计算机取证论文5200字_计算机取证毕业论文范文模板

　　导读：计算机取证论文5200字对于很多想要评定职称的小伙伴们来说，应该都是需要撰写这方面的论文的，也都是希望通过这种方式来获得晋升机会，本论文分类为计算机应用论文，下面是小编为大家整理的几篇计算机取证论文5200字范文供大家参考。

　　计算机取证论文5200字(一)：浅谈计算机取证的信息收集与数据还原论文

　　摘要在 问题，受到了社会各界的广泛关注，在享受科技便利的同时，不得不加大对科技安全的深入研究。在计算机网络犯罪规模逐渐扩大的不良背景之下，计算机取证的应用已经成为打击犯罪的重要途径。因此，深入研究计算机取证相关技术，尤其是其中的信息收集与数据还原部分，不断提升技术水平，对维护社会的稳定与和谐具有重要意义。

　　1计算机取证的一般步骤

　　1.1计算机数据特点及取证标准

　　计算机取证所针对的主要对象，就是计算机数据。计算机数据是计算机系统在运行期间所产生的，基于计算机系统运行本身的多样性、复杂性与广泛性，可将其划分为开放性计算机系统、嵌入式计算机系统和计算机通信系统，不同计算机系统所产生的数据类型也有所差异。因此，在计算机取证过程中，必须明确取证对象的确切信息，才能保证取证过程的顺利、有效、快速进行。

　　针对计算机数据证据的高科技性、隐蔽性、客观性、脆弱易逝性、开放性、人机交互性等特点，要有效制定计算机取证标准，包括客观性标准、关联性标准和证据来源合法性标准。其中，客观性标准，就是要保证计算机证据必须是客观存在的东西，证据内容必须具备客观性、证据的存在形式也必须是客观。计算机证据一般存储在计算机当中，这些电子数据本身是客观存在的，但它们存在的形式，还不符合证据采用的相关标准；将计算机数据通过显示器显示出来，或利用打印机打印出来，将其在法庭上呈现出来，这时的计算机数据，就具备了证据的客观表现形成，也就实现了计算机取证的目的。

　　而关联性标准，就是在取证过程中，必须保证需要证明的事实与取证对象之间的关联关系，充分利用这种关联规则，进而提取犯罪行为之间的关联特征，对证明案情具有实际意义。另外，计算机取证过程中，要保证数据证据符合合法性标准，包括证据主体合法、證据形式合法以及证据程序合法。

　　1.2计算机取证步骤

　　（1）保护可疑计算机；在计算机取证过程中，要明确可疑计算机当中，可能存在的数据证据范围，进而对其实时有效的保护措施。一般来说，计算机证据都会存在于一些闲散的文件空间、Windows交换文件当中，在正式取证之前，要避免发生重新启动、程序运行等操作，杜绝数据证据由于操作不当导致被重写或覆盖的危险。

　　（2）获取证据；获取潜在的数字证据，这种操作的意义与拍摄犯罪现场、提取血样、采集指纹等类似，在无法直接指出有用的证据时，先获取可能隐含证据的全部信息，再对这些信息进行分析处理，提取出有效的数据证据[1]。例如，计算机系统当中的进程信息、日志文件、网络操作记录等，这些信息都较为繁杂，但其中往往隐藏着重要的线索或证据，必须对其进行全面获取。

　　（3）证据传输；对于计算机取证过程中的证据传输，要保证证据不会在传输过程中发生损坏，一旦计算机数据部分受损，造成数据不可读现象，那么他的取证价值也就不复存在。

　　（4）证据备份；在对数据证据进行分析处理时，需要确保备份的数据证据与原始证据是相同的，可先为备份证据生成一个散列码，便于鉴别备份证据的可信度。

　　（5）分析证据；就是从大量的数据信息当中，获取有效的数字证据需要充分利用数据处理技术，尽可能地将计算机系统当中，被删除的文件、隐藏文件、交换文件、临时文件以及加密文件等，恢复、转换成为可读状态；并通过重建网络等方式，分析入侵过程，提取入侵证据等。需要注意的是，这些处理过程要在备份证据上进行，有效保证原始证据的完整性。

　　（6）提交证据；这时计算机取证的最后一个部分，就是将分析处理得到的计算机数据证据，呈交法庭。在这一过程中，必须使用证据监督链，杜绝证据监管出现漏洞，为辩护律师提供可乘之机，同时，也有利于向法庭证明证据的可信度。

　　1.3计算机取证的特点

　　上述文章中提到计算机数据证据的高科技性、隐蔽性、客观性、脆弱易逝性、开放性、人机交互性等特点，同时还具有及时性、无破坏性、和受监督性等特点，确实要想尽早地搜集证据，而保证证据完整不受破坏，就要保证在计算机取证的过程中，保持及时性、无破坏性。而受监督性是指原告委派的专家的整个检查和取证工作，都应该受到由其它方委派的专家的监督。

　　2计算机取证中的信息收集

　　2.1计算机取证的定义

　　计算机取证即对计算机入侵与犯罪，进行证据获取、保存、分析和出示，它是一个对受侵计算机系统进行扫描和破解，以对入侵事件进行重建的过程。计算机取证对计算机和网络犯罪的作用至关重要，执着证据真实、可靠、完整和符合法律法规的原则，它被用于解决现代社会中出现的许多计算机和网络犯罪活动。

　　2.2文件检索

　　计算机取证过程中的信息收集，可借助Lucene来实现。Lucene是一个基于Java的全文信息检索工具包，需要注意的是，Lucene并不是一个完整的搜索应用程序，它的主要作用是为相关应用程序，提供索引与搜索功能。在计算机证据取证过程中，利用具有Lucene功能的应用程序，能够为文本类型的数据建立索引，接下来只要将索引的目标数据格式，转化成为文本格式，便能对文档进行索引与搜索[2]。例如，对HTML、PDF格式的文档来说，将其转换成文本格式之后，获取转化后的内容交给Lucene，然后将事先创建好的索引文件，保存到磁盘或内存当中，在索引文件当中输入查询条件，即可获得相应信息。这种文件检索方式的优势，就是不会受到目标文件格式的限制，Lucene几乎能够适用于所有的搜索应用程序。Lucene全文索引与传统的数据库模糊查询相比，优势如下：

　　2.3文件分析

　　构建文件分析模块，获取Cookies所在文件夹当中的所有文件，进而对文件进行详细的分析与状态提取，最终获得有效信息呈现给用户。

　　关于Cookies文件分析，其流程如下图所示。正常来说，Cookies的存在未知，与计算机所应用的浏览器有关，如：应用NetscapeNavigator的计算机，Cookies一般存在于名为“Cookies.txt”的文件当中。Cookies的文件当中，包含网站的名字、入口、时间期限以及其他附加信等，还能记录用户的域名、计算机型号、访问时间以及操作系统与浏览器的类型，也能获取得到特定网点的历史浏览记录[3]。利用自动寻找Cookies文件夹的方式，获取其中可提炼的内容，能够显著提升计算机取证与分析效率。

　　2.4文件数据的相关性分析

　　文件系统用于存储数据，供计算机系统访问。文件系统中的数据通常以文件目录和文件的形式存放于树状结构中。文件系统通常以元数据描述每个文件的信息。当识别案件中各类数据关联时，可以用节点来表示在他们曾经逗留的地点、所使用过的电子邮件和IP地址、财务交易、用过的电话号码，这有助于确定节点之间是否存在值得关注的联系。例如在一个大规模的诈骗案调查中，通过把个人与组织之间的活动关系进行连线，可以显示出资金转账关系，从而揭露出诈骗案件中最活跃的实体。

　　3计算机取证中的数据还原

　　3.1被删除数据的还原

　　在计算机取证过程中，由于取证不及时等原因，可能会造成部分数据被删除或被损坏，这种状态下，就必须对其事实一定的挽救措施，实现被删除数据的还原恢复。

　　针对数据的还原与恢复，可设计数据恢复模块。首先，设计系统引导信息结构，对磁盘数据进行操作，确定磁盘存储结构信息，明确硬盘分区表之后，即可顺利调用MBR，获得存储结构信息。读入磁盘当中的主引导记录，也就是将相关数据读入到硬盘分区表当中，由此获得计算机系统的分区信息。

　　其次，设计MFT项的存储结构，利用MFT主控文件表的“定位”能力，明确文件的存储位置。MFT主控文件由一系列的文件记录构成，因此会包含文件的全部属性。

　　再次，搜索MFT主文件表，只有明确MFT的起始位置，才能实现被删除文件的有效恢复。参考如下图所示的磁盘分区结构，在定位NTFS文件的过程中，MFT的逻辑簇号代表的是一个重要字段[4]。MBR的主分区表1，指向的是主分区1的分区引导扇区；在这一区域中的前512个字节，形成了DBR区。明确这一结构之后，从MBR开始，定位引导分区，找到BPB，继续通过其中的MFT逻辑簇号找到MFT。

　　图1磁盘分区结构示意图

　　第四，在计算机磁盘上，逐條搜索被删除的文件，即逐条读入MFT。将系统磁盘上的被删除文件读入内存，从中提取文件的起始簇号，进而恢复特定文件。在恢复完成之后，可将其保存到一个新的磁盘当中，避免损坏原有文件。

　　3.2被格式化磁盘的还原

　　磁盘被格式化后，其中的数据不可避免地会受到破坏，也会造成大量数据信息丢失。对比于还原被删除的稳健，对被格式化的磁盘进行恢复处理难度更大，格式化磁盘，不仅会清理到其中的存储结构，还会在磁盘当中形成新的数据引导区，也会在一定程度上造成FAT的格式化，或标注过的逻辑坏道，这些结构变化，必然会导致一些数据的消失。因此，对被格式化的磁盘进行还原处理，需要从全新的角度进行考虑。就现阶段的技术水平来看，对被格式化的磁盘进行恢复，受到多种技术限制，实现效果往往不佳，就数据量恢复的角度来看，最终的恢复效果，与文件系统本身、物理存储方式以及恢复方式等有关。

　　当用户想要通过操作格式化了一个NTFS卷时，程序依据指令做出的反应，就是清空BITMAP元数据的内容，同时清空根目录当中的索引。在清除过程中，一些相关联的地方也会受到一定的影响，但需要注意的是，即便文件都被删除，其MFT、除根目录的数据索引还依旧存在，而NTFS的MFT中记载着所有的文件信息，这就为磁盘文件的整体还原提供了可能[5]。只要数据没有被覆盖，那么在NTFS下，将被格式化的磁盘全部还原的可能性，能够达到100%，在计算机取证过程中，要重视这一数据还原途径。

　　针对NTFS格式化的恢复与还原，在NTFS文件系统当中，需要明确$MFT包含了全部的文件信息数据库，而$MFT中的每一个文件，都至少包含着一个MFT记录，在这些记录当中，包含了相关文件的全部信息。当NTFS被格式化后，虽然文件都被删除，其MFT、除根目录的数据索引还依旧存在，由此可见，找到$MFT的存储位置，就可以依据MFT中的文件存储信息，实现对被格式化磁盘文件的恢复。

　　在相关还原模块设计过程中，其中的关键功能点需要给予重视，主控文件表的扫描，也就是对MFT的扫描，是搜索文件的关键，只有通过MFT，才能利用其中存储的文件属性，准确查找到文件的基本信息。主文件表的扫描，要从逻辑驱动器的MFT表入手，获得MFT项之后，将其存储到NTFS_MFT_FILE结构中。在系统当中，设置被删除文件容器和被删除目录容器，将扫描到的文件对应存储到相应的容器当中。

　　另外，查找文件信息也是还原模块中的一个关键功能点，其主要作用就是提取被删除文件的信息，同时，也可以对目录文件进行有效判断。在读入的MFT记录当中，存在多种信息，包括0x30属性和0x80属性，其中，0x30属性主要是指文件/目录名，而0x80属性指的是目录索引和文件数据，需要注意的是，0x80属性不会存在于目录文件当中。若读出的MFT表示相关文件已经被格式化，进一步恢复需要将其读入到对应容器中。

　　在计算机取证过程中，以文件的存储结构为依据，针对性的实施恢复策略，进行相应的还原操作，能够将被毁数据最大程度还原，获得有价值的信息，为证实相关实践做出有效贡献。

　　4结束语

　　综上所述，对计算机取证的信息收集与数据还原进行分析，有利于提升计算机取证相关技术与工作的水平和效率。通过相关分析，能够进一步明确计算机取证的有效应用，对打击犯罪、维护社会秩序的重要价值，综合提升技术水平，充分发挥技术价值，能够有效实现计算机取证的时代意义。因此，紧随时代的发展，将有效的、快速的计算机取证，广泛应用到打击高科技犯罪的工作当中，有效解决该领域现阶段所面临的众多技术难题。

　　计算机取证毕业论文范文模板(二)：试论计算机主机隐秘信息的取证技术论文

　　摘要：计算机主机隐秘信息的取证技术现在已经在一些领域中进行应用，尤其是在打击网络犯罪的过程中发挥出了重要作用。因此，本文主要就计算机主机隐秘信息取证技术的渠道，及具体的应用问题进行科学研究与分析。

　　关键词：计算机主机隐秘信息；取证技术；渠道；具体应用

　　计算机主机隐秘信息的取证技术，简称为计算机信息取证，在打击网络犯罪中获取犯罪证据上发挥出了重要的作用。而随着时代的发展，应用这种方式来进行犯罪证据获取的手段被法律以及法庭审判所认可。由此，计算机信息取证开始进入到人们的视野中。因此，我们需要对于计算机主机隐秘信息取证技术的渠道，具体的应用问题进行全面的研究，提升应用这种方法获取犯罪证据的质量与水平，使其为保障我国社会的安全，人民的幸福生活发挥出应有的价值。

　　一、计算机主机隐秘信息取证技术的渠道

　　计算机技术可以为人们的学习、生活、工作带来非常大的便利，增强人们生活的乐趣。但是，一些人却开始应用计算机技术来进行网络化的犯罪。比如：窃取商业机密、应用网络技术进行违法用品的销售等等。因此，应用计算机技术进行网络化犯罪证据的获得，对有效打击网络犯罪具有了非常大的意义。而应用计算机主机隐秘信息取证技术的渠道主要有以下几个方面。第一，对于用户所建立的各种类型文档进行信息的获取。比如：音频文档、视频文档、电子邮件、数据库文档、文本文档等等。第二，对于用户计算机中的保密性文档或者是具有加密特点的文档进行数据信息的获取。第三，应用计算机信息取证技术对于数据区中的数据信息进行获取。比如：网络硬盘中被删除的具有储存类型的文件、尤其是需要注意提取计算机硬件信息。而由于网络化犯罪的人员在进行网络犯罪活动时，频繁进行数据的操作、导致其在计算机中留下来了众多的证据信息，而有关的办案人员需要对于这些信息进行重点的收集，提升办理案件的质量与水平[1]。

　　二、计算机主机隐秘信息取证技术具体应用

　　（一）应用的原则

　　在应用计算机信息取证技术的过程中我们需要遵循一些原则，以便于提高取证工作的质量和效率，使得计算机信息取证技术发挥出应有的功能与价值。

　　第一，法律性原则：应用计算机隐秘信息取证技术要遵守法律，合法地对信息进行取证，不能损害他人的利益，使得获取的证据公平公正。

　　第二，备份取证与不损坏取证原则：取证时需要提前将信息备份，避免信息丢失，然后再对计算机主机隐秘信息进行取证。同时，过程中对证据不能有任何损坏，保障其应用的完整性。

　　第三，准确性与及时性的原则。应用计算机主机隐秘信息取证技术要使得获取的证据完整与真实，可以在案件处理的过程中对于犯罪嫌疑人的审理发挥出应有作用，保障其应用的及时性，为案件处理工作的及时与效率发挥出价值[2]。

　　（二）具体应用的方式

　　计算机主机隐秘信息取证技术在具体的应用中主要是依靠各种各样的软件来完成的。比如：我国常用的取证软件主要有两种，即金诺安介质取证系统、美亚柏科中文取证平台。因此。首先，通过对于这两个取证软件的应用，可以进行信息数据的收集、分析、加工、传送等方式，全面进行具有证据特点数据信息的获取。我们之所以应用这种模式进行网络化犯罪证据的获取，那是因为计算机主机是数据信息存储的主要媒介，其中隐藏着大量的加载模块与隐藏模块，因此我们应用这两种常用的取证软件对于计算机主机中的加载模块与隐藏模块进行破解，就可以进行证据的提取[3]。其次，进行计算机主机隐秘信息取证技术的应用，对于计算机主机中的文档数据进行取证是整个取证的核心。其具体的流程如下。第一，应用自动卸载模块进行主机密码证书的获得，保障卸载程序的构建以及卸载过程的隐秘性，使得有關的案件人员进行证据的获得后再进行文本文件的删除和注入痕迹的清理。第二，应用动态配置的方式对于隐藏的数据信息进行集中性管理，使得自动卸载模块进行证据获取时可以有迹可循。最后，计算机主机隐秘信息取证技术是一个具有闭合性特点的系统，有众多的子系统与部件来构成。因此，应用这项技术时可以采用网络植入的方式进入到计算机主机中进行网络犯罪证据的获取，最后完成整个的证据获取，使得获取的证据在今后的案件审理中发挥出重要的价值[4]。

　　三、结论

　　对于计算机主机隐秘信息取证技术进行研究与分析，有利于我们高中生对于计算机主机信息的安全性给予足够的重视，更有利于网络案件的办案人员应用这种方式进行犯罪证据的获取，保障网络环境的安宁。