计算机取证常见问题Word文档下载推荐.docx
- 文档编号:20060185
- 上传时间:2023-01-16
- 格式:DOCX
- 页数:5
- 大小:68.16KB
计算机取证常见问题Word文档下载推荐.docx
《计算机取证常见问题Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《计算机取证常见问题Word文档下载推荐.docx(5页珍藏版)》请在冰豆网上搜索。
2对于数字证据的保全可采用什么样的方法?
(1)凡是将可擦写的原始软件和查获的媒体作为证据的,为了保证其证据的不可变性,应当在现场对所有原始的软件和查获的媒体采取写保护措施,并由现场见证人和当事人签名(盖章)并按指印。
(2)勘查中发现的一切有用证据都要及时固定按照有关规定要求拍摄现场全过程的照片和录像,制作《现场勘查笔录》及现场图,并记录现场照相和录像的内容,数量及现场图的种类和数量。
(3)用打印输出的方式将计算机证据进行文书化,打印后表明提取时间,地点,机器,提取人,见证人,在计算机证据文书化后,统一在文书材料右上角加盖印章并逐项填写。
(4)电子数据的备份一般应当将存储介质中的内容按其物理存放格式进行备份,作为证据使用的电子数据存储介质应记明案由,对象,内容,录取,复制的时间,地点,规格,类别,存储容量,文件格式等,并复制两个以上的电子数据备份。
(5)妥善保管存储电子数据证据的介质,远离高磁场,高温环境,避免静电,潮湿,灰尘,挤压和试剂的腐蚀,应使用纸袋装计算机元件或精密设备不能使用塑料袋防止静电消磁,证据要集中保存,以备随时重组试验或展示。
3根据DFRWS框架,从取证过程的角度取证技术分为哪几类?
(1)识别类(判定可能与断言或与突发事件时间相关的项目(Items),成分(Components)和数据。
)
(2)保存类(保证证据状态的完整性,该类技术处理那些与证据管理相关的元素。
(3)收集类(提取(Extracting)或捕获(Harvesting)突发事件的项(Items)及其属性(或特征)。
(4)检查类(对突发事件的项(Items)及其属性(或特征)进行仔细地查看。
(5)分析类(为了获得结论而对数字证据进行融合,关联和同化。
(6)呈堂类(客观,有条不紊,清晰,准确地报告事实。
4计算机取证人员除了具有司法鉴定人所具有的一般性权利和义务,还具有哪些权利和义务?
权利:
①在取证或鉴定中所涉及的计算机设备中安装软件和硬件,建立新用户。
关部门认可的。
第二,实事求是原则(实事求是,一切从实际出发,对计算机取证的结果,不能加以推测评估,应完全按照事实给出取证分析结论。
第三,技术优先原则(为了符合其发展,计算机取证也必须采用先进的技术和工具,在必要的情况下,还要聘请具有专业技术的计算机专家协助工作。
第四,保密原则(取证人员在取证过程中,应尽量在自己的本职工作范围内进行取证,不查阅与本案无关的其他数据信息,如因工作需要了解了上述信息,应对信息进行严格保密。
第五,固定保全原则(收集到的电子证据应当妥善保管,远离高磁场,高温环境,避免静电,潮湿,灰尘,挤压和试剂的腐蚀。
6现场情况调查的内容哪几个方面?
第一,计算机信息网络工作人员基本情况调查。
(掌握工作人员情况是寻找侦查线索的基础工作,内容有,档案资料是否完整,有无犯罪前科,是否接受过相关的安全教育,录用审查是否合格等。
第二,犯罪技能调查。
(计算机的高技术性决定了从事犯罪活动必须有相应的技能。
第三,作案动机调查。
(如果明确犯罪动机,很容易确定侦查或调查对象。
第四,计算机信息网络系统安全管理情况调查。
(内容:
工作人员工作职责划分是否妥当,工作关系是否协调,工作过程有无监督,牵制机制,外部人员出入控制是否严格,个噢你做环境中是否存在密码泄露,是否存在渗透的可能,是否存在利用工作人员疏漏获取信息进行犯罪的可能。
第五,特殊人员调查。
(有时把一般操作人员有无作案能力,有无作案条件,有无反常表现等作为特殊人员进行调查,根据计算机信息网络系统犯罪活动实际情况而定。
第六,外围人员调查。
(对非计算机信息网络系统工作人员,但有作案技能,有可能获取作案机会的外围人员也应纳入调查范围。
第七,有无内外勾结作案迹象的调查。
(对于不存在外部人员单独作案的犯罪案件,应重点调查内外勾结串谋的内应,这样侦查方向既明确又容易突破。
第八,周围环境调查。
(主要内容是调查通信线路有无窃听装置,附近有无定向天线,有无可疑现象等。
7电子数据可采用哪些保存方法?
第一,将电子数据做备份,将数据复制到其他存储介质当中。
(电子数据的备份一般应当将存储介质中的内容按其物理存放格式(如逐扇区,包括坏扇区)进行备份。
第二,妥善保管存储电子数据的介质,远离高磁场,高温环境,避免静电,潮湿,灰尘,挤压和试剂的腐蚀。
(使用纸袋装电子元件或精密设备,不能使用塑料袋,防止静电消磁,证据要集中保存,以备随时重组,实验或展示。
8计算机取证中证据分析类的通用工具有哪些?
1)文件浏览器(这类工具是专门用来查看数据文件的阅读工具。
2)图片检查工具(ThumbsPlus是一个功能很全面的进行图片检查的工具。
3)文本搜索工具(DtSearch是一个用于文件搜索的串配工具,该工具支持基于检索的快速匹配方式。
4)磁盘分区检测工具(分区检测工具为检测硬盘的分区结构提供了可视化的效果。
5)数据库分析与挖掘工具(数据库分析与挖掘工具可对调查的数据进行分类,聚类,相关性分析等操作。
6)介质与文件系统分析工具(NTI公司软件系统NetThreatAnalyzer使用人工智能中的模式识别技术,分析slack磁盘空间以及未分配磁盘空间,自由空间中所包含的信息。
7)流量嗅探和协议分析工具(Ethereal能在UNIX和Windows系统中运行,能捕捉通过网络的流量并进行分析,能重构诸如上网和访问网络文件等行为。
8)日志分析工具(AWStats是最近发展很快的一个基于Peal的Web日志分析工具,可运行在GUN/Linux上或Windows上,分析的日志直接支持Apache格式和IIS格式。
9Incase取证工具具有什么特性?
1)识别功能(文件特征识别及分析功能,分析并证实文件签名,发现那些为了隐藏内容而改名的文件。
2)保存功能(口令保护任何证据快以控制保管链。
3)分析功能(分析所有种类硬盘和可移动媒体的文件及文件夹结构。
4)显示功能(显示完整的驱动器映像,包括隐藏的和未分区的磁盘空间,并按关键字搜索。
5)提供脚本功能(Encase在脚本中设定好需要搜索的关键字和特征代码,对证据硬盘全盘分析,以避免遗漏某些重要数据,提高分析处理的效率。
10电子证据的取证复制技术有哪些?
1)标准复制技术(Windows系统下的标准复制技术是指利用系统GUI界面的复制,剪切,粘贴,或者利用命令行的copy,Xcopy等方式从被调查主机上复制证据到目标存储设备上。
2)物理镜像技术(物理镜像是指对被调查存储设备执行物理级的逐扇区,逐位拷贝,也被称为比特流复制。
3)快照技术(快照技术指的是快速完成数据对象在某一时间点的静态映像,存储快照创建一个数据“指针”的单独的集合,可以作为其他主机的一个卷或者文件系统来安装,并可以为原始数据提供一个接近实况数据的拷贝。
11在UNIX系统下,内容数据分析时常用工具grep和find的命令语法格式和功能是什么?
grep命令作用是在指定文件中搜索特定的内容,并将含有这些内容的行进行标准输出。
命令语法格式是grep【选项】【查找模式】【文件名1,文件名2,…】
find命令用于在指定的目录结构中搜索文件名,并执行指定的操作。
命令语法格式是find【目录】【选项】【表达式】
12unix系统下普遍使用的复制和镜像工具ddarp/piodump的功能是什么?
dd是一个传统的硬盘取证镜像工具,可以对指定分区的所有空间的信息进行复制,包括未使用空间的信息。
tar/cpio是磁盘归档命令,UNIX可以用它将许多文件打包到一起,形成一个档案文件,以便归档。
Dump为备份工具程序,可将目录或整个文件系统备份至指定的设备,或备份成一个大文件。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 计算机 取证 常见问题