計(jì)算機(jī)取證技術(shù)綜述

1、 計(jì)算機(jī)取證技術(shù)綜述 任雪飛，楊永川（中國(guó)人民公安大學(xué)，北京102600）Reference：本文對(duì)計(jì)算機(jī)取證中的數(shù)據(jù)獲取和數(shù)據(jù)分析展開討論，針對(duì)不同現(xiàn)場(chǎng)環(huán)境給出了不同的數(shù)據(jù)獲取的方法，并歸納了對(duì)證據(jù)文件進(jìn)行數(shù)據(jù)分析的基本步驟和技術(shù)手段。Keys：計(jì)算機(jī)取證；電子證據(jù)；數(shù)據(jù)恢復(fù)TP393.08 ：A ：1671-1122( 2011) 01-0056-021計(jì)算機(jī)取證的概念和特點(diǎn)計(jì)算機(jī)取證的概念眾說(shuō)紛紜。其中，較為廣泛的認(rèn)識(shí)是：計(jì)算機(jī)取證是指能夠?yàn)榉ㄍソ邮艿?、足夠可靠和有說(shuō)服力的、存在于計(jì)算機(jī)和相關(guān)外設(shè)中的電子證據(jù)的確定、收集、保護(hù)、分析、歸檔以及法庭出示的過(guò)程。計(jì)算機(jī)取證基本圍繞電子證據(jù)展開

2、。電子證據(jù)是指在計(jì)算機(jī)或計(jì)算機(jī)系統(tǒng)運(yùn)行過(guò)程中產(chǎn)生的，以其記錄的內(nèi)容來(lái)證明案件事實(shí)的電磁記錄物。電子證據(jù)的表現(xiàn)形式是多樣的，尤其是多媒體技術(shù)的出現(xiàn)，使電子證據(jù)綜合了文本、圖形、圖像、動(dòng)畫、音頻及視頻等多種媒體信息，這種以多媒體形式存在的計(jì)算機(jī)證據(jù)幾乎涵蓋了所有傳統(tǒng)證據(jù)類型。與傳統(tǒng)證據(jù)一樣，電子證據(jù)必須是可信的、準(zhǔn)確的、完整的、符合法律法規(guī)的。與傳統(tǒng)證據(jù)相比較，電子證據(jù)還具有以下特點(diǎn)：1)脆弱性：由于數(shù)據(jù)自身的特點(diǎn)導(dǎo)致電子證據(jù)易被修改，且不易留痕跡；2)無(wú)形性：計(jì)算機(jī)數(shù)據(jù)必須借助于輸出設(shè)備才能呈現(xiàn)結(jié)果；3)高科技性：證據(jù)的產(chǎn)生、傳輸、保存都要借助高科技含量的技術(shù)與設(shè)備；4)人機(jī)交互性：電子證據(jù)的形

3、成，在不同的環(huán)節(jié)上有不同的操作人員參與，它們?cè)诓煌潭壬隙伎赡苡绊戨娮幼C據(jù)的最終結(jié)果；5)電子證據(jù)是由計(jì)算機(jī)和電信技術(shù)引起的，由于其它技術(shù)的不斷發(fā)展，所以取證步驟和程序必須不斷調(diào)整以適應(yīng)技術(shù)的進(jìn)步。電子證據(jù)的來(lái)源很多，主要有系統(tǒng)日志、IDS、防火墻、FTP、反病毒軟件日志、系統(tǒng)的審計(jì)記錄、網(wǎng)絡(luò)監(jiān)控流量、電子郵箱、操作系統(tǒng)和數(shù)據(jù)庫(kù)的臨時(shí)文件或隱藏文件，數(shù)據(jù)庫(kù)的操作記錄，硬盤驅(qū)動(dòng)的交換( Swap)分區(qū)、Slack區(qū)和空閑區(qū)，軟件設(shè)置，完成特定功能的腳本文件，Web瀏覽器數(shù)據(jù)緩沖，書簽、歷史記錄或會(huì)話日志、實(shí)時(shí)聊天記錄等等。電子證據(jù)的獲取方法包括數(shù)字鑒定、數(shù)據(jù)檢查、數(shù)據(jù)對(duì)比、數(shù)據(jù)保護(hù)、數(shù)據(jù)分析和證

4、據(jù)抽取。而這些方法的實(shí)施將貫穿整個(gè)計(jì)算機(jī)取證過(guò)程。圖l給出計(jì)算機(jī)取證的基本流程和法律約束。計(jì)算機(jī)取證應(yīng)用模型包含四個(gè)步驟：1)取證準(zhǔn)備，這個(gè)過(guò)程要對(duì)取證環(huán)境和條件作客觀性分析；2)現(xiàn)場(chǎng)勘查及證據(jù)固定，這個(gè)過(guò)程必須保證證據(jù)獲取的合法性；3)數(shù)據(jù)分析及證據(jù)提取，這個(gè)過(guò)程需要對(duì)獲取的數(shù)據(jù)進(jìn)行分析找出與案件相關(guān)能夠證明犯罪事實(shí)的數(shù)據(jù)，即要保證數(shù)據(jù)與案件的關(guān)聯(lián)性；4)證據(jù)的呈遞，這個(gè)過(guò)程要對(duì)所獲取的電子證據(jù)進(jìn)行鑒定，從而保證證據(jù)對(duì)犯罪定性的有效。上述流程中技術(shù)研究點(diǎn)主要集中在證據(jù)固定和數(shù)據(jù)分析過(guò)程。下面將主要對(duì)取證過(guò)程中的證據(jù)固定和數(shù)據(jù)分析進(jìn)行詳細(xì)討論。2計(jì)算機(jī)取證的證據(jù)固定證據(jù)固定即將嫌疑計(jì)算機(jī)或存儲(chǔ)

5、介質(zhì)的數(shù)據(jù)進(jìn)行獲取的過(guò)程。證據(jù)固定必須符合嚴(yán)格的操作規(guī)范，并且需要使用專業(yè)的數(shù)據(jù)獲取工具進(jìn)行，將存儲(chǔ)介質(zhì)中的每一個(gè)字節(jié)進(jìn)行精確地復(fù)制，并以單獨(dú)文件或連續(xù)文件片段來(lái)保存。同時(shí)證據(jù)文件格式還要符合法庭接受的標(biāo)準(zhǔn)。目前，國(guó)際法庭普遍接受兩種證據(jù)文件格式是，Linux DD鏡像格式和Expert Witness證據(jù)文件格式（即Encase采用的E01鏡像格式）?？紤]到電子證據(jù)的法律效力，建議采用這兩種格式。以Encase E01鏡像格式為例，其證據(jù)文件中包含有三個(gè)組成部分：文件頭、校驗(yàn)值和數(shù)據(jù)塊。這三部分組成了對(duì)于一個(gè)原始證據(jù)的描述，并可重新恢復(fù)成數(shù)據(jù)的原始狀態(tài)。在生成E01格式證據(jù)文件時(shí)，要求用戶輸

6、入與調(diào)查案件相關(guān)的信息，如調(diào)查人員、地點(diǎn)、機(jī)構(gòu)、備注等。這些信息將隨證據(jù)數(shù)據(jù)信息一同存入E01文件中。文件的每個(gè)字節(jié)都經(jīng)過(guò)32位的CRC校驗(yàn)，這就使得證據(jù)被篡改的可能性幾乎為0。為了保證證據(jù)文件真實(shí)有效，獲取證據(jù)同時(shí)需要利用特定哈希算法（例如MD5算法）計(jì)算并驗(yàn)證證據(jù)文件的哈希值。妥善記錄、保存原始的哈希值、校驗(yàn)值，以備法庭指派的第三方機(jī)構(gòu)或法政工具重新驗(yàn)證。針對(duì)不同的數(shù)據(jù)存儲(chǔ)介質(zhì)和存儲(chǔ)環(huán)境，現(xiàn)給出以下幾種數(shù)據(jù)獲取方式。2,1移動(dòng)存儲(chǔ)介質(zhì)的數(shù)據(jù)獲取移動(dòng)存儲(chǔ)介質(zhì)包括U盤、SD卡、TF卡、移動(dòng)硬盤、光盤等與計(jì)算機(jī)分離的春初設(shè)備。對(duì)這些存儲(chǔ)介質(zhì)的數(shù)據(jù)獲取需要采用與存儲(chǔ)介質(zhì)相應(yīng)的數(shù)據(jù)讀取設(shè)備通過(guò)只讀鎖

7、與取證計(jì)算機(jī)連接，利用特定取證工具(例如Encase)，將證據(jù)存儲(chǔ)介質(zhì)添加為取證設(shè)備，然后按取證工具使用流程對(duì)其做數(shù)據(jù)鏡像，從而形成證據(jù)文件。2.2在線數(shù)據(jù)獲取計(jì)算機(jī)取證的理想狀態(tài)是關(guān)閉計(jì)算機(jī)，實(shí)施硬盤完整鏡像，然后對(duì)鏡像進(jìn)行分析。而在線取證，就是在計(jì)算機(jī)處于開機(jī)狀態(tài)下的取證方法。這種狀態(tài)是為了保證證據(jù)的完整性，避免去運(yùn)行額外的程序，以免使操作系統(tǒng)下注冊(cè)表、內(nèi)存、臨時(shí)文件中的數(shù)據(jù)發(fā)生更改。但近年來(lái)，由于在線取證日趨重要，一旦將運(yùn)行狀態(tài)的計(jì)算機(jī)關(guān)閉，往往會(huì)失去很多重要的內(nèi)存數(shù)據(jù)、加密分區(qū)數(shù)據(jù)，而且局域網(wǎng)服務(wù)器、互聯(lián)網(wǎng)服務(wù)器都不能夠隨意關(guān)閉的。因此，現(xiàn)在研究重點(diǎn)轉(zhuǎn)向在線取證。 目前常見(jiàn)的在線取證方

8、式，通常是在嫌疑人的計(jì)算機(jī)中直接運(yùn)行取證軟件，可以自動(dòng)獲取內(nèi)存、注冊(cè)表中的數(shù)據(jù)。同時(shí)也可以通過(guò)取證軟件，實(shí)現(xiàn)對(duì)硬盤的完整鏡像。此種方法缺來(lái)自wWw.lw5u.coM點(diǎn)在于可能造成內(nèi)存中、硬盤中過(guò)多的信息被覆蓋，影響取證效果。通過(guò)，在運(yùn)行的系統(tǒng)下獲取鏡像，還有可能造成系統(tǒng)死機(jī)，破壞證據(jù)的完整性。還有一種在線取證方式，是通過(guò)網(wǎng)絡(luò)連接兩臺(tái)計(jì)算機(jī)或局域網(wǎng)內(nèi)的更多計(jì)算機(jī)，將任意一臺(tái)計(jì)算機(jī)的硬盤或其他存儲(chǔ)介質(zhì)，以物理磁盤的方式顯示到調(diào)查員計(jì)算機(jī)中，在調(diào)查員計(jì)算機(jī)中直接運(yùn)行任意分析工具或鏡像工具，實(shí)現(xiàn)對(duì)嫌疑硬盤數(shù)據(jù)的完整獲取。這種方法是最為理想的。這種方法僅需要在嫌疑計(jì)算機(jī)中運(yùn)行一個(gè)微小的取證客戶端程序，僅

9、在嫌疑計(jì)算機(jī)中占用極少的內(nèi)存，不會(huì)造成死機(jī)等問(wèn)題。目前F-Response工具就是采用這樣的工作方式。2.3關(guān)閉狀態(tài)計(jì)算機(jī)硬盤數(shù)據(jù)獲取對(duì)于關(guān)閉狀態(tài)的計(jì)算機(jī)，數(shù)據(jù)獲取一般采用兩種方法：1)計(jì)算機(jī)主機(jī)機(jī)箱打開，將硬盤取出，利用USB或1394A/B設(shè)備，利用取證工具獲取鏡像，或者利用硬盤復(fù)制機(jī)進(jìn)行磁盤復(fù)制。2)直接對(duì)嫌疑計(jì)算機(jī)中的數(shù)據(jù)進(jìn)行快速搜索及預(yù)覽，并以證據(jù)文件格式完整進(jìn)行數(shù)據(jù)獲取。這種方法適用于無(wú)法將硬盤取出的情況。這種方法要保證特制啟動(dòng)程序不會(huì)像嫌疑計(jì)算機(jī)硬盤寫數(shù)據(jù)。當(dāng)嫌疑計(jì)算機(jī)被引導(dǎo)啟動(dòng)后，即可配合在線取證工具實(shí)施在線取證。光盤啟動(dòng)進(jìn)行數(shù)據(jù)獲取的方法操作簡(jiǎn)單，是應(yīng)急響應(yīng)和大規(guī)模數(shù)據(jù)獲取的

10、理想方法。3計(jì)算機(jī)取證的數(shù)據(jù)分析電子取證要求取證和分析數(shù)據(jù)的信息網(wǎng)絡(luò)系統(tǒng)，以及其輔助的設(shè)備必須安全、可靠，從取證系統(tǒng)或裝置中只獲取原始數(shù)據(jù)，不做分析，整個(gè)信息獲取過(guò)程要盡可能不被干擾、覆蓋，或破壞原始信息和環(huán)境，在對(duì)原始數(shù)據(jù)進(jìn)行分析前，需對(duì)原始數(shù)據(jù)進(jìn)行數(shù)字簽名。所以在數(shù)據(jù)分析前要做證據(jù)固定，取得鏡像證據(jù)文件，然后再對(duì)鏡像證據(jù)文件進(jìn)行數(shù)據(jù)分析。取證人員能否找到犯罪證據(jù)關(guān)鍵在于：1)有關(guān)犯罪證據(jù)的數(shù)據(jù)必須沒(méi)有被破壞或篡改；2)取證軟件必須能找到這些數(shù)據(jù)；3)取證人員能知道這些文件，并且能證明它們與犯罪有關(guān)。實(shí)際過(guò)程中遇到的問(wèn)題往往是我們得到的海量數(shù)據(jù)中，重要的證據(jù)往往并不是顯性存在的，可能已被刪除

11、或篡改。取證人員面對(duì)這樣的問(wèn)題就必須首先對(duì)證據(jù)文件做數(shù)據(jù)恢復(fù)。3.1數(shù)據(jù)恢復(fù)目前常用的取證軟件都具備數(shù)據(jù)恢復(fù)功能，但不同的工具數(shù)據(jù)恢復(fù)的側(cè)重點(diǎn)以及恢復(fù)方式各不相同，達(dá)到的效果也就大相徑庭。有的側(cè)重于某種類型的文件的恢復(fù)，有的側(cè)重于某種丟失形式的恢復(fù)，取證人員可以通過(guò)不同的需要選擇不同的工具進(jìn)行多次數(shù)據(jù)恢復(fù)，邊分析邊恢復(fù)?，F(xiàn)階段數(shù)據(jù)恢復(fù)還是一個(gè)熱門研究，特別是對(duì)離散存儲(chǔ)數(shù)據(jù)文件的恢復(fù)技術(shù)的研究，針對(duì)不同的文件系統(tǒng)提出很多不同的恢復(fù)方案和算法，有基于概率預(yù)測(cè)碎片匹配方法，有a-p剪枝匹配算法等等。這還需要去做進(jìn)一步的研究，來(lái)做出更高效的恢復(fù)工具。3.2數(shù)據(jù)分析數(shù)據(jù)分析是一個(gè)工具分析和人工分析緊密結(jié)

12、合的過(guò)程，這個(gè)過(guò)程往往需要數(shù)據(jù)分析專家的參與。數(shù)據(jù)分析完成的是證據(jù)抽取工作，它的結(jié)果將直接影響案件的偵破和審理。在已經(jīng)獲取的數(shù)據(jù)流或信息流中尋找、匹配Keys或關(guān)鍵短語(yǔ)是目前的主要數(shù)據(jù)分析技術(shù)，具體包括：密碼破譯；數(shù)據(jù)解密；日志分析；文件屬性分析；對(duì)電子介質(zhì)中的被保護(hù)信息的強(qiáng)行訪問(wèn)等。通過(guò)詳細(xì)地審查系統(tǒng)日志文件，分析系統(tǒng)的日志文件，獲取操作記錄，修改記錄等信息。目前常用于電子數(shù)據(jù)證據(jù)分析較的工具是Net ThreatAnalyzer。該軟件使用人工智能中的模式識(shí)別技術(shù)，分析Slack磁盤空間、未分配磁盤空間、自由空間中所包含的信息，研究交換文件、緩存文件、臨時(shí)文件及網(wǎng)絡(luò)流動(dòng)數(shù)據(jù)，從而發(fā)現(xiàn)系統(tǒng)中曾發(fā)生過(guò)的Email交流、Internet瀏覽及文件上傳下載等活動(dòng)，以及與特定領(lǐng)域相關(guān)的信息。4結(jié)語(yǔ)針對(duì)計(jì)算機(jī)取證流程，本文對(duì)其中證據(jù)固定和數(shù)據(jù)分析兩個(gè)技術(shù)點(diǎn)做了詳細(xì)討論，對(duì)不同環(huán)境和類型的電子證據(jù)給出了詳細(xì)的證據(jù)固定方案，歸納了目前主要的數(shù)據(jù)分析方法和工具。由于自身的局限性和