计算机犯罪现场的认定

常规计算机犯罪现场认定方法着重依赖于计算机技术自身特点,通常以计算机及其相关设备为中心开展工作,而相对忽视了传统案件侦查手段在计算机犯罪侦查中的应用。针对这种情况,本文从线索来源、犯罪类别与涉案人调查三个传统角度出发,通过常规侦查措施与计算机技术相结合的方式讨论计算机犯罪现场的认定方法,并对侦查人员所应具备素质与认定过程中的注意事项予以说明,希望借以拓宽侦查思路,对今后计算机犯罪侦查工作起到有益的帮助。

利用Ext2文件系统的硬盘布局信息收集电子证据

Linux环境下的主流文件系统Ext2,其硬盘布局方式与FAT32、NTFS等文件系统相比存在明显的差异。本文通过对Ext2硬盘布局中特有的超级块、块组以及索引节点等概念的介绍,结合实例说明Ext2文件系统下收集电子证据的方法,同时也将对电子证据收集的基本步骤与注意事项予以探讨。本文描述的方法所使用命令均为系统命令,因此具有较强的可操作性,所收集结果直观明了,同时也适用于Ext2文件系统的升级版本Ext3。

关于HFS+文件系统数据恢复的研究

本文首先介绍HFS+磁盘的文件系统结构,然后介绍了HFS+文件系统存储和删除数据时的工作流程;在此基础上针对HFS+文件系统存储文件时的特点,对在其环境下恢复文件的可能性进行了探讨,通过对进入废纸篓文件的恢复、完全删除的文件的恢复以及对磁盘的关键字搜索和虚拟内存的搜索这三方面初步证明了在HFS+的系统中对文件进行数据恢复是可行的。

基于投票一致性的众包质量评估策略

提出一种基于投票一致性的工作者严谨度动态评估策略,将众包任务集合划分为多个任务子集,每个任务子集看作一个工作阶段.在任意工作阶段结束后,通过记录工作者投票的数量,以及工作者与工作组投票值一致的投票数量,对工作者的严谨度进行评估,从而检测出不合格的工作者.然后对不合格的工作者进行动态替换,从而保证工作组的正确率满足任务的精度阈值.通过对三种真实数据集进行实验测试,证明本文提出的工作者质量动态评估方法和替换策略具有较好的效果.

P2P僵尸网络的快速检测技术

以僵尸网络为平台的攻击发展迅速,其控制协议与结构不断演变,基于P2P协议的分布式结构僵尸网络得到快速发展.现有的P2P僵尸网络检测技术大都通过分析历史网络流量信息来进行离线检测,很难保证检测结果的准确性,也较难满足实时性需求.针对这种情况,提出P2P僵尸网络快速检测技术,首先采用一种改进的增量式分类技术,在线分离出满足P2P协议的网络流量;然后利用P2P僵尸主机的通信模式具有行为相似性和周期性的特点,通过动态聚类技术和布尔自相关技术,快速检测出可疑僵尸主机.实验结果表明该技术能够高效实现P2P僵尸网络的快速检测.

基于主机行为异常的P2P僵尸网络在线检测方法

僵尸网络已经成为当前最为严重的网络威胁之一,其中P2P僵尸网络得到迅速发展,其自身的通信特征给检测带来巨大的挑战.针对P2P僵尸网络检测技术的研究已经引起研究人员的广泛关注.提出一种P2P僵尸网络在线检测方法,首先采用信息熵技术发现网络流量中的异常点,然后通过分析P2P僵尸网络中主机的行为异常,利用统计学中的假设检验技术,从正常的网络流量数据中识别出可疑P2P僵尸主机,同时根据僵尸主机通信模式的相似性进行最终确认.实验结果表明该方法能够有效实现P2P僵尸网络的在线检测.

基于逆向技术的恶意程序分析方法

逆向分析是恶意程序分析的常用方法之一,在揭示恶意程序意图及行为方面发挥着其他方法无法比拟的作用。着重从启动函数、函数参数传递、数据结构、控制语句、Windows API等方面归纳总结恶意程序反汇编代码一般规律,并结合一起利用恶意程序窃取QQ账号与密码的真实案例说明快速准确定位关键信息的具体方法。

提高数据结构课程教学效果的探讨

通过在数据结构教学过程中,如何运用好的教学方法与教学手段提高数据结构教学效果进行了探讨。从让学生明确教学目的,激发学生学习这门课的兴趣,课堂上三循环教学法和多种教学手段的使用以及加强实验教学环节等几个角度进行了阐述。

基于RSA数字信封技术的Android数据安全机制

文章分析了当前手机领域面临的安全问题和Android系统在安全性方面的不足,根据现有的数字认证技术和RSA算法,提出了一种基于RSA数字信封技术的Android系统数据安全机制。该方案实现了对Android系统的安全认证和数据加密,有效提高了Android系统的数据安全性。

基于Recent文件夹下的快捷方式文件解析用户行为方法研究

作为计算机犯罪侦查中重要的证据与线索来源,用户行为信息在揭示犯罪分子操作细节方面发挥着重要作用。文章在阐述快捷方式文件结构格式的基础上,重点分析Recent文件夹下快捷方式文件随用户行为的变化情况,并结合实例说明基于该文件夹下快捷方式文件解析用户行为的具体步骤与方法。电子数据取证实践证明,所述方法准确高效。

逆向分析在电子数据取证中的应用——以“QQ密码大划拉”为例

逆向分析是恶意程序取证的常用方法之一,在揭示恶意程序意图及行为方面发挥着其他方法无法比拟的作用。在对逆向分析基本概念、方法、工具进行介绍的基础上,结合中国大陆地区一起利用恶意程序窃取QQ账号与密码的真实案例,从查壳、脱壳、断点设置、程序跟踪、关键信息获取等方面详细描述了针对恶意程序进行逆向分析的全过程。

基于Volatility的内存信息调查方法研究

随着反取证技术的发展,调查人员越来越难于在磁盘介质中寻找到有价值的证据或线索。针对内存信息的调查分析研究由此成为计算机法庭科学领域日益关注的焦点。通过以内存调查取证开源软件Volatility为背景,从进程及DLL、内存及VAD、驱动程序及内核对象、网络连接与注册表等多个角度描述内存信息的调查方法,并结合实例说明所述方法在实际工作中的具体应用。

校企共建ERP实验中心的思考

高等教育是为社会输送高级专门人才的摇篮,市场需求就是教育培养方向的航标。目前加快ERP人才的培养已成为热点问题。校企结合,产学合作培养ERP人才,是开创新的模式与满足市场需求的有效途经。

信息收集型木马电子数据取证方法探讨

信息收集型木马被植入目标系统并运行后,能够记录或收集目标系统中的各类重要信息,如账户名称、账户密码、系统操作与键盘按键信息等,并将所得数据信息通过定时发送邮件或者主动访问特定网页的方式发送给嫌疑人,使其获得非法利益。信息搜索型木马在对网络安全造成破坏的同时,也成了诸多不法分子的犯罪工具,它不仅造成了网络用户巨大的经济损失,而且对社会治安也造成了不良影响。

浅谈IPV6与IPV4

目前的互联网采用的是TCP/IP协议,核心协议之一就是IP地址编码协议。IPv4指IP协议的版本号是4,发展至今已经使用了30多年。IPv6是下一版本的互联网协议,也可以说是下一代互联网的协议。

Microsoft复合文档结构电子数据取证分析

针对特定类型文件结构进行分析,进而发现隐藏其中的证据与线索是电子数据取证采用的重要方法之一。作为Windows操作系统中最重要的文件类型,Microsoft复合文档拥有独特而复杂的文件格式。文章在详细描述Microsoft复合文档头文件及目录入口基本结构的基础上,着重针对与电子数据取证密切相关的项目予以分析,并通过实例说明利用该类型文档结构进行电子数据取证的具体流程与方法。

浅析电子邮件的安全问题与防范对策

随着网络的发展,电子邮件已经成为重要的通信手段之一。电子邮件在给人们带来便利的同时,也存在一些安全隐患。给出了电子邮件的安全问题并提出有针对性地防范措施。

Windows环境下可执行文件操作痕迹分析方法

电子数据取证（特别是针对恶意程序进行调查）实践中,可执行文件操作信息在揭示犯罪分子行为细节方面发挥着重要作用。通常,可执行文件操作痕迹涵盖可执行文件名称、功能、位置、运行次数、运行时问、操作用户等多种信息。依靠Windows操作系统自带的系统命令或工具无法深入完整的挖掘出上述信息，因此针对此类痕迹分析方法的研究具有非常积极而重要的意义。