計算機取證技術(shù)綜述

1、 計算機取證技術(shù)綜述 任雪飛，楊永川（中國人民公安大學(xué)，北京102600）Reference：本文對計算機取證中的數(shù)據(jù)獲取和數(shù)據(jù)分析展開討論，針對不同現(xiàn)場環(huán)境給出了不同的數(shù)據(jù)獲取的方法，并歸納了對證據(jù)文件進(jìn)行數(shù)據(jù)分析的基本步驟和技術(shù)手段。Keys：計算機取證；電子證據(jù)；數(shù)據(jù)恢復(fù)TP393.08 ：A ：1671-1122( 2011) 01-0056-021計算機取證的概念和特點計算機取證的概念眾說紛紜。其中，較為廣泛的認(rèn)識是：計算機取證是指能夠為法庭接受的、足夠可靠和有說服力的、存在于計算機和相關(guān)外設(shè)中的電子證據(jù)的確定、收集、保護、分析、歸檔以及法庭出示的過程。計算機取證基本圍繞電子證據(jù)展開

2、。電子證據(jù)是指在計算機或計算機系統(tǒng)運行過程中產(chǎn)生的，以其記錄的內(nèi)容來證明案件事實的電磁記錄物。電子證據(jù)的表現(xiàn)形式是多樣的，尤其是多媒體技術(shù)的出現(xiàn)，使電子證據(jù)綜合了文本、圖形、圖像、動畫、音頻及視頻等多種媒體信息，這種以多媒體形式存在的計算機證據(jù)幾乎涵蓋了所有傳統(tǒng)證據(jù)類型。與傳統(tǒng)證據(jù)一樣，電子證據(jù)必須是可信的、準(zhǔn)確的、完整的、符合法律法規(guī)的。與傳統(tǒng)證據(jù)相比較，電子證據(jù)還具有以下特點：1)脆弱性：由于數(shù)據(jù)自身的特點導(dǎo)致電子證據(jù)易被修改，且不易留痕跡；2)無形性：計算機數(shù)據(jù)必須借助于輸出設(shè)備才能呈現(xiàn)結(jié)果；3)高科技性：證據(jù)的產(chǎn)生、傳輸、保存都要借助高科技含量的技術(shù)與設(shè)備；4)人機交互性：電子證據(jù)的形

3、成，在不同的環(huán)節(jié)上有不同的操作人員參與，它們在不同程度上都可能影響電子證據(jù)的最終結(jié)果；5)電子證據(jù)是由計算機和電信技術(shù)引起的，由于其它技術(shù)的不斷發(fā)展，所以取證步驟和程序必須不斷調(diào)整以適應(yīng)技術(shù)的進(jìn)步。電子證據(jù)的來源很多，主要有系統(tǒng)日志、IDS、防火墻、FTP、反病毒軟件日志、系統(tǒng)的審計記錄、網(wǎng)絡(luò)監(jiān)控流量、電子郵箱、操作系統(tǒng)和數(shù)據(jù)庫的臨時文件或隱藏文件，數(shù)據(jù)庫的操作記錄，硬盤驅(qū)動的交換( Swap)分區(qū)、Slack區(qū)和空閑區(qū)，軟件設(shè)置，完成特定功能的腳本文件，Web瀏覽器數(shù)據(jù)緩沖，書簽、歷史記錄或會話日志、實時聊天記錄等等。電子證據(jù)的獲取方法包括數(shù)字鑒定、數(shù)據(jù)檢查、數(shù)據(jù)對比、數(shù)據(jù)保護、數(shù)據(jù)分析和證

4、據(jù)抽取。而這些方法的實施將貫穿整個計算機取證過程。圖l給出計算機取證的基本流程和法律約束。計算機取證應(yīng)用模型包含四個步驟：1)取證準(zhǔn)備，這個過程要對取證環(huán)境和條件作客觀性分析；2)現(xiàn)場勘查及證據(jù)固定，這個過程必須保證證據(jù)獲取的合法性；3)數(shù)據(jù)分析及證據(jù)提取，這個過程需要對獲取的數(shù)據(jù)進(jìn)行分析找出與案件相關(guān)能夠證明犯罪事實的數(shù)據(jù)，即要保證數(shù)據(jù)與案件的關(guān)聯(lián)性；4)證據(jù)的呈遞，這個過程要對所獲取的電子證據(jù)進(jìn)行鑒定，從而保證證據(jù)對犯罪定性的有效。上述流程中技術(shù)研究點主要集中在證據(jù)固定和數(shù)據(jù)分析過程。下面將主要對取證過程中的證據(jù)固定和數(shù)據(jù)分析進(jìn)行詳細(xì)討論。2計算機取證的證據(jù)固定證據(jù)固定即將嫌疑計算機或存儲

5、介質(zhì)的數(shù)據(jù)進(jìn)行獲取的過程。證據(jù)固定必須符合嚴(yán)格的操作規(guī)范，并且需要使用專業(yè)的數(shù)據(jù)獲取工具進(jìn)行，將存儲介質(zhì)中的每一個字節(jié)進(jìn)行精確地復(fù)制，并以單獨文件或連續(xù)文件片段來保存。同時證據(jù)文件格式還要符合法庭接受的標(biāo)準(zhǔn)。目前，國際法庭普遍接受兩種證據(jù)文件格式是，Linux DD鏡像格式和Expert Witness證據(jù)文件格式（即Encase采用的E01鏡像格式）。考慮到電子證據(jù)的法律效力，建議采用這兩種格式。以Encase E01鏡像格式為例，其證據(jù)文件中包含有三個組成部分：文件頭、校驗值和數(shù)據(jù)塊。這三部分組成了對于一個原始證據(jù)的描述，并可重新恢復(fù)成數(shù)據(jù)的原始狀態(tài)。在生成E01格式證據(jù)文件時，要求用戶輸

6、入與調(diào)查案件相關(guān)的信息，如調(diào)查人員、地點、機構(gòu)、備注等。這些信息將隨證據(jù)數(shù)據(jù)信息一同存入E01文件中。文件的每個字節(jié)都經(jīng)過32位的CRC校驗，這就使得證據(jù)被篡改的可能性幾乎為0。為了保證證據(jù)文件真實有效，獲取證據(jù)同時需要利用特定哈希算法（例如MD5算法）計算并驗證證據(jù)文件的哈希值。妥善記錄、保存原始的哈希值、校驗值，以備法庭指派的第三方機構(gòu)或法政工具重新驗證。針對不同的數(shù)據(jù)存儲介質(zhì)和存儲環(huán)境，現(xiàn)給出以下幾種數(shù)據(jù)獲取方式。2,1移動存儲介質(zhì)的數(shù)據(jù)獲取移動存儲介質(zhì)包括U盤、SD卡、TF卡、移動硬盤、光盤等與計算機分離的春初設(shè)備。對這些存儲介質(zhì)的數(shù)據(jù)獲取需要采用與存儲介質(zhì)相應(yīng)的數(shù)據(jù)讀取設(shè)備通過只讀鎖

7、與取證計算機連接，利用特定取證工具(例如Encase)，將證據(jù)存儲介質(zhì)添加為取證設(shè)備，然后按取證工具使用流程對其做數(shù)據(jù)鏡像，從而形成證據(jù)文件。2.2在線數(shù)據(jù)獲取計算機取證的理想狀態(tài)是關(guān)閉計算機，實施硬盤完整鏡像，然后對鏡像進(jìn)行分析。而在線取證，就是在計算機處于開機狀態(tài)下的取證方法。這種狀態(tài)是為了保證證據(jù)的完整性，避免去運行額外的程序，以免使操作系統(tǒng)下注冊表、內(nèi)存、臨時文件中的數(shù)據(jù)發(fā)生更改。但近年來，由于在線取證日趨重要，一旦將運行狀態(tài)的計算機關(guān)閉，往往會失去很多重要的內(nèi)存數(shù)據(jù)、加密分區(qū)數(shù)據(jù)，而且局域網(wǎng)服務(wù)器、互聯(lián)網(wǎng)服務(wù)器都不能夠隨意關(guān)閉的。因此，現(xiàn)在研究重點轉(zhuǎn)向在線取證。 目前常見的在線取證方

8、式，通常是在嫌疑人的計算機中直接運行取證軟件，可以自動獲取內(nèi)存、注冊表中的數(shù)據(jù)。同時也可以通過取證軟件，實現(xiàn)對硬盤的完整鏡像。此種方法缺來自wWw.lw5u.coM點在于可能造成內(nèi)存中、硬盤中過多的信息被覆蓋，影響取證效果。通過，在運行的系統(tǒng)下獲取鏡像，還有可能造成系統(tǒng)死機，破壞證據(jù)的完整性。還有一種在線取證方式，是通過網(wǎng)絡(luò)連接兩臺計算機或局域網(wǎng)內(nèi)的更多計算機，將任意一臺計算機的硬盤或其他存儲介質(zhì)，以物理磁盤的方式顯示到調(diào)查員計算機中，在調(diào)查員計算機中直接運行任意分析工具或鏡像工具，實現(xiàn)對嫌疑硬盤數(shù)據(jù)的完整獲取。這種方法是最為理想的。這種方法僅需要在嫌疑計算機中運行一個微小的取證客戶端程序，僅

9、在嫌疑計算機中占用極少的內(nèi)存，不會造成死機等問題。目前F-Response工具就是采用這樣的工作方式。2.3關(guān)閉狀態(tài)計算機硬盤數(shù)據(jù)獲取對于關(guān)閉狀態(tài)的計算機，數(shù)據(jù)獲取一般采用兩種方法：1)計算機主機機箱打開，將硬盤取出，利用USB或1394A/B設(shè)備，利用取證工具獲取鏡像，或者利用硬盤復(fù)制機進(jìn)行磁盤復(fù)制。2)直接對嫌疑計算機中的數(shù)據(jù)進(jìn)行快速搜索及預(yù)覽，并以證據(jù)文件格式完整進(jìn)行數(shù)據(jù)獲取。這種方法適用于無法將硬盤取出的情況。這種方法要保證特制啟動程序不會像嫌疑計算機硬盤寫數(shù)據(jù)。當(dāng)嫌疑計算機被引導(dǎo)啟動后，即可配合在線取證工具實施在線取證。光盤啟動進(jìn)行數(shù)據(jù)獲取的方法操作簡單，是應(yīng)急響應(yīng)和大規(guī)模數(shù)據(jù)獲取的

10、理想方法。3計算機取證的數(shù)據(jù)分析電子取證要求取證和分析數(shù)據(jù)的信息網(wǎng)絡(luò)系統(tǒng)，以及其輔助的設(shè)備必須安全、可靠，從取證系統(tǒng)或裝置中只獲取原始數(shù)據(jù)，不做分析，整個信息獲取過程要盡可能不被干擾、覆蓋，或破壞原始信息和環(huán)境，在對原始數(shù)據(jù)進(jìn)行分析前，需對原始數(shù)據(jù)進(jìn)行數(shù)字簽名。所以在數(shù)據(jù)分析前要做證據(jù)固定，取得鏡像證據(jù)文件，然后再對鏡像證據(jù)文件進(jìn)行數(shù)據(jù)分析。取證人員能否找到犯罪證據(jù)關(guān)鍵在于：1)有關(guān)犯罪證據(jù)的數(shù)據(jù)必須沒有被破壞或篡改；2)取證軟件必須能找到這些數(shù)據(jù)；3)取證人員能知道這些文件，并且能證明它們與犯罪有關(guān)。實際過程中遇到的問題往往是我們得到的海量數(shù)據(jù)中，重要的證據(jù)往往并不是顯性存在的，可能已被刪除

11、或篡改。取證人員面對這樣的問題就必須首先對證據(jù)文件做數(shù)據(jù)恢復(fù)。3.1數(shù)據(jù)恢復(fù)目前常用的取證軟件都具備數(shù)據(jù)恢復(fù)功能，但不同的工具數(shù)據(jù)恢復(fù)的側(cè)重點以及恢復(fù)方式各不相同，達(dá)到的效果也就大相徑庭。有的側(cè)重于某種類型的文件的恢復(fù)，有的側(cè)重于某種丟失形式的恢復(fù)，取證人員可以通過不同的需要選擇不同的工具進(jìn)行多次數(shù)據(jù)恢復(fù)，邊分析邊恢復(fù)?，F(xiàn)階段數(shù)據(jù)恢復(fù)還是一個熱門研究，特別是對離散存儲數(shù)據(jù)文件的恢復(fù)技術(shù)的研究，針對不同的文件系統(tǒng)提出很多不同的恢復(fù)方案和算法，有基于概率預(yù)測碎片匹配方法，有a-p剪枝匹配算法等等。這還需要去做進(jìn)一步的研究，來做出更高效的恢復(fù)工具。3.2數(shù)據(jù)分析數(shù)據(jù)分析是一個工具分析和人工分析緊密結(jié)

12、合的過程，這個過程往往需要數(shù)據(jù)分析專家的參與。數(shù)據(jù)分析完成的是證據(jù)抽取工作，它的結(jié)果將直接影響案件的偵破和審理。在已經(jīng)獲取的數(shù)據(jù)流或信息流中尋找、匹配Keys或關(guān)鍵短語是目前的主要數(shù)據(jù)分析技術(shù)，具體包括：密碼破譯；數(shù)據(jù)解密；日志分析；文件屬性分析；對電子介質(zhì)中的被保護信息的強行訪問等。通過詳細(xì)地審查系統(tǒng)日志文件，分析系統(tǒng)的日志文件，獲取操作記錄，修改記錄等信息。目前常用于電子數(shù)據(jù)證據(jù)分析較的工具是Net ThreatAnalyzer。該軟件使用人工智能中的模式識別技術(shù)，分析Slack磁盤空間、未分配磁盤空間、自由空間中所包含的信息，研究交換文件、緩存文件、臨時文件及網(wǎng)絡(luò)流動數(shù)據(jù)，從而發(fā)現(xiàn)系統(tǒng)中曾發(fā)生過的Email交流、Internet瀏覽及文件上傳下載等活動，以及與特定領(lǐng)域相關(guān)的信息。4結(jié)語針對計算機取證流程，本文對其中證據(jù)固定和數(shù)據(jù)分析兩個技術(shù)點做了詳細(xì)討論，對不同環(huán)境和類型的電子證據(jù)給出了詳細(xì)的證據(jù)固定方案，歸納了目前主要的數(shù)據(jù)分析方法和工具。由于自身的局限性和