Windows10中Prefetch文件的变化及对取证分析的影响

预读取,是Windows用来提高操作系统和应用程序启动性能的一项重要机制。Windows通过Prefetch文件在系统和应用程序启动前将所需的文件提前缓存到内存中,从而实现这一机制,因此Prefetch文件中记录了大量有关应用程序运行的痕迹,这些痕迹便是宝贵的电子数据证据。相较于其它版本的Prefetch文件,Windows10中Prefetch文件的结构和功能发生了较大的变化,但是其相关的研究和解析工作相对较少。主要针对Windows10中Prefetch文件的结构和功能进行分析,并进一步阐述Prefetch文件在电子数据取证中的重要作用。     

Windows环境下基于栈和堆的应用程序行为解析方法研究

通过描述Windows中与栈及堆密切相关的系统结构,说明其定位方法,并重点讨论其结构格式的电子数据取证特性,为内存空间电子数据取证提供了新的思路与方法.实例分析部分,则以目前广泛使用的Windows操作系统为应用背景,说明了所述方法的具体应用.     

基于Windows7环境下的跳转列表解析用户操作行为

作为计算机犯罪侦查中重要的证据与线索来源,用户行为信息在揭示犯罪分子操作细节方面发挥着重要作用。以往关于此方面的研究主要集中于Prefetch文件夹、Rencent文件夹以及注册表等方面。针对Windows 7新增功能——跳转列表进行研究,剖析其内部结构,从电子数据取证角度归纳总结用户操作对其产生的影响。实践证明,上述方法准确高效。     

WinRAR压缩文件的电子数据取证方法探讨

从常规取证方法、临时文件(夹)分析、ADS文件调查等方面入手,详细讨论了针对WinRAR压缩文件的电子数据取证方法,并对过程中涉及到的具体技术与注意事项予以阐述。     

Windows 7系统注册表的取证分析

介绍了Windows 7系统的注册表结构,探讨了Windows 7系统注册表取证内容、取证工具和原则,并辅以案例说明其实际应用,旨在为进一步的Windows 7系统取证实践与研究打下基础。     

基于ESE数据库文件分析的IE浏览器取证技术研究

讨论了IE浏览器取证相关的知识,对IE浏览器中保存Web访问记录的ESE数据库文件进行了介绍,并分别以IE6、IE8和IE10为例分析了其ESE数据库文件在Windows系统中的存储位置和方式。重点对Index.dat和Webcachev01.dat两种ESE文件进行了结构解析,并以取证实战为目的,具体分析了IE浏览器取证中的二进制分析法,同时介绍了工具取证法。     

现场提取电子数据的技术与实践

《公安机关办理刑事案件电子数据取证规则》(以下简称《取证规则》)自2019年2月1日施行以来,各级公安机关认真组织贯彻落实,电子数据取证进一步规范,能力进一步提升,电子数据取证工作在刑事案件办理中取得了显著成效。以《取证规则》的第二章第三节"现场提取电子数据"为切入点,重点阐述刑事案件现场勘验检查过程中现场提取电子数据规则规范的要求,并结合实践操作方法和技术,提供一线电子数据勘验民警以借鉴和参考。     

Office Word文档溯源方法研究

基于最广泛使用的Microsoft Office Word文件结构格式分析,集中关注编辑过程还原主题,立足document.xml与core.xml文件内容,挖掘OOXML格式中独特的RI值变化规则,进而完成文件来源的取证分析,并通过自主研发的软件使得分析工作智能化工具化。电子数据取证实践证明,所述方法准确高效。     

黑客非法侵入案件的电子取证分析

从电子数据取证的角度出发,说明在黑客非法侵入案件中电子证据应注意提取的几个重点方面:服务器日志、网站日志、用户文件、最近访问记录、浏览器记录、删除数据恢复。同时结合具体的案件实例对查找出黑客身份的过程进行了详细分析。     

浅议云环境下涉案电子数据取证研究

大数据时代带来了云计算技术的发展和普及,为人们提供了经济便捷的云服务,但利用云平台实施的网络犯罪也日益猖獗。云计算具有海量数据分散存储、虚拟化、数据弹性存储易失的特点,传统的电子数据取证方法提供的取证数据吞吐量有限,盲目对云环境开展涉案电子证据取证无异于大海捞针,通过对云环境取证基础概述和当前云环境下电子数据取证所面临困难的分析,提出了云环境下电子数据取证流程,探讨云环境下电子数据取证技术框架和取证思路,并给出云环境涉案电子数据取证实例,最后对云取证技术未来发展做出展望。     

电子取证技术在“法轮功”案件中的应用

"法轮功"邪教组织的活动已经具有网络化特征,如何对这类非法活动进行证据提取,成为电子取证工作面临的重要课题。阐述了电子取证的基本流程,通过一个具体案例,分析了电子取证技术在"法轮功"案件中的应用,并提出了网络化特征下动态取证技术的下一步研究方向。     

大数据思维下公安侦查取证方式研究——以电子数据取证为视角

现行社会下,网络虚拟世界与传统现实世界交叉融合,许多犯罪分子利用网络犯罪的智能性、隐蔽性的特点手段,实施的"不在场"犯罪日益增多,再借助自己掌握的专业计算机网络知识,在作案过程中或完成后立即使用技术手段抹去有时是破案关键甚至是唯一的电子数据,使公安机关对这类犯罪的取证难度加大,为案件侦破带来较大困难。大数据时代的到来,为侦查工作带来新的变革,转变了侦查思维方式,改变了传统侦查模式,但同时也出现电子数据在收集取证过程中存在的侦查取证手段滞后、侦查人员取证水平不高、侦查协作机制不畅、隐私权保护不力等问题。课题组从不同层级、部门、警种及地区的实地调研出发,深入探讨大数据时代侦查模式的变革,重点阐述侦查取证方式的转变,综合运用综述归纳法、比较分析法、经验总结法等方式并结合工作实际,确立大数据思维的电子数据侦查取证方式,提出遵循电子数据取证原则、健全电子数据取证相关法律法规、树立立体化侦查取证思维、建立专业化电子数据取证队伍、加强隐私权保护力度等对策建议。     

基于odex文件结构的Android程序逆向分析方法

研究odex文件的逆向分析方法对公安机关的电子数据检验鉴定工作具有实际意义。由于odex文件与硬件平台紧密相关,将其移植到其它Android平台上,程序通常无法运行。为了解决odex文件的取证分析问题,采用分析odex文件存储结构的方法,将二进制机器代码逐步还原为可直接阅读的smali源代码,进而通过静态方式完成取证分析工作。经实际测试,这种odex文件解析方法可以较好地应用于Android程序逆向分析工作。     

基于$UpCase元文件的RAID5磁盘阵列重组方法研究

针对电子数据取证中RAID5磁盘阵列重组问题,提出一种基于$UpCase元文件的RAID5磁盘阵列重组方法。公安机关在办理涉服务器案件时,经常会遇到犯罪嫌疑人蓄意破坏、异常关闭服务器等情况,若服务器采用RAID5磁盘阵列存储数据,这些破坏行为会造成阵列配置信息丢失,公安机关在进行取证前必须对磁盘阵列进行数据重组。介绍了在对未知磁盘序列的RAID5磁盘阵列进行取证分析时,通过$UpCase元文件的特点,确定磁盘阵列中数据条带大小,并归纳总结了利用MBR、DBR及条带大小等已知信息计算$MFT元文件在成员盘中起始位置的方法,通过数据块与校验块的位置确定磁盘次序,实现磁盘重组,进而读取数据完成取证分析。该方法通过$UpCase元文件判断数据块信息,再利用计算结果快速定位$MFT元文件,与现有方法相比,能够大幅度节省全盘搜索时间,提升数据重组效率。     

伪造、变造证件或印章类案件电子数据取证方法研究

在实际的电子数据取证工作中,经常会遇到嫌疑人是否有伪造、变造证件或印章行为的鉴定要求.针对这种情况,本文在归纳总结侦办伪造、变造证件或印章类案件法律依据的基础上,着重从电子数据取证角度说明此类案件具体调查研究方法,并结合实际案例予以分析,希望能够为公安实战部门进行电子数据取证工作提供一定的技术支持.     

仙居积极探索"联证云"助力执法现代化

近年来,仙居县依托公安部"全国第二批区县网安综合业务平台试点",以电子数据取证这一高频事项为切口,聚焦"证据认定难、要素协同难、支撑保障难"等问题,积极探索"联证云"多跨场景应用,建立县级电子数据联合取证中心,归集42个执法部门的取证需求和数据,重塑电子数据取证的标准、流程、机制,通过规范化取证、智能化分析,输出标准的...     

基于TSK实现Ext3文件系统下的电子数据取证

作为GNU系统中标准的文件系统,Ext3以其良好的文件存取性能,在Linux操作系统中得到了广泛的应用,已经成为其主流文件系统。因此,对Ext3文件系统电子数据取证方法的研究,必然会对Linux环境下的电子证据收集工作产生积极的影响。依托开源工具包TSK,基于Ext3文件系统原理描述电子数据取证方法,所述方法适用于绝大多数Linux版本,并且具有较强的可操作性,收集结果直观明了。     

基于蜜罐与蜜标的追踪溯源技术动态取证应用研究

为弥补现今电子取证技术中静态取证的不足,采用"网络欺骗"理念,设计和实现了一种基于蜜罐和蜜标系统的追踪溯源技术动态取证实验。通过对实验结果的分析,发现这种技术能够实现自动、动态地收集入侵者的相关信息和犯罪证据,一定程度上解决了静态取证的弊端,为司法人员从事电子数据取证、打击网络犯罪提供了一个较好的技术手段。     

《公安机关办理刑事案件电子数据取证规则》技术性解读

正为规范公安机关办理刑事案件电子数据取证工作,确保电子数据取证质量,提高电子数据取证效率,公安部制定了《公安机关办理刑事案件电子数据取证规则》,于2019年2月1日起施行。规则施行至今,对一线取证工作中侦查员的认识水平、电子数据取证能力、执法规范化等方面均产生了积极的影响,值得学习和交流;但同时,在实践的过程中仍然存在一些亟待完善的问题,需要在总结已有经验的同时进一步分析和研究,为相关工作参与者提供借鉴与参考。     

基于Hadoop架构电子数据取证框架研究

Hadoop架构是目前大数据应用的主流架构,随着大数据应用的快速发展,在电子数据取证中越来越多遇到Hadoop数据架构的取证。基于分布式计算的Hadoop架构与传统的计算机取证环境存在较大区别。从取证视角对Hadoop复杂架构进行了抽象,建立了Hadoop架构数据取证分层模型。并在比较分析Hadoop环境与传统计算机环境取证差异的基础上,根据国际通用的EDRM取证模型,构建了符合国内最新电子证据相关法律规则的、具备实战操作性的Hadoop架构电子数据取证框架。