电子数据取证技术研究进展和趋势分析

doi:10.3969/j.issn.1671-1122.2024.11.014

信息网络安全 ›› 2024, Vol. 24 ›› Issue (11): 1749-1762.doi: 10.3969/j.issn.1671-1122.2024.11.014

电子数据取证技术研究进展和趋势分析

栾润生¹^,²(), 蒋平³^,⁴, 孙银霞⁵^,⁶, 张沁芝²

1.安徽公安学院公安科学技术系，合肥 230088
2.东南大学计算机科学与工程学院，南京 211189
3.南京信息工程大学计算机学院，南京 210044
4.南京信息工程大学网络空间安全学院，南京 210044
5.南京师范大学计算机与电子信息学院，南京 210023
6.南京师范大学人工智能学院，南京 210023

收稿日期:2024-04-20 出版日期:2024-11-10 发布日期:2024-11-21
通讯作者: 栾润生 rsl229560@seu.edu.cn
作者简介:栾润生（1981—），男，安徽，副教授，硕士，主要研究方向为信息网络安全和无人机技术|蒋平（1962—），男，江苏，研究员，博士，主要研究方向为人机交互和网络安全|孙银霞（1979—），女，江苏，副教授，博士，主要研究方向为公钥密码学及其应用|张沁芝（1996—），男，江苏，博士研究生，主要研究方向为暗网站点指纹分析和隐私保护
基金资助:
江苏省重点研发计划(BE2020618)

The Research and Development of Digital Forensics Technology

LUAN Runsheng¹^,²(), JIANG Ping³^,⁴, SUN Yinxia⁵^,⁶, ZHANG Qinzhi²

1. Department of Public Security Science and Technology, Anhui Police College, Hefei 230088, China
2. School of Computer Science and Engineering, Southeast University, Nanjing 211189, China
3. School of Computer Science, Nanjing University of Information Science and Technology, Nanjing 210044, China
4. School of Cyberspace Security, Nanjing University of Information Science and Technology, Nanjing 210044, China
5. School of Computer and Electronic Information, Nanjing Normal University, Nanjing 210023, China
6. School of Artificial Intelligence, Nanjing Normal University, Nanjing 210023, China

Received:2024-04-20 Online:2024-11-10 Published:2024-11-21

摘要/Abstract

摘要：

电子数据取证作为计算机科学和法学的交叉学科，正逐渐被人们所重视。文章介绍了电子数据取证相关概念，详细阐述了取证技术的研究进展，并对取证工具的类型、功能特点以及相关的行业测试标准和规范进行了分析研究。文章还展望了电子数据取证研究的发展趋势。

关键词: 数字取证, 取证技术, 取证工具

Abstract:

As an interdisciplinary subject of computer science and law, digital forensics is now focused of research and attention. This paper introduced digital forensics and the related concepts, elaborated the research progress of forensics technology, and analyzed the types, functional characteristics and related industry test standards and specifications of forensic tools. Finally, the development trend of electronic data forensics research was prospected.

Key words: digital forensics, forensic technology, forensic tools

中图分类号:

TP309

栾润生, 蒋平, 孙银霞, 张沁芝. 电子数据取证技术研究进展和趋势分析[J]. 信息网络安全, 2024, 24(11): 1749-1762.

LUAN Runsheng, JIANG Ping, SUN Yinxia, ZHANG Qinzhi. The Research and Development of Digital Forensics Technology[J]. Netinfo Security, 2024, 24(11): 1749-1762.

图/表 12

表1

表2

图1

图2

表3

表4

表5

表6

表7

单一功能型取证工具

类别	工具名称	功能描述
识别类	CD-ROM: CD/DVD Diagnostic	CD/DVD数据恢复软件。高级版本支持视频恢复，支持CD-ROM、CD-R、CD-RW或DVD中文件结构的完整性与信息显示，对于读取不顺畅的数据，软件也可以帮助用户最大限度恢复完整的资料
	AcoDisk	CD复原工具
	DtSearch	一款强大的文本检索工具，可对桌面可访问文件进行即时搜索
保存类	FileList	一个命令行实用程序，用于生成任何给定目录的所有内容的CSV文件列表
	NTI-DOC	一种文件程序，用于记录文件的日期、时间以及属性
	Seized	一种用于对证据计算机上锁及保护的程序
收集类	GetSlack	一种周围环境数据收集工具，用于捕获未分配的数据
	GetFile	一种周围环境数据收集工具，用于捕获分散的文件
	GetFree	收集所有可访问磁盘空间的数据，并将其存入一个单独的地方，供其他工具进一步对该空间进行分析
检查类	Quick View Plus	查看数据文件的阅读器，不具有编辑和恢复功能，占用内存小，防止证据破坏。可识别200+文件类型，浏览电子邮件文档，比WordPerfect方便。Conversion Plus可在Windows下浏览Mac文件
	ThumbsPlus	是一种图片检查工具，可以对图片进行全面检查
	CRCMD5	用于比较文件的副本和原文件是否相同的软件，通过比较文件的内容并产生一个杂凑值，如果杂凑值相等，那么文件副本与原文件是相同的
	DiskSig	CRC程序，用于验证映像备份的精确性
	Filter_we	一种用于周围环境数据的智能模糊逻辑过滤器
	TextSearch Plus	用来定位文本或图形文件中的字符串的工具
分析类	ShowFL	用于分析文件输出清单程序
呈堂类	PTable	用于分析及证明磁盘驱动器分区的工具
呈堂类	Net Threat Analyzer	用于识别Internet历史活动，检查Windows交换文件，并展示浏览器最近活动证据

表7

表8

多功能型取证工具

类别	工具名称	功能描述
收集、分析类	ForensicX	主要用于数据收集和分析，支持只读模式下自动装配映像，防止数据被误改。具备字符串搜索和模糊搜索功能，含多种插件，能检查Unix系统漏洞，建立基线图和存储哈希值，用于Unix系统映像分析
	Volatility	开源的内存取证框架，用于分析导出的内存镜像，适用于多种系统
	FFmpeg	跨平台的视频和音频流方案，用于处理音视频文件
	Redline	针对内存分析的可视化工具，具有数据收集和数据分析功能
	Xplico	网络取证分析工具，用于从网络应用层数据中提取并显示各种网络应用中所包含的数据
	Llibforensics	专门用于电子数据取证的Python应用程序库，能从各种类型证据中提取信息
识别、检查、收集、分析、呈堂类	Forensics Toolkit	一套命令行工具，用于推断Windows NT文件系统中的访问行为，包括Afind、Hfind、Sfind、FileStat和NTLast等工具
	WindowsSCOPE	内存取证和逆向工程工具，主要用于分析易失性存储器，适用于多种操作系统，支持实时和离线分析，能够快速准确获取和分析内存快照。用于收集和分析系统证据
	Oxygen Forensic Suite	手机取证工具，用于提取和解析手机上的证据，包括文本消息、联系人、通话记录、照片、视频等。采用底层通讯方法和数据提取技术，支持多种手机型号和操作系统，提供强大的分析功能和可定制的输出报告
识别、检查、呈堂类	TCT（The Coroner’s Toolkit）	强大的调查工具集，包括进程收集工具grove-robber、数据恢复和浏览工具unrm&lazarus、获取MAC时间的工具mactime等
	ProDiscover Forensic	计算机网络安全工具，能定位所有数据并保护证据，具有恢复已删除文件、访问Windows NTFS备用数据流、预览并搜索硬件保护区(HPA)的进程等功能
	FreeFileSync	开源的文件夹同步软件，支持Windows、Linux和Mac OS，能同步文件夹、备份数据，并支持多种比较方式和同步方式
	TSK（The Sleuth Kit）	基于命令行的电子数据取证工具集，支持各种文件系统和平台，突出特点是协作、Web构件、注册表分析、LNK文件分析等
	CAINE	基于Linux系统开发的取证框架，包括一套集成在用户友好环境中的工具，提供友好的图形界面、经过更新优化的取证分析环境以及半自动化的报告生成器
全功能类	EnCase	用C++编写的1MB大小的程序，能创建只读的硬盘镜像。它验证CRC和MD5哈希，重组文件结构，并通过Windows GUI显示。此工具可深入分析操作系统数据，支持多种排序标准，比较文件签名以识别隐藏证据，调查结果可导出为HTML或文本格式
	ImageMagick	一款免费的多用途图像处理工具，支持多种操作系统和文件格式。它提供丰富的编辑功能，如裁剪、色彩替换、特效等，稳定且强大。在取证中，它助力图片编辑和合成，简化证据分析和呈现
	X-Ways Forensics	计算机取证软件集取证搜集、数据恢复和文件分析于一体，无需特定硬件。包含WinHex功能，增强磁盘分析和文件预览，支持协作工作流。特点包括磁盘完全访问、案例管理、RAIDs支持、FAT恢复、磁盘映像及PhotoDNA哈希

表8

表9

表10

参考文献 72

[1]	ZHAO Xiaomin, CHEN Qingzhang. Research Status and Prospects of Computer Forensics[J]. Computer Security, 2003, (10): 65-66.
	赵小敏, 陈庆章. 计算机取证的研究现状和展望[J]. 计算机安全, 2003,(10):65-66.
[2]	ZHANG Qianghua, PU Daming. On Digital Evidence[J]. Journal of Xuzhou Institute of Technology (Social Sciences Edition), 1999, 14(3): 102-104.
	张强华, 蒲大明. 试论数字证据[J]. 彭城职业大学学报, 1999, 14(3):102-104.
[3]	XU Yang. On the Concept of Evidence in Cybercrime[J]. Criminou Research, 2001(1): 20-24.
	徐杨. 论网络犯罪中证据的概念[J]. 犯罪研究, 2001(1):20-24.
[4]	GUAN Bing, RAN Yunmei. The Advantages and Disadvantages of Using Multimedia Evidence Presentation Systems in Court Trials[J]. Prosecutorial Practice, 2000(5): 47-48.
	官兵, 冉云梅. 多媒体示证系统运用于庭审的利与弊[J]. 检察实践, 2000(5):47-48.
[5]	XU Rongsheng, WU Haiyan, LIU Baoxu. Computer Forensics Introduction[J]. Computer Engineering and Applications, 2001(21): 7-8, 114.
	许榕生, 吴海燕, 刘宝旭. 计算机取证概述[J]. 计算机工程与应用, 2001(21):7-8,114.
[6]	YANG Chen. 2010 China Computer Network Security Annual Conference and FIRST Technical Seminar to be Held[J]. Netinfo Security, 2010, (8): 54.
	杨晨. 2010中国计算机网络安全年会暨FIRST技术研讨会将召开[J]. 信息网络安全, 2010,(8):54.
[7]	HU Baiyuan. A Study on the Collection Procedure of Electronic Data in Criminal Cases[D]. Beijing: People’s Public Security University of China, 2023.
	胡栢源. 刑事案件电子数据收集程序研究[D]. 北京: 中国人民公安大学, 2023.
[8]	ZHAO Changjiang. Research on Evidence Rules of Criminal Electronic Data[D]. Chongqing: Southwest University of Political Science and Law, 2014.
	赵长江. 刑事电子数据证据规则研究[D]. 重庆: 西南政法大学, 2014.
[9]	YIN Hexiao. Research on the Procedure of Electronic Data Investigation and Evidence Collection[D]. Beijing: People’s Public Security University of China, 2019.
	尹鹤晓. 电子数据侦查取证程序研究[D]. 北京: 中国人民公安大学, 2019.
[10]	JIANG Ping. Development and Application of Electronic Evidence[J]. Policing Studies, 2014(5): 41-51.
	蒋平. 电子证据的发展历程及应用思考[J]. 公安研究, 2014(5):41-51.
[11]	COSIC J, BACA M. Do We Have Full Control over Integrity in Digital Evidence Life Cycle?[C]// IEEE. Proceedings of the ITI 2010, 32nd International Conference on Information Technology Interfaces. New York: IEEE, 2010: 429-434.
[12]	LIU Xuehua, DING Liping, ZHENG Tao, et al. Analysis of Cyber Attack Traceback Techniques from the Perspective of Network Forensics[J]. Journal of Software, 2021, 32(1): 194-217.
	刘雪花, 丁丽萍, 郑涛, 等. 面向网络取证的网络攻击追踪溯源技术分析[J]. 软件学报, 2021, 32(1):194-217.
[13]	DFRWS USA 2001. Report from the First Digital Forensic Research Workshop (DFRWS)[EB/OL]. [2024-05-30]. https://dfrws.org/wp-content/uploads/2019/06/2001_USA_a_road_map_for_digital_forensic_research.pdf.
[14]	ANGLANO C. Forensic Analysis of Whats App Messenger on Android Smartphones[J]. Digital Investigation, 2014, 11(3): 201-213.
[15]	WU Songyang, ZHANG Yong, WANG Xupeng, et al. Forensic Analysis of WeChat on Android Smartphones[J]. Digital Investigation, 2017, 21: 3-10.
[16]	DO Q, MARTINI B, CHOO K K R. A Cloud-Focused Mobile Forensics Methodology[J]. IEEE Cloud Computing, 2015, 2(4): 60-65.
[17]	CAHYANI N D W, RAHMAN N H A, GLISSON W B, et al. The Role of Mobile Forensics in Terrorism Investigations Involving the Use of Cloud Storage Service and Communication Apps[J]. Mobile Networks and Applications, 2017, 22(2): 240-254.
[18]	DING Liping, LIU Xuehua, CHEN Guangxuan, et al. Overview of Digital Forensics Technologies of RAM in Android Devices[J]. Netinfo Security, 2019, 19(2): 10-17.
	丁丽萍, 刘雪花, 陈光宣, 等. Android智能手机动态内存取证技术综述[J]. 信息网络安全, 2019, 19(2):10-17.
[19]	YIN Hexiao. Research on Electronic Data Forensics Procedure[J]. Social Sciences in Guangxi, 2024(2): 94-102.
	尹鹤晓. 电子数据取证程序问题研究[J]. 广西社会科学, 2024(2):94-102.
[20]	YANG Yating. Research on Cross-Border Electronic Data Forensics in Information Network Crime[J]. Network Security Technology & Application, 2024(4): 142-145.
	杨雅婷. 信息网络犯罪中跨境电子数据取证问题研究[J]. 网络安全技术与应用, 2024(4):142-145.
[21]	XIE Dengke. The Right Protection in Digital Evidence Collection[J]. Lanzhou Academic Journal, 2020(12): 33-45.
	谢登科. 论电子数据收集中的权利保障[J]. 兰州学刊, 2020(12):33-45.
[22]	XIE Dengke. The Competent Collector of Electronic Evidence: Between Legitimacy and Technicality[J]. Global Law Review, 2018, 40(1): 83-99.
	谢登科. 电子数据的取证主体:合法性与合技术性之间[J]. 环球法律评论, 2018, 40(1):83-99.
[23]	CARRIER B, SHIELDS C. A Recursive Session Token Protocol for Use in Computer Forensics and TCP Traceback[C]// IEEE. Twenty-First Annual Joint Conference of the IEEE Computer and Communications Societies. New York: IEEE, 2002: 1540-1546.
[24]	SUN Youye, ZHANG Cui, MENG Shaoqing, et al. Modified Deterministic Packet Marking for DDoS Attack Traceback in IPv6 Network[C]// IEEE. 2011 IEEE 11th International Conference on Computer and Information Technology. New York: IEEE, 2011: 245-248.
[25]	STALLARD T, LEVITT K. Automated Analysis for Digital Forensic Science: Semantic Integrity Checking[C]// IEEE. 19th Annual Computer Security Applications Conference. New York: IEEE, 2003: 160-167.
[26]	ZHU Yiming, LIU Ying. High Camouflage Network Intrusion Behavior Identification Method Optimization Simulation[J]. Computer Simulation, 2016, 33(9): 296-300.
	祝毅鸣, 刘莹. 高伪装网络入侵行为的辨识方法优化仿真[J]. 计算机仿真, 2016, 33(9):296-300.
[27]	ZHENG Guocheng, LIU Shufen, WU Long. Application of Multi-Level Compressed Decision Tree in Computer Forensics[C]// IEEE. 2010 IEEE 2nd Symposium on Web Society. New York: IEEE, 2010: 323-330.
[28]	LIU Qin, WANG Yongquan. Improved ID3 Algorithm Using Ontology in Computer Forensics[C]// IEEE. 2010 International Conference on Computer Application and System Modeling (ICCASM 2010). New York: IEEE, 2010: V11-494-V11-497.
[29]	TAN Yuesheng, QI Zhansheng, WANG Jingyu. Applications of ID3 Algorithms in Computer Crime Forensics[C]// IEEE. 2011 International Conference on Multimedia Technology. New York: IEEE, 2011: 4854-4857.
[30]	ARASTEH A R, DEBBABI M, SAKHA A, et al. Analyzing Multiple Logs for Forensic Evidence[J]. Digital Investigation, 2007, 4: 82-91.
[31]	PAL A, SENCAR H T, MEMON N. Detecting File Fragmentation Point Using Sequential Hypothesis Testing[J]. Digital Investigation, 2008, 5: S2-S13.
[32]	MOHAMMAD R M. A Neural Network Based Digital Forensics Classification[C]// IEEE. 2018 IEEE/ACS 15th International Conference on Computer Systems and Applications (AICCSA). New York: IEEE, 2018: 1-7.
[33]	LIAO Zhigang. Research and Implementation of Electronic Evidence Chain of Supervision[D]. Beijing: Beijing University of Technology, 2018.
	廖志钢. 电子证据监管链的研究与实现[D]. 北京: 北京工业大学, 2018.
[34]	MI Jia, LU Rui. Design of Dynamic Electronic Evidence Collection Platform with Credible Timestamp[J]. Journal of Chinese People’s Public Security University (Science and Technology), 2011, 17(4): 24-28.
	米佳, 卢睿. 可信时间戳动态电子物证取证平台的设计[J]. 中国人民公安大学学报(自然科学版), 2011, 17(4):24-28.
[35]	COREY V, PETERMAN C, SHEARIN S, et al. Network Forensics Analysis[J]. IEEE Internet Computing, 2002, 6(6): 60-66.
[36]	AHMAD A. The Forensic Chain-of-Evidence Model: Improving the Process of Evidence Collection in Incident Handling Procedures[EB/OL]. [2024-05-30]. https://www.researchgate.net/publication/249923411_The_Forensic_Chain-of-Evidence_Model_Improving_the_Process_of_Evidence_Collection_in_Incident_Handling_Procedures.
[37]	AL A S, BAGGILI I, MARRINGTON A, et al. CAT Record (Computer Activity Timeline Record): A Unified Agent Based Approach for Real Time Computer Forensic Evidence Collection[C]// IEEE. 2013 8th International Workshop on Systematic Approaches to Digital Forensics Engineering (SADFE). New York: IEEE, 2013: 1-8.
[38]	PEDAPUDI S M, VADLAMANI N. Data Acquisition Based Seizure Record Framework for Digital Forensics Investigations[C]// IEEE. 2021 5th International Conference on Electronics, Communication and Aerospace Technology (ICECA). New York: IEEE, 2021: 1766-1768.
[39]	LUO Weiqi, HUANG Jiwu, QIU Guoping. JPEG Error Analysis and Its Applications to Digital Image Forensics[J]. IEEE Transactions on Information Forensics and Security, 2010, 5(3): 480-491.
[40]	EL-ALFY E S M. Detecting Pixel-Value Differencing Steganography Using Levenberg-Marquardt Neural Network[C]// IEEE. 2013 IEEE Symposium on Computational Intelligence and Data Mining (CIDM). New York: IEEE, 2013: 160-165.
[41]	YUDIN O, SYMONYCHENKO Y, SYMONYCHENKO A. The Method of Detection of Hidden Information in a Digital Image Using Steganographic Methods of Analysis[C]// IEEE. 2019 IEEE International Conference on Advanced Trends in Information Theory (ATIT). New York: IEEE, 2019: 262-266.
[42]	FARID H. Detecting Steganographic Messages in Digital Images[EB/OL]. [2024-05-30]. http://www.cs.dartmouth.edu/-farid/publications/tr01.pdf.
[43]	HOSMER C. Time-Lining Computer Evidence[C]//IEEE. 1998 IEEE Information Technology Conference, Information Environment for the Future (Cat. No. 98EX228). New York: IEEE, 1998: 109-112.
[44]	WEIL M C. Dynamic Time & Date Stamp Analysis[EB/OL]. [2024-05-30]. https://www.semanticscholar.org/paper/Dynamic-Time-%26-Date-Stamp-Analysis-Weil/77c5edbba3710d9e614012f2615ab6926e5219d0.
[45]	CASEY E. Determining Intent—Opportunistic vs Targeted Attacks[J]. Computer Fraud & Security, 2003, 2003(4): 8-11.
[46]	CASEY E. Practical Approaches to Recovering Encrypted Digital Evidence[EB/OL]. [2024-05-30]. https://www.semanticscholar.org/paper/Practical-Approaches-to-Recovering-Encrypted-Casey/1c1e1b321d148c8f00a6747bec87aee9a23d95bb.
[47]	CHANG Xu. Research on Data Recovery of FAT32 File System in Network Forensics[J]. Science & Technology Information, 2013(22): 43-44.
	常旭. FAT32文件系统数据恢复在网络取证中的研究[J]. 科技信息, 2013(22):43-44.
[48]	WANG Zhongshan. Design and Research of Anti-Forensics Encryption Based on NTFS File System[J]. Network Security Technology & Application, 2022(8): 133-135.
	王中杉. 基于NTFS文件系统的反取证加密设计与研究[J]. 网络安全技术与应用, 2022(8):133-135.
[49]	SCHOFIELD D. Animating Evidence: Computer Game Technology in the Courtroom[J]. Journal of Information, Law and Technology, 2009, 1: 1-21.
[50]	TIPPING R T, FARRELL V, WOODWARD C J, et al. An Analysis of Courtroom Evidence Presentation Technology Requirements and Current Solutions[C]// ACM. Proceedings of the 24th Australian Computer-Human Interaction Conference. New York: ACM, 2012: 599-606.
[51]	SHEPPARD K, FIELDHOUSE S J, CASSELLA J P. Experiences of Evidence Presentation in Court: An Insight into the Practice of Crime Scene Examiners in England, Wales and Australia[J]. Egyptian Journal of Forensic Sciences, 2020, 10(1): 1-12.
[52]	REITH M, CARR C, GUNSCH G. An Examination of Digital Forensic Models[J]. International Journal of Digital Evidence, 2002, 1(3): 1-12.
[53]	POLLITT M M. An Ad Hoc Review of Digital Forensic Models[C]// IEEE. Second International Workshop on Systematic Approaches to Digital Forensic Engineering (SADFE’07). New York: IEEE, 2007: 43-54.
[54]	WILLASSEN S. Forensics and the GSM Mobile Telephone System[J]. International Journal of Digital Evidence, 2003, 2(1): 1-17.
[55]	GUTMANN P. Secure Deletion of Data from Magnetic and Solid-State Memory[EB/OL]. [2024-05-30]. https://www.cs.auckland.ac.nz/-pgut001/pubs/secure_del.html.
[56]	ADELSTEIN F. MFP: The Mobile Forensic Platform[EB/OL]. [2024-05-30]. https://frank.notfrank.com/Papers/dfrws02.pdf.
[57]	MOHITE M P, DESHMUKH J Y, GULVE P R. Qualitative and Quantitative Analysis of Cloud Based Digital Forensic Tool[C]// IEEE. 2016 10th International Conference on Intelligent Systems and Control (ISCO). New York: IEEE, 2016: 1-5.
[58]	FU Changhong, WU Shunxiang. Research and Design of the Computer Forensic Tool for the P2P Downloading Software[C]// IEEE. 2009 Second International Symposium on Knowledge Acquisition and Modeling. New York: IEEE, 2009: 41-44.
[59]	AL M N, BRYCE J, FRANQUEIRA V N L, et al. Behavioural Digital Forensics Model: Embedding Behavioural Evidence Analysis into the Investigation of Digital Crimes[J]. Digital Investigation, 2019, 28: 70-82.
[60]	LYLE J. Testing Disk Imaging Tools[EB/OL]. [2024-05-30]. https://dfrws.org/presentation/testing-disk-imaging-tools/.
[61]	LYLE J. A Strategy for Testing Hardware Write Block Devices[J]. Digital Investigation, 2006, 3: 3-9.
[62]	LYLE J. If Error Rate Is such a Simple Concept, Why Don’t I Have One for My Forensic Tool Yet?[J]. Digital Investigation, 2010, 7: S135-S139.
[63]	DFRWS USA. Forensic String Search Tool Quirks[EB/OL]. [2024-05-30]. https://dfrws.org/wp-content/uploads/2019/06/2019_USA_pres-forensic_string_search_tool_quirks.pdf.
[64]	CASEY E. Digital Evidence and Computer Crime: Forensic Science, Computers, and the Internet[M]. Amsterdam: Academic Press, 2011.
[65]	NELSON B, PHILLIPS A, STEUART C. Guide to Computer Forensics and Investigations[M]. Boston: Cengage Learning, 2014.
[66]	CASEY E. Handbook of Digital Forensics and Investigation[M]. Amsterdam: Academic Press, 2009.
[67]	NEWMAN R C. Computer Forensics: Evidence Collection and Management[M]. Boca Raton: Auerbach Publications, 2007.
[68]	NAYERIFARD T, AMINTOOSI H, BAFGHI A G, et al. Machine Learning in Digital Forensics: A Systematic Literature Review. [EB/OL]. (2023-06-08)[2024-05-30]. https://arxiv.org/abs/2306.04965.
[69]	WU Zhaomei, CAO Yanqiong, YANG Haiqiang. The Influence of Artificial Intelligence Technology on Forensics and Its Application Value[J]. Journal of East China University of Science and Technology (Social Science Edition), 2019, 34(3): 93-99.
	吴照美, 曹艳琼, 杨海强. 人工智能技术对取证的影响及应用价值[J]. 华东理工大学学报(社会科学版), 2019, 34(3): 93-99.
[70]	DENG Jie. Analysis of Data Analysis Concepts in the Era of Big Data[J]. Digital Design, 2019, 8(17): 1.
	邓节. 大数据时代下数据分析理念的辨析[J]. 数码设计, 2019, 8(17):1.
[71]	YANG Qiang, LIU Yang, CHEN Tianjian, et al. Federated Machine Learning[J]. ACM Transactions on Intelligent Systems and Technology, 2019, 10(2): 1-19.
[72]	ZHANG Ping, HE Yijun. Research on Anti-Fraud Forensics of Electronic Cheque System[J]. Computer Era, 2021(8): 32-36, 41.
	张萍, 何毅俊. 电子支票系统的反欺诈取证研究[J]. 计算机时代, 2021(8):32-36,41.

序号	技术名称	提出人	提出时间	特点
1	套接令牌协议	CARRIER^[23] 等人	2002年	身份的追踪溯源
2	套接令牌拓展	SUN^[24]等人	2011年	简化复杂度
3	决策树专家系统	STALLARD^[25] 等人	2003年	自主发现和快速定位
4	支持向量机增量学习	祝毅鸣^[26] 等人	2016年	伪装入侵行为的识别
5	多层次压缩决策树	ZHENG^[27] 等人	2010年	数据包的并行处理
6	ID3算法改进	LIU^[28]等人	2010年	提高分类速度和减少空间消耗
7	ID3算法改进	TAN^[29]等人	2011年	提速分类，降低空间占用
8	志文件分析方法	ARASTEH^[30] 等人	2007年	形式语言表达的事件模式搜索
9	未分配的磁盘空间恢复方法	PAL^[31]等人	2008年	顺序假设检验识别文件碎片点
10	基于神经网络取证分类方法	MOHAMMAD^[32]	2018年	神经网络进行取证分类

技术角度	常规方法	打印
		拷贝
		拍照、摄影、扫描
		制作司法文书
	技术方法	数字签名
	技术方法	镜像复制
实施主体	侦查机关	证据监督链保全
	法院	诉前保全
	法院	诉讼保全
	公证部门	传统公证保全
	公证部门	网络公证保全

序号	技术名称	提出人	提出时间	特点
1	NFAT	COREY^[35] 等人	2002年	过滤器减少无关流量
2	证据链模型	AHMAD^[36]	2002年	证据源与日志记录的关联，形成完整证据链
3	CAT Record	AL^[37]等人	2013年	基于代理框架的实时取证
4	扣押记录框架	PEDAPUDI^[38]等人	2021年	多种数字源获取、分析和处理的攻击源检测

序号	技术名称	提出人	提出时间	特点
1	JPEG误差分析	LUO^[39]等人	2010年	JPEG压缩误差的图像取证方案
2	神经网络识别模型	EL-ALFY^[40]	2013年	嵌入信息自动检测分类图像与NN训练
3	隐写分析方法	YUDIN^[41]等人	2019年	隐藏文本信息检测
4	多维分解统计模型	FARID^[42]	2024年	高阶统计模型检测数字图像中的信息

序号	技术名称	提出人	提出时间	特点
1	证据的时间链分析	HOSMER^[43]	1998年	完整的事件时序图构建
2	动态时间戳分析	WEIL^[44]	2002年	系统实际日期和时间鉴定
3	网络通信内容的分层解析	COREY^[35]等人	2002年	关联不同协议层数据关联
4	相关特征的分析推断	CASEY^[45]	2002年	入侵者技术能力、目标意图刻画
5	加密证据的分析技术	CASEY^[46]	2003年	加密文件和通讯复原
6	数据恢复算法	常旭^[47]	2013年	FAT32文件系统数据恢复
7	反取证技术	王中杉^[48]	2022年	NTFS文件系统反取证有序加密算法

电子数据取证技术研究进展和趋势分析

The Research and Development of Digital Forensics Technology

RichHTML

PDF (PC)

可视化

摘要/Abstract

引用本文

使用本文

图/表 12

参考文献 72

相关文章 12

编辑推荐

Metrics

本文评价

序号	技术名称	提出人	提出时间	特点
1	数字媒体证据的可视化呈堂	SCHOFIELD^[49]	2009年	呈堂技术的例证分析
2	基于平板电脑技术的证据呈堂	TIPPING^[50]等人	2012年	证据呈堂设计原则
3	基于现场的呈堂证据二次审查	SHEPPARD^[51]等人	2020年	先进的呈堂技术与分享

序号	工具名称	功能描述
1	EnCase	支持多种系统文件类型的取证软件，用于Windows、Macintosh、Linux、Unix等系统的硬盘调查。具备数据预览、分析、挖掘和报告生成等功能，可以深入操作系统底层查看所有数据。新版本EnCase v7支持EXT4和HFSX文件系统、Office2010文件等的分析能力
2	TCT (The Coroner’s Toolkit)	设计用于协助Unix主机取证的工具包，提供强大的调查能力，旨在帮助取证人员在Unix系统上进行调查
3	NTI	根据用户特殊要求提供事件响应、证物保护等软件配套产品
4	ForensicX	在Linux环境中运行，提供自动装配映像能力，可分析分散空间中的数据，并检查Unix系统是否存在木马程序
5	Forensic Toolkit (FTK)	一系列基于命令行的工具，可推断Windows NT文件系统中的访问行为。提供了一套完整的工具集，用于分析和推断Windows NT系统中的文件访问模式
6	X-Ways Forensics	无需在Windows系统上额外安装，能够恢复已删除的文件，搜索其他软件无法搜索到的结果。支持多种文件系统格式，并内置强大的文件查看器和过滤器
7	Xplico	网络取证分析工具，能重建Wireshark、ettercap等包嗅探器捕获的网络流量内容，提取应用数据并还原网络发送场景。专门用于网络层面的取证活动，能够解析和重建网络流量数据

姓名	时间	会议	演说主题	主要内容
詹姆斯·莱尔（James R.Lyle）	2002年8月	数字取证研究会议（Digital Forensics Research Workshop，DFRWS）	《测试磁盘镜像》^[60]	指出了测试方法、磁盘镜像规范的创建、测试实施和未来的工作
	2006年		《一种测试硬件写入块设备的策略》^[61]	该项目由NIST管理，NIJ和FBI主要资助，DoD和HC提供设备支持和技术输入，编写了区块策略、创建了规范标准、开发了测试框架
	2010年		《如果错误率是一个如此简单的概念，为什么我还没有一个用于我的取证工具》^[62]	关于在评估计算机取证工具和方法时，如何正确地理解和定义错误率。强调通用的错误率可能没有意义，重要的是要考虑错误的来源（即算法设计或实现问题）。对于特定的工具功能，应该定义针对可能发生的特定类型错误的误差率，而且一个工具功能可能有几个相关联的错误率
	2019年7月		《取证字符串搜索工具的怪癖》^[63]	通过获取NIST/CFTT数据集，选择各种字符串搜索功能进行测试。目前，CFTT方法可用于磁盘映像、写入阻塞、文件恢复、字符串搜索等内容测试

[1]	曹太训. 基于电子数据取证智能化分析技术的网络犯罪侧写[J]. 信息网络安全, 2019, 19(9): 31-35.
[2]	田庆宜, 郭弘. 毁损移动智能终端取证技术分级模型研究[J]. 信息网络安全, 2017, 17(2): 29-34.
[3]	李亚萌, 何泾沙. 基于Hash的YAFFS2文件各版本恢复算法研究[J]. 信息网络安全, 2016, 16(5): 51-57.
[4]	王昱镔, 吴薇, 程楠. 反网络恐怖主义策略研究[J]. 信息网络安全, 2015, 15(9): 175-179.
[5]	王璐. 计算机取证实验室建设的研究与探讨[J]. , 2013, 13(7): 0-0.
[6]	何月;赵宪伟;徐大伟. 基于云计算数字取证的CGRS资源选择算法研究[J]. , 2013, 13(11): 0-0.
[7]	孔祥瑞;叶骏;向大为;麦永浩. 青少年网络行为监测软件的研发[J]. , 2013, 13(1): 0-0.
[8]	王国强. 信息时代数字取证面临的挑战及相关对策[J]. , 2011, 11(9): 0-0.
[9]	李炳龙;茹蓓;王鲁. 基于统计学的文件闲散区隐藏数据取证分析方法研究[J]. , 2011, 11(6): 0-0.
[10]	孙国梓;徐雯丽;朱小龙. 电子商务中的数字取证技术研究[J]. , 2011, 11(4): 0-0.
[11]	李炳龙;王鲁;陈性元. 数字取证技术及其发展趋势[J]. , 2011, 11(1): 0-0.
[12]	张彩丽;杜彦辉. 网络赌博犯罪案件解析[J]. , 2010, (6): 0-0.