電子取證技術(shù)的三大方向

電子取證技術(shù)的三大方向反取證研究計(jì)算機(jī)取證是對計(jì)算機(jī)犯罪證據(jù)的識(shí)別獲取、傳輸、保存、分析和提交認(rèn)證過程，實(shí)質(zhì)是一個(gè)詳細(xì)掃描計(jì)算機(jī)系統(tǒng)以及重建入侵事件的過程。國內(nèi)外計(jì)算機(jī)取證應(yīng)用發(fā)展概況現(xiàn)在美國至少有70%的法律部門擁有自己的計(jì)算機(jī)取證實(shí)驗(yàn)室，取證專家在實(shí)驗(yàn)室內(nèi)分析從犯罪現(xiàn)場獲取的計(jì)算機(jī)(和外設(shè))，并試圖找出入侵行為。在國內(nèi)，公安部門打擊計(jì)算機(jī)犯罪案件是近幾年的事，有關(guān)計(jì)算機(jī)取證方面的研究和實(shí)踐才剛起步。中科院主攻取證機(jī)的開發(fā)，浙江大學(xué)和復(fù)旦大學(xué)在研究取證技術(shù)、吉林大學(xué)在網(wǎng)絡(luò)逆向追蹤，電子科技大學(xué)在網(wǎng)絡(luò)誘騙、北京航空航天大學(xué)在入侵誘騙模型等方面展開了研究工作。但還沒有看到相關(guān)的階段性成果報(bào)道。計(jì)算機(jī)取證的局限性以及面臨的問題計(jì)算機(jī)取證的理論和軟件工具是近年來計(jì)算機(jī)安全領(lǐng)域內(nèi)取得的重大成就，從計(jì)算機(jī)取證的軟件和工具實(shí)現(xiàn)過程的分析中可以發(fā)現(xiàn)，當(dāng)前計(jì)算機(jī)取證技術(shù)還存在很大局限性。從理論上講，計(jì)算機(jī)取證人員能否找到犯罪證據(jù)取決于：有關(guān)犯罪證據(jù)必須沒有被覆蓋;取證軟件必須能找到這些數(shù)據(jù);取證人員能知道這些文件，并且能證明它們與犯罪有關(guān)，從當(dāng)前軟件的實(shí)現(xiàn)情況來看，許多所謂的“取證分析”軟件還僅僅是恢復(fù)使用rm或strip命令刪除的文件。計(jì)算機(jī)取證所面臨的問題是入侵者的犯罪手段和犯罪技術(shù)的變化：(1)反取證技術(shù)的發(fā)展。反取證就是刪除或隱藏證據(jù)使取證調(diào)查失效。反取證技術(shù)分為3類：數(shù)據(jù)擦除、數(shù)據(jù)隱藏和數(shù)據(jù)加密，這些技術(shù)還可以結(jié)合起來使用，讓取證工作的效果大打折扣。(2)NestWatch、NetTracker、LogSurfer、VBStats，NetLog和Analog等工具可以對日志進(jìn)行分析，以得到入侵者的蛛絲馬跡。一些入侵者利用RootKit(系統(tǒng)后門、木馬程序等)繞開系統(tǒng)日志，一旦攻擊者獲得了Root權(quán)限，就可以輕易修改或破壞或刪除操作系統(tǒng)的日志。計(jì)算機(jī)取證軟件局限性表現(xiàn)為：(1)目前開發(fā)的取證軟件的功能主要集中在磁盤分析上，如磁盤映像拷貝，被刪除數(shù)據(jù)恢復(fù)和查找等工具軟件開發(fā)研制。其它取證工作依賴于取證專家人工進(jìn)行，也造成了計(jì)算機(jī)取證等同于磁盤分析軟件的錯(cuò)覺。(2)現(xiàn)在計(jì)算機(jī)取證是一個(gè)新的研究領(lǐng)域，許多組織、公司都投入了大量人力進(jìn)行研究。但沒有統(tǒng)一標(biāo)準(zhǔn)和規(guī)范，軟件的使用者很難對這些工具的有效性和可靠性進(jìn)行比較。也沒有任何機(jī)構(gòu)對計(jì)算機(jī)取證和工作人員進(jìn)行認(rèn)證，使得取證權(quán)威性受到質(zhì)疑。計(jì)算機(jī)取證發(fā)展研究計(jì)算機(jī)取證技術(shù)隨著黑客技術(shù)提高而不斷發(fā)展，為確保取證所需的有效法律證據(jù)，根據(jù)目前網(wǎng)絡(luò)入侵和攻擊手段以及未來黑客技術(shù)的發(fā)展趨勢，以及計(jì)算機(jī)取證研究工作的不斷深入和改善，計(jì)算機(jī)取證將向以下幾個(gè)方向發(fā)展：取證工具向智能化、專業(yè)化和自動(dòng)化方向發(fā)展