計算機取證的研究現(xiàn)狀分析

1、 計算機取證的研究現(xiàn)狀分析 丁麗萍（中國科學院軟件研究所基礎軟件國家工程研究中心，北京100190）Reference：本文從技術和法律相結(jié)合的角度對于國內(nèi)外計算機取證的研究現(xiàn)狀進行了總結(jié)和分析。以電子證據(jù)的來源為標準，計算機取證技術可分為：單機取證技術、網(wǎng)絡取證技術和相關設備取證技術。而以計算機取證的過程為標準，計算機取證技術可以分為：電子證據(jù)的發(fā)現(xiàn)技術、固定技術、提取技術、分析技術和表達技術等。本文結(jié)合這兩種分類，全面地分析了計算機取證這一領域的技術法律研究現(xiàn)狀，提出了目前存在的問題和解決問題的建議。Keys：計算機取證；研究現(xiàn)狀；技術；工具；理論TP393.08 ：A網(wǎng)絡和計算機是一把雙

2、刃劍，在為人們的生活和工作帶來便利的同時，也為犯罪提供了機會和便利。近年來，國內(nèi)外計算機犯罪呈明顯上升趨勢，已經(jīng)嚴重威脅到了國家和合法公私財產(chǎn)的安全。而且，與其他犯罪相比，計算機犯罪所造成的損失要嚴重得多。據(jù)統(tǒng)計，平均每起計算機犯罪造成的損失高達45萬美元，而傳統(tǒng)的銀行欺詐與侵占案平均損失只有1.9萬美元，銀行搶劫案的平均損失不過4900美元，一般搶劫案的平均損失僅370美元。與財產(chǎn)損失相比，利用計算機進行恐怖活動等犯罪更為可怕，“一場電子戰(zhàn)的珍珠港事件時時都有可能發(fā)生”。計算機犯罪給公私財產(chǎn)造成的嚴重損失和為國家安全、社會治安帶來的嚴重威脅以及這種犯罪采取的特殊手段，給計算機犯罪偵查取證領域

3、的研究提供了機遇也提出了挑戰(zhàn)，引起了國內(nèi)外學術界的關注。如何及時發(fā)現(xiàn)并獲取犯罪分子作案的電子證據(jù)，懲治犯罪分子，警示民眾，保障國家和公民財產(chǎn)的安全，維護國家安全和社會治安穩(wěn)定已成為亟待研究的課題。1 計算機取證概念分析計算機取證(C。mputer Forensics)也稱為電子取證（Digital Forensics）等，是計算機科學與技術和法學的交叉學科，是指科學地運用提取和證明方法，對于從電子數(shù)據(jù)源提取的電子證據(jù)進行保護( Preservation)、收集(Collection)、驗證(Validation)、鑒定( Identification)、分析(Analysis)、解釋(Inte

4、rpetation)、存檔(documentation)和出示(Presentation)，以有助于進一步的犯罪事件重構(gòu)或者幫助分析某些與計劃操作無關的非授權性活動。計算機取證作為一個較新的研究領域，無論在硬件設備制造，還是在軟件系統(tǒng)的研發(fā)方面都取得了一定的進展。這對于有效地打擊犯罪，保護公私財產(chǎn)的安全都發(fā)揮了很好的作用。2005年頒布的中華人民共和國電子簽名法21正式確定了電子證據(jù)在我國的法律地位。由于電子證據(jù)是用來證明犯罪事實的存在與否的，并且其具有易偽造和損毀的特點。因而，為了保證電子證據(jù)符合法律規(guī)定的可采用性標準，電子證據(jù)的獲取與分析都要遵循嚴格的過程、使用可信的工具并把整個操作過程記

5、錄下來形成一個證據(jù)鏈。如果計算機取證過程操作不當，取證工具質(zhì)量低劣或者功能欠缺會直接影響到電子證據(jù)的可獲取性及獲取的電子證據(jù)的質(zhì)量。因此，研究電子證據(jù)的發(fā)現(xiàn)、固定、提取和鑒定應該遵循的程序和步驟，制定用于取證的相關技術和產(chǎn)品的檢測標準，具有重要意義。以電子證據(jù)的來源為標準，計算機取證技術可分為：單機取證技術、網(wǎng)絡取證技術和相關設備取證技術。而以計算機取證的過程為標準，計算機取證技術可以分為：電子證據(jù)的發(fā)現(xiàn)技術、固定技術、提取技術、分析技術和表達技術等。2 計算機取證技術的發(fā)展現(xiàn)狀2.1電子證據(jù)發(fā)現(xiàn)技術電子證據(jù)的發(fā)現(xiàn)就是通過偵查和現(xiàn)場勘察搜集最原始的證據(jù)數(shù)據(jù)。電子證據(jù)的發(fā)現(xiàn)技術實際上屬于偵查技術

6、。可以把一般的偵查技術與計算機技術相結(jié)合進行研究。這方面的研究包括取證專用的IDS（Intrusion Detection System，入侵檢測系統(tǒng)）、網(wǎng)絡線索自動挖掘技術、溯源技術、數(shù)據(jù)過濾、磁盤鏡像技術等等。根據(jù)電子證據(jù)的來源不同，電子證據(jù)的發(fā)現(xiàn)可以分為網(wǎng)絡證據(jù)的發(fā)現(xiàn)、單機證據(jù)的發(fā)現(xiàn)和相關設備證據(jù)的發(fā)現(xiàn)。網(wǎng)絡證據(jù)的發(fā)現(xiàn)技術包括基于非數(shù)字取證方法的電子證據(jù)現(xiàn)場勘查和發(fā)現(xiàn)模式。取證專用IDS是把一般的IDS的規(guī)則庫或入侵行為特征庫按照法律法規(guī)的規(guī)定改成電子證據(jù)規(guī)則和有關的犯罪行為特征庫，在此基礎上再做一些改進就可以用于計算機取證。作者曾經(jīng)撰文論述了Web數(shù)據(jù)挖掘技術在電子證據(jù)發(fā)現(xiàn)中的應用，設

7、計了基于Agent的Web證據(jù)發(fā)現(xiàn)模型框架。網(wǎng)絡證據(jù)的溯源主要是有關地址的定位技術，我國的吉林大學正在進行這方面的研究（網(wǎng)絡逆向追蹤研究）。中科院軟件所的基于網(wǎng)絡文件系統(tǒng)的網(wǎng)絡監(jiān)控技術也可以用于電子證據(jù)的發(fā)現(xiàn)。有些學者提出了利用反病毒引擎的計算機取證。還有的提出了_一種計算機取證協(xié)議STOP(Session Token Protocol)的設計。該協(xié)議是一種專用的取證協(xié)議，為網(wǎng)絡證據(jù)的實時獲取奠定了基礎。單機證據(jù)的發(fā)現(xiàn)一般就是指硬盤上的證據(jù)的發(fā)現(xiàn)技術。人們在研究計算機取證之初就已經(jīng)意識到電子證據(jù)的隱蔽性和易篡改性，因而要求電子證據(jù)的分析處理必須在原始證據(jù)的備份上進行。所以，可疑硬盤的逐字節(jié)備份

8、成了關鍵技術。目前的磁盤鏡像技術已經(jīng)很成熟，有的磁盤拷貝機的速度已經(jīng)達到3.3GB/分鐘以上。很多論文都論述了磁盤鏡像的原理和重要性。單機證據(jù)的溯源技術是要發(fā)現(xiàn)計算機的使用者、軟件的開發(fā)者和使用者等。相關設備中的證據(jù)包括PDA、有關的存儲設備、手機SIM卡、打印機、傳真機以及其它各種數(shù)碼設備存儲器中的證據(jù)。這些設備的取證主要是拷貝和鏡像技術的應用。目前被廣泛使用的取證軟件Encase也實現(xiàn)了以上相關設備中數(shù)據(jù)的獲取。有專家提出了_一種通過使用數(shù)字水印芯片( Wartermarking Chip)和加密技術提取拍攝者的視網(wǎng)膜特征和所拍攝的照片，從而從數(shù)碼相機中提取證據(jù)和形成證據(jù)監(jiān)督鏈的方法。2.

9、2電子證據(jù)固定技術計算機取證的難點之一是證明取證人員所搜集到的證據(jù)沒有被修改過。電子證據(jù)的固定主要是解決證據(jù)的完整性驗證。即通過數(shù)字簽名和見證人簽名等保證現(xiàn)場勘察和偵查獲得數(shù)據(jù)的完整性和真實性。例如，美國取證專家采用的加密技術、時間戳技術和電子指紋技術等都可以產(chǎn)生證據(jù)監(jiān)督鏈以證實電子證據(jù)的真實完整性。另外，國內(nèi)外有些學者提出了用某些監(jiān)控軟件進行取證過程的全程審計監(jiān)督，但這種方法占用系統(tǒng)資源，效率很低。我國的電子證據(jù)鑒定審計系統(tǒng)就是在電子證據(jù)鑒定系統(tǒng)中模擬會計的審計工作，對電子證據(jù)鑒定系統(tǒng)的活動進行監(jiān)視和記錄的一種安全審計、監(jiān)控與管理技術。運用電子證據(jù)鑒定審計技術的目的就是對取證計算機的一系列取

10、證步驟和過程進行自動記錄，制作報告，實現(xiàn)安全審計、監(jiān)控與管理。這一電子證據(jù)的審計監(jiān)管功能由操作系統(tǒng)層次的審計系統(tǒng)和應用軟件層次的審計系統(tǒng)共同完成，兩者互相配合、互為補充。另外，由于證據(jù)的有效性依賴于證據(jù)固定和分析系統(tǒng)的科學性，因此，證據(jù)固定技術的標準化也是固定層的研究重點。目前，美國已針對用于證據(jù)固定的軟件和硬件制定了詳細的標準。2.3電子證據(jù)提取技術證據(jù)的提取本質(zhì)上就是從眾多的未知和不確定性中找到確定性的東西，通過數(shù)據(jù)恢復、殘缺數(shù)據(jù)提取、解碼、解密、過濾等技術將原始數(shù)據(jù)表達成可以理解的數(shù)據(jù)。取證人員面對的是各種互不相同的案件，有些甚至不是刑法定義的計算機犯罪而是其他犯罪（如詐騙、殺人等）種類

11、。從這種意義上看，計算機取證應該不僅僅是計算機犯罪證據(jù)的獲取。提取層的研究應該包括：1)全面獲取證據(jù)數(shù)據(jù)源，即恢復和提取被刪除的數(shù)據(jù)、被部分覆蓋以及以特殊方式存儲的殘缺數(shù)據(jù)。有些文獻指出，采用適當?shù)募夹g可以恢復被覆蓋了七次以上的數(shù)據(jù)。但一般認為磁盤數(shù)據(jù)恢復只能恢復那些沒有被其他數(shù)據(jù)覆蓋過的數(shù)據(jù)。數(shù)據(jù)恢復技術主要用于把犯罪嫌來自wwW.L疑人刪除或者通過格式化磁盤擦除的數(shù)據(jù)恢復出來。使用國際取證專家普遍看好的取證軟件TCT( The Coronors Toolkit)和Encase等可以很容易地把這些數(shù)據(jù)恢復出來。即使使用安全刪除工具刪除的數(shù)據(jù)也會留有痕跡，就像人們在紙上用鉛筆寫字又用橡皮擦除后

12、總會在紙上留下痕跡一樣，擦除一個磁道的數(shù)據(jù)時留下的邊緣數(shù)據(jù)和被覆蓋后仍留下的痕跡稱為影子數(shù)據(jù)( Shadow Data)?？梢允褂锰厥獾碾娮语@微鏡一比特一比特地恢復寫過多次的磁道上的這些影子數(shù)據(jù)。目前，國外這種數(shù)據(jù)恢復服務公司或機構(gòu)已經(jīng)存在，如Ontrack公司，Ibas挪威實驗室等。反向工程技術有分析目標主機上可疑程序的作用，從而獲取犯罪線索或者可疑程序的操作結(jié)果證據(jù)。但目前這方面的工具很少。2)過濾，過濾的目的是要提取出需要分析的數(shù)據(jù)或者進行專題信息挖掘、軟件殘留痕跡自動分析等。在計算機取證的分析階段往往使用搜索技術進行相關數(shù)據(jù)信息的查找。這些源信息可以是文本、圖片、音頻或視頻。這方面的技

13、術主要有：數(shù)據(jù)過濾技術、數(shù)據(jù)挖掘技術等。比較成熟的軟件工具有美國的NTI(New Technologies Inc.) (http:/www)公司的系列取證工具中的Filter、Encase、TCT等。3)解碼，即將數(shù)據(jù)表達成分析人員能夠理解的形式。包括解密、隱藏信息的提取、元數(shù)據(jù)( metadata)解碼、普通編碼數(shù)據(jù)的解碼等。取證在很多情況下都面臨著如何將加密的數(shù)據(jù)進行解密的問題。目前的加密解密算法及工具很多，計算機取證中使用的與密碼破解相關的技術和方法主要有：1)密碼分析技術，這一技術需要取證專家具有密碼學專業(yè)領域的知識，目前的軟件工具并不實用。2)密碼破解技術，包括口令字典、重點猜測、

14、窮舉破解等方法。其中口令字典是常用的方法?？诹钭值湟话闶腔谲浖?，而且已經(jīng)有了多種字典可供使用。目前基于字典的口令破解軟件包括專門用于Office文件的破解工具AOPR( Advanced Office Password Recovery)等，這些軟件的破解效率很高。國內(nèi)外普遍使用的密碼破解工具是可以破解多種文件類型的分布式密碼破解系統(tǒng)( Dstributed Network Attrack，DNA)。3)口令搜索，包括物理搜索（在計算機四周搜查可能有口令的地方）、邏輯搜索（在文檔或電子郵件中搜索明文口令）和網(wǎng)絡竊聽（從網(wǎng)絡中捕獲明文口令）。4)口令提取，許多Windows口令都以明文的形式

15、存儲在注冊表或其他指定的位置，我們可以從注冊表中或指定的位置提取口令。5)口令恢復，使用密鑰恢復機制可以從高級管理員那里獲得口令。比較典型的Windows開機口令恢復（或稱口令繞過）工具是WindowsKey。2.4電子證據(jù)分析技術分析證據(jù)是計算機取證的核心和關鍵。即通過關聯(lián)分析證實信息的存在、信息的來源以及信息的傳播途徑，重構(gòu)犯罪行為、動機以及嫌疑人特征。證據(jù)分析的內(nèi)容包括：分析計算機的類型；采用的操作系統(tǒng)，是否為多操作系統(tǒng)或有無隱藏的分區(qū)；有無可疑外設；有無遠程控制、木馬程序及當前計算機系統(tǒng)的網(wǎng)絡環(huán)境。注意分析過程的開機、關機過程，盡可能避免正在運行的進程數(shù)據(jù)丟失或可能存在的不可逆轉(zhuǎn)的刪除

16、程序。分析在磁盤的特殊區(qū)域中發(fā)現(xiàn)的所有相關數(shù)據(jù)。獲得文件被增、刪、改、復制前的痕跡。通過將收集的程序、數(shù)據(jù)和備份與當前運行的程序數(shù)據(jù)進行對比，發(fā)現(xiàn)篡改痕跡。通過該計算機的所有者或電子簽名、密碼、交易記錄、回郵信箱、郵件發(fā)送服務器的日志、上網(wǎng)IP等計算機特有信息識別體，結(jié)合全案其他證據(jù)進行綜合分析審查。電子證據(jù)的分析還包括電子證據(jù)同其他證據(jù)的相互印證、相互聯(lián)系和綜合分析。2.5電子證據(jù)表達技術電子證據(jù)表達技術就是把對目標計算機系統(tǒng)的全面分析和追蹤結(jié)果進行匯總，然后給出分析結(jié)論。結(jié)論的內(nèi)容應包括：系統(tǒng)的整體情況，發(fā)現(xiàn)的文件結(jié)構(gòu)、數(shù)據(jù)、作者的信息，對信息的任何隱藏、刪除、保護、加密企圖，以及在調(diào)查中

17、發(fā)現(xiàn)的其它的相關信息。在鑒定結(jié)論中應該標明提取時間、地點、機器、提取人及見證人。然后以規(guī)定的形式按照合法的程序提交給司法機關。3 計算機取證工具的發(fā)展現(xiàn)狀計算機取證的工具包括：1)硬件工具，計算機取證的硬件主要集中在對可疑硬盤數(shù)據(jù)的克隆、硬盤數(shù)據(jù)的擦除、一些取證接口機器轉(zhuǎn)換裝置和網(wǎng)絡監(jiān)控器等。國內(nèi)外的取證硬件產(chǎn)品主要有：便攜式取證機、硬盤克隆機、硬盤只讀鎖、通用取證接口套件、網(wǎng)絡計算機取證系統(tǒng)、分布式密碼破解系統(tǒng)等有關產(chǎn)品。在國外，特別是美國，取證產(chǎn)品琳瑯滿目，專業(yè)公司也比比皆是。比較，流行的取證硬件產(chǎn)品有美國Logigube公司的計算機取證和硬盤復制工具，這些工具得到了美國政府的認可，其產(chǎn)品曾用于“911”事件、印尼巴厘島爆炸案等案件的證據(jù)搜集工作。而國內(nèi)的硬盤克隆和取證系來自w列產(chǎn)品也已達到國際先進水平。2)軟件工具，計算機取證相關軟件工具歸納起來主要有：文件瀏覽器，證據(jù)分析工具，圖片檢查工具，反刪除工具等。我國近年來也開始了計算機取證工具軟件的研發(fā)，比較有代表性的是廈門市美亞柏科信息股份有限公司，該公司的產(chǎn)品已經(jīng)得到了公安部的認可。他們的軟件產(chǎn)品主要有電子數(shù)據(jù)司法鑒定審計監(jiān)管系統(tǒng)等。他們提出了電子證據(jù)鑒定實驗室的可行的配置方案，目前正在推廣。我國安天實驗室的AGBE SDK是面向安全廠商和軟件開