《信息安全原理與實踐教程》課件第9章

第9章計算機取證技術(shù)

9.1計算機取證技術(shù)概述

9.2計算機取證的過程

9.3BitSureⅠ現(xiàn)場勘驗取證系統(tǒng)的使用

9.4FinalForensics的使用

9.5小結(jié)

9.1計算機取證技術(shù)概述計算機取證(ComputerForensics)這個名詞是由TheInternationalAssociationofComputerInvestigativeSpecialists(IACIS)在1991年首次提出的。目前還沒有權(quán)威組織給出一個統(tǒng)一的定義，很多專業(yè)人士和機構(gòu)從不同的角度給出了計算機取證的定義。LeeGarber在IEEEsecurity發(fā)表的文章中認為，計算機取證是分析硬盤、光盤、軟盤、Zip和Jazz磁盤、內(nèi)存緩沖以及其他形式的存儲介質(zhì)以發(fā)現(xiàn)犯罪證據(jù)的過程。計算機取證專業(yè)資深人士JuddRobins指出：計算機取證不過是簡單地將計算機調(diào)查和分析技術(shù)應(yīng)用于對潛在的、有法律效力的證據(jù)的確定與獲取上的。計算機緊急事件響應(yīng)組CERT和取證咨詢公司NTI(NewTechnologiesIncorporated)進一步擴展了該定義：計算機取證包括了對以磁盤介質(zhì)編碼信息方式存儲的計算機證據(jù)的保護、確認、提取和歸檔。SANS公司給出了如下定義：計算機取證是使用工具和軟件，按照一些預(yù)先定義的程序，全面地檢查計算機系統(tǒng)，以提取和保護有關(guān)計算機犯罪的證據(jù)。取證專家ReithClintMark認為計算機取證可以是從計算機中收集和發(fā)現(xiàn)證據(jù)的技術(shù)和工具。參考一般取證的含義，關(guān)注計算機取證本質(zhì)層面的意義，綜合起來，我們認為計算機取證是運用計算機及其相關(guān)科學(xué)和技術(shù)的原理與方法，獲取與計算機相關(guān)的證據(jù)以證明某個客觀事實的過程。它包括對計算機證據(jù)的確定、收集、保護、分析、歸檔以及法庭出示。

9.2計算機取證的過程計算機取證可以說是計算機調(diào)查人員與利用計算機作案的犯罪分子的一場沒有硝煙的戰(zhàn)爭，更多的是斗智的過程。9.2.1計算機取證的準備計算機取證準備階段的兩個必要過程：

1.計算機取證人員培訓(xùn)計算機犯罪是一種新型犯罪，犯罪手段與以往的傳統(tǒng)犯罪有所不同，計算機在整個犯罪過程中起到重要的作用。國外開設(shè)了針對計算機取證的相關(guān)課程，目的是培養(yǎng)針對計算機犯罪的計算機調(diào)查人員。在此領(lǐng)域比較著名的是美國NewTechnologiesInc.公司(NTI)，它在1996年由國際知名的計算機取證和計算機安全領(lǐng)域的專家組織成立，是目前最大的取證設(shè)備制造和銷售企業(yè)。NTI公司提供完善的計算機取證培訓(xùn)。?培訓(xùn)覆蓋了計算機取證理論、方法和過程。培訓(xùn)課程幾乎包括計算機取證所需要的所有知識。

2.計算機取證工具計算機取證工作需要一些相應(yīng)的工具軟件和設(shè)備來支持，隨著問題越來越復(fù)雜，將來還需要自動化程度更高的取證工具。這些工具既包括操作系統(tǒng)中已經(jīng)存在的一些命令行工具，也包括專門開發(fā)的工具軟件和取證工具包。在進行電子證據(jù)收集之前，要對計算機硬件進行常規(guī)取證，目的是獲取收集數(shù)字信息的設(shè)備，所需的工具必須要滿足整個設(shè)備的收集過程，包括：存檔、收集、封裝和運輸。

在取證過程中，數(shù)據(jù)獲取和分析工具是計算機取證工具包中最基本、最重要的工具。在選用有的系統(tǒng)命令和工具軟件作為取證工具之前，首先要驗證所選用的工具能否滿足要求，即需要準確地核實工具的用途，判定它的輸出是否可信以及確定如何操作這個工具。這種驗證對于確保計算機系統(tǒng)內(nèi)部信息的正確提取十分重要。通常我們需要證據(jù)獲取工具、證據(jù)保全工具、證據(jù)分析工具、證據(jù)歸檔工具這四種取證工具。9.2.2計算機取證的步驟由于電子證據(jù)的獨特性，因此，在進行取證的時候，證據(jù)必須要盡早搜集，并保證“證據(jù)的連續(xù)性”。整個檢查取證過程必須是受到監(jiān)督的。計算機取證的一般流程如下：第1步：保護目標計算機系統(tǒng)。計算機取證時首先必須凍結(jié)目標計算機系統(tǒng)，保護可疑計算機中可能含有的數(shù)字證據(jù)。避免出現(xiàn)任何更改系統(tǒng)設(shè)置、損壞硬件、破壞數(shù)據(jù)或病毒感染等情況。

第2步：確定電子證據(jù)。在計算機存儲介質(zhì)容量越來越大的情況下，必須根據(jù)系統(tǒng)的破壞程度，在海量數(shù)據(jù)中區(qū)分哪些是電子證據(jù)，哪些是無用證據(jù)。要尋找那些由犯罪嫌疑人留下的活動記錄作為電子證據(jù)，確定這些記錄的存放位置和存儲方式。第3步：收集電子證據(jù)。獲取存儲在可疑計算機上的潛在數(shù)字證據(jù)，保證所有的證據(jù)都沒有被破壞。對目標計算機系統(tǒng)磁盤中的所有數(shù)據(jù)進行備份，備份后可對電子證據(jù)進行處理，如果將來出現(xiàn)對收集的電子證據(jù)的疑問時，可通過鏡像備份的數(shù)據(jù)將目標系統(tǒng)恢復(fù)到原始狀態(tài)。第4步：保護電子證據(jù)。將調(diào)查取證的數(shù)據(jù)鏡像備份介質(zhì)貼上封條存放在安全的地方。對獲取的電子證據(jù)采用安全措施保護，無關(guān)人員不得操作存放電子證據(jù)的計算機。不輕易刪除或修改文件以免導(dǎo)致有價值的證據(jù)文件的永久丟失。第5步：傳輸證據(jù)。有些數(shù)字證據(jù)如果采用網(wǎng)絡(luò)進行傳輸，則必須保證傳輸?shù)陌踩浴５?步：分析證據(jù)。結(jié)合各種工具軟件對所收集的證據(jù)進行分析，從中找出合法的、有效的證據(jù)。第7步：歸檔。對涉及計算機犯罪的日期和時間、硬盤的分區(qū)情況、操作系統(tǒng)和版本、運行取證工具時數(shù)據(jù)和操作系統(tǒng)的完整性、計算機病毒評估情況、文件種類、軟件許可證以及取證專家對電子證據(jù)的分析結(jié)果和評估報告等進行歸檔處理，形成能提供給法庭的呈堂證據(jù)。另外，在處理電子證據(jù)的過程中，為保證數(shù)據(jù)的可信度，必須確保證據(jù)的連續(xù)性，對各個步驟的情況進行歸檔，包括收集證據(jù)的地點、日期、時間、人員、方法及理由等，以使證據(jù)經(jīng)得起法庭的質(zhì)詢。調(diào)查人員在收集、保護和分析電子證據(jù)的時候，每一個步驟都必須填寫證據(jù)保全表格。9.2.3對現(xiàn)場取證的評估

1.確定取證的范圍為了確定后面的具體行動，應(yīng)當對計算機取證的現(xiàn)場范圍進行徹底的評估。首先要通過搜查令或其他授權(quán)，根據(jù)案件的細節(jié)、硬件和軟件系統(tǒng)的性質(zhì)、潛在證據(jù)以及整個獲取證據(jù)現(xiàn)場的環(huán)境來確定哪些證據(jù)將要進行重點檢查。計算機調(diào)查人員不一定是第一時間到達現(xiàn)場，可能有前期的現(xiàn)場調(diào)查人員已經(jīng)對現(xiàn)場進行常規(guī)的調(diào)查。

2.界定電子證據(jù)如今電子證據(jù)可以連接到用戶計算機的很多其他外設(shè)上獲取，而不是單純地只是盯著計算機來尋找電子證據(jù)。潛在證據(jù)，是指通常在可以存儲數(shù)據(jù)的硬件驅(qū)動器、存儲設(shè)備或媒體中被發(fā)現(xiàn)的數(shù)據(jù)證據(jù)。計算機調(diào)查員應(yīng)該對所有可能成為證據(jù)的設(shè)備有詳細的了解。許多電子設(shè)備都有存儲器，并且這些存儲器需要持續(xù)的電源來保證內(nèi)部的數(shù)據(jù)不會丟失。所以要注意數(shù)據(jù)很容易在取下電池或拔下電源時而丟失。各種潛在證據(jù)通常情況下存儲于計算機系統(tǒng)、數(shù)碼相機、手持設(shè)備(PDA等)、移動存儲設(shè)備、網(wǎng)絡(luò)部件、打印機、復(fù)印機、掃描儀和傳真機等設(shè)備中。在某一案件中不一定會出現(xiàn)以上所有的設(shè)備。但是計算機調(diào)查人員進入現(xiàn)場后應(yīng)該首先留意以上設(shè)備，這些是數(shù)字犯罪的證據(jù)收集中的常見設(shè)備。由于技術(shù)的進步可能會在犯罪現(xiàn)場出現(xiàn)更新的設(shè)備，這就要求計算機調(diào)查人員在平時要多了解一些新的數(shù)字設(shè)備，熟悉這些數(shù)字設(shè)備的功能，這樣會提高在犯罪現(xiàn)場識別潛在證據(jù)的能力。9.3BitSureⅠ現(xiàn)場勘驗取證系統(tǒng)的使用曾有知名犯罪學(xué)家預(yù)言：“在未來的信息化社會，犯罪的形式將主要是計算機網(wǎng)絡(luò)犯罪”。在我國，執(zhí)法機構(gòu)借助數(shù)據(jù)恢復(fù)、計算機取證技術(shù)破獲的案件數(shù)不勝數(shù)。但隨著計算機網(wǎng)絡(luò)犯罪發(fā)案率逐年攀升，對司法機構(gòu)的數(shù)據(jù)恢復(fù)、計算機取證等技術(shù)也將提出更高要求，相關(guān)機構(gòu)必須更新數(shù)據(jù)恢復(fù)、計算機取證技術(shù)，配置更高級的計算機取證設(shè)備才能應(yīng)對更大的挑戰(zhàn)。下面介紹重慶愛思網(wǎng)安信息技術(shù)有限公司自主研發(fā)的BitSureⅠ現(xiàn)場勘驗取證系統(tǒng)，該產(chǎn)品前期技術(shù)研究是公安部立項的科研項目，并已經(jīng)通過項目驗收(該項目驗收結(jié)論是：填補了國內(nèi)空白)。該產(chǎn)品核心技術(shù)已經(jīng)申請多項國家發(fā)明專利，是目前國內(nèi)唯一具有電子數(shù)據(jù)取證與調(diào)查過程強審計功能的勘驗取證產(chǎn)品。

1.實驗?zāi)康恼莆誃itSureⅠ現(xiàn)場勘驗取證系統(tǒng)的取證過程。

2.實驗環(huán)境基于WindowsXP或Windows2003等的操作系統(tǒng)、BitSureⅠ現(xiàn)場勘驗取證系統(tǒng)。

3.實驗內(nèi)容

BitSureⅠ現(xiàn)場勘驗取證系統(tǒng)是一套高集成、易攜帶、高效率的電子數(shù)據(jù)提取與分析設(shè)備，專為司法取證與調(diào)查用途而設(shè)計。它具有硬件防差錯設(shè)計，一體化結(jié)構(gòu)抗干擾能力強；數(shù)據(jù)位對位(Bit-to-bit)精確復(fù)制；底層獨立硬件保護原始盤和分析盤的數(shù)據(jù)安全(數(shù)據(jù)硬件只讀保護)；審計信息貫穿整個數(shù)據(jù)拷貝和提取過程，全過程強審計設(shè)計的特點。BitSureⅠ現(xiàn)場勘驗取證系統(tǒng)原理圖如圖9.1所示。圖9.1BitSureⅠ現(xiàn)場勘驗取證系統(tǒng)原理圖

1)取證前的操作

(1)打開取證箱箱蓋，在審計鑰接口上插上審計鑰，USB口接上無線鼠標的接收器和分析軟件的加密狗。

(2)取出“原始盤”盒，選擇證據(jù)硬盤對應(yīng)的接口板，將接口板插入卡座，按入定位楔整平，然后將證據(jù)硬盤放入托架，滑動硬盤使之與接口板連接在一起。

(3)保持“原始盤”盒的抽屜掛鉤垂直，將“原始盤”盒送入箱體，然后將抽屜掛鉤扣上。

(4)“復(fù)制盤”盒、“只讀盤”盒里的硬盤接入方式與上相同。

(5)先后打開“審計開關(guān)”和“電源開關(guān)”。

2)取證過程

(1)打開BitSureⅠ現(xiàn)場勘驗取證系統(tǒng)，其主界面如圖9.2所示。

(2)磁盤復(fù)制。BitSureⅠ現(xiàn)場勘驗取證系統(tǒng)磁盤復(fù)制界面如圖9.3所示。

(3)扇區(qū)提取。BitSureⅠ現(xiàn)場勘驗取證系統(tǒng)扇區(qū)提取界面如圖9.4所示。

圖9.2BitSureⅠ現(xiàn)場勘驗取證系統(tǒng)主界面圖9.3BitSureⅠ現(xiàn)場勘驗取證系統(tǒng)磁盤復(fù)制界面圖9.4BitSureⅠ現(xiàn)場勘驗取證系統(tǒng)扇區(qū)提取界面

(4)取證重現(xiàn)。BitSureⅠ現(xiàn)場勘驗取證系統(tǒng)取證重現(xiàn)界面如圖9.5所示。圖9.5BitSureⅠ現(xiàn)場勘驗取證系統(tǒng)取證重現(xiàn)界面

(5)證據(jù)驗證。BitSureⅠ現(xiàn)場勘驗取證系統(tǒng)證據(jù)驗證界面如圖9.6所示。圖9.6BitSureⅠ現(xiàn)場勘驗取證系統(tǒng)證據(jù)驗證界面

(6)文件提取。BitSureⅠ現(xiàn)場勘驗取證系統(tǒng)文件提取界面如圖9.7所示。圖9.7BitSureⅠ現(xiàn)場勘驗取證系統(tǒng)文件提取界面

(7)文件驗證。BitSureⅠ現(xiàn)場勘驗取證系統(tǒng)文件驗證界面如圖9.8所示。圖9.8BitSureⅠ現(xiàn)場勘驗取證系統(tǒng)文件驗證界面

(8)系統(tǒng)設(shè)置。

BitSureⅠ現(xiàn)場勘驗取證系統(tǒng)設(shè)置界面如圖9.9所示。①在系統(tǒng)設(shè)置頁面，可以選擇使用不同的串口。②點擊“使用串口”下拉菜單，選擇串口，然后點擊【應(yīng)用設(shè)置】按鈕即修改成功。圖9.9BitSureⅠ現(xiàn)場勘驗取證系統(tǒng)設(shè)置界面

(9)系統(tǒng)日志。

BitSureⅠ現(xiàn)場勘驗取證系統(tǒng)日志界面如圖9.10所示。①在系統(tǒng)日志界面，記錄了對整個系統(tǒng)的操作，包括對證據(jù)提取的成功與否、取證重現(xiàn)的成功與否、證據(jù)驗證的結(jié)果、檢查設(shè)備信息等過程。②在查看審計記錄界面，記錄了審計操作過程及結(jié)果，包括證據(jù)提取、文件提取、扇區(qū)提取、取證重現(xiàn)、證據(jù)驗證及文件驗證等。

圖9.10BitSureⅠ現(xiàn)場勘驗取證系統(tǒng)日志界面

(10)報表設(shè)置。

BitSureⅠ現(xiàn)場勘驗取證系統(tǒng)報表設(shè)置界面如圖9.11所示。①點擊主界面上的“報表預(yù)覽”選項，可以對取證報告進行打印、預(yù)覽、輸出、設(shè)置操作。②在打印設(shè)置界面，可以自己定義報告標題及選擇輸出信息。圖9.11BitSureⅠ現(xiàn)場勘驗取證系統(tǒng)報表設(shè)置界面

4.注意事項在用BitSureⅠ現(xiàn)場勘驗取證系統(tǒng)時首先需要初始化審計鑰和復(fù)制盤，選擇主界面上的“初始化審計鑰”選項，可清除審計鑰中的信息。點擊圖9.2主界面上的“初始化復(fù)制盤”選項，即開始進行復(fù)制盤的初始化，將復(fù)制盤中的數(shù)據(jù)清除，如圖9.12所示。圖9.12BitSureⅠ現(xiàn)場勘驗取證系統(tǒng)磁盤數(shù)據(jù)清除界面9.4FinalForensics的使用

FinalForensics是重慶愛思網(wǎng)安信息技術(shù)有限公司代理的一款取證分析軟件。FinalForensics軟件基于FinalData公司強大的數(shù)據(jù)恢復(fù)平臺，是一款專業(yè)的計算機司法取證工具，各層次計算機取證人員均可使用，同時適用于計算機取證專家或是入門者。同時，F(xiàn)inalForensics還提供了電子取證分析所需的眾多工具。

FinalForensics有四個主要功能，即易于使用且強大的數(shù)據(jù)恢復(fù)功能、快速準確的搜索功能、數(shù)據(jù)恢復(fù)分析功能和郵件分析功能。

FinalForensics軟件有如下八大特征：

(1)具有能夠高效并行分析多個物理磁盤的功能。

(2)可同時生成多個磁盤或邏輯驅(qū)動器的鏡像。

(3)提供對Encase鏡像文件的兼容功能。

(4)預(yù)先計算和保存被選擇文件的哈希值，提供通過哈希函數(shù)快速查找定位所需文件的功能。

(5)在后臺運行磁盤/驅(qū)動器掃描搜索的同時，可以并行執(zhí)行各項分析操作。

(6)支持基于Unicode的多種語言分析操作。

(7)通過生成SHA-256/MD5哈希值，驗證磁盤的完整性。

(8)自動生成詳細的取證分析書面報告。

1.實驗?zāi)康氖褂肍inalForensics進行數(shù)據(jù)恢復(fù)。

2.實驗環(huán)境基于WindowsXP或Windows2003等的操作系、FinalForensics軟件。

3.實驗內(nèi)容

1)創(chuàng)建證據(jù)文件創(chuàng)建證據(jù)文件的目的是保持證據(jù)的完整性，用鏡像文件來代替物理證據(jù)媒介，對鏡像進行分析的功能。點擊“添加證據(jù)”菜單，打開“證據(jù)管理器”窗口?？赏ㄟ^“證據(jù)管理器”窗口對磁盤進行設(shè)置，如圖9.13所示。

圖9.13FinalForensics創(chuàng)建證據(jù)文件窗口

2)比較