基于FTP协议的盗号木马通信流量分析方法研究

目前,办案人员主要采用静态分析和动态分析法对盗号木马进行取证分析,获取网络入侵痕迹,但是现有取证方法较为繁琐,对办案人员专业知识水平要求较高,且获取的入侵痕迹不够全面。针对上述问题,采用通信流量分析法对盗号木马进行取证分析,以使用FTP协议的Hawk Eye keylogger盗号木马为例,通过细致分析木马与外界的通信数据流,根据其连接建立过程,还原盗取的用户隐私信息,确定黑客控制端IP地址、端口号等入侵线索。实验结果表明,与现有取证方法相比,该方法能够全面、快速、准确获取盗号木马相关痕迹信息,灵活性较高,既能对常规盗号木马(通常采用SMTP协议和HTTP协议)进行分析,又能对使用FTP协议的新型盗号木马进行深入取证,符合公安一线工作需求。     

道路交通事故勘验

交通痕迹物证取证过程中应注重对事故现场和痕迹物证的确认和对痕迹物证进行保全,并根据有形痕迹物证、附着痕迹物证、散落事故痕迹物证的特点分别加以认定,为确定交通事故责任提供依据。     

Win8系统电子取证要点分析

围绕Win8系统的特点,进行了Win8系统中有关网络用户信息、网络使用痕迹、Metro应用信息、IE10缓存数据和通讯类应用记录等有效信息的取证分析,并用取证软件进行了验证。     

浅谈如何利用车体痕迹再现事故车辆行驶状态

车体痕迹是车辆在道路交通事故中与其他车辆、人体、物体碰撞接触而形成的并留在车辆上的印痕。对车体痕迹进行检验是公安交通管理部门处理道路交通事故的一项重要取证工作。再现事故车辆的行驶状态 ,则是利用有关证据材料 ,再现事故车辆在事故发生前的行驶路线、行驶方向及相对行驶速度等状态。再现事故车辆行驶状态是研究、分析事故发生原因和过程 ,正确处理道路交通事故的一个重要手段。勘查车体痕迹 ,分析车体痕迹的形成 ,不仅是再现事故车辆的行驶状态的重要依据 ,而且在认定事故当事人的责任方面往往起着决定性的作用。在事故处理工作…     

MySQL数据库检验方法研究

介绍了提取涉案MySQL数据库的数据文侔和目志文件的方法;给出了附加涉案MysQL数据库到取证计算机的方法和常用的SQL指令;重点研究了数据库自动搜索方法和基于二进制日志文件的操作痕迹提取方法。结果表明,应用本文设计的MySQL数据库自动搜索存储过程可以从所有数据库中快速、准确检索出包含某个特定关键词的数据记录,应用本文给出的日志分析方法可以对用户的操作痕迹进行提取。     

痕迹检验技术在刑事侦查工作中的应用

痕迹检验技术在刑事侦查工作中具有重要作用,而基础理论研究的缺失导致现场勘查实践及法规建设存在诸多问题。现行痕迹检验技术、现行法规、痕迹检验现场管理的局限性对痕迹检验技术的应用产生了严重制约。应强化痕迹检技术的开发、运用,注重痕迹检验技术在基层的普及;强化基础理论研究,完善刑事侦查勘验法规建设;强化管理人责任,细化痕迹检验现场的管理,以提升痕迹检验技术在刑事侦查工作中的应用水平。     

全光谱特种照相取证仪

利用全光谱特种照相取证仪可以有效提高对现场潜在痕迹物证的提取率,提高工作效率。利用全光谱特种照相取证仪可以完成红外照相、紫外照相、发光照相、偏振光照相以及同轴光照相、分色照相等多种实验。全光谱特种照相取证仪集成了多波段光源、紫外成像系统、红外成像系统、全波段CCD、偏振光摄影灯、同轴光光源以及文检仪、脱影翻拍仪等多种仪器设备。     

痕迹检验技术应用与研究

痕迹检验学是刑事科学技术的重要组成部分之一,是通过撷取、引进和移植与痕迹检验相关的社会科学和自然科学的原理及方法,研究形象痕迹的形成和变化、发现和提取、检验和鉴定、档案管理的理论与方法的一门应用学科,涵盖了手印学、足迹学、工具痕迹学、枪弹痕迹学、特殊痕迹检验等重点内容。     

我国工具痕迹检验的发展及其展望

工具痕迹检验在我国大致分为三个历史时期：公元9世纪以前，为工具痕迹检验的自发应用阶段；公元9世纪至中华人民共和国成立前，为工具痕迹检验的初步发展阶段；新中国成立后至今为工具痕迹检验的全面发展建设时期。现代工具痕迹检验技术将有检验走向自动化、检验工作日趋标准化、向定性与定量分析相结合的方向发展、向微观领域不断深入、无损检验将成为痕迹检验技术研究的热点课题等五大发展趋势。     

TOR使用痕迹信息的固定和提取分析

TOR是全球应用最广泛的公共匿名通信服务系统,可有效隐藏消息发送者、接收者和两者关联性,并具有延时低、稳定性好等特点,还可抵抗局部流量分析。TOR为了对抗取证分析,对使用痕迹也进行了清理和保护,但并不彻底。针对三种主流操作系统,即OS X、Debian 6.0和Windows 7搭建了虚拟环境,将使用TOR浏览器套件前后的操作系统分别做镜像并进行取证分析,通过md5值和hash值校验、关键字搜索、进程分析等方法来挖掘TOR的使用痕迹,共计发现20处残留信息,对电子取证工作有重要的参考意义。文章最后提出了规避信息泄露的简单方法。     

谈谈足迹的综合运用

近年来,有的公安机关的侦技人员在刑事案件现场勘查中对采痕取证工作不够重视,特别是对现场足迹的发现、提取和利用方面就更为不足。其原因之一就是缺乏对足迹综合运用的指导思想。笔者认为有必要就足迹的综合运用问题谈谈自己的看法。一部分人对足迹检验工作的认识有一定偏差,认为痕迹检验工作中手印比足迹重要,手印是物证之首,能直接认定人,足迹则不行(实际上足迹也可认定     

数字取证工具及应用

先进的取证技术与高效率的取证工具为涉及计算机的违法犯罪调查工作顺利进行提供了有力保障。本文在概述国内外取证技术与工具的发展历史及现状的基础上,分类介绍主流的数字取证硬件和软件,并探讨在证据收集、固定、证据检验和分析、证据出示环节中取证工具的综合应用。     

数码相机在痕迹物证照相中的应用

痕迹物证照相是痕迹检验的重要一环。使用数码相机进行物证照相,痕迹检验人员可以根据需要自行拍照曾经由专业技术人员拍照的物证相片,这对于提高检验效率和检验质量具有重要意义。本文从基层痕迹检验技术人员的角度出发,着重研究如何使用消费级的数码相机拍照微小的痕迹物证。     

潜在痕迹的光学显现

近年来,通过照明灯具和摄影器材的改进,光学显现潜在痕迹技术得到蓬勃发展,从而使照相由原来单一的记录手段发展成为一种与痕迹检验技术、文件检验技术、法医检验技术相结合并起互补作用的综合检验手段。同时,光学显现技术的发展,也为其他检验技术扩大了显现范围,为获取破案线索、物证提供了条件。 一、概述 在物证检验学中,痕迹有广义和狭义之分。此文所讨论的潜在痕迹是从拓宽意义上来讲的,它的范围和广义痕迹的范围接近,如潜在手印、潜在足迹、潜在字迹、潜在枪弹烟晕等其他潜在痕迹。潜在痕迹通过检验,能够起到及时提供破案线索证据的作用。所谓光学显现方法就是对一些眼睛看不清甚至看不见的痕迹以     

痕迹检验视觉系统软件的研究与设计

目前公安痕迹检验主要使用传统的显微镜,不但劳动强度大,而且效率低。针对此现状,本文提出把计算机视觉技术应用到痕迹检验中,研究与设计痕迹检验视觉系统软件,实现痕迹检验的视觉化,自动化和智能化。     

工具痕迹的数字化提取与检验研究

工具痕迹是刑事犯罪现场上常见的一种痕迹。从实际办案的应用效果来看,工具痕迹的发现提取率、检验鉴定率与手印、足迹、枪弹痕迹相比相差甚远,工具痕迹检验这一传统技术正面临越来越严重的滑坡,工具痕迹出现率高但利用率低。本文在对数字化提取工具痕迹及数字图像比对技术进行研究和实验的基础上,提出了提高工具痕迹利用率应当走数字化提取与检验之路的基本对策,并就运用中值得注意的问题提出建议。     

基于函数映射的恶意程序逆向取证方法研究

恶意程序的静态逆向分析方法需要取证人员阅读大量汇编源代码,取证周期漫长、效率低下,不能满足公安工作实际需要。提出一种基于函数映射的恶意程序逆向分析方法,首先取证人员分析恶意程序调用了哪些系统函数,之后初步判断恶意程序主要功能,再通过关键函数断点设置来进一步完成取证分析工作。这种方法不需要取证人员完整阅读汇编代码,通过关键函数局部汇编代码分析来完成取证工作,在提高取证效率、缩短取证周期的同时,最大限度地保证检验结论的准确性和完整性。     

加强一般刑事案件现场采痕取证工作

刑事诉讼过程就是不断应用证据的过程 ,其中通过现场勘验进行采痕取证是一项首要的基础工作。目前 ,一般刑事案件现场采痕取证工作存在一定缺陷 ,应强化技术队伍建设 ,增强技术人员素质 ,提高痕迹物证的采获率和利用率 ,为再现案情、运用证据惩罚违法犯罪创造条件 ,更好地保护国家和公民的合法权益。     

痕迹检验技术教学模式及效果研究

痕迹检验技术是公安专业学生的专业主干课程,为培养出高素质痕迹检验人才、强化教学效果,文章研究了痕迹检验技术的学科特点、教学模式、规律及效果。研究发现,痕迹检验学总的教学思路为精讲多练,课程设置向实验教学倾斜,教学内容实时性强、贴近实战,并已将多媒体、网络、通讯这三大现代教育技术支柱引入痕迹检验技术教学中,取得了显著的教学效果,这不仅使学生掌握了本学科最前沿的知识,而且培养了学生的创新意识和灵活运用知识的能力。     

常见语音被编辑加工痕迹的检验方法

随着录音证据的大量涌现和证据接纳制度的完善,法庭语音证据的真实性必须经过检验方可采纳。介绍了常见的语音被编辑加工后的痕迹特征,包括抹除类痕迹、剪切类痕迹、插入拼接类痕迹以及频响范围更改痕迹等,并针对上述各类编辑加工痕迹给出了对应的检验方法。由于数字音频的易更改性和犯罪手段的提高,未来还需要更多、更先进的检验鉴定方法。