计算机取证技术研究
計算機取證技術研究
尉永青 劉培德
山東警察學院 山東經濟學院
摘要:隨著信息技術、網絡技術的發展,計算機越來越多的出現在犯罪活動當中,計算機取證正逐漸成為人們研究與關注的焦點。本文首先介紹了計算機取證的概念、特點、取證的原則和取證的步驟,然后探討了計算機取證的相關技術和軟件。
關鍵詞:計算機取證;電子證據
中圖分類號:TP39
Research on Computer Forensics
WEI Yongqing LIU Peide
Shandong Police Institute Shandong economic Institute
Abstract:With the development of information technology and network technology, more and more criminal activities adopt computer technology. People are paying more attention to computer forensics in their research. This paper give a brief introduce to computer forensics from the angel of concept, procedure, technology, function, and so on.
Keywords:Computer Forensics; Electronic evidence
隨著社會信息化、網絡化大潮的推進,計算機越來越多地參與到人們的工作與生活中。與此同時,新的漏洞與攻擊方式不斷出現,計算機越來越多的出現在犯罪活動當中,與計算機相關的法庭案例(如電子商務糾紛,計算機犯罪等)也不斷出現。存在于計算機及相關外圍設備(包括網絡介質)中的電子證據逐漸成為新的訴訟證據之一。作為計算機領域和法學領域的一門交叉科學:計算機取證(Computer Forensics)正逐漸成為人們研究與關注的焦點。
1.計算機取證及取證步驟
1.1計算機取證的概念、發展及特點
作為計算機取證的定義有比較多的說法,其中較為廣泛的定義是:計算機取證是指對能夠為法庭接受的、足夠可靠和有說服力的、存在于計算機和相關外設中的電子證據(Electronic Evidence)的確定、收集、保護、分析、歸檔以及法庭出示的過程。
計算機取證是伴隨著計算機犯罪事件的出現而發展起來的,在我國計算機證據出現在法庭上只是近10年左右的事情,在信息技術較發達的美國已有了30年左右的歷史。最初的電子證據是從計算機中獲得的正式輸出,法庭不認為它與普通的傳統物證有什么不同。但隨著計算機技術的發展,以及隨著與計算機相關的法庭案例的復雜性的增加,電子證據與傳統證據之間的類似性逐漸減弱。于是90年代中后期,對計算機取證的技術研究、專門的工具軟件的開發以及相關商業服務陸續出現并發展起來。從近幾年的計算機安全技術論壇(FIRST年會)上看,計算機取證分析日益成為計算機網絡的重點課題。可以預見,計算機取證將是未來幾年信息安全領域的研究熱點。
計算機取證針對的是電子證據,電子證據的出現,是對傳統證據規則的一次挑戰。電子證據亦即計算機證據,是指在計算機或計算機系統運行過程中產生的,以其記錄的內容來證明案件事實的電磁記錄物。電子證據的表現形式是多樣的,幾乎涵蓋了所有傳統證據類型。作為一種證據,電子證據與傳統證據一樣,必須是:可信的、準確的、完整的、使法官信服的、符合法律法規的,即可為法庭所接受的。
然而作為一種新出現的證據形式,它的特殊性決定了電子證據除了具有傳統證據的特點之外,還具有與傳統證據有別的一些特點:
(1)無形性:計算機數據不是肉眼直接可見的。
(2)脆弱性:磁性介質保存的內容很容易被修改,并且修改不易留下痕跡。
(3)高科技性:證據的產生、傳輸、保存都要借助高科技含量的技術與設備。
(4)多態性:是指計算機證據的表現形式是多種多樣的。
(5)人機交互性:計算機證據的形成,在不同的環節上有不同的計算機操作人員的參與,它們在不同程度上都可能影響計算機系統的運轉。正是由于電子證據的這些特點,使得計算機取證變得復雜起來,有關計算機取證的研究得到了廣泛的關注,并成為司法和計算機科學領域的一項研究課題。
1.2計算機取證的原則和步驟
計算機取證與傳統的取證有所區別,在取證過程中應遵循的主要原則有以下幾點:
(1)盡早搜集證據,并保證其沒有受到任何破壞;
(2)必須保證“證據連續性”(有時也被稱為“chain of custody”),即在證據被正式提交給法庭時,必須能說明在證據從最初的獲取狀態到在法庭上出現狀態之間的任何變化,當然最好是沒有任何變化;
(3)整個檢查、取證過程必須是受到監督的,也就是說,由原告委派的專家所作的所有調查取證工作,都應該受到由其它方委派的專家的監督。
計算機取證過程和技術比較復雜,在打擊計算機犯罪時,執法部門還沒有形成統一標準的程序來進行計算機取證工作。一般的,在保證以上幾項基本原則的情況下,計算機取證工作按照下面步驟進行:
(1)保護現場和現場勘查
現場勘查是獲取證據的第一步,主要是物理證據的獲取。這項工作為后面的環節打下基礎,包括封存目標計算機系統并避免發生任何的數據破壞或病毒感染,繪制計算機犯罪現場圖、網絡拓撲圖等,在移動或拆卸任何設備之前都要拍照存檔,為今后模擬和還原犯罪現場提供直接依據。
(2)獲取證據
證據的獲取從本質上說就是通過使用具有磁盤鏡像、數據恢復、解密、網絡數據捕獲等功能的取證工具從眾多的未知和不確定性中找到確定性的東西。
(3)鑒定證據
計算機證據的鑒定主要是解決證據的完整性驗證和確定其是否符合可采用標準。計算機取證工作的難點之一是證明取證人員所搜集到的證據沒有被修改過。而計算機獲取的證據又恰恰具有易改變和易損毀的特點。所以,取證過程中應注重采取保護證據的措施。
(4)分析證據
這是計算機取證的核心和關鍵。通過將收集的程序、數據和備份與當前運行的程序數據進行對比,從中發現篡改痕跡。可通過該計算機的所有者或電子簽名、密碼、回郵信箱、上網IP等計算機特有信息識別體,結合全案其他證據進行綜合審查。注意該計算機證據要同其他證據相互印證、相互聯系起來綜合分析。
(5)進行追蹤
上面提到的計算機取證步驟是靜態的,即事件發生后對目標系統的靜態分析。隨著計算機犯罪技術手段的升級,這種靜態的分析已經無法滿足要求。可以通過將計算機取證與入侵檢測等網絡安全工具和網絡體系結構技術相結合,進行動態取證。對于在取證期間犯罪還在不斷進行的計算機系統,采用入侵檢測系統對網絡攻擊進行監測,還可以通過采用相關的設備或設置陷阱跟蹤捕捉犯罪嫌疑人。
(6)提交結果
打印對目標計算機系統的全面分析和追蹤結果,然后給出分析結論,并給出專家證明,以證據的形式按照合法的程序提交給司法機關。
這里只是計算機取證過程中需要遵循的主要原則與一般步驟,在實際中,還應該按照具體問題,進行綜合考慮,保證取證過程的合理性與證據的完整性。
2.計算機取證相關技術
數字證據主要來源于兩個方面,一個是系統方面的,另一個是網絡方面的。系統方面的證據包括:系統日志文件、備份介質、入侵者殘留物、交換區文件、臨時文件、硬盤未分配的空間、系統緩沖區、打印機及其它設備的內存等。網絡方面的證據有:防火墻日志、入侵檢測系統日志、其它網絡工具所產生的記錄和日志等。針對這些證據來源,計算機取證技術可分為:單機取證技術、網絡取證技術和相關設備取證技術。
2.1基于單機的計算機取證技術
單機取證技術是針對一臺可能含有證據的非在線計算機進行證據獲取的技術,包括存儲設備的數據恢復技術,加密解密技術,磁盤映像拷貝技術和信息搜索與過濾技術等等。
(1)數據恢復技術
數據恢復技術主要用于把犯罪嫌疑人刪除或者通過格式化磁盤擦除的數字證據恢復出來。由于磁盤的格式化只不過是對用于訪問文件系統的各種表進行了重新構造,因此,如果格式化之前的硬盤上有數據存在,則格式化操作后這些數據仍然存放在磁盤上;刪除文件的操作也不能真正刪除文件,只不過把構成這些文件的數據簇放回到系統中,對于通常的讀寫操作而言,這些簇不可見。數據恢復技術正是用來恢復這些通常不可見的數據。
(2)加密解密技術和口令獲取
取證在很多情況下都面臨如何將加密的數據進行解密的問題。計算機取證中使用的密碼破解與口令獲取技術和方法主要有:密碼分析技術、密碼破解技術、口令搜索、網絡竊聽和口令提取。
(3)磁盤映像拷貝技術
由于證據的提取和分析工作不能直接在被攻擊機器的磁盤上進行,所以,磁盤的映像拷貝技術就顯得十分重要和必要了。而且,這一技術可以實現磁盤數據的逐字節拷貝。
(4)信息搜索與過濾技術
在計算機取證的分析階段往往使用搜索技術進行相關數據信息的查找,這些信息可以是文本、圖片、音頻或視頻。這方面的技術主要有:數據過濾技術、數據挖掘技術等。
2.2基于網絡的計算機取證技術
所謂網絡取證技術就是在網上跟蹤犯罪分子或通過網絡通信的數據信息資料獲取證據的技術。包括IP地址獲取技術,針對電子郵件和新聞組的取證技術,網絡入侵追蹤技術等。
(1)IP地址獲取技術
IP地址是揭示犯罪嫌疑人身份和地理位置的重要線索,通過對系統日志、E-Mail頭信息得分析,和被調查對象進行直接通信等方法可以獲得對方的IP地址,進而可利用TraceRoute、VisualRoute等軟件和全球IP地址分配表定位該IP地址的位置,并采取適當的措施。
(2)針對電子郵件和新聞組的取證技術
電子郵件和新聞組的共同特征是,都是用簡單的應用協議和文本存儲轉發,只允許信息在多個中間系統上穿過,信息的主體由可打印的字符構成,頭信息中包含了從發送者到接收者之間的路徑。所以,可以對信息發送路徑上的痕跡進行分析以獲取證據。
(3)網絡入侵追蹤技術
入侵追蹤的最終目標是能夠定位攻擊源的位置,推斷出攻擊報文在網絡中的串行路線,從而找到攻擊者。IP報文入侵追蹤技術包括連接檢測,日志記錄,ICMP追蹤法,標記報文法等,可以追溯到發送帶有假冒源地址報文的攻擊者的真實位置,還可以發現在網絡連接鏈中“前一跳”的信息,特點是需要利用路由器作為中間媒介。
在實際應用中往往將基于單機和設備的計算機取證技術、基于網絡的計算機取證技術進行結合使用,從而提供更加充足可靠的計算機證據。
3.計算機取證軟件系統
目前已經出現了一些計算機取證工具,包括磁盤擦除工具、反刪除工具、驅動器映像程序、取證分析軟件等等,然而這些工具往往只能處理取證中的一小部分工作,缺少自動化流程,需要具有相當技術的專業人員操作,不能滿足計算機犯罪日益增長的現實要求,急需一種同時擁有收集及分析數據的功能的計算機取證軟件。
一個較完善的計算機取證軟件應該滿足最基本的取證要求,具備下列基本功能(如圖略)
(1)收集計算機證據:能夠對主機信息及網絡信息進行收集,并進行存儲,一方面保證能夠獲得充足的計算機證據,另一方面確保從獲取到提交法庭這段時間內沒有被修改過。
(2)分析計算機證據:對收集到的計算機證據進行分析,發現和犯罪事實相關聯的全部數據資料。
(3)提取計算機證據:用于從可疑主機或網絡上自動提取出計算機證據。
以上只是計算機取證軟件的基本功能,事實上,作為對計算機證據進行取證的軟件其功能還遠不止如此,例如:自身保護功能等等。
4.結束語
盡管計算機取證技術已經得到了一定的發展,然而隨著計算機技術及計算機犯罪的發展,現有的取證技術已經不能滿足打擊犯罪的要求;同時,計算機理論和技術的發展也影響著計算機取證技術的發展,使得目前計算機取證技術呈現出領域擴大化、學科融合化、標準化、智能化等發展趨勢。?
參考文獻
[1] 王玲,錢華林.計算機取證技術及其發展趨勢.軟件學報,2003,14(9):1635 1644.
[2] 何明.計算機安全學的新焦點——計算機取證學.系統安全,2002,7:42 43.
[3] 梁錦華,蔣建春,戴飛雁,卿斯漢.計算機取證技術研究.計算機工程,2002,28(8):12 14.
[4] 錢桂瓊,楊澤明,許榕生.計算機取證的研究與設計.計算機工程,2002,28(6):56 58.
[5] 趙小敏, 陳慶章. 打擊計算機犯罪新課題──計算機取證技術. 信息網絡安全,2002,9.
再分享一下我老師大神的人工智能教程吧。零基礎!通俗易懂!風趣幽默!還帶黃段子!希望你也加入到我們人工智能的隊伍中來!https://blog.csdn.net/jiangjunshow
總結
- 上一篇: java pdf文件压缩_PDF文件压缩
- 下一篇: 这几个 IntelliJ IDEA 高级