn)維護(hù)我國社會(huì)和諧、穩(wěn)定發(fā)展的發(fā)展目標(biāo)。

參考文獻(xiàn)

[1]令珍蘭.計(jì)算機(jī)取證的信息收集與數(shù)據(jù)還原[J].信息技術(shù)與信息化,2016,000(004):72-74.

[2]王薇.數(shù)據(jù)恢復(fù)與計(jì)算機(jī)取證[J].電子制作,2015,000(003):150-150.

[3]李永凱.對數(shù)據(jù)恢復(fù)與計(jì)算機(jī)取證的分析[J].計(jì)算機(jī)光盤軟件與應(yīng)用,2014,000(015):137-138.

[4]張明旺.計(jì)算機(jī)取證中數(shù)據(jù)恢復(fù)技術(shù)探討[J].現(xiàn)代計(jì)算機(jī),2012,(15):55-57.

[5]吳琪.淺析計(jì)算機(jī)犯罪取證中的數(shù)據(jù)恢復(fù)原理[J].吉林公安高等?？茖W(xué)校學(xué)報(bào),2011,(2):64-67.

[6]張婷婷.試論計(jì)算機(jī)取證中的數(shù)據(jù)恢復(fù)技術(shù)[J].科技風(fēng),2017,(5):61-61.

作者：孫博 單位：蘇州深鑒信息科技有限公司