計算機取證

計算機取證目標

計算機取證要解決的問題是：找出是誰 (who)、在什麼時間 (when)、在那裡 (where)、怎樣地 (how) 進行了什麼 (what) 非法活動。

以網路入侵為例，具體而言，計算機取證需要解決以下幾個問題：

計算機證據**

計算機證據幾乎無處不在，但是主要來自 3 個方面：計算機主機系統方面、網路方面、其他數字裝置。

① 來自主機系統方面的證據

具體包括：

1. 使用者自建的文件

2. 使用者保護文件

如：隱藏檔案、受密碼保護檔案、加密檔案、壓縮檔案、改名檔案；

以及入侵者殘留物，如：程式、指令碼、程序、記憶體映象等。

這類檔案通常包好有更重要的資料，如指令碼程式及相關資料、惡意**等。

3. 計算機建立的檔案

如：系統日誌檔案、安全日誌檔案、應用程式日誌檔案、備份文件、配置檔案、交換檔案、虛擬記憶體、系統檔案、隱藏檔案、歷史檔案和臨時檔案等。

這類文件中往往有使用者或程式執行記載等，如 cookies 中記載有使用者的資訊，在交換檔案中有使用者的 internet 活動記錄、收發過電子郵件的 e-mail 賬號、訪問過的**等。

4. 其他資料區中可能存在的資料證據

如：硬碟上的引導扇區、壞簇、其他分割槽、閒散空間 (slack space)、計算機系統時間和密碼、被刪除的檔案、軟體註冊資訊、隱藏分割槽、系統資料區、丟失簇和未分配空間。

在乙個頻繁使用的系統中，可能會不斷建立檔案、刪除檔案、複製檔案、移動檔案，因此許多扇區可能被反覆寫過很多次，會出現許多檔案碎片。

硬碟的儲存空間是以簇為單位分配給檔案的，乙個出通常有若干扇區組成，而檔案大小往往不是簇的整數倍空間大小，所以分配給檔案的最後一簇一般都會有剩餘的部分，即閒散空間。閒散空間中可能包含了先前儲存已經被刪除的的檔案遺留下來的資訊，這裡就有可能有重要證據，也可能被用來儲存隱藏資料。

取證時對硬碟的拷貝不能在檔案級別上進行，就是因為正常的檔案系統介面時訪問不到這些閒散空間的。當乙個應用程式改變乙個檔案並重寫它後，原先改變的檔案檔案就會被刪除，占用的所有資料塊都會被**而處於未分配狀態，但這些未分配空間儲存有先前檔案的所有資料。檔案被刪除後，原有的資料依然還儲存在磁碟上。

② 來自網路方面的證據

來自網路方面的主要證據有：

③ 來自其他數字裝置的證據

計算機取證基本原則

計算機取證工作內容

在保證以上基本原則的前提下，計算機取證工作一般可以按照下面方面進行：