计算机犯罪取证：从删除数据中寻找线索

"这是一份关于计算机犯罪取证的课件，源自中国人民大学系统与信息安全研究实验室，基于英文教材《Forensic Discovery》。课程由石文昌博士/教授/博导主讲，涵盖了计算机取证的基本概念、原则和方法。" 在计算机犯罪取证领域，核心在于通过系统与信息的特性识别异常活动，理解数据的易变性和不确定性，以及通过抽象层次洞察事物的本质。课程首先强调了识别不寻常活动的重要性，这通常涉及到对系统行为的深入理解和分析，以便在早期发现可能的犯罪迹象。 "Order of Volatility and Uncertainty of Information"指出信息的不稳定性和不确定性是取证过程中的一大挑战。随着时间和操作，系统中的数据可能会迅速变化或丢失，因此取证专家必须尽快行动，以捕获最原始的证据。 接着，课程提到了通过抽象层理解幻象的意义。在复杂的计算机系统中，往往需要透过多层抽象来理解事件的真实情况，这可能包括操作系统、网络通信、应用程序等多个层面的分析。 "Making a Conclusion with Different Sources"是指取证过程中的证据整合。通过收集来自不同来源的数据，如日志文件、硬盘残留信息、网络流量记录等，可以拼凑出事件的全貌。这部分特别提到了从已删除信息中寻找线索，即使文件被"rm"命令删除，其数据仍然可能存在于磁盘的某些部分，可以通过专业工具和技术进行恢复。 此外，课程还强调关注用户的直接和间接活动。直接活动直接反映用户的行为，如登录、文件操作等；间接活动可能更为隐蔽，如系统配置更改、异常网络连接等。这些都能为调查提供关键信息。 "Forensic Computing"定义为尽可能不受扭曲或偏见地收集和分析数据，以重建过去系统上的数据或事件。这是一种事后分析，旨在揭示已经发生但无法直接观察的事实。 最后，课程以一个具体的案例说明了取证的实际应用：有人侵入受害者的Solaris计算机系统并删除了大量的文件。受害者可能仅关心找回文件，而调查者则更希望查明事情的真相。这个例子突出了计算机取证在解决实际问题中的重要性。 这份课件详细介绍了计算机犯罪取证的各个方面，对于理解如何在数字世界中追踪和证明犯罪行为具有极高的教育价值。它不仅涵盖了理论基础，也提供了实践中的案例分析，是学习和研究这一领域的宝贵资源。