該模型是第十九次計算機安全技術交流會上提出的.這一模型認為:計算機取證可以分為證據發現層,證據固定層,證據提取層,證據分析層和證據表達層五個層次.我們可以認為:這五個層次就構成了一個層次模型.
證據發現層:計算機證據的發現就是通過偵查和現場勘察蒐集最原始的證據.計算機證據的發現技術實際上屬於偵查技術.可以把一般的偵查技術與計算機技術相結合進行研究.這方面的研究包括取證專用的入侵檢測系統(Intrusion Detection System, IDS),網路線索自動挖掘技術,溯源技術,數據過濾,磁碟鏡像技術等等.根據計算機證據的來源的不同, 計算機證據的發現可以分為網路證據的發現,單機證據的發現和相關設備證據的發現.
證據固定層:計算機證據的固定主要是解決證據的完整性驗證,即通過數字簽名和見證人簽名等保證現場勘察和偵查獲得的數據的完整性和真實性.
證據提取層:證據的提取從本質上說就是從眾多的未知和不確定性中找到確定性的東西,通過數據恢復,殘缺數據提取,解碼,解密,過濾等技術將原始數據表達成可以理解的抽象數據.
證據分析層:分析證據是計算機取證的核心和關鍵.即通過關聯分析證實信息的存在,信息的來源以及信息傳播途徑,重構犯罪行為,動機以及嫌疑人特徵.證據分析的內容包括:分析計算機的類型,採用的作業系統,是否為多作業系統或有無隱藏的分區;有無可疑外設;有無遠程控制,木馬程式及當前計算機系統的網路環境.注意分析過程的開機,關機過程,儘可能避免正在運行的進程數據丟失或存在的不可逆轉的刪除程式.分析在磁碟的特殊區域中發現的所有相關數據.利用磁碟存儲空閒空間的數據分析技術進行數據恢復,獲得檔案被增,刪,改,複製前的痕跡.等等.
證據表達層:證據的提取從本質上說就是從眾多的未知和不確定性中找到確定性的東西,通過數據恢復,殘缺數據提取,解碼,解密,過濾等技術將原始數據表達成可以理解的抽象數據.
取證人員面對的是各種互不相同的案件,有些甚至不是刑法上定義的計算機犯罪而是其他犯罪.所以計算機取證應該不僅僅是計算機犯罪證據的獲取.因此,證據的獲取很難說有固定的,一成不變的方法和模式,應該具體問題具體分析.
把對目標計算機系統的全面分析和追蹤結果進行匯總,然後給出分析結論,這一結論的內容應包括:系統的整體情況,發現的檔案結構,數據,作者的信息,對信息的任何隱藏,刪除,保護,加密企圖,以及在調查中發現的其它的相關信息.標明提取時間,地點,機器,提取人及見證人.然後以證據的形式按照合法的程式提交給司法機關.
相關詞條
-
多維計算機取證模型研究
ciden ation ation
-
取證監督層
或提交.5.結論本文在對現有的計算機取證模型進行深入研究的基礎上提出了一個多維計算機取證模型,該模型增加了時間約束和對計算機取證過程的取證監督,較好...,合法性.MDFM模型的取證步驟基於該模型的取證步驟如下:取證準備階段取證...
-
計算機信息安全技術
計算機信息安全技術是一門由密碼套用技術、信息安全技術、數據災難與數據恢復技術、作業系統維護技術、區域網路組網與維護技術、資料庫套用技術等組成的計算機綜合套用學科。
學科組成 培養目標 主要課程 圖書 -
計算機免疫學
本書系統地論述計算機免疫學的概念、原理及套用技術。首先就生物免疫學及計算機免疫學的研究歷程進行簡要回顧,討論生物免疫學的機理,重點闡述計算機免疫學中的形...
書籍內容 內容節選 書籍目錄 -
MDFM模型的框架結構
通用的計算機取證模型應該是隨時間變化的,應該隨著犯罪分子犯罪手段的升級...過程進行全程的審計監督.所以,我們提出的計算機取證模型是一個多維的取證模型.以上這一模型分為三個層次:數據層,證據獲取層和取證監督層.數據層數據層...
-
計算機系統安全原理與技術
《計算機系統安全原理與技術》,全面介紹了計算機系統各層次可能存在的安全問題和普遍採用的安全機制。
內容簡介 目錄 序言 -
吉林大學珠海學院計算機科學與技術系
吉林大學珠海學院計算機科學與技術系創建於2003年,現設有計算機科學與技術、軟體工程、網路工程3個本科專業,學制四年,現有在讀本科生1400餘名,計算機...
院系介紹 教學成果 科學研究 學生活動 -
微電子學與計算機
《微電子學與計算機》 是北大圖書館評選的核心刊物,是我國微電子技術與計算機技術相結合的唯一專業性國家中文核心期刊,同時也是中國計算機學會會刊(2010年...
雜誌內容 主要欄目 收錄情況 核心期刊 期刊查詢 -
網路安全概論
、計算機取證技術以及數據備份與恢復技術進行?巳?嫻牟?觥? 本書取材新穎...3. 4 信任模型3. 4. 1 嚴格層次信任模型3. 4. 2 分散式...作為高等學校信息安全、信息對抗、密碼學、通信、計算機等專業高年級本科生和...
基本信息 內容簡介 目錄 同名圖書