信息犯罪與計算機取證課件

1、信息犯罪與計算機取證第六章 電子證據(jù)保全本章重點內(nèi)容電子證據(jù)保全的概念、方法，以及相關(guān)技術(shù)原理。本章學(xué)習(xí)要求：通過本章學(xué)習(xí)，掌握不同類型電子證據(jù)的保全方法，理解磁盤映像技術(shù)、數(shù)字簽名與時間戳技術(shù)的原理及優(yōu)缺點。6.1 電子證據(jù)保全概述6.1.1 保全概念和原則1. 保全概念電子證據(jù)保全是指以某種形式將收集到的電子證據(jù)保存和固定下來，加以妥善保管，以便相關(guān)司法人員、律師或技術(shù)人員，在分析、認(rèn)定案件事實時使用。2. 保全原則電子證據(jù)屬于高科技證據(jù)，它以二進制的數(shù)據(jù)格式存儲于計算機硬盤或其他數(shù)字設(shè)備的存儲器上，具有較高的易篡改性，故不能直接進入訴訟證明領(lǐng)域。（1）存儲電子證據(jù)的方法是否科學(xué)，存儲介質(zhì)

2、是否可靠；（2）存儲的電子證據(jù)是否加密，是否遭受未經(jīng)授權(quán)的接觸。（3）存儲電子證據(jù)的人員是否具有資質(zhì)。6.1.2 保全分類1文件證據(jù)保全主要有兩大類，其一是存儲于計算機硬盤、軟盤、移動存儲器及內(nèi)存緩沖中的系統(tǒng)日志文件、數(shù)據(jù)文件、臨時文件等數(shù)字信息；其二是來自于計算機網(wǎng)絡(luò)的犯罪證據(jù)，包括實時獲取的網(wǎng)絡(luò)通信設(shè)備、路由交換設(shè)備的日志，網(wǎng)絡(luò)安全設(shè)備如防火墻日志文件、IDS系統(tǒng)日志文件，IIS服務(wù)器日志文件、FTP服務(wù)器日志文件和殺毒軟件日志文件等。2硬件設(shè)備保全在司法取證時，由于案情的特殊要求，需要對含有犯罪證據(jù)的各類存儲設(shè)備中的全部涉案內(nèi)容進行完全保存。常見的電子證據(jù)存儲設(shè)備包括：計算機主機系統(tǒng)、移

3、動電子設(shè)備和其他類型的數(shù)字化設(shè)備等。（1）計算機主機系統(tǒng)（2）移動電子設(shè)備CF卡SD卡SM卡XD卡記憶棒PC卡6.1.3 保全方法1. 封裝封裝是指執(zhí)法人員到犯罪或入侵現(xiàn)場進行實際勘查，封存相關(guān)計算機硬件設(shè)備、各種打印結(jié)果，以及內(nèi)部工作人員的工作日志、磁盤介質(zhì)等。2. 備份備份是指采用適當(dāng)?shù)拇鎯橘|(zhì)對包含犯罪行為的電子證據(jù)制作副本，用于取證人員后期對證據(jù)進行分析和評估。缺陷：首先，傳統(tǒng)保全方法的可靠性主要取決于人員的可靠性以及保全過程、程序的規(guī)范性等因素，因此主觀因素對證據(jù)保全的影響較大，任何一點紕漏都會影響電子證據(jù)的真實性和完整性；其次，傳統(tǒng)方法的實施成本較高且缺乏有效監(jiān)管，許多電子證據(jù)可能

4、在無意或有意之中遭到了破壞和修改，間接影響和禁錮了電子證據(jù)的訴訟功效。目前常用的電子證據(jù)保全方法是：運用磁盤鏡像技術(shù)將硬盤中所有數(shù)據(jù)按其物理存放格式進行完全備份，并對收集的含有犯罪證據(jù)的數(shù)字信息或設(shè)備采取實物管理加軟件加密相結(jié)合的方式進行完整性保護。6.2 保全技術(shù)原理6.2.1 磁盤鏡像技術(shù)將一個存儲裝置里的數(shù)據(jù)完整復(fù)制到另一個裝置中。要達到真正意義上的鏡像，必須做到磁盤信息的原相復(fù)制，只有通過逐位拷貝，才能夠建立整個驅(qū)動器映像的文件，以確保得到所有的數(shù)據(jù)。1鏡像定義磁盤鏡像，也稱磁盤映像，是在兩個或多個磁盤或磁盤子系統(tǒng)上生成同一個數(shù)據(jù)的鏡像視圖的信息存儲過程。2鏡像工具（1）磁盤鏡像軟件目

5、前常用的磁盤鏡像軟件種類較多，如Ghost、R-Drive Image、DiskImage、SafeBack、Linux dd、SnapBack DatArrest等，根據(jù)鏡像軟件的應(yīng)用領(lǐng)域可分為通用型和專業(yè)型兩類。 通用型Ghost、DiskImage和R-Drive Image等在一般的電腦備份時使用較多，該類型軟件最大特點是具有出色的磁盤數(shù)據(jù)備份和硬盤復(fù)制功能。磁盤鏡像文件可實現(xiàn)對硬盤、分區(qū)或邏輯磁盤的逐位拷貝，以防止數(shù)據(jù)文件丟失。圖6-1 Norton Ghost軟件備份界面圖6-2 DiskImage軟件操作界面圖6-3 R-DriveImage軟件操作界面 專業(yè)型Linux dd、

6、SnapBack、SafeBack是三款專業(yè)鏡像軟件，常用于司法取證實踐。圖6-4 Linux DD程序操作界面圖6-5 SnapBack軟件操作界面（2）硬盤拷貝機又稱硬盤復(fù)制機、硬盤克隆機，是實際司法過程中對嫌疑犯使用過的計算機進行取證的常用工具。與SafeBack等磁盤鏡像軟件不同，硬盤拷貝機不是基于軟件的，不需要先建立數(shù)據(jù)源（例如一個硬盤）的映象文件，再把映象文件恢復(fù)到相似的介質(zhì)中（例如另一個硬盤）。 圖6-6 硬盤拷貝機示例（3）存儲卡拷貝機存儲卡拷貝機專用于對可移動便攜式存儲介質(zhì)進行復(fù)制，其復(fù)制過程可以獨立作業(yè)，無須連接計算機。當(dāng)前國內(nèi)外市面上出現(xiàn)了較多類型的存儲卡拷貝設(shè)備。圖6-

7、7 存儲卡拷貝機示例3鏡像注意要點（1）應(yīng)確保目標(biāo)硬盤的容量大；（2）應(yīng)確保支持常用接口類型，如IDE、SCSI、PCMCIA等；（3）應(yīng)確保在取證之前完全擦除目標(biāo)盤中的殘余數(shù)據(jù)，避免該殘余數(shù)據(jù)影響證據(jù)的分析和取信程度。（4）由于事前無法預(yù)知涉案機器的具體外設(shè)情況等，故在實際的取證過程中，應(yīng)盡量選取可支持多種存儲類型的取證工具箱，即應(yīng)考慮把支持軟盤、ZIP軟盤、CD-R等多種存儲介質(zhì)都整合進工具箱。6.2.2 數(shù)字簽名技術(shù)數(shù)字簽名（Digital Signature，DA）在ISO7498-2標(biāo)準(zhǔn)中定義為：附加在數(shù)據(jù)單元上的一些數(shù)據(jù)，或是對數(shù)據(jù)單元所作的密碼變換，這種數(shù)據(jù)和變換允許數(shù)據(jù)單元的接

8、收者用以確認(rèn)數(shù)據(jù)單元來源和數(shù)據(jù)單元的完整性，并保護數(shù)據(jù)，防止被人（例如接收者）進行偽造。1Hash簽名Hash簽名是最主要的簽名方法，也稱為“哈希函數(shù)”，“數(shù)字摘要法（Digital Digest）”是一種證明數(shù)字?jǐn)?shù)據(jù)是否經(jīng)過未授權(quán)修改的方法，也稱單向散列算法。典型的哈希算法為MD5（ Message Digest），表示消息摘要。它對輸入數(shù)據(jù)以512位分組，通過對輸入的消息進行運算，最后產(chǎn)生128位散列值，即4個32位字的級聯(lián)。Hash簽名不屬于強計算密集型算法，應(yīng)用較廣泛。它可以降低服務(wù)器資源的消耗，減輕中央服務(wù)器的負(fù)荷。Hash的主要局限是接收方必須持有用戶密鑰的副本以檢驗簽名，因為雙方

9、都知道生成簽名的密鑰，較容易攻破，存在偽造簽名的可能。2DSS簽名數(shù)字簽名標(biāo)準(zhǔn)（Digital Signature Standard，DSS)是1991年8月由美國國家標(biāo)準(zhǔn)技術(shù)研究院NIST公布，1994年5月19日正式公布，并于1994年12月1日采納為美國聯(lián)幫信息處理標(biāo)準(zhǔn)。DSS使用了SHA（Secure Hash Algorithm），SHA是設(shè)計為同DSA（Digital Signature Algorithm)一起使用的，其設(shè)計原理與MD4相同，對長度小于264的輸入，產(chǎn)生長度為160bit的散列值，因此抗窮舉(brute-force)性更好。3RSA簽名RSA同DSS 相同，采用了公鑰算法，不存在Hash的局限性。與DSS不同，RSA既可以用來加密數(shù)據(jù)，也可以用于身份認(rèn)證。和Hash簽名相比，在公鑰系統(tǒng)中，由于生成簽名的密鑰只存儲于用戶的計算機中，安全系數(shù)大一些。6.2.3 時間戳技術(shù)數(shù)字時間戳（time-stamp）技術(shù)是數(shù)字簽名技術(shù)一種變種的應(yīng)用，能提供數(shù)據(jù)文件的日期和時間信息的安全性保護。時間戳是一個具有法律效力的電子憑證，是各種類型的電子文件（數(shù)據(jù)電文）在時間、權(quán)屬及內(nèi)容完整性方面的證明。時間戳對于收集和保存電子證據(jù)非常有效，因為它提供了電子證據(jù)在特定的時間和日期里是存在的，并且從該時刻到出庭這段時間里不曾被修改過