计算机取证中系统分析技术研究

计算机取证中系统分析技术研究

doi:10.3969/j.issn.1671-1122.2011.03.016

计算机取证中

研究系统分析技术

黄步根

(江苏警官学院,江苏南京 210012)

在打击涉计算机犯罪案件过程中,经常需要对计算机系统进行分析,本文探讨系统分析的静态摘 要:

分析技术、动态分析技术和网络监控技术,并结合介绍有关的分析工具。

风险社会;反计算机犯罪;系统分析;计算机取证关键词:

中图分类号:TP393.08 文献标识码:A 文章编号:1671-1122(2011)03-0039-04

A Technical Study of Analyzing Computer System for Computer

Forensics

HUANG Bu-gen

( Department of Forensic Science and Technology, Jiangsu Police Institute, Nanjing Jiangsu 210012, China )Abstract: People often need to analyze computer system when combating computer related crime. In this paper, the static analysis technology and dynamic analysis technology and cybe monitoring technology are discussed, and also introduce some tools for system analysis.

Key words: risk society; against computer crime; system analysis; computer forensics

0 引言

现实社会中,利用最新科学技术成果进行犯罪活动越来越显突出,除了刑法应对外[1],对付技术犯罪也必须依靠技术,涉及计算机的犯罪活动在技术犯罪中占重要位置,打击涉及计算机的犯罪活动,常常需要进行系统分析。计算机系统中有什么样的证据,并非都是直接看出来的,需要通过专门技术或工具进行分析。对于黑客程序、逻辑炸弹等程序,需要进行代码分析,确认其功能。如果能够获取源代码,则可以直接阅读,分析其功能,如果只有目标代码,则需要进行反汇编或反编译获取源代码,再进行代码分析,或者进行行为分析。

1 静态分析

静态分析主要用于确定文件类型、查看字符串、分析程序代码等检验工作,对注册表文件的分析、上网历史记录的分析等也属于静态分析的范畴。

1.1 文件类型的确定

2009年6月,某地公安机关破获一起案件,在对案件中涉及的财务数据检查时发现大量历史数据记录被删除。在案件鉴定过程中,根据文件特征搜索,发现一个扩展名为“wav”的文件实际是“dbf”数据库文件,使用VFP系统打开文件后,被删除的记录被全部显示出来,案值108.2万元,不显示删除标记的记录只有2.5万元。这是根据“dbf”文件特征发现伪装了的“dbf”,进而根据“dbf”文件的伪删除功能恢复数据。

文件的扩展名表明文件的类型,操作系统根据默认的调用关系选择应用程序。但出于各种原因,包括反侦察在内,一些文件的扩展名可能被故意改成其它类型,比如将“.rar”(压缩文件)改成“.sys”(系统文件)。对此,可以通过专门软件从文件内容检查文件类型,也可以通过WinHex、UltraEdit(如图1)等软件直接查看文件代码。因为许多应用系统的文件是结构化的,在文件头部包括特征串,可以用于确定文件类型。

收稿时间:2010-12-24基金项目:江苏高校哲学社会科学研究重点项目“风险社会中的刑事犯罪、侦查权和公民权利研究”(2010ZDIXM007)阶段性成果作者简介:黄步根(1958-),男,江苏,教授,硕士,主要研究方向:信息安全。

39

计算机取证中系统分析技术研究

Word文档免费下载Word文档免费下载:计算机取证中系统分析技术研究 (共4页,当前第1页)

你可能喜欢

  • 日志分析
  • 计算机概论
  • 计算机概念
  • 数据恢复
  • 计算机发展
  • 公安信息网络安全
  • 网络信息安全
  • 教案格式

计算机取证中系统分析技术研究相关文档

最新文档

返回顶部