曾學(xué)軍

中圖分類號(hào):TP309 文獻(xiàn)標(biāo)識(shí)碼:A

內(nèi)容摘要:計(jì)算機(jī)取證科學(xué)是一個(gè)迅速成長(zhǎng)的研究領(lǐng)域,它在國(guó)家安全保護(hù)、網(wǎng)絡(luò)入侵和犯罪調(diào)查方面有著重要的應(yīng)用前景。本文通過(guò)對(duì)計(jì)算機(jī)取證概念的詮釋,進(jìn)而分析計(jì)算機(jī)取證技術(shù)發(fā)展的前景與面臨的困境,提出有效建議,為計(jì)算機(jī)取證總結(jié)出一套程序和方法,以指導(dǎo)實(shí)踐,為取證科學(xué)發(fā)揮更大的作用提供理論參考。

關(guān)鍵詞:計(jì)算機(jī) 取證技術(shù) 發(fā)展 前景 困境

隨著信息技術(shù)的應(yīng)用和普及,利用計(jì)算機(jī)和網(wǎng)絡(luò)或以計(jì)算機(jī)和網(wǎng)絡(luò)作為攻擊目標(biāo)的犯罪活動(dòng)日益猖獗。與計(jì)算機(jī)相關(guān)的法庭案例也不斷出現(xiàn)。一種新的證據(jù)形式即存在于計(jì)算機(jī)及相關(guān)外圍設(shè)備中的電子證據(jù)逐漸成為新的訴訟證據(jù)之一。面對(duì)計(jì)算機(jī)犯罪手段的多樣化,加大信息安全防范技術(shù)和計(jì)算機(jī)犯罪取證技術(shù)的研究力度勢(shì)在必行。目前的研究多著眼于入侵防范,對(duì)于入侵后取證技術(shù)的研究相對(duì)滯后。而僅僅通過(guò)現(xiàn)有的網(wǎng)絡(luò)安全技術(shù)打擊日新月異的計(jì)算機(jī)犯罪技術(shù),已經(jīng)不能確保計(jì)算機(jī)信息系統(tǒng)的安全。 因此,需要發(fā)動(dòng)社會(huì)和法律的力量去對(duì)付計(jì)算機(jī)和網(wǎng)絡(luò)犯罪,計(jì)算機(jī)取證學(xué)的出現(xiàn)和應(yīng)用是網(wǎng)絡(luò)安全防御理論走向成熟的標(biāo)志,也是相應(yīng)法律得以有效執(zhí)行的重要保障,從而使電子證據(jù)作為一種新的證據(jù)形式出現(xiàn)在法庭。

計(jì)算機(jī)取證的概念詮釋

Lee Garber在IEEE Security發(fā)表的文章中認(rèn)為,計(jì)算機(jī)取證是分析硬盤(pán)驅(qū)動(dòng)、光盤(pán)、軟盤(pán)、ZIP和Jazz 磁盤(pán)、內(nèi)存緩沖以及其它形式的儲(chǔ)存介質(zhì),以發(fā)現(xiàn)犯罪證據(jù)的過(guò)程。計(jì)算機(jī)取證資深專家Judd Robbins對(duì)此給出了如下的定義:計(jì)算機(jī)取證是將計(jì)算機(jī)調(diào)查和分析技術(shù)應(yīng)用于對(duì)潛在的、有法律效力的證據(jù)的確定與獲取。計(jì)算機(jī)緊急事件響應(yīng)組和取證咨詢公司New Technologies進(jìn)一步擴(kuò)展了該定義:計(jì)算機(jī)取證包括了對(duì)以磁介質(zhì)編碼信息方式存儲(chǔ)的計(jì)算機(jī)證據(jù)的保護(hù)、確認(rèn)、提取和歸檔。SANS公司則歸結(jié)為:計(jì)算機(jī)取證是使用軟件和工具,按照一些預(yù)先定義的程序,全面地檢查計(jì)算機(jī)系統(tǒng),以提取和保護(hù)有關(guān)計(jì)算機(jī)犯罪的證據(jù)。

因此,計(jì)算機(jī)取證是指對(duì)計(jì)算機(jī)入侵、破壞、欺詐、攻擊等犯罪行為利用計(jì)算機(jī)軟硬件技術(shù),按照符合法律規(guī)范的方式進(jìn)行證據(jù)獲取、保存、分析和出示的過(guò)程。從技術(shù)上,計(jì)算機(jī)取證是一個(gè)對(duì)受侵計(jì)算機(jī)系統(tǒng)進(jìn)行掃描和破解,以對(duì)入侵事件進(jìn)行重建的過(guò)程。計(jì)算機(jī)取證又稱為數(shù)字取證或電子取證、計(jì)算機(jī)法醫(yī)學(xué),包括物理證據(jù)獲取和信息發(fā)現(xiàn)兩個(gè)階段。物理證據(jù)獲取是指調(diào)查人員到犯罪或入侵的現(xiàn)場(chǎng),尋找并扣留相關(guān)的計(jì)算機(jī)硬件;信息發(fā)現(xiàn)是指從原始數(shù)據(jù)(包括文件、日志等)中尋找可以用來(lái)證明或者反駁的證據(jù),即電子證據(jù)。與傳統(tǒng)的證據(jù)一樣,電子證據(jù)必須是真實(shí)、可靠、完整和符合法律規(guī)定的。

計(jì)算機(jī)取證技術(shù)的發(fā)展前景

計(jì)算機(jī)取證技術(shù)的概念是外來(lái)品,是從入侵取證反黑客開(kāi)始逐漸形成的。我國(guó)有關(guān)計(jì)算機(jī)取證的研究還處于起步階段,技術(shù)水平與國(guó)外相比還有一定差距;同時(shí)我國(guó)電子證據(jù)的相關(guān)法律仍不夠健全,有待完善。隨著科學(xué)技術(shù)的快速發(fā)展,計(jì)算機(jī)犯罪手段的不斷提高,我們迫切需要進(jìn)一步健全、規(guī)范計(jì)算機(jī)取證流程,加強(qiáng)計(jì)算機(jī)取證技術(shù)研究,制定和完善相關(guān)的法律法規(guī)。

(一)國(guó)內(nèi)取證技術(shù)的發(fā)展

在國(guó)內(nèi),公安部門(mén)打擊計(jì)算機(jī)犯罪是近幾年的事,有關(guān)計(jì)算機(jī)取證方面的研究和實(shí)踐也才剛起步。計(jì)算機(jī)取證技術(shù)隨著黑客技術(shù)的提高而不斷發(fā)展。為確保取證所需的有效法律證據(jù),根據(jù)目前網(wǎng)絡(luò)入侵和攻擊手段以及未來(lái)黑客技術(shù)的發(fā)展趨勢(shì),計(jì)算機(jī)取證技術(shù)的研究必須不斷深入和改進(jìn),向智能化、專業(yè)化和自動(dòng)化方向發(fā)展。

計(jì)算機(jī)取證科學(xué)涉及到多方面的知識(shí)。現(xiàn)在許多工作依賴于人工實(shí)現(xiàn),大大降低了取證速度和取證結(jié)果的可靠性。所以,在工具軟件的開(kāi)發(fā)上必須結(jié)合計(jì)算機(jī)領(lǐng)域內(nèi)的其他理論和技術(shù),以代替大部分人工操作。利用無(wú)線局域網(wǎng)和手機(jī)、PDA、便攜式計(jì)算機(jī)進(jìn)行犯罪的案件逐年在上升,這些犯罪的證據(jù)會(huì)以不同形式分布在計(jì)算機(jī)、路由器、入侵檢測(cè)系統(tǒng)等不同設(shè)備上,要找到這些證據(jù)需要針對(duì)不同的硬件和信息格式做出相應(yīng)取證的工具。因此,此類取證工具已經(jīng)成為取證技術(shù)研究的新方向。另外,計(jì)算機(jī)取證技術(shù)將進(jìn)一步與信息安全技術(shù)相結(jié)合。同時(shí),在網(wǎng)絡(luò)協(xié)議的設(shè)計(jì)過(guò)程中,今后將考慮到未來(lái)取證的需要,為潛在的取證活動(dòng)保留充足的信息。

(二)取證相關(guān)技術(shù)的發(fā)展

從計(jì)算機(jī)取證的過(guò)程看,對(duì)于電子證據(jù)的識(shí)別獲取可以加強(qiáng)動(dòng)態(tài)取證技術(shù)研究,將計(jì)算機(jī)取證結(jié)合到入侵檢測(cè)、防火墻、網(wǎng)絡(luò)偵聽(tīng)等網(wǎng)絡(luò)安全產(chǎn)品中進(jìn)行動(dòng)態(tài)取證技術(shù)研究;對(duì)于系統(tǒng)日志可采用第三方日志或?qū)θ罩具M(jìn)行加密技術(shù)研究;對(duì)于電子證據(jù)的分析,是從海量數(shù)據(jù)中獲取與計(jì)算機(jī)犯罪有關(guān)的證據(jù),需進(jìn)行相關(guān)性分析技術(shù)研究,需要高效率的搜索算法、 完整性檢測(cè)算法優(yōu)化、數(shù)據(jù)挖掘算法以及優(yōu)化等方面的研究。

對(duì)入侵者要進(jìn)行計(jì)算機(jī)犯罪取證學(xué)的入侵追蹤技術(shù)研究,目前有基于主機(jī)追蹤方法的Caller ID,基于網(wǎng)絡(luò)追蹤方法的IDIP、SWT產(chǎn)品。有學(xué)者針對(duì)網(wǎng)絡(luò)層的追蹤問(wèn)題,提出基于聚類的流量壓縮算法,研究基于概率的追蹤算法優(yōu)化研究,對(duì)于應(yīng)用層根據(jù)信息論和編碼理論,提出采用數(shù)字水印和對(duì)象標(biāo)記的追蹤算法和實(shí)現(xiàn)技術(shù),很有借鑒意義。在調(diào)查被加密的可執(zhí)行文件時(shí),需要在計(jì)算機(jī)取證中針對(duì)入侵行為展開(kāi)解密技術(shù)研究。

計(jì)算機(jī)取證的另一個(gè)技術(shù)問(wèn)題就是對(duì)取證模型的研究和實(shí)現(xiàn),當(dāng)前應(yīng)該開(kāi)始著手分析網(wǎng)絡(luò)取證的詳細(xì)需求 建立犯罪行為案例、入侵行為案例和電子證據(jù)特征的取證知識(shí)庫(kù),有學(xué)者提出采用XML和OEM數(shù)據(jù)模型、數(shù)據(jù)融合技術(shù)、取證知識(shí)庫(kù)、專家推理機(jī)制和挖掘引擎的取證計(jì)算模型,并開(kāi)始著手研究對(duì)此模型的評(píng)價(jià)機(jī)制。

計(jì)算機(jī)取證技術(shù)的局限

(一)取證軟件的局限性

首先,有關(guān)犯罪的電子證據(jù)必須沒(méi)有被覆蓋;其次,取證軟件必須能夠找到這些數(shù)據(jù)。并能知道它代表的內(nèi)容。但從當(dāng)前軟件的實(shí)現(xiàn)情況來(lái)看,許多取證分析軟件并不能恢復(fù)所有被刪除的文件。許多“取證分析軟件”還僅僅是可以恢復(fù)使用rm 或strip命令刪除的文件, 顯然僅使用它們的犯罪手段還相差甚遠(yuǎn)。

由于自身的局限性和計(jì)算機(jī)犯罪手段的變化,現(xiàn)有的取證技術(shù)已經(jīng)不能完全滿足打擊犯罪的要求。另外,由于當(dāng)前取證軟件的功能集中在磁盤(pán)分析上,而其他工作全部依賴于取證專家人工進(jìn)行,幾乎造成計(jì)算機(jī)取證軟件等同于磁盤(pán)分析軟件的錯(cuò)覺(jué)。這些情況必將隨著對(duì)計(jì)算機(jī)取證研究工作的深入和新取證軟件的開(kāi)發(fā)而得到改善。此外,計(jì)算機(jī)取證技術(shù)還會(huì)受到其他計(jì)算機(jī)理論和技術(shù)的影響。

(二)反取證技術(shù)的干擾性

正是由于技術(shù)上的局限性,使得一些犯罪分子有機(jī)可乘。因此在取證技術(shù)迅速發(fā)展的同時(shí), 一種叫做反取證的技術(shù)也悄悄出現(xiàn)了。反取證技術(shù)就是刪除或隱藏證據(jù),使取證調(diào)查無(wú)效?，F(xiàn)在反取證技術(shù)主要分為三類:數(shù)據(jù)擦除、 數(shù)據(jù)隱藏和數(shù)據(jù)加密。這些技術(shù)還可結(jié)合使用,使取證工作變得更加困難。

1.數(shù)據(jù)擦除。數(shù)據(jù)擦除是最有效的反取證方法,指清除所有可能的證據(jù)(索引節(jié)點(diǎn)目錄文件和數(shù)據(jù)塊中的原始數(shù)據(jù))。原始數(shù)據(jù)不存在了,取證自然就無(wú)法進(jìn)行。反取證工具包TDT(The Defiler、Toolkit)專門(mén)設(shè)計(jì)了兩款用于數(shù)據(jù)擦除的工具軟件Necrofil和 Klismafile .Necrofil用于擦除文件的信息和數(shù)據(jù),它直接將 TCT工具包中檢查索引節(jié)點(diǎn)狀態(tài)的工具ils據(jù)為己用,把所有TCT可以找到的索引節(jié)點(diǎn)的內(nèi)容用特定的數(shù)據(jù)覆蓋,同時(shí)它還會(huì)用隨機(jī)數(shù)重寫(xiě)相應(yīng)的數(shù)據(jù)塊;Klismafile用于擦除目錄中的殘存信息,它從目錄文件的入口開(kāi)始尋找所有被刪除的目錄項(xiàng),然后用零覆蓋滿足特定條件的目錄項(xiàng)內(nèi)容。Klismafile不是一個(gè)完美的解決工具,因?yàn)楸凰薷暮蟮哪夸浳募袝?huì)出現(xiàn)目錄項(xiàng)大小不正常的情況,當(dāng)然現(xiàn)在還沒(méi)有工具做這項(xiàng)檢查。

2.數(shù)據(jù)隱藏。為了逃避取證,犯罪者還會(huì)把暫時(shí)不能被刪除的文件偽裝成其他類型(如庫(kù)文件),或者把它們隱藏在圖形或音樂(lè)文件中;也有人把數(shù)據(jù)文件藏在磁盤(pán)上的隱藏空間中。比如,反取證工具Runefs就利用TCT工具包不檢查磁盤(pán)壞塊的特點(diǎn),把存放敏感文件的數(shù)據(jù)塊標(biāo)記為壞塊來(lái)逃避取證。這類技術(shù)統(tǒng)稱為數(shù)據(jù)隱藏。數(shù)據(jù)隱藏僅僅在取證者不知道到哪里尋找證據(jù)時(shí)才有效,所以它僅適用于短期保存數(shù)據(jù)。

3.數(shù)據(jù)加密。為了長(zhǎng)期保存數(shù)據(jù),必須把數(shù)據(jù)隱藏和其他技術(shù)聯(lián)合使用,比如使用別人不知道的文件格式或加密(包括對(duì)數(shù)據(jù)文件的加密和對(duì)可執(zhí)行文件的加密)。加密數(shù)據(jù)文件的作用已經(jīng)為我們所熟知了。而對(duì)可執(zhí)行文件加密是因?yàn)樵诒蝗肭值闹鳈C(jī)上執(zhí)行的黑客程序無(wú)法被隱藏, 而黑客又不想讓取證人員反向分析出這些程序的作用。盡管對(duì)可執(zhí)行文件加密的具體方法隨處理器的能力和操作系統(tǒng)的不同而發(fā)生變化,但基本思想是相同的:運(yùn)行時(shí)先執(zhí)行一個(gè)文本解密程序來(lái)解密被加密的代碼,而被解密的代碼可能是黑客程序,也可能是另一個(gè)解密程序。

除此之外,黑客還可以利用Root Kit (系統(tǒng)后門(mén)木馬程序等),繞開(kāi)系統(tǒng)日志或者利用竊取的密碼冒充其他用戶登錄,使取證調(diào)查變得更加困難。

克服計(jì)算機(jī)取證技術(shù)局限性的建議

吸收計(jì)算機(jī)領(lǐng)域內(nèi)其他的理論和技術(shù)有助于更好地打擊計(jì)算機(jī)犯罪。對(duì)下列領(lǐng)域的進(jìn)一步研究就有可能幫助計(jì)算機(jī)取證技術(shù)克服當(dāng)前的局限性:

磁盤(pán)數(shù)據(jù)恢復(fù)。磁盤(pán)是利用它表面介質(zhì)的磁性方向表示數(shù)據(jù)的。在將數(shù)據(jù)寫(xiě)入磁盤(pán)時(shí),磁頭產(chǎn)生的磁場(chǎng)會(huì)使存儲(chǔ)數(shù)據(jù)的介質(zhì)朝著某個(gè)方向磁化。由于新的數(shù)據(jù)很難精確地寫(xiě)在原有數(shù)據(jù)的位置上,即使經(jīng)過(guò)多次隨機(jī)覆蓋之后,原來(lái)的數(shù)據(jù)還是可能被找出來(lái)。這一結(jié)論為取證專家提供了新的思路,使得恢復(fù)被覆蓋了的數(shù)據(jù)成為可能。

解密技術(shù)。由于越來(lái)越多的計(jì)算機(jī)犯罪者使用加密技術(shù)保存關(guān)鍵文件,為了取得最終的證據(jù),需要取證人員將文件中的內(nèi)容進(jìn)行解密。另外,在調(diào)查被加密的可執(zhí)行文件時(shí),也需要用到解密技術(shù)。

更安全的操作系統(tǒng)。當(dāng)前,計(jì)算機(jī)取證軟件的功能很大程度上取決于操作系統(tǒng)的支持。如何提高系統(tǒng)的安全性和更好地保存證據(jù)也是一個(gè)值得研究的問(wèn)題。

取證的工具和過(guò)程標(biāo)準(zhǔn)化。由于計(jì)算機(jī)取證倍受關(guān)注,很多組織和機(jī)構(gòu)都投入了人力對(duì)這個(gè)領(lǐng)域進(jìn)行研究,并且已經(jīng)開(kāi)發(fā)出大量的取證工具。目前除TCT和En Case以外,還有很多其它的工具。因?yàn)闆](méi)有統(tǒng)一的標(biāo)準(zhǔn)和規(guī)范,軟件的使用者很難對(duì)這些工具的有效性和可靠性進(jìn)行比較。另外,到現(xiàn)在為止,還沒(méi)有任何機(jī)構(gòu)對(duì)計(jì)算機(jī)取證機(jī)構(gòu)和工作人員的資質(zhì)進(jìn)行認(rèn)證,使得取證結(jié)果的權(quán)威性受到質(zhì)疑。為了能讓計(jì)算機(jī)取證工作進(jìn)一步向縱深方向發(fā)展,制定取證工具的評(píng)價(jià)標(biāo)準(zhǔn)、取證機(jī)構(gòu)和從業(yè)人員的資質(zhì)審核辦法,以及取證工作的操作規(guī)范是非常必要的。

參考文獻(xiàn):

1.殷聯(lián)甫.計(jì)算機(jī)取證技術(shù)研究[J].計(jì)算機(jī)系統(tǒng)應(yīng)用,2005(8)

2.王玉林,申普兵,李潑,高曉飛.基于兩種數(shù)據(jù)類型的計(jì)算機(jī)取證技術(shù)研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2008(4)

3.李濤.網(wǎng)絡(luò)安全概論[M].電子工業(yè)出版社,2004

4.黃毅銘,汪海航.基于Palm OS移動(dòng)設(shè)備的計(jì)算機(jī)取證與分析[J].計(jì)算機(jī)應(yīng)用與軟件,2007(9)

5.張有東,王建東,朱梧槚.反計(jì)算機(jī)取證技術(shù)研究[J].河海大學(xué)學(xué)報(bào)(自然科學(xué)版),2007(1)