软考信息安全工程师学习笔记二十三(4.5 计算机取证)
May182018
4.5 计算机取证
计算机取证是将计算机调查和分析技术应用与对潜在的,有法律效力的证据的确定与提取上。
计算机取证包括了对以磁介质编码信息方式存储的计算机证据的保护,确认,提取和归档。
与传统证据一样,电子证据必须是可信,准备,完整,符合法律法规的,是法庭所能够接受的。同时,电子证据与传统证据不同,具有高科技性,无形性和易破坏性等特点
计算机取证主要是对电子证据的获取,分析,归档,保存和描述的过程
计算机取证的通常步骤包括:保护目标计算机系统,确定电子证据,收集电子证据,保全电子证据。
分析电子证据的信息需要很深的专业知识,应依靠专业的取证专家。通常取证分析工作中用到的技术包括:
1 对比分析和关键字查询
2 文件特征分析技术
3 密码破译
4 数据恢复与残留数据分析
5 磁盘备份文件,镜像文件,交换文件,临时文件分析技术
6 日志记录文件分析
7 相关性分析等