談計算機取證信息收集與數(shù)據(jù)還原

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了談計算機取證信息收集與數(shù)據(jù)還原范文，希望能給你帶來靈感和參考，敬請閱讀。

摘要：現(xiàn)代信息技術(shù)的發(fā)展拉近了互聯(lián)網(wǎng)和人們的距離，目前，很多企業(yè)和政府機構(gòu)都開始利用互聯(lián)網(wǎng)來進行信息數(shù)據(jù)的采集和儲存，同時各級政府和事業(yè)單位都開始加大對信息安全建設(shè)的重視程度，不斷地出臺相關(guān)信息安全條例來做好信息保密安全工作。就計算機犯罪的現(xiàn)狀，展開了相應的分析。

關(guān)鍵詞：計算機；信息收集；數(shù)據(jù)還原

互聯(lián)網(wǎng)的發(fā)展讓人們可以更加便捷地進行信息傳遞，不同人群之間也可以實現(xiàn)信息共享，國家各項基礎(chǔ)設(shè)施建設(shè)也開始應用信息化技術(shù)，但是與此同時各種計算機病毒也開始出現(xiàn)，這直接影響了國家的安定，威脅社會安全。和一般的犯罪行為不同，計算機犯罪屬于新興高技術(shù)犯罪，它的犯罪證據(jù)很多都是通過計算機存儲呈現(xiàn)出來的，像計算機記錄、相關(guān)的文件、源代碼等都是非常重要的電子證據(jù)。

1計算機犯罪的現(xiàn)狀

隨著計算機技術(shù)的不斷革新，計算機犯罪的類型和范圍也在不斷地擴寬，其主要類型為網(wǎng)絡色情犯罪、網(wǎng)絡傳銷、網(wǎng)絡詐騙等。色情犯罪主要是指通過論壇、社區(qū)以及網(wǎng)絡游戲等娛樂渠道將淫穢信息名呈現(xiàn)出來，這樣一來互聯(lián)網(wǎng)中就會充斥著大量的色情信息，很多青少年在使用計算機的時候會無意間點開淫穢信息，也有的青少年由于自我保護意識不高會參與到淫穢信息的傳播中，這在很大程度上影響了青少年的健康成長；網(wǎng)絡傳銷和網(wǎng)絡詐騙則是由電子商務衍生出來的，它通常是以電子貨幣的形式來進行網(wǎng)絡交易的，很多不法分子出于貪欲會想要去侵占他人的財務，微信、支付寶、QQ轉(zhuǎn)賬等為此類犯罪提供了便利。近年來我國網(wǎng)絡犯罪的數(shù)量有明顯的上漲趨勢，同時網(wǎng)絡犯罪涉及的金額也在不斷地增長，這嚴重威脅了我國公民的財產(chǎn)安全，也在很大程度上對社會安定造成了破壞。另外，從世界計算機犯罪的發(fā)展情況來看，計算機犯罪在未來有向國家機關(guān)產(chǎn)業(yè)滲透的趨勢，如果不及時地采取有效措施來對計算機犯罪進行打壓計算機犯罪的規(guī)模將會不斷地擴大，甚至還會由個人犯罪向團伙犯罪的方向轉(zhuǎn)變、由在區(qū)域內(nèi)部犯罪演變成跨區(qū)、跨國范圍，如果計算機犯罪蔓延到世界范圍，再想對其進行控制將會非常困難。因此應當從計算機犯罪的傳播途徑著手，利用技術(shù)手段來更好地對電子證據(jù)的相關(guān)數(shù)據(jù)信息進行收集，保證電子證據(jù)的合法性[2]。與此同時，相關(guān)技術(shù)人員也應當不斷地對相關(guān)技術(shù)進行革新，以便更好地應對各個領(lǐng)域出現(xiàn)的新型攻擊手段和新的BUG。

2計算機取證的內(nèi)容

2．1計算機取證的概念

計算機取證的概念是為了獲取一些合法信息而定義的，它主要是通過對磁介質(zhì)編碼信息的保護、確認以及提取和歸檔等操作實現(xiàn)的。另外，計算機取證也可以實現(xiàn)對計算機犯罪行為的解剖，進而將計算機犯罪中實施的證據(jù)進行改變和調(diào)整，讓其可以變成在法庭上具備足夠說服力的電子證據(jù)，以此來幫助減少計算機犯罪行為的發(fā)生。

2．2計算機取證的特點

計算機取證最突出的特點就是高科技性，不論是在對數(shù)據(jù)信息的存儲還是傳輸都需要通過相關(guān)的網(wǎng)絡技術(shù)來實現(xiàn)；另外計算機取證還具有一定的隱蔽性，在進行信息取證的時候相關(guān)數(shù)據(jù)會被隱藏，這樣一來就可以更加順利地取得計算機犯罪的證據(jù)而不會被感知；客觀性也是計算機取證最顯著的特點之一，由于計算機犯罪的證據(jù)一般都不是實物，追查、跟蹤的難度都很大，計算機取證可以更好有效避免由于外界因素帶來的影響；動態(tài)性特征也是計算機取證的特征之一，由于計算數(shù)據(jù)本身具備一定的動態(tài)性，它會隨著時間的變化發(fā)生變化，再加上計算機證據(jù)會以多種形式出現(xiàn)，所以計算機取證也具備一定的動態(tài)性。不僅如此，計算機的運行需要人力操作，所以為了更好地保證計算機證據(jù)的真實性，相關(guān)部門應當不斷地對技術(shù)人員進行培訓，從而幫助有效地對計算機犯罪行為進行遏制[3]。

2．3計算機取證的基本原則

相關(guān)技術(shù)人員在進行計算機取證的時候應當遵守及時性原則、可重現(xiàn)原則、安全保護原則以及多備性原則。及時性原則顧名思義就是要及時地獲取相關(guān)數(shù)據(jù)，保證數(shù)據(jù)的時效性；可重現(xiàn)原則就是要保證得到的電子數(shù)據(jù)結(jié)果可以進行重現(xiàn)；安全保護原則是要保證整個證據(jù)鏈的完整性，讓整個確證過程可以合法合規(guī)，這樣一來可以確保數(shù)據(jù)的有效性；多備性原則就是為了防止數(shù)據(jù)丟失或者其他因素導致數(shù)據(jù)遭到破壞，技術(shù)人員在進行計算機取證之前就要備份數(shù)據(jù)，避免突發(fā)情況的出現(xiàn)。

2．4計算機取證的步驟

計算機取證需要進行的第一步工作就是明確疑似犯罪的計算機內(nèi)含有哪些數(shù)字證據(jù)，同時也應當對這些可疑的計算機進行保護，這樣一來就可以避免計算機出現(xiàn)重啟或者后臺運行其他程序，導致數(shù)據(jù)證據(jù)受到篡改[4]。第二步是要將獲取可疑計算機內(nèi)存儲的數(shù)據(jù)證據(jù)，由于在取證的時候我們不知道哪些數(shù)據(jù)是有用的，哪些數(shù)據(jù)是無用的，所以為了以防萬一要將所有證據(jù)都都存儲在磁盤上，然后將這些信息數(shù)據(jù)進行重點保護，同時為了減少對原證物的損害；第三步就是進行證據(jù)的搬運，搬運的過程中相關(guān)人員也應當謹慎地對待證物，避免證物在運輸?shù)倪^程中受到損壞，否則它就不具備證物的價值；最后一步就是要對獲得的證據(jù)進行詳細的分析，并從中找出有效的數(shù)字證據(jù)（包括對主機數(shù)據(jù)的分析、對入侵過程的分析以及對入侵證據(jù)的提取等等），當然上述步驟都應當建立在對數(shù)據(jù)進行備份的基礎(chǔ)上，只有這樣才可以充分保證原始數(shù)據(jù)的完整性和有效性。

3數(shù)據(jù)還原

3．1對已經(jīng)被刪除數(shù)據(jù)的還原

從以往的計算機取證情況來看，在取證過程中如果沒有及時進行取證操作就很可能會導致部分數(shù)據(jù)受到損壞甚至被刪除，導致出現(xiàn)這種情況的原因有很多，像病毒、黑客以及取證人員操作不規(guī)范等都會導致數(shù)據(jù)的丟失，所以應當采取有效的措施來對這些已經(jīng)被破壞的數(shù)據(jù)進行還原。具體地可以從磁盤的儲存結(jié)構(gòu)出發(fā)來對整個計算機系統(tǒng)進行分析，并結(jié)合文件系統(tǒng)管理技術(shù)來對數(shù)據(jù)還原過程進行設(shè)計[5]。首先可以設(shè)計一個系統(tǒng)來對信息結(jié)構(gòu)進行引導，之后再對磁盤數(shù)據(jù)進行操作，可以利用NTFS來對文件在磁盤中的位置進行追蹤，從而準確地對文件進行定位，要知道，在NTFS系統(tǒng)中想要對一個文件進行刪除操作，被刪除數(shù)據(jù)的目錄、屬性以及在整個文件中架中所占的空間大小都會發(fā)生改變，因此可以首先通過NTFS對文件進行定位，之后再根據(jù)MFT中記錄的文件信息來對文件進行恢復，這樣一來數(shù)據(jù)還原的效率就會得到很大程度的提升。另外，相關(guān)技術(shù)人員在對該系統(tǒng)進行設(shè)計的時候應當首先建立相應的模塊，之后再確定整個磁盤存儲的結(jié)構(gòu)信息并對信息數(shù)據(jù)進行分區(qū)，獲取到信息時候再進行信息數(shù)據(jù)的讀取，從中獲得系統(tǒng)的分區(qū)信息。MFT的主控文件可以通過確定磁盤的存儲位置來對多個文件的記錄，同時在記錄的過程中NTEFA系統(tǒng)也會對相關(guān)的數(shù)據(jù)進行分析和記錄，然后對文件進行準確地判斷，確定其是否為已經(jīng)被刪除的文件。如果發(fā)現(xiàn)文件是已經(jīng)被刪除的，就要立即根據(jù)文件的編號來對其進行準確的恢復，恢復完成之后再將其存儲在磁盤中，這樣一來可以有效避免破壞證據(jù)的行為出現(xiàn)，減少計算機犯罪證據(jù)的損壞，提升計算機系統(tǒng)運行的安全性。

3．2對被格式化磁盤的還原

在磁盤的使用過程中，可能會受到外界因素（病毒、黑客）的影響而被格式化，已經(jīng)被格式化的數(shù)據(jù)是沒有辦法被再次利用的，它們已經(jīng)受到了損壞，甚至已經(jīng)丟失，所以為了更好地保證計算機取證信息的安全性必須要改進相關(guān)技術(shù)來幫助提升對格式化磁盤的還原能力，進而確保計算機取證過程的有效性。但是從實際操作過程中發(fā)現(xiàn)，由于文件在刪除操作上展示的對象不同，所以當磁盤被格式化之后，不僅磁盤內(nèi)部的存儲結(jié)構(gòu)會受到損壞，在磁盤內(nèi)還會形成數(shù)據(jù)引導區(qū)，這樣一來對格式化數(shù)據(jù)的恢復難度就大大增加[6]。所以為了更好地對已經(jīng)被格式化的磁盤進行有效還原相關(guān)技術(shù)人員也應當加大對磁盤還原方面的研究，不斷地提升相關(guān)技術(shù)的處理水平，從而使得被格式化磁盤內(nèi)的數(shù)據(jù)可以得到有效的還原。一般來說，當人們想要對一個已經(jīng)格式化了的NTFS系統(tǒng)進行處理時程序會自動根據(jù)指令作做出相應的反應，元數(shù)據(jù)的內(nèi)容就會立即被清空，同時根目錄內(nèi)的索引也會被清空，在這個過程中一些與系統(tǒng)運行相關(guān)聯(lián)的數(shù)據(jù)也會受到一定的影響，但是即使所有的文件都已經(jīng)被刪除，只要根目錄的數(shù)據(jù)索引還在數(shù)據(jù)還是存在被還原的可能性的，甚至還原的比例可以達到百分之百，所以相關(guān)人員在進行計算機取證的時候一定要合理地選擇取證方式，同時也要對整個取證過程進行綜合地考慮。另外，在進行計算機取證的時候，也應當充分利用文件的存儲結(jié)構(gòu)，并針對文件的存儲結(jié)構(gòu)來有針對性地進行還原操作，盡可能地保證大部分數(shù)據(jù)可以得到還原，為取證過程提供更多有效的信息，從而幫助實現(xiàn)對計算機犯罪行為的打壓，保證計算機信息數(shù)據(jù)的安全性。

4結(jié)語

計算機取證對于維護社會穩(wěn)定、打擊高科技違法犯罪有著非常重要的意義。所以相關(guān)技術(shù)人員也應當緊跟時展的步伐，不斷地對學習專業(yè)知識，提升自己的專業(yè)水平，更好地應對層出不窮的互聯(lián)網(wǎng)病毒和各種黑客的襲擊，提升計算機運行的安全性。同時技術(shù)人員也應當利用自己的專業(yè)知識來采取相應的措施確保證取證系統(tǒng)的正常運行，為打壓違法犯罪提供技術(shù)保障，進而實現(xiàn)維護我國社會和諧、穩(wěn)定發(fā)展的發(fā)展目標。

參考文獻

[1]令珍蘭.計算機取證的信息收集與數(shù)據(jù)還原[J].信息技術(shù)與信息化,2016,000(004):72-74.

[2]王薇.數(shù)據(jù)恢復與計算機取證[J].電子制作,2015,000(003):150-150.

[3]李永凱.對數(shù)據(jù)恢復與計算機取證的分析[J].計算機光盤軟件與應用,2014,000(015):137-138.

[4]張明旺.計算機取證中數(shù)據(jù)恢復技術(shù)探討[J].現(xiàn)代計算機,2012,(15):55-57.

[5]吳琪.淺析計算機犯罪取證中的數(shù)據(jù)恢復原理[J].吉林公安高等?？茖W校學報,2011,(2):64-67.

[6]張婷婷.試論計算機取證中的數(shù)據(jù)恢復技術(shù)[J].科技風,2017,(5):61-61.

作者：孫博 單位：蘇州深鑒信息科技有限公司