中山市技师学院计算机应用系毕业设计论文题目计算机取证技术研究专业名称计算机应用姓名余培颜班级03计网52学号20指导教师吴振庭2007年12月19日目录TOC\o"1-3"摘要1关键字1第一章计算机取证和电子证据1§计算机取证的概念1§电子证据1第二章取证的原则和步骤2取证的原则2取证的步骤2第三章相关的取证技术2取证技术的获取2取证技术的分类3单机取证技术3§.2网络取证技术3第四章计算机取证工具和陷阱网络4取证工具4陷阱网络4陷阱机的概念4§4.2.2Honeypot5§.3Honeynet5§4.2.4陷阱机的主要目的5第五章反取证技术5什么是反取证技术5反取证技术的分类6数据擦除6§5.2.2数据隐藏6§.3加密数据6第六章取证的局限性6磁盘数据恢复6反向工程6解密技术7第七章总结7参考文献8计算机取证技术研究余培颜中山高级技师学院528400摘要：随着个人计算机、国际互联网的应用广泛普及化、以及其计算的快速发展，在全球化通信及信息交换成为现实的同时随之而来的计算机犯罪行为也日益增多。而存在于计算机及相关外围设备中的电子证据逐渐成为新的公诉证据之一。所以计算机取证（Computerforensics）正日益成为各国各研究机构和公司对计算机网络犯罪的重点研究课题。关键词：计算机取证，电子证据，取证技术，陷阱网络随着个人计算机、国际互联网的应用广泛普及化、以及其计算的快速发展，在全球化通信及信息交换成为现实的同时随之而来的计算机犯罪行为也日益增多。而存在于计算机及相关外围设备中的电子证据逐渐成为新的公诉证据之一。所以计算机取证（Computerforensics）正日益成为各国各研究机构和公司对计算机网络犯罪的重点研究课题。再而因为反取证技术和取证技术本身的局限性使得计算机取证工作变得更加困难了，一些针对于这些种种的技术也相继诞生了，如：蜜罐系统；其实不管是黑客的入侵还是我们的取证工作，靠的不就是技术么，没了技术那么就什么都不是了，所以，我们还要有要掌握技术的觉悟。计算机取证是指对能够为法庭接受的、足够可靠和有说服力的、存在于计算机和相关外设中的电子证据(ElectronicEvidence)的确定、收集、保护、分析、归档以及法庭出示的过程。因为计算机取证可以用来收集大量的计算机犯罪和事故，包括网络入侵、盗用知识产权和E-mail欺骗等，所以它已经成为所有公司和政府部门信息安全保证的基本工作。去年曾爆发一时的计算机病毒“熊猫烧香”是我国第一例的计算机病毒牟利案、虽然迅速抓住了主要嫌疑人，但是取证却成了一大难题，同时也暴露了我国目前在这方面的不足。在国外的一些网络技术发达的国家打击计算机犯罪的历史已有二三十年的历史了，而计算机证据出现在法庭上在我国也就只是近10年左右的事情。最初的电子证据是从计算机中获取的正式输出，法庭不认为它和普通的传统证物有什么不同。但随着计算机技术的发展，以及随着与计算机相关的法庭案例的复杂性的增加，电子证据与传统证据之间的类似性逐渐减弱。电子证据也称为计算机证据，是指在计算机或计算机系统运行过程中产生的，以其记录的内容来证明案件事实的电磁记录物。一般电子证据的表现形式有文本、图形、图像、动画、音频和视频等多媒体信息，与传统证据一样，电子证据必须是：可信的、准确的、完整的、符合法律法规的。但是作为一种新生的法律证据，电子证据还是有着它自己的特殊之处：例如高科技性，电子证据的产生、储存和传输都必须借助高科技含量的技术设备。电子证据主要来源于系统日志，IDS、防火墙、FTP、WWW、和反病毒软件日志、系统审计记录（Audittrails），网络监控流量（Networkmonitortraffic），E-mail，Windows操作系统和数据库的临时文件或隐藏文件，数据库的操作记录，硬盘驱动的交换分区、slack区和空闲区，软件设置，完成特定功能的脚本文件，web浏览器数据缓冲，书签、历史记录或会话日志、实时聊天记录等等。一些聪明的入侵者会在入侵后擦除自己残留在被入侵的系统中的痕迹，会尽量的删除或修改日志文件和有关的一些记录。这个时候我们利用计算机取证软件在windows操作系统下的windowsswapfile和windows下的fileslack中收集作为潜在的电子证据。因为一般的删除文件操作即使在清空了回收站后，只要不是将硬盘低级格式化或硬盘空间装满，还可以将被删除的文件恢复。而在windows下的windowsswapfile中有20-200M的容量记录任何有关windows会话