《信息安全原理與實踐教程》課件第9章

第9章計算機取證技術

9.1計算機取證技術概述

9.2計算機取證的過程

9.3BitSureⅠ現(xiàn)場勘驗取證系統(tǒng)的使用

9.4FinalForensics的使用

9.5小結

9.1計算機取證技術概述計算機取證(ComputerForensics)這個名詞是由TheInternationalAssociationofComputerInvestigativeSpecialists(IACIS)在1991年首次提出的。目前還沒有權威組織給出一個統(tǒng)一的定義，很多專業(yè)人士和機構從不同的角度給出了計算機取證的定義。LeeGarber在IEEEsecurity發(fā)表的文章中認為，計算機取證是分析硬盤、光盤、軟盤、Zip和Jazz磁盤、內存緩沖以及其他形式的存儲介質以發(fā)現(xiàn)犯罪證據(jù)的過程。計算機取證專業(yè)資深人士JuddRobins指出：計算機取證不過是簡單地將計算機調查和分析技術應用于對潛在的、有法律效力的證據(jù)的確定與獲取上的。計算機緊急事件響應組CERT和取證咨詢公司NTI(NewTechnologiesIncorporated)進一步擴展了該定義：計算機取證包括了對以磁盤介質編碼信息方式存儲的計算機證據(jù)的保護、確認、提取和歸檔。SANS公司給出了如下定義：計算機取證是使用工具和軟件，按照一些預先定義的程序，全面地檢查計算機系統(tǒng)，以提取和保護有關計算機犯罪的證據(jù)。取證專家ReithClintMark認為計算機取證可以是從計算機中收集和發(fā)現(xiàn)證據(jù)的技術和工具。參考一般取證的含義，關注計算機取證本質層面的意義，綜合起來，我們認為計算機取證是運用計算機及其相關科學和技術的原理與方法，獲取與計算機相關的證據(jù)以證明某個客觀事實的過程。它包括對計算機證據(jù)的確定、收集、保護、分析、歸檔以及法庭出示。

9.2計算機取證的過程計算機取證可以說是計算機調查人員與利用計算機作案的犯罪分子的一場沒有硝煙的戰(zhàn)爭，更多的是斗智的過程。9.2.1計算機取證的準備計算機取證準備階段的兩個必要過程：

1.計算機取證人員培訓計算機犯罪是一種新型犯罪，犯罪手段與以往的傳統(tǒng)犯罪有所不同，計算機在整個犯罪過程中起到重要的作用。國外開設了針對計算機取證的相關課程，目的是培養(yǎng)針對計算機犯罪的計算機調查人員。在此領域比較著名的是美國NewTechnologiesInc.公司(NTI)，它在1996年由國際知名的計算機取證和計算機安全領域的專家組織成立，是目前最大的取證設備制造和銷售企業(yè)。NTI公司提供完善的計算機取證培訓。?培訓覆蓋了計算機取證理論、方法和過程。培訓課程幾乎包括計算機取證所需要的所有知識。

2.計算機取證工具計算機取證工作需要一些相應的工具軟件和設備來支持，隨著問題越來越復雜，將來還需要自動化程度更高的取證工具。這些工具既包括操作系統(tǒng)中已經(jīng)存在的一些命令行工具，也包括專門開發(fā)的工具軟件和取證工具包。在進行電子證據(jù)收集之前，要對計算機硬件進行常規(guī)取證，目的是獲取收集數(shù)字信息的設備，所需的工具必須要滿足整個設備的收集過程，包括：存檔、收集、封裝和運輸。

在取證過程中，數(shù)據(jù)獲取和分析工具是計算機取證工具包中最基本、最重要的工具。在選用有的系統(tǒng)命令和工具軟件作為取證工具之前，首先要驗證所選用的工具能否滿足要求，即需要準確地核實工具的用途，判定它的輸出是否可信以及確定如何操作這個工具。這種驗證對于確保計算機系統(tǒng)內部信息的正確提取十分重要。通常我們需要證據(jù)獲取工具、證據(jù)保全工具、證據(jù)分析工具、證據(jù)歸檔工具這四種取證工具。9.2.2計算機取證的步驟由于電子證據(jù)的獨特性，因此，在進行取證的時候，證據(jù)必須要盡早搜集，并保證“證據(jù)的連續(xù)性”。整個檢查取證過程必須是受到監(jiān)督的。計算機取證的一般流程如下：第1步：保護目標計算機系統(tǒng)。計算機取證時首先必須凍結目標計算機系統(tǒng)，保護可疑計算機中可能含有的數(shù)字證據(jù)。避免出現(xiàn)任何更改系統(tǒng)設置、損壞硬件、破壞數(shù)據(jù)或病毒感染等情況。

第2步：確定電子證據(jù)。在計算機存儲介質容量越來越大的情況下，必須根據(jù)系統(tǒng)的破壞程度，在海量數(shù)據(jù)中區(qū)分哪些是電子證據(jù)，哪些是無用證據(jù)。要尋找那些由犯罪嫌疑人留下的活動記錄作為電子證據(jù)，確定這些記錄的存放位置和存儲方式。第3步：收集電子證據(jù)。獲取存儲在可疑計算機上的潛在數(shù)字證據(jù)，保證所有的證據(jù)都沒有被破壞。對目標計算機系統(tǒng)磁盤中的所有數(shù)據(jù)進行備份，備份后可對電子證據(jù)進行處理，如果將來出現(xiàn)對收集的電子證據(jù)的疑問時，可通過鏡像備份的數(shù)據(jù)將目標系統(tǒng)恢復到原始狀態(tài)。第4步：保護電子證據(jù)。將調查取證的數(shù)據(jù)鏡像備份介質貼上封條存放在安全的地方。對獲取的電子證據(jù)采用安全措施保護，無關人員不得操作存放電子證據(jù)的計算機。不輕易刪除或修改文件以免導致有價值的證據(jù)文件的永久丟失。第5步：傳輸證據(jù)。有些數(shù)字證據(jù)如果采用網(wǎng)絡進行傳輸，則必須保證傳輸?shù)陌踩浴５?步：分析證據(jù)。結合各種工具軟件對所收集的證據(jù)進行分析，從中找出合法的、有效的證據(jù)。第7步：歸檔。對涉及計算機犯罪的日期和時間、硬盤的分區(qū)情況、操作系統(tǒng)和版本、運行取證工具時數(shù)據(jù)和操作系統(tǒng)的完整性、計算機病毒評估情況、文件種類、軟件許可證以及取證專家對電子證據(jù)的分析結果和評估報告等進行歸檔處理，形成能提供給法庭的呈堂證據(jù)。另外，在處理電子證據(jù)的過程中，為保證數(shù)據(jù)的可信度，必須確保證據(jù)的連續(xù)性，對各個步驟的情況進行歸檔，包括收集證據(jù)的地點、日期、時間、人員、方法及理由等，以使證據(jù)經(jīng)得起法庭的質詢。調查人員在收集、保護和分析電子證據(jù)的時候，每一個步驟都必須填寫證據(jù)保全表格。9.2.3對現(xiàn)場取證的評估

1.確定取證的范圍為了確定后面的具體行動，應當對計算機取證的現(xiàn)場范圍進行徹底的評估。首先要通過搜查令或其他授權，根據(jù)案件的細節(jié)、硬件和軟件系統(tǒng)的性質、潛在證據(jù)以及整個獲取證據(jù)現(xiàn)場的環(huán)境來確定哪些證據(jù)將要進行重點檢查。計算機調查人員不一定是第一時間到達現(xiàn)場，可能有前期的現(xiàn)場調查人員已經(jīng)對現(xiàn)場進行常規(guī)的調查。

2.界定電子證據(jù)如今電子證據(jù)可以連接到用戶計算機的很多其他外設上獲取，而不是單純地只是盯著計算機來尋找電子證據(jù)。潛在證據(jù)，是指通常在可以存儲數(shù)據(jù)的硬件驅動器、存儲設備或媒體中被發(fā)現(xiàn)的數(shù)據(jù)證據(jù)。計算機調查員應該對所有可能成為證據(jù)的設備有詳細的了解。許多電子設備都有存儲器，并且這些存儲器需要持續(xù)的電源來保證內部的數(shù)據(jù)不會丟失。所以要注意數(shù)據(jù)很容易在取下電池或拔下電源時而丟失。各種潛在證據(jù)通常情況下存儲于計算機系統(tǒng)、數(shù)碼相機、手持設備(PDA等)、移動存儲設備、網(wǎng)絡部件、打印機、復印機、掃描儀和傳真機等設備中。在某一案件中不一定會出現(xiàn)以上所有的設備。但是計算機調查人員進入現(xiàn)場后應該首先留意以上設備，這些是數(shù)字犯罪的證據(jù)收集中的常見設備。由于技術的進步可能會在犯罪現(xiàn)場出現(xiàn)更新的設備，這就要求計算機調查人員在平時要多了解一些新的數(shù)字設備，熟悉這些數(shù)字設備的功能，這樣會提高在犯罪現(xiàn)場識別潛在證據(jù)的能力。9.3BitSureⅠ現(xiàn)場勘驗取證系統(tǒng)的使用曾有知名犯罪學家預言：“在未來的信息化社會，犯罪的形式將主要是計算機網(wǎng)絡犯罪”。在我國，執(zhí)法機構借助數(shù)據(jù)恢復、計算機取證技術破獲的案件數(shù)不勝數(shù)。但隨著計算機網(wǎng)絡犯罪發(fā)案率逐年攀升，對司法機構的數(shù)據(jù)恢復、計算機取證等技術也將提出更高要求，相關機構必須更新數(shù)據(jù)恢復、計算機取證技術，配置更高級的計算機取證設備才能應對更大的挑戰(zhàn)。下面介紹重慶愛思網(wǎng)安信息技術有限公司自主研發(fā)的BitSureⅠ現(xiàn)場勘驗取證系統(tǒng)，該產(chǎn)品前期技術研究是公安部立項的科研項目，并已經(jīng)通過項目驗收(該項目驗收結論是：填補了國內空白)。該產(chǎn)品核心技術已經(jīng)申請多項國家發(fā)明專利，是目前國內唯一具有電子數(shù)據(jù)取證與調查過程強審計功能的勘驗取證產(chǎn)品。

1.實驗目的掌握BitSureⅠ現(xiàn)場勘驗取證系統(tǒng)的取證過程。

2.實驗環(huán)境基于WindowsXP或Windows2003等的操作系統(tǒng)、BitSureⅠ現(xiàn)場勘驗取證系統(tǒng)。

3.實驗內容

BitSureⅠ現(xiàn)場勘驗取證系統(tǒng)是一套高集成、易攜帶、高效率的電子數(shù)據(jù)提取與分析設備，專為司法取證與調查用途而設計。它具有硬件防差錯設計，一體化結構抗干擾能力強；數(shù)據(jù)位對位(Bit-to-bit)精確復制；底層獨立硬件保護原始盤和分析盤的數(shù)據(jù)安全(數(shù)據(jù)硬件只讀保護)；審計信息貫穿整個數(shù)據(jù)拷貝和提取過程，全過程強審計設計的特點。BitSureⅠ現(xiàn)場勘驗取證系統(tǒng)原理圖如圖9.1所示。圖9.1BitSureⅠ現(xiàn)場勘驗取證系統(tǒng)原理圖

1)取證前的操作

(1)打開取證箱箱蓋，在審計鑰接口上插上審計鑰，USB口接上無線鼠標的接收器和分析軟件的加密狗。

(2)取出“原始盤”盒，選擇證據(jù)硬盤對應的接口板，將接口板插入卡座，按入定位楔整平，然后將證據(jù)硬盤放入托架，滑動硬盤使之與接口板連接在一起。

(3)保持“原始盤”盒的抽屜掛鉤垂直，將“原始盤”盒送入箱體，然后將抽屜掛鉤扣上。

(4)“復制盤”盒、“只讀盤”盒里的硬盤接入方式與上相同。

(5)先后打開“審計開關”和“電源開關”。

2)取證過程

(1)打開BitSureⅠ現(xiàn)場勘驗取證系統(tǒng)，其主界面如圖9.2所示。

(2)磁盤復制。BitSureⅠ現(xiàn)場勘驗取證系統(tǒng)磁盤復制界面如圖9.3所示。

(3)扇區(qū)提取。BitSureⅠ現(xiàn)場勘驗取證系統(tǒng)扇區(qū)提取界面如圖9.4所示。

圖9.2BitSureⅠ現(xiàn)場勘驗取證系統(tǒng)主界面圖9.3BitSureⅠ現(xiàn)場勘驗取證系統(tǒng)磁盤復制界面圖9.4BitSureⅠ現(xiàn)場勘驗取證系統(tǒng)扇區(qū)提取界面

(4)取證重現(xiàn)。BitSureⅠ現(xiàn)場勘驗取證系統(tǒng)取證重現(xiàn)界面如圖9.5所示。圖9.5BitSureⅠ現(xiàn)場勘驗取證系統(tǒng)取證重現(xiàn)界面

(5)證據(jù)驗證。BitSureⅠ現(xiàn)場勘驗取證系統(tǒng)證據(jù)驗證界面如圖9.6所示。圖9.6BitSureⅠ現(xiàn)場勘驗取證系統(tǒng)證據(jù)驗證界面

(6)文件提取。BitSureⅠ現(xiàn)場勘驗取證系統(tǒng)文件提取界面如圖9.7所示。圖9.7BitSureⅠ現(xiàn)場勘驗取證系統(tǒng)文件提取界面

(7)文件驗證。BitSureⅠ現(xiàn)場勘驗取證系統(tǒng)文件驗證界面如圖9.8所示。圖9.8BitSureⅠ現(xiàn)場勘驗取證系統(tǒng)文件驗證界面

(8)系統(tǒng)設置。

BitSureⅠ現(xiàn)場勘驗取證系統(tǒng)設置界面如圖9.9所示。①在系統(tǒng)設置頁面，可以選擇使用不同的串口。②點擊“使用串口”下拉菜單，選擇串口，然后點擊【應用設置】按鈕即修改成功。圖9.9BitSureⅠ現(xiàn)場勘驗取證系統(tǒng)設置界面

(9)系統(tǒng)日志。

BitSureⅠ現(xiàn)場勘驗取證系統(tǒng)日志界面如圖9.10所示。①在系統(tǒng)日志界面，記錄了對整個系統(tǒng)的操作，包括對證據(jù)提取的成功與否、取證重現(xiàn)的成功與否、證據(jù)驗證的結果、檢查設備信息等過程。②在查看審計記錄界面，記錄了審計操作過程及結果，包括證據(jù)提取、文件提取、扇區(qū)提取、取證重現(xiàn)、證據(jù)驗證及文件驗證等。

圖9.10BitSureⅠ現(xiàn)場勘驗取證系統(tǒng)日志界面

(10)報表設置。

BitSureⅠ現(xiàn)場勘驗取證系統(tǒng)報表設置界面如圖9.11所示。①點擊主界面上的“報表預覽”選項，可以對取證報告進行打印、預覽、輸出、設置操作。②在打印設置界面，可以自己定義報告標題及選擇輸出信息。圖9.11BitSureⅠ現(xiàn)場勘驗取證系統(tǒng)報表設置界面

4.注意事項在用BitSureⅠ現(xiàn)場勘驗取證系統(tǒng)時首先需要初始化審計鑰和復制盤，選擇主界面上的“初始化審計鑰”選項，可清除審計鑰中的信息。點擊圖9.2主界面上的“初始化復制盤”選項，即開始進行復制盤的初始化，將復制盤中的數(shù)據(jù)清除，如圖9.12所示。圖9.12BitSureⅠ現(xiàn)場勘驗取證系統(tǒng)磁盤數(shù)據(jù)清除界面9.4FinalForensics的使用

FinalForensics是重慶愛思網(wǎng)安信息技術有限公司代理的一款取證分析軟件。FinalForensics軟件基于FinalData公司強大的數(shù)據(jù)恢復平臺，是一款專業(yè)的計算機司法取證工具，各層次計算機取證人員均可使用，同時適用于計算機取證專家或是入門者。同時，F(xiàn)inalForensics還提供了電子取證分析所需的眾多工具。

FinalForensics有四個主要功能，即易于使用且強大的數(shù)據(jù)恢復功能、快速準確的搜索功能、數(shù)據(jù)恢復分析功能和郵件分析功能。

FinalForensics軟件有如下八大特征：

(1)具有能夠高效并行分析多個物理磁盤的功能。

(2)可同時生成多個磁盤或邏輯驅動器的鏡像。

(3)提供對Encase鏡像文件的兼容功能。

(4)預先計算和保存被選擇文件的哈希值，提供通過哈希函數(shù)快速查找定位所需文件的功能。

(5)在后臺運行磁盤/驅動器掃描搜索的同時，可以并行執(zhí)行各項分析操作。

(6)支持基于Unicode的多種語言分析操作。

(7)通過生成SHA-256/MD5哈希值，驗證磁盤的完整性。

(8)自動生成詳細的取證分析書面報告。

1.實驗目的使用FinalForensics進行數(shù)據(jù)恢復。

2.實驗環(huán)境基于WindowsXP或Windows2003等的操作系、FinalForensics軟件。

3.實驗內容

1)創(chuàng)建證據(jù)文件創(chuàng)建證據(jù)文件的目的是保持證據(jù)的完整性，用鏡像文件來代替物理證據(jù)媒介，對鏡像進行分析的功能。點擊“添加證據(jù)”菜單，打開“證據(jù)管理器”窗口?？赏ㄟ^“證據(jù)管理器”窗口對磁盤進行設置，如圖9.13所示。

圖9.13FinalForensics創(chuàng)建證據(jù)文件窗口

2)比較