楊泉清 許元進(jìn)

淺談計算機(jī)網(wǎng)絡(luò)取證技術(shù)

楊泉清 許元進(jìn)

福建伊?xí)r代信息科技有限公司

隨著互聯(lián)網(wǎng)的應(yīng)用普及，各種利用計算機(jī)網(wǎng)絡(luò)進(jìn)行詐騙、盜竊、色情傳播等網(wǎng)絡(luò)犯罪活動日益猖獗，已經(jīng)嚴(yán)重威脅到人們正常的生產(chǎn)和生活。如何及時準(zhǔn)確地從計算機(jī)網(wǎng)絡(luò)中獲取證據(jù)，有效遏制網(wǎng)絡(luò)犯罪，已成為近年來計算機(jī)取證的研究熱點(diǎn)。由于這類證據(jù)具有動態(tài)、實(shí)時、海量、異構(gòu)和多態(tài)等特性，有別于傳統(tǒng)證據(jù)，需要具備較強(qiáng)的取證技術(shù)。同時，網(wǎng)絡(luò)取證技術(shù)的研究在我國尚處于起步階段，還無法及時跟上犯罪技術(shù)的更新和變化。因此，網(wǎng)絡(luò)證據(jù)的獲取一直還處于比較艱難的局面，嚴(yán)重阻礙了網(wǎng)絡(luò)案件的偵破。面對這種現(xiàn)實(shí)，加快網(wǎng)絡(luò)取證技術(shù)的研究和應(yīng)用，已經(jīng)引起各級政府和機(jī)構(gòu)的高度重視。

計算機(jī)取證技術(shù) 網(wǎng)絡(luò)犯罪 網(wǎng)絡(luò)取證工具 電子證據(jù)

1 網(wǎng)絡(luò)證據(jù)取證概述

計算機(jī)取證（Computer Forensics）是指對計算機(jī)入侵、破壞、欺詐、攻擊等犯罪行為利用計算機(jī)軟硬件技術(shù)，按照符合法律規(guī)范的方式進(jìn)行獲取、保存、分析和出示的過程。從技術(shù)上，計算機(jī)取證是一個對計算機(jī)系統(tǒng)進(jìn)行掃描和破解，以對入侵事件進(jìn)行重建的過程。網(wǎng)絡(luò)取證（Network Forensics）包含了計算機(jī)取證，是廣義的計算機(jī)取證，是網(wǎng)絡(luò)環(huán)境中的計算機(jī)取證。

計算機(jī)取證包括了物理證據(jù)獲取和信息分析發(fā)現(xiàn)兩個階段。物理證據(jù)是指調(diào)查人員到犯罪現(xiàn)場，尋找和扣留犯罪相關(guān)的計算機(jī)軟硬件設(shè)備；信息分析發(fā)現(xiàn)是指從計算機(jī)原始數(shù)據(jù)中通過技術(shù)手段分析查找與案件相關(guān)的系統(tǒng)日志、聊天記錄、電子郵件和文件等可以用來證明或者反駁的電子數(shù)據(jù)證據(jù)，即電子證據(jù)。

與傳統(tǒng)的證據(jù)不同的是，計算機(jī)證據(jù)易丟失、易篡改、易刪除并且很難獲取，這就要求在進(jìn)行計算機(jī)取證時必須嚴(yán)格遵守一定的規(guī)則?；驹瓌t如下：

1.1 合法性原則

應(yīng)采用合法的取證設(shè)備和工具軟件按照法律法規(guī)的要求，合理合法地進(jìn)行計算機(jī)證據(jù)收集。

1.2 原始性原則

及時收集、保存和固化原始證據(jù)，確保證據(jù)不被嫌疑人刪除、篡改和偽造。

1.3 連續(xù)性原則

證據(jù)被提交給法庭時，必須能夠說明證據(jù)從最初的獲取到出庭證明之間的任何變化。

1.4 過程完整性原則

整個取證過程應(yīng)該在受監(jiān)督的情況下完成，證據(jù)的移交、分類、保管等過程應(yīng)該有詳細(xì)的記錄，確保證據(jù)獲取的真實(shí)可信。

1.5 多備份原則

對存放計算機(jī)證據(jù)的載體至少制作兩個以上的副本。原件應(yīng)存放在專門的保管設(shè)施中，副本可用于證據(jù)的提取和分析；

1.6 可重現(xiàn)原則

由于電子證據(jù)的特殊性，確保取證過程和結(jié)果的可重現(xiàn)性。

2 計算機(jī)網(wǎng)絡(luò)取證技術(shù)

計算機(jī)網(wǎng)絡(luò)取證技術(shù)就是在網(wǎng)絡(luò)上跟蹤犯罪分子或通過網(wǎng)絡(luò)通信的數(shù)據(jù)信息資料獲取證據(jù)的技術(shù)。主要包括以下幾種技術(shù)。

2.1 基于入侵檢測取證技術(shù)

是指通過從計算機(jī)網(wǎng)絡(luò)或計算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象的一種安全技術(shù)，簡稱IDS。入侵檢測技術(shù)是動態(tài)安全技術(shù)的最核心技術(shù)之一。它的原理就是利用一個網(wǎng)絡(luò)適配器來實(shí)時監(jiān)視和分析所有通過網(wǎng)絡(luò)進(jìn)行傳輸?shù)耐ㄐ牛W(wǎng)絡(luò)證據(jù)的動態(tài)獲取也需要對位于傳輸層的網(wǎng)絡(luò)數(shù)據(jù)通信包進(jìn)行實(shí)時的監(jiān)控和分析，從中發(fā)現(xiàn)和獲得嫌疑人的犯罪信息。因此，計算機(jī)網(wǎng)絡(luò)證據(jù)的獲取完全可以依賴現(xiàn)有IDS系統(tǒng)的強(qiáng)大網(wǎng)絡(luò)信息收集和分析能力，結(jié)合取證應(yīng)用的實(shí)際需求加以改進(jìn)和擴(kuò)展，就可以輕松實(shí)現(xiàn)網(wǎng)絡(luò)證據(jù)的獲取。只是具體的獲取方法和獲取的信息不同而已。

2.2 來源取證技術(shù)

其主要的目的是確定嫌疑人所處位置和具體作案設(shè)備。主要通過對網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行捕捉和分析，或者對電子郵件頭等信息進(jìn)行分析，從中獲得犯罪嫌疑人通信時的計算機(jī)IP地址和MAC 地址等相關(guān)信息。

IP地址是Internet協(xié)議地址，每個Internet包必須帶有IP地址，每個Internet服務(wù)提供商（ISP）必須向有關(guān)組織申請一組IP地址，然后一般是動態(tài)分配給其用戶。調(diào)查人員通過IP地址定位追蹤技術(shù)進(jìn)行追蹤溯源，查找出嫌疑人所處的具體位置。MAC地址是由網(wǎng)絡(luò)設(shè)備制造商生產(chǎn)時直接寫在每個硬件內(nèi)部的全球唯一地址。調(diào)查人員通過MAC 地址和相關(guān)調(diào)查信息最終確認(rèn)犯罪分子的作案設(shè)備。

2.3 痕跡取證技術(shù)

是指通過專用工具軟件和技術(shù)手段，對犯罪嫌疑人所使用過的計算機(jī)設(shè)備中相關(guān)記錄和痕跡信息進(jìn)行分析取證，獲得案件相關(guān)的犯罪證據(jù)。主要有文件內(nèi)容、電子郵件、網(wǎng)頁內(nèi)容、聊天記錄、系統(tǒng)日志、應(yīng)用日志、服務(wù)器日志、網(wǎng)絡(luò)日志、防火墻日志、入侵檢測、磁盤驅(qū)動器、文件備份、已刪除可恢復(fù)的記錄信息等等。痕跡取證技術(shù)要求取證人員需要具備較高的計算機(jī)專業(yè)水平和豐富的取證經(jīng)驗，結(jié)合密碼破解、加密數(shù)據(jù)的解密、隱藏數(shù)據(jù)的再現(xiàn)、數(shù)據(jù)恢復(fù)、數(shù)據(jù)搜索等技術(shù)。對系統(tǒng)分析和采集來獲得證據(jù)。

2.4 海量數(shù)據(jù)挖掘技術(shù)

計算機(jī)的存儲容量越來越大，網(wǎng)絡(luò)傳輸?shù)乃俣纫苍絹碓娇?。對于計算機(jī)內(nèi)部存儲和網(wǎng)絡(luò)傳輸中的大量數(shù)據(jù)，可以用海量數(shù)據(jù)挖掘技術(shù)發(fā)現(xiàn)特定的與犯罪有關(guān)的數(shù)據(jù)。相關(guān)專家提出了NFAT(NetWork Forensics Analysis Tools)的設(shè)計框架和標(biāo)準(zhǔn)。核心是開發(fā)專家系統(tǒng)（Expret System，簡稱ES）并配合入侵檢測系統(tǒng)和防火墻，對網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行實(shí)時的監(jiān)控、提取和分析，對于發(fā)現(xiàn)的異常數(shù)據(jù)進(jìn)行可視化報告，從中獲得嫌疑人的相關(guān)犯罪信息。

2.5 網(wǎng)絡(luò)流量監(jiān)控技術(shù)

可以通過Sniffer協(xié)議分析軟件和P2P流量監(jiān)控軟件實(shí)時動態(tài)來跟蹤犯罪嫌疑人的通信過程，對嫌疑人正在傳輸?shù)木W(wǎng)絡(luò)數(shù)據(jù)進(jìn)行實(shí)時連續(xù)的采集和監(jiān)測，對獲得的流量數(shù)據(jù)進(jìn)行統(tǒng)計計算，從而得到網(wǎng)絡(luò)主要成分的性能指標(biāo)。根據(jù)對網(wǎng)絡(luò)主要成分進(jìn)行性能分析，發(fā)現(xiàn)性能變化趨勢，得到嫌疑人的相關(guān)犯罪痕跡。

2.6 事前取證技術(shù)

現(xiàn)有的取證技術(shù)基本上都是建立在案件發(fā)生后，根據(jù)案情需要利用各種技術(shù)對所需的證據(jù)進(jìn)行獲取即事后取證。而由于計算機(jī)網(wǎng)絡(luò)犯罪的特殊性，許多重要的信息，只存在于案件發(fā)生的當(dāng)前狀態(tài)下如環(huán)境信息、網(wǎng)絡(luò)狀態(tài)信息等在事后往往是無據(jù)可查，而且電子數(shù)據(jù)易遭到刪除、覆蓋和破壞。因此，對自我認(rèn)為可能發(fā)生的事件進(jìn)行預(yù)防性的取證保全，對日后出現(xiàn)問題的案件的調(diào)查和出庭作證都具有無可比擬的作用，它將是計算機(jī)取證技術(shù)未來發(fā)展的重要方向之一。對此類防范和預(yù)防性的取證工具軟件，在國內(nèi)外還比較少見?，F(xiàn)有據(jù)可查的就是福建伊?xí)r代公司于2007年推出的電子證據(jù)生成系統(tǒng)。該系統(tǒng)采用其獨(dú)創(chuàng)的“數(shù)據(jù)原生態(tài)保全技術(shù)”來標(biāo)識電子證據(jù)，并將其上傳存放于安全性極高的電子證據(jù)保管中心，充分保證電子證據(jù)的完整性、真實(shí)性和安全性，使之具備法律效力。它可以全天候提供電子郵件、電子合同、網(wǎng)絡(luò)版權(quán)、網(wǎng)頁內(nèi)容、電子商務(wù)、電子政務(wù)等電子證據(jù)的事前保全服務(wù)。

3 現(xiàn)有取證存在的問題

3.1 法律法規(guī)的不健全

由于我國在計算機(jī)取證方面的立法相對滯后，到目前為止還未有計算機(jī)取證方面的專門的法律法規(guī)，計算機(jī)證據(jù)即電子證據(jù)還不能做為一種單獨(dú)的證據(jù)類型在法庭上予以承認(rèn)。

計算機(jī)取證工作程序沒有統(tǒng)一的標(biāo)準(zhǔn)和規(guī)范，獲取證據(jù)的過程沒有嚴(yán)格的規(guī)定，存在較大的隨意性。因此，獲取的證據(jù)的證明力不足。

3.2 取證工作缺乏標(biāo)準(zhǔn)和規(guī)范

由于計算機(jī)取證倍受關(guān)注,很多組織和機(jī)構(gòu)都投入了人力對這個領(lǐng)域進(jìn)行研究,也開發(fā)出大量的取證工具，但沒有統(tǒng)一的標(biāo)準(zhǔn)和規(guī)范,軟件的使用者很難對這些工具的有效性和可靠性進(jìn)行比較。

缺少對取證人員的認(rèn)證和培訓(xùn)機(jī)制，由于取證人員水平的參差不齊，取得的證據(jù)不具備可靠性。

4 取證技術(shù)的完善

首先，應(yīng)加快計算機(jī)取證法律法規(guī)的立法步伐，使其具備合法性。盡早在法律層面上確立電子證據(jù)作為一種單獨(dú)證據(jù)類型。另外，還應(yīng)制定統(tǒng)一的計算機(jī)取證規(guī)范和取證過程標(biāo)準(zhǔn)，從制度上保證取證的科學(xué)性和權(quán)威性。

其次，由于計算機(jī)取證是一個高技術(shù)含量的學(xué)科，需結(jié)合計算機(jī)軟硬件的多項技術(shù)才能完成，因此，有必要建立一個計算機(jī)取證綜合實(shí)驗室。對網(wǎng)絡(luò)犯罪和取證技術(shù)進(jìn)行綜合研究，找出一個切實(shí)可行的網(wǎng)絡(luò)犯罪防范和治理辦法。

由于現(xiàn)有的取證技術(shù)都是事后取證，缺乏對網(wǎng)絡(luò)犯罪的事前防范和預(yù)防，無法從根源上防止和杜絕網(wǎng)絡(luò)犯罪。因此，必須加快計算機(jī)網(wǎng)絡(luò)犯罪的事前防范和預(yù)防的研究，把網(wǎng)絡(luò)犯罪掐斷在萌芽階段，才能做到從源頭上治理計算機(jī)網(wǎng)絡(luò)犯罪行為。

5 發(fā)展趨勢

現(xiàn)在的計算機(jī)取證，很大程度是手工操作硬件或者使用取證工具軟件，能夠在作案的同時或一定時限內(nèi)獲得證據(jù)的機(jī)會微乎其微。取證工作的成敗主要取決于技術(shù)人員的經(jīng)驗和智慧，缺少證據(jù)的主動獲取技術(shù)。所以取證技術(shù)的發(fā)展方向之一就是證據(jù)獲取的自動化。

由于計算機(jī)取證技術(shù)是近年來才得以發(fā)展和重視，相對反取證技術(shù)還比較落后。而且反取證技術(shù)也在不斷發(fā)展，如同病毒和防病毒軟件的發(fā)展一樣，取證技術(shù)的進(jìn)一步發(fā)展也基于研究反取證技術(shù)的基礎(chǔ)上。

6 結(jié)論

隨著計算機(jī)和網(wǎng)絡(luò)技術(shù)的普及，計算機(jī)網(wǎng)絡(luò)取證技術(shù)是一個快速成長的研究領(lǐng)域,它在國家安全、消費(fèi)者保護(hù)和犯罪調(diào)查方面有著重要的應(yīng)用前景。本文主要研究了計算機(jī)網(wǎng)絡(luò)取證的基本原則、取證技術(shù)的應(yīng)用。并結(jié)合法律和技術(shù)方面指出目前存在的問題和今后取證技術(shù)的完善和發(fā)展趨勢。對計算機(jī)取證的法律和技術(shù)問題進(jìn)行深入探討和研究，希望有助于我國計算機(jī)取證法律法規(guī)的健全和計算機(jī)取證技術(shù)的進(jìn)一步完善和發(fā)展。

[1] 郭建朝.計算機(jī)取證技術(shù)的應(yīng)用研究[D].蘭州:蘭州大學(xué)碩士學(xué)位論文,2007.

[2]張凱.電子證據(jù)研究[D].北京:中國政法大學(xué)博士學(xué)位論文,2006.

[3]何明.計算機(jī)安全學(xué)的新焦點(diǎn)——計算機(jī)取證學(xué)[J].系統(tǒng)安全,2002.

[4]梁錦華,蔣建春,戴飛雁,卿斯?jié)h.計算機(jī)取證技術(shù)研究[J].計算機(jī)工程,2002.

[5]錢桂瓊,楊澤明,許榕生.計算機(jī)取證的研究與設(shè)計[J].計算機(jī)工程,2002.

[6] 張越今.網(wǎng)絡(luò)安全與計算機(jī)犯罪勘查技術(shù)學(xué)[M].北京:清華大學(xué)出版社,2003.