《電子數(shù)據(jù)取證技術(shù)》課件-第11章

第11章其他取證技術(shù)11.1區(qū)塊鏈取證技術(shù)11.2云計(jì)算取證技術(shù)11.3智能系統(tǒng)取證技術(shù)

11.1區(qū)塊鏈取證技術(shù)

11.1.1區(qū)塊鏈簡(jiǎn)介區(qū)塊鏈?zhǔn)且环N分布式的記賬系統(tǒng)，在基礎(chǔ)的技術(shù)層面為用戶提供一種公共賬本，結(jié)合區(qū)塊存儲(chǔ)、簽名和鏈?zhǔn)郊用艿燃夹g(shù)來(lái)記錄交易信息，以確保交易的完整性和不可抵賴性。區(qū)塊鏈的核心思想首次出現(xiàn)于1991年，在一篇名為《怎樣為電子文件添加時(shí)間戳》的論文中，作者論述了怎樣使用鏈?zhǔn)胶灻~本的方法，確保文檔的不可修改特性。

加密貨幣是區(qū)塊鏈最早也是最有影響力的應(yīng)用，同時(shí)也是在取證中涉及最多的，后續(xù)對(duì)區(qū)塊鏈取證的描述更多圍繞加密貨幣中的比特幣展開(kāi)。由于區(qū)塊鏈和加密貨幣的內(nèi)容太過(guò)繁多，因此本節(jié)僅涉及其中部分內(nèi)容。

1.區(qū)塊鏈的核心概念

按照維基百科給出的定義，區(qū)塊鏈?zhǔn)墙栌擅艽a學(xué)串接并保護(hù)內(nèi)容的串連交易記錄，又稱區(qū)塊。每一個(gè)區(qū)塊包含前一個(gè)區(qū)塊的加密散列、相應(yīng)時(shí)間戳記以及交易數(shù)據(jù)，這樣的設(shè)計(jì)使得區(qū)塊內(nèi)容具有難以被篡改的特性。用區(qū)塊鏈串接的分布式賬本能讓雙方有效記錄交易，且可永久查驗(yàn)此交易。

區(qū)塊鏈技術(shù)最早的應(yīng)用是比特幣項(xiàng)目，其基礎(chǔ)就來(lái)源于中本聰發(fā)表的論文，以比特幣為例來(lái)說(shuō)明這些概念。需要注意的是，區(qū)塊鏈相關(guān)的一些算法和數(shù)據(jù)結(jié)構(gòu)也在不斷演進(jìn)，在其他區(qū)塊鏈實(shí)現(xiàn)中則會(huì)有更多的差異。

在比特幣白皮書(shū)的描述中，對(duì)相關(guān)聯(lián)的交易記錄存儲(chǔ)采用了圖11-1所示的鏈?zhǔn)浇Y(jié)構(gòu)。圖11-1比特幣中的交易記錄關(guān)系

同時(shí)，在比特幣白皮書(shū)方案中，每10?min就會(huì)對(duì)期間發(fā)生的交易進(jìn)行打包并生成一個(gè)區(qū)塊，區(qū)塊之間通過(guò)鏈?zhǔn)浇Y(jié)構(gòu)進(jìn)行保存以形成區(qū)塊鏈，如圖11-2所示。圖11-2比特幣的鏈?zhǔn)絽^(qū)塊保存結(jié)構(gòu)

2.挖礦、客戶端、錢包和地址

比特幣的所有交易記錄都保存在區(qū)塊鏈中。每10?min左右就會(huì)有一個(gè)新的區(qū)塊生成并加入?yún)^(qū)塊鏈，這個(gè)新的區(qū)塊中記錄了期間進(jìn)行的所有交易。區(qū)塊的產(chǎn)出速度不是通過(guò)命令達(dá)成的，而是通過(guò)全網(wǎng)設(shè)置的難度系數(shù)決定的。每一個(gè)區(qū)塊有一個(gè)ID，這個(gè)ID既不是隨機(jī)數(shù)，也不是順序產(chǎn)生的，而是根據(jù)區(qū)塊頭數(shù)據(jù)計(jì)算出來(lái)的兩次SHA256哈希值，并且這個(gè)哈希值需要滿足一定的條件，如當(dāng)前對(duì)這個(gè)哈希值的要求是前14位以上的數(shù)字必須均為0。

參與區(qū)塊鏈運(yùn)算的節(jié)點(diǎn)在收到任務(wù)后，需要組合區(qū)塊頭中的幾部分?jǐn)?shù)據(jù)，并且需要加入一個(gè)隨機(jī)數(shù)，使得計(jì)算出來(lái)的區(qū)塊頭兩次SHA256哈希值滿足上面的要求。由于哈希運(yùn)算的不可逆特性，此時(shí)僅能使用窮舉的方法進(jìn)行計(jì)算，一般來(lái)說(shuō)需要10多億次的嘗試，所以想快也不可以，因此這個(gè)計(jì)算所需要的時(shí)間就被控制在10?min左右。如果時(shí)間有較大的偏離，比10?min更快或更慢，那么將通過(guò)定期調(diào)整難度系數(shù)的方式進(jìn)行調(diào)節(jié)。首先計(jì)算出這個(gè)ID的節(jié)點(diǎn)將會(huì)獲得一定的獎(jiǎng)勵(lì)，當(dāng)前的獎(jiǎng)勵(lì)是12.5個(gè)比特幣。這也就是比特幣采用的基于工作量的共識(shí)算法，對(duì)于任何節(jié)點(diǎn)都是公平的。由于計(jì)算該哈希的難度系數(shù)很高，因此收獲也很大，這個(gè)過(guò)程被稱為挖礦，所有參與挖礦的人被稱為礦工。

比特幣的這些特性是通過(guò)一個(gè)客戶端程序軟件實(shí)現(xiàn)的。延續(xù)中本聰官方概念的客戶端程序被稱為核心版本，使用該版本的人數(shù)最多。由于比特幣是開(kāi)源項(xiàng)目，任何個(gè)人或組織都可以根據(jù)需要發(fā)布一個(gè)新的版本。經(jīng)過(guò)多年的發(fā)展，出現(xiàn)的版本還包括BitcoinClassic、BitcoinXT等，它們可能會(huì)使用不同的共識(shí)算法、不同的時(shí)間間隔和區(qū)塊大小等，造成區(qū)塊鏈的分叉。

以比特幣核心客戶端為例，其功能包括比特幣核心節(jié)點(diǎn)、管理錢包和參與交易。在運(yùn)行客戶端程序之后，其中的核心節(jié)點(diǎn)進(jìn)程會(huì)參與到比特幣網(wǎng)絡(luò)中，比特幣網(wǎng)絡(luò)終端的節(jié)點(diǎn)是去中心化或者是分布式的，處于一個(gè)對(duì)等的網(wǎng)絡(luò)中，沒(méi)有中心服務(wù)器。加入網(wǎng)絡(luò)中的節(jié)點(diǎn)首先進(jìn)行的操作是同步區(qū)塊鏈的賬本數(shù)據(jù)，由于包含了之前的所有交易信息，因此這個(gè)同步的數(shù)據(jù)量已經(jīng)超過(guò)了200GB。在進(jìn)行完整的數(shù)據(jù)同步之后，即可啟用錢包、交易、數(shù)據(jù)交換等其他功能。

由于核心錢包和核心節(jié)點(diǎn)是在一起使用的，因此在轉(zhuǎn)賬交易時(shí)可以進(jìn)行完整性的驗(yàn)證，但是代價(jià)也不小，需要下載完整的賬本數(shù)據(jù)，使用起來(lái)并不是很方便。時(shí)至今日，已經(jīng)存在各種各樣的比特幣錢包，包括桌面軟件、硬件錢包、手機(jī)錢包和網(wǎng)頁(yè)錢包等。要注意的是，每一種錢包的功能可能經(jīng)過(guò)了裁剪，所以和核心錢包會(huì)有所不同。

3.區(qū)塊鏈的技術(shù)特點(diǎn)和應(yīng)用

使用以上機(jī)制構(gòu)建的區(qū)塊鏈應(yīng)用具有一些與眾不同的特點(diǎn)，包括不可篡改性、分布式存儲(chǔ)、匿名性、價(jià)值傳遞、網(wǎng)絡(luò)共識(shí)、可編程合約等。

在比特幣的交易中，只需要提供地址就可以接收對(duì)方的轉(zhuǎn)賬，而地址是對(duì)公鑰進(jìn)行哈希運(yùn)算得到的一個(gè)雜亂的字符串，用戶可以生成任意多的地址。用戶可以在每一次轉(zhuǎn)賬中使用不同的地址，可以將資產(chǎn)分散保存在不同的地址中。比特幣、萊特幣、以太坊等系統(tǒng)的賬本數(shù)據(jù)都是公開(kāi)的，但是卻不能知道背后的操作者是誰(shuí)。這就實(shí)現(xiàn)了用戶身份的匿名性，在很大程度上可以滿足人們對(duì)隱私安全的需求。

人們之所以認(rèn)同貨幣，是因?yàn)樨泿啪哂幸欢ǖ膬r(jià)值，可以交換到人們需要的商品。貨幣的這種價(jià)值是由政府信用來(lái)背書(shū)的，獲得了人們的認(rèn)可和信任。通過(guò)加密機(jī)制、共識(shí)價(jià)值的建立、認(rèn)可和信任，在很長(zhǎng)的一段時(shí)間內(nèi)，加密貨幣的價(jià)值傳遞功能已經(jīng)得到了確認(rèn)，其市值雖然有較大的波動(dòng)，但是穩(wěn)定在一個(gè)區(qū)間內(nèi)。這種信任關(guān)系的建立，是通過(guò)區(qū)塊鏈系統(tǒng)自身創(chuàng)建的，在這樣一個(gè)無(wú)須第三方參與的信任環(huán)境中，可以大大簡(jiǎn)化各種資產(chǎn)交易的過(guò)程，降低交易成本。同時(shí)，區(qū)塊鏈系統(tǒng)的分布特性使得其可以實(shí)現(xiàn)無(wú)邊界的價(jià)值傳遞。

11.1.2區(qū)塊鏈取證要點(diǎn)

區(qū)塊鏈在現(xiàn)實(shí)中有很多用途，目前最大的應(yīng)用是在加密貨幣領(lǐng)域，案件中出現(xiàn)的大多是針對(duì)加密貨幣的取證。限于篇幅，這里僅介紹加密貨幣的取證，在一些基本的原理上也適用于其他區(qū)塊鏈的取證。

加密貨幣可以用來(lái)匯款、兌取外匯、訂票、購(gòu)買網(wǎng)絡(luò)上的商品等，有些國(guó)家和地區(qū)還設(shè)置了專門為加密貨幣使用的ATM存取款機(jī)。由于加密貨幣的匿名性，使得包括在線賭博、暗網(wǎng)黑市、敲詐勒索、隱匿資產(chǎn)、傳銷吸金、洗錢等各種犯罪活動(dòng)變得更加方便。同時(shí)，由于加密貨幣的價(jià)值不斷走高，也有很多關(guān)于挖礦、攻擊、盜取、欺詐等方面的案例。

根據(jù)案件類型和顯示調(diào)查的場(chǎng)景，對(duì)加密貨幣的取證分析可能涉及錢包的取證以及對(duì)網(wǎng)絡(luò)中交易記錄的取證等幾個(gè)層面。

1.錢包的取證分析

對(duì)比特幣等加密貨幣進(jìn)行取證的一個(gè)重要方面就是對(duì)客戶端錢包的取證，在各類涉及加密貨幣的案件中都會(huì)出現(xiàn)。根據(jù)前面的定義，錢包主要用來(lái)管理私鑰、地址以及交易相關(guān)的內(nèi)容，錢包可能以多種方式存在，包括硬件錢包、桌面錢包、手機(jī)錢包和Web錢包等。對(duì)不同形態(tài)的錢包應(yīng)該采取和其標(biāo)準(zhǔn)應(yīng)用相適應(yīng)的方式進(jìn)行取證，如圖11-3所示(/zh_CN/choose-your-wallet)。圖11-3多種不同形式的錢包應(yīng)用

以比特幣桌面錢包應(yīng)用為例，對(duì)桌面應(yīng)用錢包的取證應(yīng)采用和桌面應(yīng)用取證標(biāo)準(zhǔn)相應(yīng)的方式。在桌面錢包中，最經(jīng)典的是來(lái)自比特幣官方的錢包客戶端，其原名成為Bitcoin-qt，現(xiàn)在的名稱是比特幣核心錢包(BitcoinCore)。這個(gè)錢包是最完整的、最安全的錢包，也是最早的比特幣客戶端。

主流的錢包都支持iOS/Android操作系統(tǒng)，各種在線交易平臺(tái)也都支持手機(jī)、計(jì)算機(jī)版本，因此對(duì)于這些版本的錢包進(jìn)行取證也非常重要。在實(shí)際取證工作中，主要應(yīng)提取以下內(nèi)容：

(1)計(jì)算機(jī)中虛擬貨幣錢包應(yīng)用程序及相關(guān)數(shù)據(jù)，如BitcoinCore的wallet.dat。

(2)計(jì)算機(jī)瀏覽器中交易平臺(tái)的瀏覽記錄。

(3)計(jì)算機(jī)中存儲(chǔ)的密鑰文件、助記詞、提幣地址等。

①比特幣地址：34位，以1開(kāi)頭。

②以太坊地址：42位，以0x開(kāi)頭。

③萊特幣地址：34位，以L開(kāi)頭。

④比特幣現(xiàn)金：以q或bitcoincash：q開(kāi)頭，后面接Base32編碼的字符串。

(4)手機(jī)中錢包App的用戶數(shù)據(jù)等。

2.交易的取證分析

除了對(duì)使用者的計(jì)算機(jī)進(jìn)行取證之外，還可以通過(guò)對(duì)交易的分析進(jìn)行取證。由于比特幣設(shè)計(jì)基于P2P的網(wǎng)絡(luò)格式，所有交易都存儲(chǔ)在比特幣網(wǎng)絡(luò)中，這使得證據(jù)收集受到限制。但是，比特幣是偽匿名或非匿名的，它不會(huì)憑空消失，相反每筆交易都是公開(kāi)的，對(duì)使用比特幣網(wǎng)絡(luò)的每個(gè)人都是可見(jiàn)的。比特幣的交易是按照時(shí)間順序組織的公開(kāi)記錄。

一些可以對(duì)虛擬貨幣交易進(jìn)行溯源追蹤的網(wǎng)站非常好用，可以通過(guò)這些網(wǎng)站進(jìn)行取證并固定交易詳情。在這些網(wǎng)站上輸入提幣地址等交易特征，可以對(duì)交易進(jìn)行溯源，追蹤到涉及交易的比特幣從挖礦產(chǎn)生到最后的全部過(guò)程。提取數(shù)據(jù)后，使用分析軟件可以對(duì)其進(jìn)行快速分析。

3.交易所的落地取證

可以通過(guò)平臺(tái)注冊(cè)信息、交易IP等對(duì)交易雙方的真實(shí)身份信息進(jìn)行落地查證。目前，國(guó)內(nèi)用戶使用最多的火幣網(wǎng)、OKCoin、可盈可樂(lè)交易平臺(tái)都提供了對(duì)公的身份落地服務(wù)，取證人員只需提供警官證、調(diào)證手續(xù)，就可以調(diào)取注冊(cè)信息、平臺(tái)上的交易記錄。平臺(tái)調(diào)取的信息包括姓名、身份證號(hào)、手機(jī)號(hào)、支付寶賬號(hào)、交易記錄等。

4.其他取證

針對(duì)不同的應(yīng)用，還可以結(jié)合其他取證方式進(jìn)行取證分析。例如，在進(jìn)行比特幣交易時(shí)，可以通過(guò)嗅探技術(shù)監(jiān)聽(tīng)交易中繼，還可以通過(guò)區(qū)塊鏈瀏覽器的痕跡信息或Cookies發(fā)現(xiàn)蛛絲馬跡。對(duì)于使用比特幣支付的電子商務(wù)交易，還可以利用電子商務(wù)平臺(tái)跟蹤用戶信息的歷史數(shù)據(jù)以發(fā)現(xiàn)線索。

11.2云計(jì)算取證技術(shù)

云計(jì)算取證是指云計(jì)算環(huán)境下的數(shù)據(jù)取證。隨著亞馬遜彈性計(jì)算云以及國(guó)內(nèi)阿里云等服務(wù)商業(yè)務(wù)的迅速推廣，案件中碰到云計(jì)算取證的情況也越來(lái)越多。一方面是因?yàn)楹芏喙镜臉I(yè)務(wù)已經(jīng)迅速部署到云計(jì)算的應(yīng)用環(huán)境中，另一方面是因?yàn)樵骗h(huán)境的匿名性、便捷性、分布式等特點(diǎn)也為罪犯提供了便利。

11.2.1云計(jì)算簡(jiǎn)介

如果登錄阿里云網(wǎng)站，就可以發(fā)現(xiàn)阿里云的服務(wù)已包括彈性計(jì)算、數(shù)據(jù)庫(kù)、存儲(chǔ)與CDN、網(wǎng)絡(luò)與監(jiān)控、應(yīng)用服務(wù)等近10個(gè)大類。如果繼續(xù)對(duì)各大類進(jìn)行展開(kāi)，算上所有的小類則可達(dá)上百種，而國(guó)內(nèi)外的云服務(wù)商并非阿里一家。從云取證和應(yīng)用關(guān)聯(lián)的技術(shù)層面來(lái)看，云服務(wù)已經(jīng)涵蓋計(jì)算機(jī)的各個(gè)方面，這些要素可能在各個(gè)層面發(fā)生關(guān)聯(lián)。

1.云計(jì)算的定義

1966年，在計(jì)算機(jī)誕生初期，D.F.Parkhill(Thechallengeofthecomputerutility)就提出了計(jì)算資源應(yīng)為共享資源這一概念。在過(guò)去，互聯(lián)網(wǎng)公司需要耗費(fèi)人力資源成立單獨(dú)的部門或數(shù)據(jù)中心來(lái)支撐自己特定的業(yè)務(wù)或產(chǎn)品，并需要采購(gòu)大量硬件、軟件設(shè)備。然而這些耗費(fèi)高昂成本建立的數(shù)據(jù)計(jì)算中心在高峰時(shí)段卻無(wú)法滿足所有需求，在日常運(yùn)營(yíng)時(shí)期又浪費(fèi)資源、開(kāi)銷巨大，所以一些大型互聯(lián)網(wǎng)企業(yè)將自己的一部分計(jì)算資源以計(jì)費(fèi)形式出租給其他企業(yè)，使得集中的計(jì)算資源在分配給不同企業(yè)時(shí)變得彈性且按需使用。

NIST將云計(jì)算定義為一種模型，可以隨時(shí)、隨地、隨需通過(guò)網(wǎng)絡(luò)分配集中計(jì)算資源池中的資源(如網(wǎng)絡(luò)、服務(wù)器、存儲(chǔ)、應(yīng)用及服務(wù))，這些資源可以高效率地供給、釋放，并最小化服務(wù)提取方的管理成本。云計(jì)算有5個(gè)特點(diǎn)、3種服務(wù)模型、4種部署模式，接下來(lái)一一進(jìn)行介紹。

2.云計(jì)算的特點(diǎn)

云計(jì)算的特點(diǎn)如下：

(1)按需自助服務(wù)。消費(fèi)者可以自助管理自己的計(jì)算資源(如使用時(shí)長(zhǎng)、網(wǎng)絡(luò)帶寬、存儲(chǔ)等)，自助管理過(guò)程不需要服務(wù)提供方參與。

(2)網(wǎng)絡(luò)訪問(wèn)。不同平臺(tái)(如移動(dòng)端、手提電腦、工作站等)均可通過(guò)網(wǎng)絡(luò)訪問(wèn)服務(wù)。

(3)資源共享池。服務(wù)提供方將計(jì)算資源集中至資源池中，按需求將物理、虛擬資源動(dòng)態(tài)分配給不同消費(fèi)者。消費(fèi)者通常無(wú)法得知也無(wú)法精確指定其所使用的資源所屬位置，但消費(fèi)者可以指定一個(gè)大致地理位置范圍(如國(guó)家、省、數(shù)據(jù)中心)。

(4)即時(shí)彈性資源。資源通?？梢愿鶕?jù)需求自動(dòng)彈性分配、回收。對(duì)于消費(fèi)者來(lái)說(shuō)，這些資源可以隨時(shí)、無(wú)限獲取。

(5)計(jì)量付費(fèi)。云計(jì)算系統(tǒng)通過(guò)計(jì)量系統(tǒng)自動(dòng)管理、量化計(jì)算資源(存儲(chǔ)、處理器、帶寬、用戶賬戶數(shù))。所有資源的使用都是可計(jì)量、可控制的，且有憑據(jù)，以達(dá)到計(jì)費(fèi)模式在消費(fèi)者與服務(wù)提供方之間完全透明。

3.云計(jì)算的服務(wù)模型

NIST將云定義為3種服務(wù)模型，即基礎(chǔ)設(shè)施即服務(wù)(IaaS)、平臺(tái)即服務(wù)(PlatformasaService，PaaS)、軟件即服務(wù)(SaaS)，具體如下：

(1)?IaaS：通常提供對(duì)網(wǎng)絡(luò)、計(jì)算機(jī)(物理資源、虛擬資源)以及數(shù)據(jù)存儲(chǔ)空間的訪問(wèn)。IaaS對(duì)計(jì)算資源提供最高等級(jí)的靈活性控制管理。

(2)?PaaS：剔除了對(duì)底層基礎(chǔ)設(shè)施的管理需要，使用者跳過(guò)了對(duì)網(wǎng)絡(luò)、系統(tǒng)、存儲(chǔ)容量、軟件維護(hù)、資源配置的管理，直接對(duì)應(yīng)用程序的部署和配置進(jìn)行管理。

(3)?SaaS：類似于一套完整的產(chǎn)品，由服務(wù)提供方負(fù)責(zé)運(yùn)行和管理，在云基礎(chǔ)設(shè)施上運(yùn)行的應(yīng)用程序。消費(fèi)者跳過(guò)對(duì)云基礎(chǔ)設(shè)施的管理(網(wǎng)絡(luò)、服務(wù)器、操作系統(tǒng)、存儲(chǔ))，只需根據(jù)需求、場(chǎng)景選擇應(yīng)用即可。電子郵件服務(wù)是SaaS一個(gè)很典型的例子，消費(fèi)者不需要維護(hù)電子郵件服務(wù)運(yùn)行的服務(wù)器，可直接使用電子郵件服務(wù)對(duì)郵件進(jìn)行管理。

4.云計(jì)算的部署模式

云計(jì)算的部署模式分為4種，即私有云、社區(qū)云、公有云和混合云，這是按服務(wù)使用方的類型和需求進(jìn)行分類的。私有云的服務(wù)使用方一般為某一個(gè)人或企業(yè)，可以自己管理或托管給第三方；社區(qū)云一般為有相似特點(diǎn)的社區(qū)服務(wù)，需要使用方共同分擔(dān)費(fèi)用；公有云為大眾服務(wù)，可以被企業(yè)、學(xué)校、政府機(jī)構(gòu)等使用；混合云由兩種及以上的云部署類型組成，可以互相發(fā)揮各自的優(yōu)勢(shì)。

5.云計(jì)算的發(fā)展

自傳統(tǒng)電子設(shè)備(如個(gè)人電腦、智能手機(jī)等)誕生以來(lái)，云計(jì)算服務(wù)是當(dāng)今信息科技時(shí)代杰出的產(chǎn)物之一。云計(jì)算將個(gè)人電腦時(shí)代轉(zhuǎn)變?yōu)閭€(gè)人云時(shí)代，改變了人們對(duì)計(jì)算處理能力、存儲(chǔ)的傳統(tǒng)認(rèn)知，同時(shí)改變了信息技術(shù)服務(wù)的運(yùn)營(yíng)模式。亞馬遜的AWS平臺(tái)在2002年7月啟動(dòng)，在啟動(dòng)初期，AWS僅能提供有限的工具和服務(wù)。在2003年末，AWS的BenjaminBlack和ChrisPinkham提出了標(biāo)準(zhǔn)化的云計(jì)算自助服務(wù)框架，并表示通過(guò)出售虛擬服務(wù)器可以創(chuàng)收。

AWS在2006年正式發(fā)布了亞馬遜S3云存儲(chǔ)、SQS和EC23種服務(wù)，為開(kāi)發(fā)者、網(wǎng)站、客戶端、企業(yè)等提供云計(jì)算服務(wù)，首次通過(guò)云計(jì)算服務(wù)為使用者解決了存儲(chǔ)有限、數(shù)據(jù)安全、數(shù)據(jù)有效性和成本等問(wèn)題。2013年AWS啟動(dòng)了云計(jì)算培訓(xùn)項(xiàng)目，以培養(yǎng)專業(yè)的云計(jì)算工程師。AWS云計(jì)算2014年收入46億美元，占總收入的5.2%；2019年收入已高達(dá)350億美元，收入占比更是達(dá)到12.5%。2018年AWS便發(fā)布了兩項(xiàng)區(qū)塊鏈服務(wù)(AmazonQLDB和AmazonManagedBlockchain)，正式進(jìn)軍區(qū)塊鏈領(lǐng)域。

與此同時(shí)，阿里巴巴集團(tuán)也成立了旗下云計(jì)算品牌阿里云。阿里云從2009年開(kāi)始起步，基本上保持每年增長(zhǎng)超過(guò)100%的發(fā)展速度，當(dāng)前提供的云服務(wù)項(xiàng)目已經(jīng)超過(guò)100項(xiàng)內(nèi)容。在國(guó)內(nèi)的數(shù)據(jù)中心之外，阿里云同時(shí)在新加坡、迪拜、紐約等地開(kāi)設(shè)國(guó)際數(shù)據(jù)中心，致力于以低成本、高效率的模式幫助使用者解決復(fù)雜的計(jì)算問(wèn)題，處理海量問(wèn)題，并通過(guò)云安全解決方案和大數(shù)據(jù)分析為客戶提供安全產(chǎn)品和服務(wù)。

云計(jì)算在給服務(wù)雙方帶來(lái)收益的同時(shí)，也滋生了不少以云計(jì)算為工具、或以云計(jì)算平臺(tái)為攻擊目標(biāo)的犯罪分子，針對(duì)云計(jì)算平臺(tái)的取證需求也越來(lái)越多；同時(shí)，由于云計(jì)算平臺(tái)的復(fù)雜性，帶來(lái)了與傳統(tǒng)數(shù)字取證不同的實(shí)踐和挑戰(zhàn)。

11.2.2云計(jì)算取證要點(diǎn)

云計(jì)算環(huán)境中的數(shù)據(jù)存儲(chǔ)方式和傳統(tǒng)的數(shù)據(jù)存儲(chǔ)不同，不是保存于單臺(tái)計(jì)算機(jī)中，而是可能存儲(chǔ)于各種不同的、大量的異構(gòu)服務(wù)節(jié)點(diǎn)中。在2011年，Ruan等人第一次定義了云取證這個(gè)詞，認(rèn)為云取證是云計(jì)算和電子數(shù)據(jù)取證的交叉學(xué)科，其定義可以套用NIST對(duì)電子數(shù)據(jù)取證的定義：在保證電子物證數(shù)據(jù)鏈和數(shù)據(jù)完整性的情況下，研究電子數(shù)據(jù)的識(shí)別、保全、分析、展示等過(guò)程的學(xué)科；并將云取證定義為網(wǎng)絡(luò)取證的一個(gè)分支，認(rèn)為云取證應(yīng)當(dāng)遵循網(wǎng)絡(luò)取證的相關(guān)流程和技術(shù)。

云取證是一種飛速發(fā)展的、涉及多維度的技術(shù)。云取證主要包含3個(gè)層面：一是技術(shù)層面，其中包含收集數(shù)據(jù)的流程、云取證相關(guān)工具的研發(fā)、在線取證、對(duì)獲取鏡像的仿真、取證前期準(zhǔn)備、分析等多個(gè)方面。二是管理層面，管理層面主要涉及多個(gè)責(zé)任方，如云計(jì)算服務(wù)提供方、云計(jì)算使用者、云安全管理協(xié)會(huì)、執(zhí)法部門、第三方鑒定機(jī)構(gòu)/安全審計(jì)機(jī)構(gòu)等。

其中，云安全管理協(xié)會(huì)主要負(fù)責(zé)指定安全行業(yè)規(guī)定，云計(jì)算服務(wù)提供方負(fù)責(zé)部署安全管理設(shè)施、完善使用者登記、告知使用者一些服務(wù)遵守條款等，云計(jì)算服務(wù)使用者則負(fù)責(zé)遵守云服務(wù)使用手冊(cè)、合規(guī)合法使用云服務(wù)等，執(zhí)法部門負(fù)責(zé)調(diào)查與云端犯罪相關(guān)的案件、證據(jù)收集等，第三方鑒定機(jī)構(gòu)/安全審計(jì)機(jī)構(gòu)負(fù)責(zé)審計(jì)、鑒定等相關(guān)業(yè)務(wù)。三是法律層面，法律層面需要解決的問(wèn)題有很多，如多用戶共享同一虛擬主機(jī)如何判定使用者、參與云計(jì)算行業(yè)相關(guān)法律法規(guī)的制定等、如何保證云取證合法合規(guī)、對(duì)收集的證據(jù)如何確保其完整性和原始性等。

1.云取證技術(shù)

根據(jù)云計(jì)算的定義，其服務(wù)類型可以分為IaaS、PaaS、SaaS3種。對(duì)這3種服務(wù)形式，都可以在3個(gè)層面進(jìn)行證據(jù)的獲取，具體如下：

(1)應(yīng)用層面：以應(yīng)用賬號(hào)登錄，獲取應(yīng)用/服務(wù)內(nèi)的數(shù)據(jù)。

(2)服務(wù)層面：以云服務(wù)賬號(hào)登錄，對(duì)云用戶租用的各種資源和使用情況進(jìn)行固定。

(3)管理層面：以云服務(wù)提供商的賬號(hào)登錄，對(duì)提供的資源、數(shù)據(jù)、日志等進(jìn)行固定。

2.應(yīng)用層面的證據(jù)固定

IaaS相當(dāng)于租用的主機(jī)/服務(wù)器，簡(jiǎn)而言之就是云主機(jī)。亞馬遜最早推出的彈性計(jì)算云即屬于這種服務(wù)，國(guó)內(nèi)的阿里云、騰訊云、UCloud等很多服務(wù)商都提供這種服務(wù)，一些公司自己搭建的私有云也屬于這種類型。對(duì)云主機(jī)的應(yīng)用取證就是獲取主機(jī)內(nèi)的數(shù)據(jù)。其特殊性在于云主機(jī)的計(jì)算和存儲(chǔ)資源等都是通過(guò)虛擬化技術(shù)來(lái)實(shí)現(xiàn)的，虛擬化的主機(jī)沒(méi)有實(shí)體的機(jī)器可以扣押，所以只能在獲取主機(jī)用戶賬號(hào)后，以在線取證的方式完成數(shù)據(jù)固定工作。云主機(jī)的在線取證和一般遠(yuǎn)程服務(wù)器取證基本相同，可以獲取的數(shù)據(jù)包括操作系統(tǒng)和應(yīng)用的動(dòng)態(tài)易失數(shù)據(jù)、內(nèi)存、應(yīng)用數(shù)據(jù)文件、分區(qū)甚至整個(gè)存儲(chǔ)的鏡像。

PaaS的應(yīng)用取證比較復(fù)雜。從PaaS的原理來(lái)看，PaaS服務(wù)商提供的是資源平臺(tái)，如Python、PHP、MySQL等服務(wù)的運(yùn)行環(huán)境。用戶租用PaaS平臺(tái)完成程序開(kāi)發(fā)、搭建和數(shù)據(jù)配置工作后，運(yùn)行用戶定制的應(yīng)用，將數(shù)據(jù)保存在應(yīng)用平臺(tái)中。當(dāng)前的PaaS平臺(tái)常使用Docker技術(shù)，從程序?qū)用婵词菬o(wú)狀態(tài)的，而數(shù)據(jù)可以持久化存儲(chǔ)。PaaS本身是以一種SaaS服務(wù)方式提供的，所以PaaS是一種定制的服務(wù)，對(duì)于每一種PaaS并沒(méi)有統(tǒng)一的證據(jù)固定的方式。

在對(duì)PaaS數(shù)據(jù)進(jìn)行取證時(shí)，必須按照PaaS提供的服務(wù)方式登錄，以完成PaaS程序和數(shù)據(jù)的證據(jù)固定工作。國(guó)內(nèi)典型的PaaS平臺(tái)有新浪云應(yīng)用平臺(tái)(SinaAppEngine，SAE)，在創(chuàng)建新浪云應(yīng)用之后，可以使用設(shè)置的用戶名和安全密碼對(duì)相關(guān)應(yīng)用的代碼進(jìn)行證據(jù)固定(圖11-4)，同時(shí)也需要對(duì)應(yīng)用相關(guān)的數(shù)據(jù)服務(wù)進(jìn)行單獨(dú)固定。

圖11-4創(chuàng)建新浪云應(yīng)用進(jìn)行證據(jù)固定

3.服務(wù)層面的證據(jù)固定

服務(wù)層面的證據(jù)固定就是從服務(wù)消費(fèi)者的角度進(jìn)行證據(jù)固定，使用嫌疑人的云服務(wù)賬號(hào)登錄，完成相關(guān)的證據(jù)固定。由于競(jìng)爭(zhēng)和云計(jì)算的高速發(fā)展，BAT等幾家比較大的服務(wù)商提供的服務(wù)類型都已在幾十種以上，在管理和細(xì)節(jié)上各個(gè)廠商的服務(wù)會(huì)有所不同，但是從取證的角度來(lái)看主要關(guān)注賬號(hào)、資源、配置、支付、使用、工單等各種信息。以阿里云服務(wù)為例，其控制臺(tái)的管理界面大致如圖11-5所示。圖11-5阿里云控制臺(tái)的管理界面

從服務(wù)層面來(lái)看，IaaS、PaaS和SaaS可以提取的數(shù)據(jù)可能會(huì)有所不同。針對(duì)IaaS類的主機(jī)服務(wù)，可以獲取如下數(shù)據(jù)：

(1)實(shí)例信息、運(yùn)行歷史信息。

(2)網(wǎng)絡(luò)資源、配置信息、歷史信息。

(3)存儲(chǔ)/塊設(shè)備鏡像。

(4)存儲(chǔ)/磁盤/數(shù)據(jù)快照，如果是私有格式，則需要提供解析方法。

(5)存儲(chǔ)磁盤/數(shù)據(jù)歷史備份。

針對(duì)PaaS類的服務(wù)，可以獲取如下數(shù)據(jù)：

(1)實(shí)例信息、歷史運(yùn)行信息。

(2)程序、數(shù)據(jù)、配置和日志。

(3)程序、數(shù)據(jù)歷史備份。

針對(duì)SaaS類的服務(wù)，可以獲取如下數(shù)據(jù)：

(1)服務(wù)類型、服務(wù)配置和歷史變動(dòng)。

(2)當(dāng)前服務(wù)數(shù)據(jù)。

(3)服務(wù)歷史數(shù)據(jù)備份。

4.管理層面的證據(jù)固定

由于云計(jì)算應(yīng)用的發(fā)展，數(shù)據(jù)和應(yīng)用在不斷向云平臺(tái)集中，案件中和云服務(wù)商進(jìn)行交流和合作的場(chǎng)景已相當(dāng)普遍。BAT等幾家公有云廠商都建立了證據(jù)調(diào)取和協(xié)助機(jī)制，在遇到私有云的情況下，也可以和云服務(wù)的管理者進(jìn)行溝通，從管理層面獲得更多的證據(jù)信息。

在確定云服務(wù)賬號(hào)的情況下，通過(guò)管理端的界面可以獲得該賬號(hào)的訪問(wèn)日志信息，包括主機(jī)訪問(wèn)日志、應(yīng)用訪問(wèn)日志和賬號(hào)訪問(wèn)日志等。在這些用戶操作的日志信息之外，系統(tǒng)也會(huì)對(duì)數(shù)據(jù)進(jìn)行主動(dòng)的備份和安全防護(hù)，這樣就會(huì)生成定期快照和歷史備份數(shù)據(jù)，如主機(jī)鏡像/快照/備份、應(yīng)用數(shù)據(jù)快照/備份以及數(shù)據(jù)的快照/備份等。這些數(shù)據(jù)都是海量級(jí)別，不會(huì)保存很長(zhǎng)時(shí)間，在案件的偵辦過(guò)程中應(yīng)該及時(shí)和云服務(wù)商溝通，主動(dòng)生成并獲取這部分?jǐn)?shù)據(jù)。

管理層面對(duì)服務(wù)者和數(shù)據(jù)來(lái)說(shuō)就是“上帝視角”，在定制和可能的情況下，可以快速獲得完整的證據(jù)數(shù)據(jù)，達(dá)到重構(gòu)云計(jì)算操作和歷史事件的目的。

云取證在應(yīng)用復(fù)雜性、數(shù)據(jù)的海量和分布性、證據(jù)的隱蔽性和時(shí)效性等各個(gè)層面都要超過(guò)傳統(tǒng)的應(yīng)用形式，在后續(xù)相當(dāng)長(zhǎng)的時(shí)間內(nèi)會(huì)成為取證人員實(shí)戰(zhàn)的難點(diǎn)和挑戰(zhàn)。

11.3智能系統(tǒng)取證技術(shù)

11.3.1智能系統(tǒng)取證簡(jiǎn)介智能系統(tǒng)取證是指通過(guò)綜合使用計(jì)算機(jī)技術(shù)、物聯(lián)網(wǎng)技術(shù)以及其他各種取證技術(shù)，按照符合法律法規(guī)規(guī)定的方式，依據(jù)設(shè)定的取證規(guī)則、取證策略，對(duì)涉及案件的智能系統(tǒng)客體進(jìn)行數(shù)據(jù)的保全與提取，然后進(jìn)行智能分析推理，對(duì)犯罪行為做出判斷，并以此作為法定證據(jù)的過(guò)程。

11.3.2智能系統(tǒng)取證要點(diǎn)

對(duì)于智能系統(tǒng)來(lái)說(shuō)，傳統(tǒng)的離線取證方法在大規(guī)模分布式的存儲(chǔ)環(huán)境中已然失效。一個(gè)完整的文件被分割成若干個(gè)數(shù)據(jù)塊，并存儲(chǔ)在不同的節(jié)點(diǎn)上，其硬件平臺(tái)也由傳統(tǒng)的硬盤提取轉(zhuǎn)換到IntelEdison開(kāi)發(fā)板、ARMmbed開(kāi)發(fā)板、Arduino開(kāi)發(fā)板等硬件平臺(tái)的提取，更加技術(shù)化。而這些開(kāi)發(fā)板大多置于車輛、無(wú)人機(jī)以及智能家居中，智能手表中也有這些開(kāi)發(fā)板的身影。

另外，智能系統(tǒng)的操作系統(tǒng)平臺(tái)已不再是人們熟知的Windows、Android等操作系統(tǒng)，而是mbedOS、EmbedLinux、TinyOS、VxWorks、Brillo等，操作系統(tǒng)平臺(tái)的多樣化對(duì)取證界提出了新的要求。再者，智能系統(tǒng)各層使用的網(wǎng)絡(luò)協(xié)議不同于傳統(tǒng)互聯(lián)網(wǎng)協(xié)議，由傳統(tǒng)的TCP/IP協(xié)議向Z-Wave、ZigBee、6LoWPAN轉(zhuǎn)化；應(yīng)用也是智能系統(tǒng)取證的一大要點(diǎn)，智能系統(tǒng)取證除了要對(duì)一些傳統(tǒng)應(yīng)用進(jìn)行取證之外，還有很多新型的應(yīng)用置于其中，如AWSIoT、salesforce、Micrium(RealTimeOperatingSystem)、Postscapes等都不是很常用的軟件。

11.3.3智能系統(tǒng)取證內(nèi)容

1.智能車輛取證

現(xiàn)時(shí)車載應(yīng)用程序可以讓手機(jī)通過(guò)物理或藍(lán)牙連接至車載娛樂(lè)系統(tǒng)，實(shí)現(xiàn)同步聯(lián)系人信息、撥打/接聽(tīng)電話，接管了在駕車