计算机取证设备电脑、接口转换器、连接线、电源等各种硬件设备和勘验用电脑中的软件系统组成了现场取证的设备集合,如果在出现场前稍有不慎遗漏了其中某一环节的设备,计算机硕士论文很有可能会导致取证工作无法进行;同时,这些设备散列在一起也会占用较大的空间,为出现场的搬运以及现场组装带来不便,于是产生了便携式现场勘查箱。
实验室取证设备也叫离线取证设备,是指在实验室中对现场勘验所获取的数据进行分析、显示、恢复、鉴定和法庭呈堂准备的过程中所用到的取证设备。数字证据通过现场的收集、固定和克隆后会生成专门用于实验室分析的数据硬盘或某种格式的证据文件,在取证实验室里,即使在普通的PC机上安装取证软件后也可进行证据的分析和提取。当然市面上也有专门用于取证的服务器或工作站,比如Digitalintelligence公司开发的FRED系列的实验室数据捕获与分析平台,计算机毕业论文其功能强大,设备接口齐全,专业性强,只要将证据硬盘或文件伎照要峨接入相应的设备接口或置于相应的驱动器即可实现分析.而不用手工连接各种只读转换接口和进行相关设备的拆卸。
在软件方面,国外用于实验室分析取证的软件产品种类繁多,但在国内使用得比较多的主要有EnCase(美国uidance软件公司)、FTK(美国AccessData公司)、X-Ways Forensics、取证大师!美亚柏科公司)。其他综合取证软件如FBI Forensics Desktop, FinaIForensic,Smart, ilook, Paraben等在数据获取、验证、恢复、搜索、文件过滤以及日志报告等方面有着优异的性能但由于在国内使用的普及度不是很高,在此不作赘述。
密码破解虽不算真正意义上的取证,但却是针对有密码的操作系统或加密文档进行取证的前提。目前几乎所有的取证综合平台都具备破解或绕过密码登陆界面进入操作系统的功能,如美亚柏科的DC-8650现场特取设备,可绕开目标操作系统的登录口令进入目标操作系统,进行调查取证工作。关闭计算机后,DC-8650会将目标计算的状态自动恢复如初。有些平台还提供了识别常用的经过密的Office或pdf文档的功能,如X-Ways。当然要真正实施密码破解,还需要专门的密码破解产品,比AccessData公司开发的彩虹表高速密码破译软件,可在一分钟内将文档密码移除,只是此软件只能支持具有40位及以下的密码,比如Office 2003版本以下及pdf加密文档,这种彩虹表破解法是通过穷举的方式对密文进行匹配,成功后将密码移除,从而不具备解密的功能,也就无法获知明文,同时存储所有可能的密文并快速进行索引需要大容量的硬盘和高性能的计算机,势必会提高实验室建设成本。需指出的是,目前网络上也有提供此种彩虹表密移除方式的解决方案Advanced Office PasswordRemover。在暴力破解方面,AccessData公司开发的分布式网络破解系统DNA(Distributed Network Attack),可通过网络(局域网或外网),利用多台计算机的运算速度来协同破译密码;俄罗斯Elcomsoft另辟蹊径,推出GPU解密加速产品,可使一台CPU拥有960个核心的强大并行处理能力,其计算性能可达原PC的250倍,这将对依靠计算机网络进行加速破解的DAN方式给予巨大冲击。
目前数据恢复产品非常繁多,但在国内影响力最大的还是FinaIData和EasyRecovery两款软件产品。它们软平台界面简洁,操作方便,都能够恢复丢失的数据以及重建文件系统,提供对磁盘Slack空间的数据恢复,其中FinaIData3.0版本还提供了对电子邮件、数据库以Office文档的修复功能。从硬件层面,计算机研究论文效率源科技公司开发的Data Compass平台可实现对常见的固件层、逻辑层、物理层硬盘障的数据恢复解决方案。更进一步,如果嫌疑硬盘被人为物理破坏而失去数据读写功能,可以通过无尘电子实验室进行开盘数据恢复。
手机取证是近年来研究的热点,全球各大取证公司纷纷推出自己的手机取证产品,比如Logicube公开发的CELLDEK系列、Parabe公司开发的Device Seizure,AccessData公司开发的FTK.MPE,以及韩国FinaIData公司开发的Final Mobile Forensics等。事实上,计算机取证相比,手机取证的技术难度相对还要低一些,因为数据量有限,空间有限,因此其数据格式是有限可解的。现在很多智能手机使用了扩展卡,如SD卡等,这些扩展卡一般使用与计算机完全一样的文件系统,主要是FAT格式,因此,卡上的数据是没有51可技术度的,真正的难点就在于如何能够按位将那么多型号而又自成体系的手机内的AM, ROM里的信息全部读取出来.而这又是各个厂家自行设计并保密的,因此,手取取证如何获取底层数据就成了其难点所在。因此,在中国市场,这些公司都普遍遇到一个瓶颈问题,那就是对国产手机型号缺乏有效支持,而国内公司在这个问题上则有比较好的解决方案。
单片硬盘的容量近几年迅速增长,其数量级逐渐开始以丁来计量,对于具有磁盘阵列功能的服务器,其数量能达到上百丁,但相对而言,硬盘的读写速度却提升有限,而计算机取证技术对硬盘的访问方式更是从磁盘的物理层空间进行,这直接导致有些取证软件要完成对大容量硬盘的文件索引分析需要以天来计数。为取证工作带来很大困扰。如何在索引速度与数据分析的有效性方面建立效率平衡,是摆在取证产品软硬件开发商面前的一大难题。
国外的取证产品发展时间较长,产品系列已经比较成熟,近几年不遗余力地在国内进行推广,使我国的取证工作人员有机会接触911大量国外一流的取证设备与软件。但在具体的使用过程中,发现这些“洋品牌”存在着水土不服的问题,比如对中文支持效果不好,对简体中文关键字索引效果不甚理想,更别谈支持国内的少数民族语言;在取证软件平台中的电子邮件、即时通信、默认关键字中找不到我国常用的选项,以及在手机取证平台的数千个手机产品中却找不到我国最常用的手机品牌等等。所有这些一方面给国内的取证工作人员带来了很大的不便。然而,国外产品的不适应性对我国新兴的计算机取证产业却是一个难得的机遇,与其不遗余力的汉化国外品牌,不如另蹊径,研制出适合国内需求的产品。
转载请注明,本文来自上海论文网http://shlunwen.com/
温馨提示:以上为我公司为您提供的部分计算机小论文,如需计算机论文,计算机硕士论文,计算机职称论文请您联系我们客服,或拨打咨询热线:021-58510201