本文介绍了由1988年成立的计算机证彬国际组织所制定的六项计算机取证原则,确保电子证据的准确性和可靠性。同时,文章详细阐述了电子数据取证的四个主要流程:评估、获取、分析及报告,特别强调了在网络环境下电子数据取证的特点和流程。
计算机证彬国际组统(ntenatinal Orgnization on Computer Enidence. 1OCE)198年曼人陶集团(C8)委托,负责制定国际计算机取证原则,并于2000年颁布了计算机取证的6条原则:
(1)取证过程必须符合规定和标准;
(2)获取电子证据时,不得改变证据的原始性;
(3)接触原始证据的人员应该得到培训;
(4)任何对电子证据进行获取,访问、存储或转移的活动必须有完整记录;
(5)任何人接触电子证据时,必须对其在该证据上的任何操作活动负责;
(6)任何负责获取、访问、存储或转移电子证据的机构须遵从上述原则。
电子数据取证的流程
<1>评估
<2>获取(1)镜像获取 (2)数据获取 ①文件获取 ②易失性证据获取
收集易失性数据的基本步骤:
①运行可信的程序;
②记录系统时间和日期;
③确定登录信息(包括远程用户);
④记录所有文件的创建、修改和访问时间;
⑤确定打开的端口;
⑥列出与打开端口相关的应用程序;
⑦列出所有正在运行的进程;
⑧列出所有当前和最近的连接;
⑨再次记录系统时间和日期。
<3>分析
1.获得取证目标的基本信息
2.文件过滤
3.关键词搜索
4.文件分析
5.数据恢复
6.密码破解
7.书签和记录找到的数据
<4>报告
单机环境电子数据取证
特点:
~数据保存在相对稳定的环境中
~人机关联
~取证的难度较低
网络环境电子数据取证
特点:
~数据量大
~数据类型相对单一
~数据格式复杂化
流程:
1.评估
2.获取
3.分析
4.报告
扫一扫
167万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
