VC++计算机与其网络信息取证系统的开发(3)
时间:2017-06-01 16:45 来源:毕业论文 作者:毕业论文 点击:次
7.计算机取证中的电子数据证据分析是从海量的数据中获取与计算机犯罪相关证据的过程。它需要对不同的电子数据证据源的数据进行分析,从中将相关信息提取出来。并且可以通过已有电子数据证据获取更多的证据。其中涉及的技术主要有相关性分析技术,相关性分析可采用关联性证据查找和智能知识分析以及数据挖掘技术。在相关性分析过程中需要有一个好的算法来提取来自各证据源的数据之间的关联性,以反映计算机犯罪真实的犯罪过程,同时由新证据对已获得的证据提供更进一步的支持。 在未来的几年里,计算机取证技术将充分应用人工智能,数据挖掘,实时系统,反向工程技术,软件水印技术[4],解密技术等。同时作为一门新兴的学科而飞速发展,形成一整套系统的理论;研制出大量的专门用于取证的自动化程度较高的工具,并培养一批具备多种技能的专业取证人才,为打击计算机犯罪获取强有力的电子数据证据。 1.2 本文研究内容和目的 本文研究了计算机犯罪以及计算机取证的相关理论与技术,阐述了国内外计算机取证技术的研究现状和存在的问题。 本文主要利用由Microsoft公司出品的Visual C++6.0作为开发工具来设计开发一个计算机及其网络信息取证系统。主要功能有: (1)非密检查:显示最近操作的文件,最后修改日期以及文件路径 (2)获取主机名称和IP地址 (3)获取MAC地址和操作系统类型 (4)根据以上信息生成检查报告并浏览报告 1.3 本文内容安排 第一章主要介绍了计算机取证的基本概念以及发展方向 第二章主要介绍了计算机取证的基础理论,工作流程及原则,阐述了取证工作的技术特点,并对比研究了国内外的研究,应用状况和发展趋势。最后对现有常见静态取证工具做简要介绍。 第三章主要讲述了本课题研究需要用到的开发技术及开发环境:MFC以及Microsoft Visual C++ 第四章主要介绍了系统设计分析与设计过程。 第五章主要是程序的运行结果和测试情况。 最后是结论和个人总结。 2 计算机取证技术研究 2.1 计算机取证技术 2.1.1 计算机取证的对象——电子数据证据 计算机证据也可称为电子数据证据。从广义上讲,电子数据证据是指一切用以证明案件事实的电子化信息资料和数据。从狭义上讲,电子数据证据仅指以数字形式存在于计算机系统中的能够证明案件事实的数据:包括计算机产生,传输,存储,记录以及打印的能够反映计算机犯罪行为的电子数据证据[5]。这些与计算机犯罪直接相关的电子数据证据已经成为一种新的诉讼证据之一。 计算机证据可分为两类:第一类我们称之为易灭失的证据,也是我们首先要收集的证据。这类证据的有关数据可能存在于正在运行的计算机或网络设备的内存中,如正在运行的程序或进程,网络状态等。这类信息有一个共同的特点,即它们随时可能丢失,关机或重新启动后这些信息将不复存在。而更多的证据可能存在于计算机的硬盘和备份介质(如磁盘)中,这一类证据我们则称之为相对稳定的证据,这些证据有普通的文件,隐藏的文件,临时文件,日志文件,注册表文件,交换文件或页面文件,安装程序的残留物,浏览器的历史记录和收藏夹,电子邮件残留物等等。 由于电子数据证据的来源,存在方式以及内容的特殊性,计算机数据证据具有以下特点: 1.易篡改性:传统物理证据,例如书面文件,作案工具等都可以长久保存,如有改动或添加,很容易留下痕迹,通常易被察觉。而电子数据证据属于无形证据,对于针对电子数据证据的修改,我们很难发现其中的变化。 (责任编辑:qin) |