网络信息监控与取证核心技术研究

随着Internet的发展,网络信息监控与取证技术作为保障网络安全的有效手段,已引起人们的足够重视。本文重点分析了现有的信息监控技术,并深入分析了包过滤技术、黑盒子技术、邮件的内容过滤技术和基于信息分类与统计的内容识别技术在网络信息监控与取证系统中的应用。     

计算机取证设备

近年来,随着计算机技术、网络技术的发展,以计算机信息系统为犯罪对象和工具的新型犯罪活动越来越多,造成的危害也越来越大。大量的计算机犯罪,如商业机密信息的窃取和破坏、网络诈骗、攻击网站、网络赌博、网络传销以及网络色情信息的泛滥等等,防不胜防,而要侦破这些案件需要应用计算机取证技术及其设备。为此,本期杂志特推出"计算机取证设备"专题。本期专题对计算机取证设备的分类及其发展作了综合性论述,并推出了数款取证设备,对其功能及技术指标作了简要介绍,希望能对公安及司法工作有所参考。     

Windows后台打印文件的解析与取证

Windows系统的后台打印文件中包含与用户打印作业相关的重要信息，调查取证可以查明哪个用户试图在何时，通过哪种型号打印机，打印文件的名称，是否成功打印，甚至打印具体内容等。相较于Win XP版本中的后台打印文件，在Win 7系统之后，后台打印文件的数据结构发生了较大改变，但相关研究工作较少，导致当前主流取证软件缺乏对其的解析，在一般调查任务中也往往被忽略。针对Win 7系统之后的后台打印文件的结构进行解析，并针对几种常见情况，提出调查取证后台打印文件的方法。     

Android系统地理位置取证研究

智能手机已经融入人们的日常生活，手机上大量的用户行为信息成为办案人员重要的线索来源，也是犯罪行为的有力证据。文章主要研究Android系统的地理位置取证，通过逻辑取证取得保存在Android系统中不同应用程序上的地理位置信息，从而提出了一种网络数据包取证的方式，并验证了在应用程序发出包含地理位置信息的服务请求时可以成功取证到地理位置信息，为Android系统的地理位置取证提供了另一种思路和模式。     

基于协议分析和数据挖掘的网络入侵取证系统设计

针对现有网络入侵取证系统实时性差、有效性弱、可信性低等方面的不足,以及目前网络数据流量不断加大,攻击技术更加复杂的特点,开发了新型网络入侵取证系统,详细研究了该系统的功能及运行流程,并进行了实验验证。实验表明,该系统能够克服现有网络入侵取证系统的缺陷。     

基于蜜罐与蜜标的追踪溯源技术动态取证应用研究

为弥补现今电子取证技术中静态取证的不足,采用"网络欺骗"理念,设计和实现了一种基于蜜罐和蜜标系统的追踪溯源技术动态取证实验。通过对实验结果的分析,发现这种技术能够实现自动、动态地收集入侵者的相关信息和犯罪证据,一定程度上解决了静态取证的弊端,为司法人员从事电子数据取证、打击网络犯罪提供了一个较好的技术手段。     

面向数字取证的异常隐写检测分析方法及系统研究

电子数字取证,是迅速发展的研究领域,它在国家信息安全保护、网络入侵、犯罪调查及国家司法鉴定等方面,有着重要的应用前景。隐写及隐写分析,是数字取证技术中重要的研究内容。通过联合运用特征分析法与统计分析法,对取证数据进行异常隐写检测分析,提出面向数字取证的异常隐写检测分析方案,能有效提高数字取证过程中隐写检测分析的性能,提升数字取证中检测分析结果的有效性和精准度。     

金融犯罪网络化趋势及其信息化侦查取证对策

人类社会业已迈入信息和网络时代,金融犯罪的网络化趋势不可避免。根据实施金融犯罪对网络信息技术依赖的程度不同,网络金融犯罪可以分成三类:利用网络信息技术作为简单存储和传输手段的金融犯罪、以网络信息技术作为重要传播手段的犯罪和比较纯粹的网络金融犯罪。为应对金融犯罪网络化趋势为侦查取证带来的新挑战,应采取信息化侦查取证对策:一方面要完善网络和计算机侦查取证的技术手段,另一方面也要注意树立"以信息制信息"、"以网制网"的工作思路,在侦查取证环节寻找新的机遇。     

论黑客入侵的网络取证

在计算机取证领域,网络取证面对的证据数量巨大而复杂。本文指出了在网络取证中必须尤为关注的不同于单纯计算机取证的若干问题,比如证据的来源和收集、保护和保存以及分析和关联,并对有关取证方法、理论和工具进行了简要探讨。旨在促进执法部门突出对网络取证的认识,以期提高网络取证水平。     

网络电子证据取证技术研究

随着网络技术的发展,计算机网络犯罪现象日趋严重。为了有效地打击网络犯罪行为,完善网络电子证据立法基础,取证技术专家必须运用各种技术手段将网络犯罪的电子证据进行尽早的提取、分析、保护和归档。本文系统地分析了网络电子证据取证特点、各种常用取证技术以及网络取证的发展趋势。     

木马恶意程序电子数据取证环境的构建

在实际的电子数据取证工作中,经常会碰到木马程序恶意行为方面的鉴定要求。针对这种需求,本文结合实践应用中的实际需要,从程序逆向分析、内存信息调查、系统文件监控、网络数据传输等方面论述木马恶意程序电子数据取证环境构建所需的相关工具与技术,并归纳总结取证调查过程中需要注意的事项,希望能够为公安实战部门的电子数据取证和侦查工作提供一定的技术帮助。     

互联网传销案电子数据取证实践分析

互联网传销呈现无接触、网络化、地域分散化的新型特征,网络传销组织会自建网站,进行人员管理和利益分配。对于传销组织各类管理平台和软件管理系统的分析和取证,是网络传销犯罪取证的重点和难点。通过典型案例,详细分析传销组织直销管理系统源代码体系结构,分析各类函数功能,挖掘传销组织人员信息数据和奖金的分类算法,为网络传销案件电子数据取证提供分析思路和方法。     

基于网络数据还原的远程控制木马取证方法研究

远程控制木马对信息网络安全构成严重威胁,研究远程控制木马的取证方法对公安机关的侦查、办案工作有重要意义。提出了一种基于网络数据还原的远程控制木马取证分析方法。以pcshare木马为例研究了从通信数据中还原键盘记录信息和语音聊天文件的具体方法,应用提出的取证方法可以获得木马存在的直接证据,进而确定攻击行为,提取出攻击者的IP地址和使用的端口号。     

面向取证能力提升的网络靶场训练系统构建

涉网案件办理过程中,调查人员的网络取证分析能力至关重要。目前现有网络靶场主要用于培养、提高参训学员的网络攻防实践能力,很少甚至没有涉及到网络取证分析能力的锻炼。针对这一问题,提出一种面向取证能力提升的网络靶场构建方案。通过比较现有网络安全实训系统,确定采用Open Stack云平台构建网络靶场,分析典型涉网案件所涉及到的攻防技术,梳理相应的取证措施,凝练网络靶场知识体系;采用参训学员反馈、题库更新和最新案例引入等方式实现靶场知识体系的动态更新完善。经过实践检验,上述靶场系统可以有效锻炼、提升参训学员的涉网案件取证分析能力。     

非结构化数据处理分析在电子数据取证中的应用

非结构化数据占信息总量的比例远大于结构化数据,但针对其处理分析方式的研究却不及结构化数据广泛深入。本文在说明非结构化数据研究重要性的基础上,重点阐述了其处理分析方式中实体识别与关系抽取等关键技术,并结合自主研制开发的"海量案情信息智能分析系统",以办理网络赌球案件为应用背景,描述了非结构化数据处理分析在电子数据取证工作中的具体应用。     

云计算应用对计算机取证技术的挑战和对策

目前,云计算应用的大量普及,传统的取证方式变得落后,在新的环境下进行取证工作需要更多的取证思路和手段.本文通过对云计算应用环境的分析,提出新应用环境对取证工作的挑战,在分析当前新取证技术方式下,提出了将虚拟机镜像作为云的关键数据进行迁移的方式进行取证,并在云计算环境中进行了实验,建立了原型系统.     

毒品走私案的电子数据取证

在即时通讯软件上进行咨询下单转账,再利用物流寄递行业进行毒品的运输,信息时代这种在犯罪分子不用实际接触便能完整实施的毒品走私犯罪危害性大、隐蔽性高、增长速率快,介绍对一起此类案件进行电子数据取证工作过程的部分情况,以及在对取证工作中所发现的如何依托网络实施犯罪行为等信息描述和取证工作引发的思考与总结。     

图像信息隐写术及隐写取证安全分析研究

随着互联网技术的高速发展,网络犯罪的频率越来越高,电子取证的难度原来越大。嫌疑人可以将秘密信息嵌入到数字媒介中而不损坏它的载体质量,使得隐藏在图像中的犯罪证据变得难提取。对常用图像信息隐写技术进行了分析,介绍了数据隐藏的检测方法和取证分析的流程。     

基于ESE数据库文件分析的IE浏览器取证技术研究

讨论了IE浏览器取证相关的知识,对IE浏览器中保存Web访问记录的ESE数据库文件进行了介绍,并分别以IE6、IE8和IE10为例分析了其ESE数据库文件在Windows系统中的存储位置和方式。重点对Index.dat和Webcachev01.dat两种ESE文件进行了结构解析,并以取证实战为目的,具体分析了IE浏览器取证中的二进制分析法,同时介绍了工具取证法。     

Windows 7系统注册表的取证分析

介绍了Windows 7系统的注册表结构,探讨了Windows 7系统注册表取证内容、取证工具和原则,并辅以案例说明其实际应用,旨在为进一步的Windows 7系统取证实践与研究打下基础。