计算机取证0学案.ppt

电子数据证据的获取－技术性采集　 其余数据恢复策略： 目录表损坏引起的引导故障 　　目录表记录着硬盘中文件的文件名等数据，其中最重要的一项是该文件的起始簇号。目录表由于没有自动备份功能，所以如果目录损坏将丢失大量的文件。一种减少损失的方法也是采用CHKDSK或SCANDISK程序恢复的方法，从硬盘中搜索出*.CHK文件，由于目录表损坏时仅是首簇号丢失，每一个*.CHK文件即是一个完整的文件，把其改为原来的名字即可恢复大多数文件。  --------------------------------------------------------------------------- 电子数据证据的获取－技术性采集　 其余数据恢复策略： 格式化后硬盘数据的恢复 　　在DOS高版本状态下，FORMAT格式化操作在缺省状态下都建立了用于恢复格式化的磁盘信息，实际上是把磁盘的DOS引导扇区、FAT分区表及目录表的所有内容复制到了磁盘的最后几个扇区中(因为后面的扇区很少使用)，而数据区中的内容根本没有改变。这样通过运行UNFORMAT命令即可恢复。另外DOS还提供了一个MIROR命令用于记录当前磁盘的信息，供格式化或删除之后的恢复使用，此方法也比较有效。  --------------------------------------------------------------------------- 电子数据证据的获取－技术性采集　 网络数据获取方法： Sniffer: 如：windows平台上的sniffer工具：netxray和sniffer pro软件等 Linux平台下的TCPDump：dump the traffice on a network.，根据使用者的定义对网络上的数据包进行截获的包分析工具。   --------------------------------------------------------------------------- 电子数据证据保全技术　 数据加密技术： 加密就是把数据和信息转换为不可辩识的密文的过程，使不应了解该数据和信息的人不能够识别，欲知密文的内容，需将其转换为明文，这就是解密过程。加密系统的组成 。 加密是在不安全的环境中实现信息安全传输的重要方法。 --------------------------------------------------------------------------- 电子数据证据保全技术　 数据加密技术： 加密和解密过程组成为加密系统，明文与密文总称为报文，任何加密系统，不管形式多么复杂，至少包括以下4个组成部分：  1、待加密的报文，也称明文； 2、加密后的报文，也称密文； 3、加密、解密装置或算法；4、用于加密和解密的钥匙，它可以是数字、词汇或语句  --------------------------------------------------------------------------- 计算机取证（电子取证）定义 计算机取证专业资深人士Judd Robins: 计算机取证不过是简单地将计算机调查和分析技术应用于对潜在的、有法律效力的证据的确定与获取上。 --------------------------------------------------------------- 计算机取证（电子取证）定义 一家专业的计算机紧急事件响应和计算机取证咨询公司： 计算机取证包括了对以磁介质编码信息方式存储的计算机证据的保护、确认、提取和归档。 --------------------------------------------------------------- 计算机取证（电子取证）定义 一篇综述文章给出了如下的定义： 计算机取证是使用软件和工具，按照一些预先定义的程序全面地检查计算机系统，以提取和保护有关计算机犯罪的证据。 --------------------------------------------------------------- 计算机取证（电子取证）定义 综合： 　 　　　计算机取证是指对能够为法庭接受的、足够可靠和有说服性的，存在于计算机和相关外设中的电子证据的确认、保护、提取和归档的过程。 --------------------------------------------------------------- 取证对比 -----------------------