WEB开发网
开发学院网络安全安全技术 用事实说话 浅析网络犯罪如何取证 阅读

用事实说话 浅析网络犯罪如何取证

 2007-09-06 13:09:31 来源:WEB开发网   
核心提示: 用事实说话2006年6月,我所在城市的刑侦大队,用事实说话 浅析网络犯罪如何取证(2),来找我帮忙做一次计算机技术分析和取证,起因是当地的一个犯罪分子在劫车杀人后,在数据恢复研究领域,物理擦写是无法在还原记录的,曾经来过当地的汽车配件市场中的一个商店,买过一个零件

用事实说话

2006年6月,我所在城市的刑侦大队,来找我帮忙做一次计算机技术分析和取证。起因是当地的一个犯罪分子在劫车杀人后,曾经来过当地的汽车配件市场中的一个商店,买过一个零件,而当时卖配件的售货人员在他们使用的电脑上留有一些销售记录。我首先查看了机器上装的销售软件,该销售软件是广东开发的,操作平台是基于DOS开发的,很BT(BT在这里可以理解成“变态”),竟然还调用了ucdos。经过一些行为分析和操作检查后,发现里面有很多记录,但是很多从登记的人员信息来看都是虚假的,更奇怪的是只有近几天的销售记录,而没有以前的。就打电话给商店老板,老板说这个电脑平时都是用来做销售记录,偶尔听听音乐的,没有人懂电脑的,经过再三的确认,或许有人误操作吧。不过这也难不倒我们,用EasyRacover(EasyRacover是一种数据恢复软件)经过近3个小时的恢复,发现了不少东西。遗憾的是还没发现有价值的信息,在一些数据库文件中发现的销售日期是近来几天的。哎,看下表都已经夜里2点了,抽颗烟,继续分析,期间用了很多工具,还是一无所获。第2天早上,朋友买来早点,等着听我的好消息,我只能两手一摆,没有结果。但是我不死心,因为从我个人研究的角度考虑,肯定还是有内在原因的,商店那边肯定还是有问题。经过再三的询问,终于才知道里面有一个销售人员懂点基本的操作,晚上趁老板不在的时候,看一些自己买的色情影碟,后来机器中了病毒,他怕老板知道,就用了那种ghost版本的winxp安装盗版光盘,哎,就是这个可怕的ghost,造成了永久不能复原,让我们在第一时间损失了获得嫌疑人第一手的信息,经过后来和一些数据恢复专家的探讨,他们说这就相当于一次物理写入,在数据恢复研究领域,物理擦写是无法在还原记录的,就是目前美国也无法完成物理擦写后的数据恢复。

上一页  1 2 3 4 5  下一页

Tags:事实 说话 浅析

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接