取证技术

摘要： 本文通过分析历史记录、WebCacheV01.dat、Index.dat等文件,搜寻用户在浏览器中留下的上网痕迹,从而推断用户所进行的网络活动.基于此,对Web浏览器客户端的取证手段进行研究,探寻在无痕模式下的取证方式.

摘要： 对可能经过篡改的数字媒体进行司法取证是司法部门面临的技术新挑战.本文对数字媒体取证技术中的数字图像篡改中特定篡改操作遗留痕迹、成像器件遗留痕迹检测、三维场景遗留痕迹检测三个方面进行了阐述,以期对司法取证中数字图像篡改取证技术推广与研究提供参考.

摘要： 智能穿戴设备在21世纪初期还是一个尤有未来感的词眼,而随着技术迭代,智能穿戴设备越来越频繁地以实用工具而非新奇玩具的形象出现在个人生活中.2019年,可穿戴智能设备仅在中国市场,出货量便达到9924万台,同比增长了37.1％.根据以往对智能穿戴设备的研究,其记载的各种信息都与现有的各种电子数据证据具有相似的使用价值.本文结合对以Apple Watch为代表的智能手表体系进行取证尝试,根据取得的结果探究其后续价值.

摘要： 计算机安全技术中的取证技术是非常重要的,取证技术可以有效的提取嫌疑人计算机中的数据信息并且对其识别、分析、认证, 最后呈现出来的资料是被可以被法庭所认可的证据。在此过程中,需要对计算机中的数据进行一步步分析,是一个非常复杂且漫长的 过程,只有具备计算机取证和证据的专业知识,才能有效的开展取证工作。文本将对计算机取证技术以及发展趋势进行简要分析。

摘要： 利用互联网对军政外交经济领域进行窃密的APT(高等级可持续性威胁)攻击行为愈演愈烈，其中大部分内网或主机被突破来自于用户点击运行了携带恶意代码的文档。文档类漏洞使用shellcode恶意代码来达成攻击目的.现有的检测取证技术依赖漏洞库和漏洞触发条件下的动态跟踪,对多态shellcode和Oday检测效果不理想.文章提出一种静态虚拟代码执行取证方法,可以在不打开和不破坏文档的情况下检测恶意代码的存在与执行功能.该方法通过对文档格式的解析,建立静态代码模拟执行系统,解决了现有的检测取证技术依赖漏洞库、动态跟踪必须依赖漏洞触发，对多态shellcode和Oday检测效果不理想的问题，可以有效对抗文档类漏洞在APT攻击中的应用。

摘要： iOS设备是当今最具代表性的智能终端设备,其典型代表是iPhone手机和iPad平板电脑.由于智能终端设备的运行机制不同于传统计算机设备,这类设备的取证对调查人员提出了新的挑战.文章以iOS设备为例,讲解其构成、运行机制、相关取证技术和工作流程.

摘要： 对数字图像取证技术及其研究现状进行介绍,将数字图像取证研究领域按照其研究角度划分为图像来源认证(源识别)和图像篡改取证(篡改检测)两个方面,为现有技术进行综述.针对数字图像来源认证,将现有的技术方法按实现的机理不同分为4大类:基于镜头畸变的方法、基于像素缺陷的方法、基于模式噪声的方法、基于CFA插值的方法.针对图像篡改取证分别介绍了3大类方法的特征及其所属各种典型算法.

摘要： Windows操作系统自Vista版本开始引入了一个新的数据保护功能卷影副本,该功能能够对创建还原点的硬盘分区上的所有文件创建卷影副本,用户可以很方便地通过卷影副本功能将某个文件恢复到以前的某个状态而无需使用系统还原来还原整个系统.卷影副本中的数据信息对于电子数据取证来说属于相对隐藏或者隐蔽的数据,大多数的取证分析工具缺乏对这部分数据的分析能力.文章深入分析了Windows卷影副本在硬盘上的存储结构并给出了相应的卷影副本的解析方法,为卷影副本数据的取证分析提供重要的技术手段.

摘要： 本文分析了主流浏览器的上网记录存储方式,研究了SQLite恢复技术,并对基于SQLite的上网记录取证进行了实验验证,认为此技术可支撑对采用SQLite存储数据的浏览器进行上网记录深度取证.

摘要： 伪基站是指未取得电信设备进网许可和无线电发射设备型号核准,具有搜取手机用户信息,强行向不特定用户手机发送短信息等功能,使用过程中会非法占用公众移动通信频率,局部阻断公众移动通信网络信号,经公安机关依法认定的非法无线电通信设备.工业无线电通信使用专用芯片，成本较高，但是丢包率能控制在一定范围内。伪基站是基于开源的软件无线电控制平台，软件控制的CPU的运算能力，能完成大部分的无线底层功能，但上述过程很有可能随时被中断，所以丟包率不受控制，无法衡量数量。因此，科学准确地判断伪基站劫持的IMSI和发送的短信数量，进而确定受到影响的用户数量，这无疑是保证司法公平、确保证据真实有效的现实需要。

摘要： 伪基站是指未取得电信设备进网许可和无线电发射设备型号核准,具有搜取手机用户信息,强行向不特定用户手机发送短信息等功能,使用过程中会非法占用公众移动通信频率,局部阻断公众移动通信网络信号,经公安机关依法认定的非法无线电通信设备.工业无线电通信使用专用芯片，成本较高，但是丢包率能控制在一定范围内。伪基站是基于开源的软件无线电控制平台，软件控制的CPU的运算能力，能完成大部分的无线底层功能，但上述过程很有可能随时被中断，所以丟包率不受控制，无法衡量数量。因此，科学准确地判断伪基站劫持的IMSI和发送的短信数量，进而确定受到影响的用户数量，这无疑是保证司法公平、确保证据真实有效的现实需要。

摘要： 伪基站是指未取得电信设备进网许可和无线电发射设备型号核准,具有搜取手机用户信息,强行向不特定用户手机发送短信息等功能,使用过程中会非法占用公众移动通信频率,局部阻断公众移动通信网络信号,经公安机关依法认定的非法无线电通信设备.工业无线电通信使用专用芯片，成本较高，但是丢包率能控制在一定范围内。伪基站是基于开源的软件无线电控制平台，软件控制的CPU的运算能力，能完成大部分的无线底层功能，但上述过程很有可能随时被中断，所以丟包率不受控制，无法衡量数量。因此，科学准确地判断伪基站劫持的IMSI和发送的短信数量，进而确定受到影响的用户数量，这无疑是保证司法公平、确保证据真实有效的现实需要。

摘要： 伪基站是指未取得电信设备进网许可和无线电发射设备型号核准,具有搜取手机用户信息,强行向不特定用户手机发送短信息等功能,使用过程中会非法占用公众移动通信频率,局部阻断公众移动通信网络信号,经公安机关依法认定的非法无线电通信设备.工业无线电通信使用专用芯片，成本较高，但是丢包率能控制在一定范围内。伪基站是基于开源的软件无线电控制平台，软件控制的CPU的运算能力，能完成大部分的无线底层功能，但上述过程很有可能随时被中断，所以丟包率不受控制，无法衡量数量。因此，科学准确地判断伪基站劫持的IMSI和发送的短信数量，进而确定受到影响的用户数量，这无疑是保证司法公平、确保证据真实有效的现实需要。

摘要： 根据《中国移动互联网发展状况及其安全报告(2016)》,截至2015年年末,在中国境内活跃的智能手机联网终端达11.3亿部,活跃的手机网民数量达7.8亿人,超过了世界上大多数国家人口.九成以上市场份额被Android和iOS占据.然而,新型智能终端在各种违法犯罪活动中也开始扮演重要角色.智能终端即可成为犯罪活动中的联络工具,其丰富的功能也会被利用来实施违法犯罪行为.本文详细讨论iOS. Android平台智能终端的主要取证关键技术;分析了智能终端数据保护安全机制不断增强的形势下，取证分析技术所面临的挑战，并对未来技术发展方向进行了探讨。

摘要： 一种基于虚拟化技术的在线I/O电子取证系统，包括：静默虚拟化模块：用于动态地创建虚拟机监视器层，把原先计算机操作系统悄悄地上托和封装为虚拟机；内存隐藏模块：对于所述的系统安装和运行时所占用的物理内存，通过建立私有页表的方式来进行隐藏；和在线I/O电子取证模块：对硬件设备的I/O活动进行监视和拦截，以获得所需的电子证据，及其电子取证方法。本发明在不影响被取证计算机系统正常运行的情况下，安全而准确地对针对特定硬件设备的各项I/O活动进行监控和记录，且不需要重新启动或者重装原系统；在虚拟机监视器层被创建后，取代操作系统而获得对硬件设备的控制权，并且独立运行于更高的特权模式中，从而保证了取证工作的准确性和有效性。

摘要： 本发明具体涉及一种电子取证方法、取证服务器、取证智能终端及取证系统，该方法包括：将取证人的登录信息及被取证人的身份信息发送给一取证服务器；读取取证全程的图像信息，生成视频文件；读取取证全程的音频信息，生成音频文件；读取被取证人的数字签名信息和被取证人的指纹信息，并将所述被取证人数字签名和指纹信息添加到预存的证词文件中；将随机字符串添加到取证文件的特定位置处，并对添加了随机字符串的取证文件进行哈希运算，生成第一取证文件摘要；将所述第一取证文件摘要和所述取证文件发送给所述取证服务器。通过本发明的技术方案，可以实现取证过程的全程电子化录入，并能防止取证文件被篡改。

摘要： 本发明涉及痕迹提取技术领域，具体涉及一种用于弧面取证的全光谱取证仪，包括：全光谱摄像机，全光谱摄像机用于采集全光谱光线并成像；光源部，光源部包括平行光源和侧光源，平行光源用于发射与全光谱摄像机的光轴平行的特定光谱光线，侧光源用于根据使用者需求灵活调节与全光谱摄像机的夹角并发射特定光谱光线；调节部，调节部用于盛放弧面物证，并与全光谱摄像机配合连续调节弧面物证与光源部的角度，全光谱摄像机还用于对获取的弧面物证的图像进行处理获得弧面展平图。本发明针对在进行弧面物证的拍照取证时，存在反光、图像有畸变的问题。本发明还公开了一种用于弧面取证的全光谱取证方法。

摘要： 本发明公开了一种基于三层可信网页取证模型的可信网页取证系统及其取证方法，其特征是系统组成包括：证据取证服务器、证据存储服务器和证据呈现服务器；证据取证服务器负责证据的提取和固定，证据存储服务器负责证据的存储，证据呈现服务器负责验证证据的可靠性和生成证据文档。本发明能对网页信息进行取证与固定，并对获得的证据进行可靠的存储，从而生成法庭证据文档用于辅助案件侦破。

摘要： 一种基于虚拟化技术的在线I/O电子取证系统，包括：静默虚拟化模块：用于动态地创建虚拟机监视器层，把原先计算机操作系统悄悄地上托和封装为虚拟机；内存隐藏模块：对于所述的系统安装和运行时所占用的物理内存，通过建立私有页表的方式来进行隐藏；和在线I/O电子取证模块：对硬件设备的I/O活动进行监视和拦截，以获得所需的电子证据，及其电子取证方法。本发明在不影响被取证计算机系统正常运行的情况下，安全而准确地对针对特定硬件设备的各项I/O活动进行监控和记录，且不需要重新启动或者重装原系统；在虚拟机监视器层被创建后，取代操作系统而获得对硬件设备的控制权，并且独立运行于更高的特权模式中，从而保证了取证工作的准确性和有效性。

摘要： 本发明具体涉及一种电子取证方法、取证服务器、取证智能终端及取证系统，该方法包括：将取证人的登录信息及被取证人的身份信息发送给一取证服务器；读取取证全程的图像信息，生成视频文件；读取取证全程的音频信息，生成音频文件；读取被取证人的数字签名信息和被取证人的指纹信息，并将所述被取证人数字签名和指纹信息添加到预存的证词文件中；将随机字符串添加到取证文件的特定位置处，并对添加了随机字符串的取证文件进行哈希运算，生成第一取证文件摘要；将所述第一取证文件摘要和所述取证文件发送给所述取证服务器。通过本发明的技术方案，可以实现取证过程的全程电子化录入，并能防止取证文件被篡改。

摘要： 本发明公开了一种电子数据取证方法、取证系统以及取证终端，涉及信息安全技术领域，具体步骤为：获取目标计算机中的目标电子数据；将目标电子数据进行归一化处理；将归一化处理的目标电子数据实时发送至备份设备，并同时生成取证文件；将取证文件生成二维码图片数据；验证二维码图片数据；将二维码图片数据还原为取证文件；为取证文件建立索引目录；本申请过两个设备上各自生成的二维码图片数据进行验证，能够确认在备份过程中是否对取证文件造成了更改，使得验证工作更加简洁方便，提高了取证过程的速度。

摘要： 本发明涉及痕迹提取技术领域，具体涉及一种用于弧面取证的全光谱取证仪，包括：全光谱摄像机，全光谱摄像机用于采集全光谱光线并成像；光源部，光源部包括平行光源和侧光源，平行光源用于发射与全光谱摄像机的光轴平行的特定光谱光线，侧光源用于根据使用者需求灵活调节与全光谱摄像机的夹角并发射特定光谱光线；调节部，调节部用于盛放弧面物证，并与全光谱摄像机配合连续调节弧面物证与光源部的角度，全光谱摄像机还用于对获取的弧面物证的图像进行处理获得弧面展平图。本发明针对在进行弧面物证的拍照取证时，存在反光、图像有畸变的问题。本发明还公开了一种用于弧面取证的全光谱取证方法。

摘要： 本发明涉及痕迹提取技术领域，针对痕迹物证提取效果不好的问题，提出了用于痕迹物证取证的手持式取证系统及其取证方法，该取证仪包括：全光谱摄像机，全光谱摄像机用于采集全光谱光线并成像；多波段光源，多波段光源与全光谱摄像机固定连接或可拆卸连接，用于发射与全光谱摄像机的光轴平行的特定光谱光线；控制面板，控制面板包括光源控制部，光源控制部用于使用者切换多波段光源的光谱类型和光源亮度。本发明能解决现有取证仪勘查和检验效率低和效果不好的问题。本发明另一方面还公开了用于物证取证的取证方法。

摘要： 本实用新型具体涉及取证服务器、取证智能终端及取证系统，该取证智能终端包括：终端发送单元，将取证人的登录信息及被取证人的身份信息发送给一取证服务器；读取单元，读取取证全程的图像信息和音频信息；读取被取证人的数字签名信息和被取证人的指纹信息，并将所述被取证人数字签名和指纹信息添加到预存的证词文件中；第一哈希运算单元，将随机字符串添加到取证文件的特定位置处，并对添加了随机字符串的取证文件进行哈希运算，生成第一取证文件摘要；所述终端发送单元将所述第一取证文件摘要和所述取证文件发送给所述取证服务器。通过本实用新型的技术方案，可以实现取证过程的全程电子化录入，并能防止取证文件被篡改。