一種基于鍵盤(pán)事件計(jì)算機(jī)取證過(guò)程模型的實(shí)現(xiàn)

劉文儉

摘 要：該文簡(jiǎn)述了計(jì)算機(jī)取證技術(shù)及反取證技術(shù)對(duì)計(jì)算機(jī)取證結(jié)果的影響，結(jié)合動(dòng)態(tài)、靜態(tài)取證技術(shù)及常規(guī)證據(jù)提取技術(shù)，利用修改后的法律執(zhí)行過(guò)程模型畫(huà)出了基于鍵盤(pán)事件提取的取證過(guò)程流程圖并將其實(shí)現(xiàn)。

關(guān)鍵詞：計(jì)算機(jī)取證 計(jì)算機(jī)反取證 常用取證模型 取證流程圖

中圖分類(lèi)號(hào)：TP311 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1674-098X（2014）06（b）-0037-01

計(jì)算機(jī)取證[1-3]就是對(duì)計(jì)算機(jī)證據(jù)的提取、存儲(chǔ)、鑒定和歸檔的過(guò)程，它是為了幫助因計(jì)算機(jī)、犯罪的受害者采集作為起訴犯罪嫌疑人的證據(jù)。

計(jì)算機(jī)、網(wǎng)絡(luò)犯罪手法的復(fù)雜化給計(jì)算機(jī)取證帶來(lái)很大的挑戰(zhàn)。連接到互聯(lián)網(wǎng)的用戶(hù)一次不經(jīng)意的鼠標(biāo)點(diǎn)擊就有可能為黑客入侵用戶(hù)計(jì)算機(jī)埋下伏筆。當(dāng)黑客用反取證[4]技術(shù)把自己在計(jì)算機(jī)里留下的痕跡擦除后取證工作難上加難。

1 基于鍵盤(pán)事件的取證過(guò)程模型

近年來(lái)，鍵盤(pán)記錄器盜取用戶(hù)賬戶(hù)密碼事件頻有發(fā)生，鍵盤(pán)事件取證刻不容緩。

1.1 理論依據(jù)

模型指的是所研究的系統(tǒng)、過(guò)程、事物或概念的一種表達(dá)形式。這里的取證模型主要是指可以概述整個(gè)事件的全過(guò)程，以便于人們理解的一種表達(dá)形式。

法律模型主要包括了：準(zhǔn)備階段、收集階段（保護(hù)與評(píng)估現(xiàn)場(chǎng)、對(duì)現(xiàn)場(chǎng)記錄歸檔、證據(jù)提取）、檢驗(yàn)、分析、報(bào)告。法律執(zhí)行過(guò)程模型特別強(qiáng)調(diào)了法律在電子證據(jù)收集過(guò)程中的嚴(yán)格規(guī)范，進(jìn)而保證了電子證據(jù)的合法性。

計(jì)算機(jī)取證根據(jù)取證時(shí)刻潛在證據(jù)的特性被分為靜態(tài)取證和動(dòng)態(tài)取證。當(dāng)前的取證過(guò)程多數(shù)基于靜態(tài)取證，且不論提取證據(jù)比較費(fèi)時(shí)，取證人員很難獲取到關(guān)于案發(fā)現(xiàn)場(chǎng)的充分的、真實(shí)的、原始的證據(jù)。而動(dòng)態(tài)取證恰恰是與靜態(tài)取證時(shí)機(jī)相反，它是一種在攻擊發(fā)生前就已經(jīng)做好取證準(zhǔn)備，當(dāng)攻擊發(fā)生時(shí)就開(kāi)始收集證據(jù)的過(guò)程。

基于鍵盤(pán)事件的取證過(guò)程模型選擇了較有效法律執(zhí)行過(guò)程模型，結(jié)合動(dòng)態(tài)和靜態(tài)取證技術(shù)與常規(guī)物證的收集技術(shù)，即保證了獲取的電子證據(jù)的合法性又克服了基于傳統(tǒng)的事后取證模型中取證技術(shù)的不足。同時(shí)使用監(jiān)督鏈確保整個(gè)取證過(guò)程的規(guī)范性、合理性、全面性、合法性，為打擊計(jì)算機(jī)犯罪提供準(zhǔn)確、有效、合法的電子證據(jù)[1-8]。

1.2 基于鍵盤(pán)事件的計(jì)算機(jī)取證過(guò)程模型的實(shí)現(xiàn)

模型中含三方：被取證端、取證端、證據(jù)服務(wù)器。被取證端受取證端監(jiān)控；證據(jù)服務(wù)器接受被取證端傳來(lái)的事件，證據(jù)服務(wù)器獲得鍵盤(pán)事件發(fā)送到取證端。

根據(jù)前文陳述的理論依據(jù)，畫(huà)出了提取鍵盤(pán)事件的流程圖。流程圖中對(duì)原法律執(zhí)行過(guò)程模型的簡(jiǎn)化點(diǎn)有一個(gè)：證據(jù)的檢驗(yàn)和分析這兩個(gè)步驟。在原始的法律執(zhí)行過(guò)程模型中這兩個(gè)步驟是分步進(jìn)行，該模型中將它們簡(jiǎn)化為一步，使得整個(gè)過(guò)程簡(jiǎn)潔明了，這樣做并沒(méi)有對(duì)獲取鍵盤(pán)事件造成影響，整個(gè)過(guò)程有監(jiān)督鏈進(jìn)行記錄，能保證整個(gè)取證過(guò)程的有效性；該模型中的增加點(diǎn)有一個(gè)：借鑒了基本過(guò)程取證模型中的監(jiān)督鏈的用法，在取證全程使用監(jiān)督鏈用以保證簡(jiǎn)化后的法律執(zhí)行過(guò)程模型的實(shí)用性、有效性和普適性。

2 結(jié)語(yǔ)

通過(guò)閱讀文獻(xiàn)，筆者選擇法律執(zhí)行過(guò)程模型保證了證據(jù)收集過(guò)程的嚴(yán)格性、規(guī)范性。在該取證模型中利用簡(jiǎn)化修改過(guò)的法律執(zhí)行過(guò)程模型添加了動(dòng)態(tài)及靜態(tài)取證技術(shù)，結(jié)合傳統(tǒng)證據(jù)的過(guò)程，完整地實(shí)現(xiàn)了獲取鍵盤(pán)事件的過(guò)程流程圖，并已將本流程圖轉(zhuǎn)化為實(shí)踐。

參考文獻(xiàn)

[1] 王玲，錢(qián)華林.計(jì)算機(jī)取證技術(shù)及其發(fā)展趨勢(shì)[J].軟件學(xué)報(bào)，2003，14（9）1635-1643.

[2] 許榕生，吳海燕，劉寶旭.計(jì)算機(jī)取證概述[J].計(jì)算機(jī)工程與應(yīng)用，2001（21）：7-8.

[3] 科技名詞定義[EB/OL].http：//baike.baidu.com/view/96500.htm.

[4] 陳龍，王國(guó)胤.計(jì)算機(jī)取證技術(shù)綜述[J].重慶郵電學(xué)院學(xué)報(bào)，2005，17（6）：736-740.

[5] 吳姚睿.基于主動(dòng)獲取的計(jì)算機(jī)取證方法及實(shí)現(xiàn)技術(shù)研究[D].吉林：吉林大學(xué)，2009.

[6] 李煥洲，張建，陳麟.一個(gè)基于跟蹤的計(jì)算機(jī)取證過(guò)程模型[J].微計(jì)算機(jī)信息，2007，23（12）232-233.

[7] 李巖.計(jì)算機(jī)取證中關(guān)鍵技術(shù)研究[D].上海：上海交通大學(xué)，2010.

[8] 蘇海波.電子證據(jù)取證方法研究[D].安徽：安徽大學(xué)，2013.endprint

摘 要：該文簡(jiǎn)述了計(jì)算機(jī)取證技術(shù)及反取證技術(shù)對(duì)計(jì)算機(jī)取證結(jié)果的影響，結(jié)合動(dòng)態(tài)、靜態(tài)取證技術(shù)及常規(guī)證據(jù)提取技術(shù)，利用修改后的法律執(zhí)行過(guò)程模型畫(huà)出了基于鍵盤(pán)事件提取的取證過(guò)程流程圖并將其實(shí)現(xiàn)。

關(guān)鍵詞：計(jì)算機(jī)取證 計(jì)算機(jī)反取證 常用取證模型 取證流程圖

中圖分類(lèi)號(hào)：TP311 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1674-098X（2014）06（b）-0037-01

計(jì)算機(jī)取證[1-3]就是對(duì)計(jì)算機(jī)證據(jù)的提取、存儲(chǔ)、鑒定和歸檔的過(guò)程，它是為了幫助因計(jì)算機(jī)、犯罪的受害者采集作為起訴犯罪嫌疑人的證據(jù)。

計(jì)算機(jī)、網(wǎng)絡(luò)犯罪手法的復(fù)雜化給計(jì)算機(jī)取證帶來(lái)很大的挑戰(zhàn)。連接到互聯(lián)網(wǎng)的用戶(hù)一次不經(jīng)意的鼠標(biāo)點(diǎn)擊就有可能為黑客入侵用戶(hù)計(jì)算機(jī)埋下伏筆。當(dāng)黑客用反取證[4]技術(shù)把自己在計(jì)算機(jī)里留下的痕跡擦除后取證工作難上加難。

1 基于鍵盤(pán)事件的取證過(guò)程模型

近年來(lái)，鍵盤(pán)記錄器盜取用戶(hù)賬戶(hù)密碼事件頻有發(fā)生，鍵盤(pán)事件取證刻不容緩。

1.1 理論依據(jù)

模型指的是所研究的系統(tǒng)、過(guò)程、事物或概念的一種表達(dá)形式。這里的取證模型主要是指可以概述整個(gè)事件的全過(guò)程，以便于人們理解的一種表達(dá)形式。

法律模型主要包括了：準(zhǔn)備階段、收集階段（保護(hù)與評(píng)估現(xiàn)場(chǎng)、對(duì)現(xiàn)場(chǎng)記錄歸檔、證據(jù)提?。?、檢驗(yàn)、分析、報(bào)告。法律執(zhí)行過(guò)程模型特別強(qiáng)調(diào)了法律在電子證據(jù)收集過(guò)程中的嚴(yán)格規(guī)范，進(jìn)而保證了電子證據(jù)的合法性。

計(jì)算機(jī)取證根據(jù)取證時(shí)刻潛在證據(jù)的特性被分為靜態(tài)取證和動(dòng)態(tài)取證。當(dāng)前的取證過(guò)程多數(shù)基于靜態(tài)取證，且不論提取證據(jù)比較費(fèi)時(shí)，取證人員很難獲取到關(guān)于案發(fā)現(xiàn)場(chǎng)的充分的、真實(shí)的、原始的證據(jù)。而動(dòng)態(tài)取證恰恰是與靜態(tài)取證時(shí)機(jī)相反，它是一種在攻擊發(fā)生前就已經(jīng)做好取證準(zhǔn)備，當(dāng)攻擊發(fā)生時(shí)就開(kāi)始收集證據(jù)的過(guò)程。

基于鍵盤(pán)事件的取證過(guò)程模型選擇了較有效法律執(zhí)行過(guò)程模型，結(jié)合動(dòng)態(tài)和靜態(tài)取證技術(shù)與常規(guī)物證的收集技術(shù)，即保證了獲取的電子證據(jù)的合法性又克服了基于傳統(tǒng)的事后取證模型中取證技術(shù)的不足。同時(shí)使用監(jiān)督鏈確保整個(gè)取證過(guò)程的規(guī)范性、合理性、全面性、合法性，為打擊計(jì)算機(jī)犯罪提供準(zhǔn)確、有效、合法的電子證據(jù)[1-8]。

1.2 基于鍵盤(pán)事件的計(jì)算機(jī)取證過(guò)程模型的實(shí)現(xiàn)

模型中含三方：被取證端、取證端、證據(jù)服務(wù)器。被取證端受取證端監(jiān)控；證據(jù)服務(wù)器接受被取證端傳來(lái)的事件，證據(jù)服務(wù)器獲得鍵盤(pán)事件發(fā)送到取證端。

根據(jù)前文陳述的理論依據(jù)，畫(huà)出了提取鍵盤(pán)事件的流程圖。流程圖中對(duì)原法律執(zhí)行過(guò)程模型的簡(jiǎn)化點(diǎn)有一個(gè)：證據(jù)的檢驗(yàn)和分析這兩個(gè)步驟。在原始的法律執(zhí)行過(guò)程模型中這兩個(gè)步驟是分步進(jìn)行，該模型中將它們簡(jiǎn)化為一步，使得整個(gè)過(guò)程簡(jiǎn)潔明了，這樣做并沒(méi)有對(duì)獲取鍵盤(pán)事件造成影響，整個(gè)過(guò)程有監(jiān)督鏈進(jìn)行記錄，能保證整個(gè)取證過(guò)程的有效性；該模型中的增加點(diǎn)有一個(gè)：借鑒了基本過(guò)程取證模型中的監(jiān)督鏈的用法，在取證全程使用監(jiān)督鏈用以保證簡(jiǎn)化后的法律執(zhí)行過(guò)程模型的實(shí)用性、有效性和普適性。

2 結(jié)語(yǔ)

通過(guò)閱讀文獻(xiàn)，筆者選擇法律執(zhí)行過(guò)程模型保證了證據(jù)收集過(guò)程的嚴(yán)格性、規(guī)范性。在該取證模型中利用簡(jiǎn)化修改過(guò)的法律執(zhí)行過(guò)程模型添加了動(dòng)態(tài)及靜態(tài)取證技術(shù)，結(jié)合傳統(tǒng)證據(jù)的過(guò)程，完整地實(shí)現(xiàn)了獲取鍵盤(pán)事件的過(guò)程流程圖，并已將本流程圖轉(zhuǎn)化為實(shí)踐。

參考文獻(xiàn)

[1] 王玲，錢(qián)華林.計(jì)算機(jī)取證技術(shù)及其發(fā)展趨勢(shì)[J].軟件學(xué)報(bào)，2003，14（9）1635-1643.

[2] 許榕生，吳海燕，劉寶旭.計(jì)算機(jī)取證概述[J].計(jì)算機(jī)工程與應(yīng)用，2001（21）：7-8.

[3] 科技名詞定義[EB/OL].http：//baike.baidu.com/view/96500.htm.

[4] 陳龍，王國(guó)胤.計(jì)算機(jī)取證技術(shù)綜述[J].重慶郵電學(xué)院學(xué)報(bào)，2005，17（6）：736-740.

[5] 吳姚睿.基于主動(dòng)獲取的計(jì)算機(jī)取證方法及實(shí)現(xiàn)技術(shù)研究[D].吉林：吉林大學(xué)，2009.

[6] 李煥洲，張建，陳麟.一個(gè)基于跟蹤的計(jì)算機(jī)取證過(guò)程模型[J].微計(jì)算機(jī)信息，2007，23（12）232-233.

[7] 李巖.計(jì)算機(jī)取證中關(guān)鍵技術(shù)研究[D].上海：上海交通大學(xué)，2010.

[8] 蘇海波.電子證據(jù)取證方法研究[D].安徽：安徽大學(xué)，2013.endprint

摘 要：該文簡(jiǎn)述了計(jì)算機(jī)取證技術(shù)及反取證技術(shù)對(duì)計(jì)算機(jī)取證結(jié)果的影響，結(jié)合動(dòng)態(tài)、靜態(tài)取證技術(shù)及常規(guī)證據(jù)提取技術(shù)，利用修改后的法律執(zhí)行過(guò)程模型畫(huà)出了基于鍵盤(pán)事件提取的取證過(guò)程流程圖并將其實(shí)現(xiàn)。

關(guān)鍵詞：計(jì)算機(jī)取證 計(jì)算機(jī)反取證 常用取證模型 取證流程圖

中圖分類(lèi)號(hào)：TP311 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1674-098X（2014）06（b）-0037-01

計(jì)算機(jī)取證[1-3]就是對(duì)計(jì)算機(jī)證據(jù)的提取、存儲(chǔ)、鑒定和歸檔的過(guò)程，它是為了幫助因計(jì)算機(jī)、犯罪的受害者采集作為起訴犯罪嫌疑人的證據(jù)。

計(jì)算機(jī)、網(wǎng)絡(luò)犯罪手法的復(fù)雜化給計(jì)算機(jī)取證帶來(lái)很大的挑戰(zhàn)。連接到互聯(lián)網(wǎng)的用戶(hù)一次不經(jīng)意的鼠標(biāo)點(diǎn)擊就有可能為黑客入侵用戶(hù)計(jì)算機(jī)埋下伏筆。當(dāng)黑客用反取證[4]技術(shù)把自己在計(jì)算機(jī)里留下的痕跡擦除后取證工作難上加難。

1 基于鍵盤(pán)事件的取證過(guò)程模型

近年來(lái)，鍵盤(pán)記錄器盜取用戶(hù)賬戶(hù)密碼事件頻有發(fā)生，鍵盤(pán)事件取證刻不容緩。

1.1 理論依據(jù)

模型指的是所研究的系統(tǒng)、過(guò)程、事物或概念的一種表達(dá)形式。這里的取證模型主要是指可以概述整個(gè)事件的全過(guò)程，以便于人們理解的一種表達(dá)形式。

法律模型主要包括了：準(zhǔn)備階段、收集階段（保護(hù)與評(píng)估現(xiàn)場(chǎng)、對(duì)現(xiàn)場(chǎng)記錄歸檔、證據(jù)提?。?、檢驗(yàn)、分析、報(bào)告。法律執(zhí)行過(guò)程模型特別強(qiáng)調(diào)了法律在電子證據(jù)收集過(guò)程中的嚴(yán)格規(guī)范，進(jìn)而保證了電子證據(jù)的合法性。

計(jì)算機(jī)取證根據(jù)取證時(shí)刻潛在證據(jù)的特性被分為靜態(tài)取證和動(dòng)態(tài)取證。當(dāng)前的取證過(guò)程多數(shù)基于靜態(tài)取證，且不論提取證據(jù)比較費(fèi)時(shí)，取證人員很難獲取到關(guān)于案發(fā)現(xiàn)場(chǎng)的充分的、真實(shí)的、原始的證據(jù)。而動(dòng)態(tài)取證恰恰是與靜態(tài)取證時(shí)機(jī)相反，它是一種在攻擊發(fā)生前就已經(jīng)做好取證準(zhǔn)備，當(dāng)攻擊發(fā)生時(shí)就開(kāi)始收集證據(jù)的過(guò)程。

基于鍵盤(pán)事件的取證過(guò)程模型選擇了較有效法律執(zhí)行過(guò)程模型，結(jié)合動(dòng)態(tài)和靜態(tài)取證技術(shù)與常規(guī)物證的收集技術(shù)，即保證了獲取的電子證據(jù)的合法性又克服了基于傳統(tǒng)的事后取證模型中取證技術(shù)的不足。同時(shí)使用監(jiān)督鏈確保整個(gè)取證過(guò)程的規(guī)范性、合理性、全面性、合法性，為打擊計(jì)算機(jī)犯罪提供準(zhǔn)確、有效、合法的電子證據(jù)[1-8]。

1.2 基于鍵盤(pán)事件的計(jì)算機(jī)取證過(guò)程模型的實(shí)現(xiàn)

模型中含三方：被取證端、取證端、證據(jù)服務(wù)器。被取證端受取證端監(jiān)控；證據(jù)服務(wù)器接受被取證端傳來(lái)的事件，證據(jù)服務(wù)器獲得鍵盤(pán)事件發(fā)送到取證端。

根據(jù)前文陳述的理論依據(jù)，畫(huà)出了提取鍵盤(pán)事件的流程圖。流程圖中對(duì)原法律執(zhí)行過(guò)程模型的簡(jiǎn)化點(diǎn)有一個(gè)：證據(jù)的檢驗(yàn)和分析這兩個(gè)步驟。在原始的法律執(zhí)行過(guò)程模型中這兩個(gè)步驟是分步進(jìn)行，該模型中將它們簡(jiǎn)化為一步，使得整個(gè)過(guò)程簡(jiǎn)潔明了，這樣做并沒(méi)有對(duì)獲取鍵盤(pán)事件造成影響，整個(gè)過(guò)程有監(jiān)督鏈進(jìn)行記錄，能保證整個(gè)取證過(guò)程的有效性；該模型中的增加點(diǎn)有一個(gè)：借鑒了基本過(guò)程取證模型中的監(jiān)督鏈的用法，在取證全程使用監(jiān)督鏈用以保證簡(jiǎn)化后的法律執(zhí)行過(guò)程模型的實(shí)用性、有效性和普適性。

2 結(jié)語(yǔ)

通過(guò)閱讀文獻(xiàn)，筆者選擇法律執(zhí)行過(guò)程模型保證了證據(jù)收集過(guò)程的嚴(yán)格性、規(guī)范性。在該取證模型中利用簡(jiǎn)化修改過(guò)的法律執(zhí)行過(guò)程模型添加了動(dòng)態(tài)及靜態(tài)取證技術(shù)，結(jié)合傳統(tǒng)證據(jù)的過(guò)程，完整地實(shí)現(xiàn)了獲取鍵盤(pán)事件的過(guò)程流程圖，并已將本流程圖轉(zhuǎn)化為實(shí)踐。

參考文獻(xiàn)

[1] 王玲，錢(qián)華林.計(jì)算機(jī)取證技術(shù)及其發(fā)展趨勢(shì)[J].軟件學(xué)報(bào)，2003，14（9）1635-1643.

[2] 許榕生，吳海燕，劉寶旭.計(jì)算機(jī)取證概述[J].計(jì)算機(jī)工程與應(yīng)用，2001（21）：7-8.

[3] 科技名詞定義[EB/OL].http：//baike.baidu.com/view/96500.htm.

[4] 陳龍，王國(guó)胤.計(jì)算機(jī)取證技術(shù)綜述[J].重慶郵電學(xué)院學(xué)報(bào)，2005，17（6）：736-740.

[5] 吳姚睿.基于主動(dòng)獲取的計(jì)算機(jī)取證方法及實(shí)現(xiàn)技術(shù)研究[D].吉林：吉林大學(xué)，2009.

[6] 李煥洲，張建，陳麟.一個(gè)基于跟蹤的計(jì)算機(jī)取證過(guò)程模型[J].微計(jì)算機(jī)信息，2007，23（12）232-233.

[7] 李巖.計(jì)算機(jī)取證中關(guān)鍵技術(shù)研究[D].上海：上海交通大學(xué)，2010.

[8] 蘇海波.電子證據(jù)取證方法研究[D].安徽：安徽大學(xué)，2013.endprint