计算机取证
杭州电子科技大学
主讲教师:王小军
课程针对计算机取证各主要领域所涉及的计算机取证基本原理与相关技术进行较为全面的介绍。主要包括计算机取证相关的基本概念、计算机取证的法学问题的基本介绍,讨论Windows 和Unix/Linux系统的计算机取证和司法鉴定,探讨网络取证与司法鉴定、木马取证与司法鉴定以及手机取证与司法鉴定等相关内容。
…
《计算机取证》课程教学大纲
课程英文名 | Computer Forensics | ||||
课程代码 | B2701350 | 课程类别 | 专业课 | 课程性质 | 专业选修 |
学 分 | 2.0 | 总学时数 | 32 | ||
开课学院 | 网络空间安全学院 | 开课基层教学组织 | 信息安全 | ||
面向专业 | 信息安全 | 开课学期 | 6 | ||
注:课程类别是指学科基础课/专业课;课程性质是指必修/选修。
一、课程目标
《计算机取证》课程是本学院相关专业学生学习计算机基础知识的专业课程,针对计算机取证各主要领域所涉及的计算机取证基本原理与相关技术进行较为全面的介绍。主要包括计算机取证相关的基本概念、计算机取证的法学问题的基本介绍,讨论Windows 和Unix/Linux系统的计算机取证和司法鉴定,探讨网络取证与司法鉴定、木马取证与司法鉴定以及手机取证与司法鉴定等相关内容。
通过本课程各项教学活动的实施,并开展相关课程实验,达到本课程的课程目标:
课程目标⑴:让学生了解计算机取证的基本原理和相关技术;掌握Windows/Unix/Linux操作系统中,计算机取证的相关知识要点;掌握网络取证的知识架构;掌握木马取证与手机取证的相关知识。
课程目标⑵:课程将上机练习多种经典取证算法及用计算机语言(MATLAB及C语言)实现算例,如手机取证算法、数据恢复算法等、逐步培养学生对算法及数据的相关基本理论与设计方法的理解能力。
课程目标⑶:课程将讲授计算机取证的热点问题及当前发展趋势,介绍了解计算机取证与司法鉴定经典案例,能让学生了解计算机取证的重要性,理解技术背景及需求背景对热点问题的解决。
课程目标⑷:大纲所要求教学内容中有10%左右的内容需要学生自学,同时包括MATLAB语言的学习、上机调用、系统安装。学生必须自行查阅文献资料解决安装过程中出现的问题,自主学习计算机取证算法的原理、系统调用的应用等,培养了学生的自主学习能力。
二、课程目标与毕业要求对应关系
《计算机取证》支撑毕业要求⑴的指标点1-2、毕业要求(2)的指标点2-3、毕业要求⑶的指标点3-2、毕业要求⑷的指标点4-3和毕业要求⑸的指标点5-1,课程目标与相关毕业要求及其指标点的对应关系如表1所示。
表1 课程目标与毕业要求对应关系
毕业要求 | 指标点 | 课程目标 |
⑴工程知识:能够将数学、信息科学以及信息安全专业知识和能力综合用于解决较为复杂的信息安全问题。 | 1-2:能够运用相关的密码、计算机、通信类专业基础和工程知识分析信息安全工程中出现的技术、工具、质量等问题。 | (1)(2) |
(2)问题分析:能够应用数学、信息科学以及信息安全基本原理以及文献研究手段,识别、表达、分析较为复杂的信息安全问题,以获得有效结论。 | 2-3:能够正确表述一个工程问题解决方案并分析其合理性。 | (1)(2) |
⑶设计/开发解决方案:能够在法律法规规定的范畴内,设计针对较为复杂信息安全问题的解决方案,并体现一定的创新意识。 | 3-2:能够根据目标选取适当的开发工具与基础理论并确定研发方案。 | (2)(3) |
⑷研究:能够利用科学原理、科学方法,特别是逆向思维方法,对信息安全问题进行研究,包括设计实验、分析与解释数据、预测和模拟,并通过信息综合得到合理有效的结论。 | 4-3:能够选用或搭建实验平台,开展实验并正确采集数据。 | (3)(4) |
⑸使用现代工具:能够针对信息安全问题,开发、选择与使用恰当的技术、资源和工具,并了解其局限性。 | 5-1:能够选择、使用或开发恰当的技术、资源和工具。 | (4) |
三、课程目标与教学内容和方法的对应关系
《计算机取证》课程目标与教学内容、教学方法的对应关系如表2所示。
表2 课程目标与教学内容、教学方法的对应关系
教学内容 | 教学方法 | 课程目标 | |||
⑴ | ⑵ | ⑶ | ⑷ | ||
1.计算机取证理论基础 | 讲授、提问 | ● | |||
2.Windows/Unix/Linux系统的计算机取证 | 讲授、提问 | ● | ● | ||
3.网络取证与木马取证 | 讲授、提问 | ● | ● | ||
4.手机取证 | 讲授、提问 | ● | ● | ||
5.计算机取证与司法鉴定实例分析 | 讲授、提问 | ● | ● | ||
该课程详细教学内容和方法如下所述。
1.计算机取证理论基础
⑴主要内容
l 计算机取证与分析鉴定的相关概念;
l 计算机取证与分析鉴定内容;
l 计算机取证与分析鉴定技术过程;
l 计算机取证模型、过程及策略;
存储介质基础;
分区和文件系统;
数据的存储、销毁与恢复;
数据加密及信息隐藏;
入侵与追踪。
⑵教学方法与要求
通过讲授、提问等教学方法,使学生能了解计算机取证这门课程具体的研究内容等基本概念,并独立完成相关的实验。
⑶重点难点
l 重点:计算机取证与分析鉴定的相关概念;计算机取证模型、过程及策略。
l 难点:数据加密及信息隐藏
2.Windows/Unix/Linux系统的计算机取证
⑴主要内容
l Windows/Unix/Linux系统现场证据获取;
l 电子证据的获取、分析;
l 电子证据处理工具;
⑵教学方法与要求
通过讲授、提问等教学方法,使学生能够掌握计算机取证在不同操作系统中的原理。
⑶重点难点
l 重点:电子证据的获取、分析;
l 难点:电子证据处理工具。
3.网络取证与木马取证
⑴主要内容
l 网络环境下的网络证据获取;
l 网络环境下的计算机取证处理工具概述;
l 证据获取/工具使用实例;
l 木马的基本结构和原理;
l 木马取证典型案例分析。
⑵教学方法与要求
通过讲授、提问等教学方法,使学生能够掌握计算机网络和木马取证的相关原理。
⑶重点难点
l 重点:网络环境下的网络证据获取;
l 难点:证据获取/工具使用实例。
4.手机取证
⑴主要内容
l 手机取证概述;
l 手机取证的基础知识;
l 手机取证工具。
⑵教学方法与要求
通过讲授、提问等教学方法,使学生手机取证基本原理。
⑶重点难点
l 重点:手机取证的基础知识;
l 难点:手机取证工具。
5.计算机取证与司法鉴定实例分析
⑴主要内容
经典取证案件的司法鉴定;
计算机软件侵权的司法鉴定研究。
⑵教学方法与要求
通过讲授、提问等教学方法,使学生能够了解经典案例的取证过程和司法鉴定结果。
⑶重点难点
l 重点:经典取证案件的司法鉴定;
l 难点:计算机软件侵权的司法鉴定研究。
四、实践环节及要求
1.实验项目和基本要求
通过开展基本实验,要求学生能够掌握计算机取证这门课程要求的基本操作。基本实验的主要实验项目和基本要求如表3所示。
表3 《计算机取证》课程实验
序 号 | 实验项目 | 时 数 | 每组 人数 | 内容提要 | 实验要求 | |
1 | 数据加密与信息隐藏及其对抗攻击实验 | 5 | 1 | 通过加密算法对秘密信息进行处理;通过存储在计算机磁盘中的多媒体载体(图像、视频或语音信号等),把密文信息发送出去。并设计相应的对抗方法,取证分析载体。 | 完成一种数据加密算法并嵌入密文信息,设计对应的取证分析算法,并有效的检测含秘载体。 | |
2 | 手机取证算法设计实验 | 5 | 1 | 通过分析手机中存储的多媒体资源(图像、语音、视频等)取证分析,对手机进行身份认证。 | 完成一种取证算法,分析手机中拍摄图片的噪声源,达到取证分析的目的。 |
注:《计算机取证》实验指导书为指导老师自拟。
2.实验报告基本要求
实验报告至少包含以下几个部分:⑴实验目的;⑵实验仪器/设备;⑶实验过程(含实验方案、流程、程序等);⑷实验结果及结果分析;⑸实验总结。
五、与其它课程的联系
先修课程:计算机网络、计算机组成原理。
后续课程:数字取证。
六、学时分配
总学时32学时,其中讲课22学时,课内上机10学时,课外上机10学时。如表4所示。
表4 《微机原理与接口技术》学时分配表
教 学 内 容 | 讲课时数 | 实验时数 | 实践学时 | 课内上机时数 | 课外上机时数 | 自学时数 | 习题课 时 | 讨论时数 |
第1章计算机取证理论基础 | 6 | 5 | 5 | |||||
第2章 Windows/Unix/Linux系统的计算机取证 | 4 | |||||||
第3章网络取证与木马取证 | 4 | 0 | 0 | |||||
第4章手机取证 | 6 | 5 | 5 | |||||
第5章计算机取证与司法鉴定实例分析 | 2 | |||||||
合 计 | 22 | 10 | 10 | |||||
总 计 | 32,含10学时课内上机 | |||||||
七、课程目标达成途径及学生成绩评定方法
1.课程目标达成途径
课程目标的达成途径如表5所示。
表5 课程目标与达成途径
课程目标 | 达成途径 |
⑴ | 以引导式、启发式和总结式教学方法为主,通过重点/难点内容讲解、课后作业、布置学生文献查阅、进行随堂提问、课堂程序演示等模式,帮助学生了解计算机取证的基础知识和计算机语言程序设计方法。 |
⑵ | 以启发式、分析式和研讨式教学方法为主,针对相关重点/难点内容,分组组织学生开展自主学习,通过课后作业、编程作业、课程设计作业、随堂提问、课堂讨论等模式,帮助学生运用计算机语言,完成计算机取证基本操作。 |
⑶ | 以启发式、分析式和研讨式教学方法为主,通过重点/难点内容讲解、课后作业、布置学生文献查阅、进行随堂提问、课堂程序演示等模式,帮助学生了解计算机取证研究的最新动态和发展趋势。 |
⑷ | 以启发式、研讨式和批判式教学方法为主,引导学生针对复杂工程问题开展系统设计的需求分析,自主学习计算机取证算法的原理、系统调用的应用等,培养了学生的自主学习能力。 |
2.学生成绩评定方法
该课程为考查课程。该课程采用形成性评价与终结性评价相结合的评价方法,学期总评成绩由三部分构成:平时考核,占比30%;设计报告,占比30%;期末考试:40%。各部分的具体评价环节、关联课程目标、评价依据及方法和在总成绩中的占比,如表6所示。
表6 课程考核与成绩评定方法
考核项目 | 评价环节 | 关联课程目标 | 评价依据与方法 | 占比 |
平时考核 | 课堂表现 | ⑴⑵⑶⑷ | 签到:以是否按时上课为依据,共计50分。 课堂表现:多次课堂提问或课堂讨论表现的最高分,共计50分。 | 30% |
设计报告 | 实验报告及答辩 | ⑴⑵⑶⑷ | 实验报告:以是否提交及提交是否及时做评价依据; 共2次实验,每次实验25分,共计50分。 实验答辩:以实验结果及验收考核作为评价依据,通过提问考核,共2次实验,每次实验25分,共计50分。 | 30% |
期末考试 | 考试成绩 | ⑴⑵⑶⑷ | 考试成绩:期末考试总分,共计100分。 | 40% |
总评成绩 | 100% | |||
八、教学资源
表7 课程的基本教学资源
资源类型 | 资源 |
教 材 | 1. 麦永浩, 孙国梓等编著. 计算机取证与司法鉴定. 清华大学出版社, 2009。 (中文教材) |
参考书籍或文献 | 1.杨永川, 顾益军, 张培晶等编著. 计算机取证. 北京: 高等教育出版社, 2008。 2. 陈龙,麦永浩,黄传河主编. 计算机取证技术. 武汉: 武汉大学出版社, 2007。 3. 蒋平, 黄淑华, 杨莉莉编著. 数字取证. 北京: 中国人民公安大学出版社, 2007。 (中文教材) |
教学文档 |
九、课程目标、毕业要求指标点达成度定量评价
1.课程目标达成度评价
⑴课程目标达成度的评价环节及支撑课程目标的权重分配
本课程共4个课程目标,表示为课程目标(i),i = 1, 2, 3, 4。为便于表示和计算,本课程定义了以下符号。
CG(i):课程目标(i)达成度,其中i = 1, 2, 3, 4。
A:课堂表现。
B:设计报告。
C:课程实验。
WA(i):评价环节A支撑课程目标(i)的权重,其中i = 1, 2, 3, 4。
WB(i):评价环节B支撑课程目标(i)的权重,其中i = 1, 2, 3, 4。
WC(i):评价环节C支撑课程目标(i)的权重,其中i = 1, 2, 3, 4。
注:WA(i) + WB(i) + WC(i) = 1,其中i = 1, 2,3, 4。详见表8。
VA:评价环节A的学生平均得分。
VB:评价环节B的学生平均得分。
VC:评价环节C的学生平均得分。
表8 《计算机取证》课程目标达成度的评价环节及支撑课程目标的权重分配表
课程目标 | 评价环节支撑课程目标的权重及符号表示 | ||
平时考核 | 设计报告 | 期末考试 | |
⑴ | WA(1),0.2 | WB(1),0.2 | WC(1),0.6 |
⑵ | WA(2),0.2 | WB(2),0.4 | WC(2),0.4 |
⑶ | WA(3),0.2 | WB(3),0.4 | WC(3),0.4 |
⑷ | WA(4),0.2 | WB(4),0.5 | WC(4),0.3 |
⑵课程目标达成度计算
根据上述的符号定义及表8的权重分配,课程目标(i)的达成度CG(i)可计算如下:
CG(i) = VA* WA(i) + VB * WB(i) + VC * WC(i)
其中:i = 1, 2, 3, 4。
即得:
课程目标(1)的达成度:CG(1) = VA * 0.2 + VB * 0.2 + VC * 0.6
课程目标(2)的达成度:CG(2) = VA * 0.2 + VB * 0.4 + VC * 0.4
课程目标(3)的达成度:CG(3) = VA * 0.2 + VB * 0.4 + VC * 0.4
课程目标(4)的达成度:CG(4) = VA * 0.2 + VB * 0.5 + VC * 0.3
2.毕业要求指标点达成度评价
⑴课程目标支撑毕业要求指标点的权重分配
本课程的4个课程目标共同支撑了5个毕业要求指标点,为便于表示和计算,本课程还定义了以下符号。
GS(m-n):毕业要求m的第n个指标点的达成度。即本课程所支撑的5个毕业要求指标点的达成度分别为GS(1-2)、GS(2-3)、GS(3-2)、GS(4-3)、GS(5-1)。
W(i)(m-n):课程目标(i)支撑毕业要求(m-n)的权重,其中i = 1, 2, 3, 4。
注:W(1)(m-n)+ W(2)(m-n) + W(3)(m-n) + W(4)(m-n) = 1
其中,(m-n) = (1-2), (2-3), (3-2), (4-3), (5-1)。
详见表9。
表9 《计算机取证》课程目标支撑毕业要求指标点的权重分配表
毕业要求 | 课程目标支撑毕业要求指标点的权重及符号表示 | ||||
⑴ | ⑵ | ⑶ | ⑷ | ||
1-2 | W(1)(1-2),0.5 | W(2)(1-2),0.5 | W(3)(1-2),0 | W(4)(1-2),0 | |
2-3 | W(1)(2-3),0.5 | W(2)( 2-3),0.5 | W(3)( 2-3),0 | W(4)( 2-3),0 | |
3-2 | W(1)(3-2),0 | W(2)( 3-2),0.3 | W(3)( 3-2),0.7 | W(4)( 3-2),0 | |
4-3 | W(1)(4-3),0 | W(2)(4-3),0 | W(3)(4-3),0.6 | W(4)(4-3),0.4 | |
5-1 | W(1)(5-1),0 | W(2)(5-1),0 | W(3)(5-1),0 | W(4)(5-1),1 | |
⑵毕业要求指标点达成度计算
根据上述的符号定义及表9的权重分配,毕业要求(m-n)的达成度GS(m-n)可计算如下:
GS(m-n) = CG(1) * W(1)(m-n) + CG(2) * W(2)(m-n)+ CG(3) * W(3)(m-n) + CG(4) * W(4)(m-n)
其中:(m-n)= (1-2), (2-3), (3-3), (4-3), (5-1)。
即得:
毕业要求(1-2)的达成度:GS(1-2) = CG(1) * 0.5 + CG(2) * 0.5 + CG(3) * 0 +CG(4) * 0
毕业要求(2-3)的达成度:GS(2-3) = CG(1) * 0.5 + CG(2) * 0.5 + CG(3) * 0 +CG(4) * 0
毕业要求(3-2)的达成度:GS(3-2) = CG(1) * 0 + CG(2) * 0.3 + CG(3) * 0.7 +CG(4) * 0
毕业要求(4-3)的达成度:GS(4-3) = CG(1) * 0 + CG(2) * 0 + CG(3) * 0.6 +CG(4) * 0.4
毕业要求(5-1)的达成度:GS(5-1) = CG(1) *0 + CG(2) * 0 + CG(3) * 0 + CG(4) *1
十、说明
本大纲规定了杭州电子科技大学测控技术与仪器专业《计算机取证》课程的教学要求和教学规范,承担《计算机取证》课程的教师须遵照本大纲安排授课计划、实施教学过程,完成学生学习成果评价、课程目标达成度评价和毕业要求指标点达成度评价。
十一、 编制与审核
表10 大纲编制与审核信息
工作内容 | 责任部门或机构 | 负责人 | 完成时间 |
编制 | 网络空间安全学院 | 乔通 | 2017.11.8 |
审核 | 网络空间安全学院 | 徐明 | 2017.11.10 |