计算机取证分析内部编号：（YUUT-TBBY-MMUT-URRUY-UOOY-DBUYI-0128）摘要信息技术的不断发展给人们的生活带来了巨大的改变，网络已经越来越渗透到人们的现实生活与工作当中。

然而，网络在为人民生活和工作带来便利的同时，也引发了无数网络犯罪。

计算机静态取证便是针对网络犯罪而出现的一种电子取证技术，而随着网络犯罪形式和手段的千变万化，计算机静态取证已不能满足打击网络犯罪的需求，为适应信息化发展的要求，建立安全网络环境和严厉打击网络犯罪行为势在必行，本论文针对计算机动态取证技术进行分析，主要浅谈电子动态取证采集系统的实现、网络证据收集和网络数据分析等几个方面。

通过对计算机取证基本概念、特点和技术的基础研究，对计算机动态取证进行分析。

关键词：电子取证动态取证动态电子证据采集网络数据协议目录一、概述（一）、研究背景目前，人类社会已经迈入了网络时代，计算机与互联网已经与老百姓的日常工作、学习与工作息息相关，社会信息化对政治、经济、文化和科技等各项社会生活产生了深远的影响。

然而，网络技术给人类社会带来有利影响的同时，也带来了负面的影响。

在国外，1988年11月美国国防部的军用九三级网络遭受莫里斯病毒袭击，致使美国Internet网络上6000多台计算机感染，直接经济损失9600万美元。

2000年5月，“爱虫”病毒通过电子邮件传播，在世界各地迅速蔓延，造成全世界空前的计算机系统破坏。

而在国内，人们利用计算机网络犯罪的案例也层出不穷。

2002年，作案人吕薜文通过盗用他人账号，对中国公众多媒体通信网广州主机进行了攻击，并对其部分文件进行删除、修改、增加等一系列非法操作，造成严重后果。

2008年4月，作案人赵哲窜至上海某证券攻击营业部，利用该营业部电脑安全防范上的漏洞，修改该营业部部分股票交易数据，致使股价短时间内剧烈震荡。

计算机以及其他信息设备越来越多的被运用到犯罪活动中，尽管随着入侵检测系统的广泛使用降低了非法使用计算机资源所带来的损失，但网络犯罪依然不可忽视。

针对网络环境安全，本文旨在研究探讨网络开放环境下的电子证据的动态收集与分析。

（二）、国内外研究现状目前，虽然我国各省市级公安机关有专门的部门处理计算机犯罪案例，然而在处理案件的技术上所用到的只是国外一些常见的取证工具，如今计算机犯罪手段变化多端，这样所获取的电子证据缺乏说服力，未能给破案带来实质性的帮助。

而类似美国等发达国家地区，无论是在电子取证技术上、人们的意识形态和有关计算机证据的法律建设都在于我国之上，许多专门的计算机取证部门、实验室和公司开发了很多极其实用的取证产品。

例如，计算机司法领域的行业领袖Logicube、突出的计算机取证服务提供商ICS、Vogon和Guidance等公司不断研发和推进它们的专业取证产品，对打击计算机犯罪提供了有效的工具。

因此，我国应该自主开发能够有效打击计算机及网络犯罪的专业电子产品，健全相关法律法规，以应对日益增加的犯罪活动，使得用户的权益不受侵犯。

开展计算机取证技术的研究，无疑对我国的社会发展乃至整个世界的计算机科学发展都有着极其重要的意义。

（三）、论文研究内容与时俱进的时代性不仅体现在社会与经济的快速发展，同时体现于社会各个领域的全面进步，计算机取证已经成为当今社会不可置旁的话题，执法机关对计算机取证技术的要求也越来越高，本文将通过对计算机取证技术的基础知识进行拓展，比计算机静态取证做更进一步的探讨，对动态电子证据采集系统的实现进行研究以及对计算机证据的收集和分析研究。

本文各部分的内容组织如下：第一章概述，介绍课题的研究背景，以及国内外关于计算机取证的发展现状和本课题的主要研究内容。

第二章计算机取证技术，较系统介绍计算机取证的定义、特点、基本原则和简单介绍比较计算机动态取证和计算机静态取证。

第三章计算机动态取证采集系统的实现研究，分析计算机动态取证采集系统的功能，从而研究计算机动态取证采集系统的组成。

第四章计算机证据收集与分析，讨论网路数据的分析和网络证据的收集。

最后结语，对本论文进行总结。

二、计算机取证技术（一）、计算机取证的定义计算机取证即对计算机入侵与犯罪，进行证据获取、保存、分析和出示，它是一个对受侵计算机系统进行扫描和破解，以对入侵事件进行重建的过程。

计算机取证包括物理证据获取和信息发现两个阶段。

物理证据获取是指调查人员到计算机入侵或者犯罪现场寻找以及扣留计算机硬件，而信息发现则指专业人员从原始电子数据（包括日志、文件等）中寻找破案所需要的电子证据。

计算机取证对计算机和网络犯罪的作用至关重要，执着证据真实、可靠、完整和符合法律法规的原则，它被用于解决现代社会中出现的许多计算机和网络犯罪活动。

（二）、计算机取证的特点电子证据是以电或磁的脉冲形式和二进制的数据格式存储于计算机的硬盘上的高科技证据，它与传统的证据相比具有高科技性、无形性和易破坏性等特点。

高科技性是指电子证据的产生、储存和传输，都必须借助于、存储技术、网络技术等，离开了相应技术设备，电子证据就无法保存和传输。

无形性是指电子证据肉眼不能够直接可见的，必须借助适当的工具。

易破坏性是指电子证据很容易被篡改、删除而不留任何痕迹。

根据电子证据的特点，获取对计算机系统进行彻检，进而提取以及保护计算机和网络犯罪的证据。

在电子证据获取的过程中，需要保持及时性、无破坏性、连续性和受监督性。

及时性和无破坏性是指要尽早地搜集证据，而保证证据完整不受破坏；连续性是指在取证过程中必须保证证据的连续性，以保全其具备的证据能力和证明力；受监督性是指原告委派的专家的整个检查和取证工作，都应该受到由其它方委派的专家的监督。

（三）、计算机取证的基本原则计算机取证的基本原则主要有以下几点：首先，保持及时的原则，对证据要及时搜集，以免错过取证的最佳时段；其次，保全证据，保持证据完整而不受损坏；第三，必须保持证据的连续性，将证据提交给法庭时，必须能够说明证据从获取至提交法庭整个过程的证据状态是否出现变化，或者没有任何变化。

最后，原告委派的专家的整个检查和取证工作，都应该受到由其它方委派的专家的监督。

（四）、计算机取证技术按计算机取证发生时间的不同，将计算机取证分为事后的静态取证和实时的动态取证。

静态取证的电子取证的证明力相对较低，事后的取证使取证工作处于被动的状态，取证工作很大程度上受限于计算机犯罪分子留下的现场，从而难以对付计算机犯罪。

而计算机动态取证是将取证技术结合到防火墙和入侵检测中，对所有可能的计算机犯罪行为进行实时数据获取和分析，智能分析入侵者的企图，采取措施切断链接或诱敌深入，在确保系统安全的情况下获取大量的证据，并保全、分析和提交证据的过程。

动态取证较静态取证的优越性在于动态取证在时间上具有实时性，一般在网络入侵发生时便开始启动，这样所提取的证据相对比较充分和完整，同时，证据的有效性也变得更强。

另外，动态取证对于取证人员的要求相对较低，而不像静态取证工具种类繁多，取证操作过程繁琐，技术单一。

三、计算机动态取证采集系统的实现研究（一）、计算机动态取证采集系统功能针对网络犯罪日益严重的现象，动态电子证据采集技术在电子取证技术中起着举足轻重的地位，动态电子证据采集技术包括IP地址和MAC地址获取和识别技术、数据包捕获技术、身份认证技术、漏洞扫描技术、电子邮件的取证和坚定技术等。

为能够有效对网络入侵犯罪活动进行证据采集，计算机动态取证采集系统必须具备以下功能：首先，系统能够检测本地互联网各系统配置的正确性和安全漏洞，监视和分析互联网用户和系统的活动，预防系统被越权操作；其次，能够跟踪所有网络活动和对应用层协议会话过程进行实时与历史重现；最后，能够完整、及时和有效采集电子证据。

采集的信息可以实施全面分析，提取与案件相关的证据。

（二）、计算机动态取证采集系统组成计算机动态取证采集系统组成主要包括：事件采集模块，事件分析模块，事件数据库，安全预警模型和响应单元。

事件采集模块，负责完成从整个网络环境中获得事件，并向系统的其他部分提供此事件。

此处的事件并非所收集的原始的信息，而是将采集到的原始信息经过一定的处理，如过滤、重组，组合等，最终产生和实现功能相关的事件。

事件分析模块，从事件采集模块接受数据，进行分析，并产生新的数据传给其他组件。

分析模块可以是一个轮廓描述工具，统计性地检查现在的事件是否可能与以前某个事件来自同一个时间序列；也可以是一个特征检测工具，用于在一个事件中检测是否有已知的滥用攻击特征；此外，事件分析器还可以是一个相关器，观察事件之间的关系，将有联系的事件放在一起，以利于以后的进一步分析。

事件数据库，存放各种中间很最终数据的地方的统称，它可以是复杂的数据库，也可以是简单的文件文本。

安全预警模型，通过事件分析模块提供的各种统计结果、审计数据以及标准的规则建立入侵检测的安全预警模型，用于对网络数据进行监测，并将报警信息发送给响应单元。

响应单元，处理事件分析模块传送过来的状态信息或其它信息，并据此采取相应的措施，如杀死相关的程序、将连接复位、修改文件权限等。

（三）、计算机动态取证采集系统的体系结构计算机动态取证采集系统为专门加强网络核心部安全性的一种安全预警系统，根据其组成，设计动态电子证据采集系统结构如图1所示：图1 动态电子取证采集系统结构计算机动态取证采集系统由事件采集模块、事件分析模块、事件数据库、预警模型和事件响应和结果处理模块组成。

事件采集模块采用NetFlow技术采集数据，并将采集的原始数据存入数据库；事件分析模块采用基于统计的分析方法，将数据进行基于流量和协议的统计分析，采用数据挖掘方法建立数据仓库；预警模块是有原始报文、流量统计值和流量告警值生成异常检测模型，进行事件告警；事件响应和结果处理模块用于处理告警信息，另外，结果处理模块还可以定期生成统计报表，并反馈给事件分析模块，用来同台的调整安全预警模型。

四、计算机证据收集与分析（一）、网络证据的收集网络犯罪时，无论是利用哪种攻击方法，攻击行为都是在网络上传输通信数据，到达入侵的目的系统。

只要将攻击行为在网上传输的通信数据利用事件采集模块采集下来，用事件分析模块分析后，将其保存下来作为网络犯罪的证据。

1、网络数据收集的理论基础我们在前面一章讲到了计算机动态取证采集系统的相关知识，在共享型以太网中，所有的通讯都是广播的，同一网段中的所有接口都能访问在物理媒体上传输的所有数据包。

每个网络接口都有唯一对应的硬件地址—MAC地址，在MAC地址和IP地址之间用ARP和RARP协议进行互相转换。

一般情况，一个网络接口指响应两种数据：与自己硬件地址相匹配的数据帧和广播数据帧；而对于网卡而言通常有四种接受模式：广播方式、组播方式、直接方式和混杂模式。