趙 倩，宋如順

南京師范大學(xué) 數(shù)學(xué)科學(xué)學(xué)院，南京 245041

數(shù)字取證的三維過程模型

趙 倩，宋如順

南京師范大學(xué) 數(shù)學(xué)科學(xué)學(xué)院，南京 245041

1 引言

在技術(shù)時代，電子信息在人們的生活中占據(jù)著越來越重要的位置。更多的個人信息、重要的文件等都是用電子設(shè)備來保存的，因此，電子設(shè)備成為偷竊或其他犯罪行為的目標。犯罪證據(jù)不僅是實物還有可能是電子設(shè)備中存儲的信息，由于涉及犯罪的電子證據(jù)多種多樣，針對不同的電子設(shè)備，所采用的取證方法與取證工具也不盡相同，錯誤的處理方法，可能會導(dǎo)致電子證據(jù)的丟失和對電子證據(jù)真實性和完整性的破壞。

在文獻[1]中，提出了一種三維過程模型，在該模型中，作者從實踐的角度出發(fā)，根據(jù)現(xiàn)場可能碰到的電子證據(jù)的不同類型、電子證據(jù)不同的取證方式（動態(tài)和靜態(tài)取證）以及取證的不同階段建立了一個三維的取證模型。文獻[1]雖然是從實踐的角度出發(fā)，卻沒有考慮到取證人員在取證過程當中所起的重要作用，一個取證過程是否成功，取證人員起著關(guān)鍵的作用。文獻[2]中，把取證過程進行了智能化處理，但在檢查階段卻沒能實現(xiàn)智能化，需要調(diào)查人員來進行檢查。因此，本文中提出了一個三維過程模型，在該模型中引入了取證團隊的思想，根據(jù)電子證據(jù)的不同種類，分別對電子證據(jù)進行取證，同時在取證過程中實現(xiàn)了自動收集和分析證據(jù)的功能，為確保證據(jù)的可信性和真實性，本文還在取證過程中加入監(jiān)督過程。

2 模型描述

在每個犯罪案件中，所涉及的電子設(shè)備并不是單一的，往往是多種多樣的，不同的電子設(shè)備在數(shù)字取證的過程中，所使用的收集和分析工具往往是不一樣的，而且在數(shù)字取證的各個階段某些活動是需要反復(fù)進行的，同時，要想對一個犯罪案件進行數(shù)字取證，單靠某一個或某幾個人來完成是不可能的。為解決以上問題，本文基于取證團隊的思想，針對不同電子設(shè)備進行取證，并列出常見的一些活動，提出了一個三維取證過程模型。該模型由三個正交軸x，y，z組成一個三維空間，其中x軸代表了電子證據(jù)的四種類型（開放的計算機系統(tǒng)、通信系統(tǒng)、嵌入式計算機系統(tǒng)及其他設(shè)備）；y軸代表了數(shù)字取證過程的五個主要階段（準備階段、收集階段、檢查分析階段、提交階段和結(jié)束階段）；z軸則代表了用于各個主要階段的五個主要活動（監(jiān)控、文檔記錄、保存與檢驗、團隊的組建與案件管理及計算機工具的使用）。如圖1所示。

圖1 三維過程模型圖

在現(xiàn)實社會中，任何一個犯罪案件都至少涉及一種電子證據(jù)，對于不同類型的電子證據(jù)，所采取的收集方法和工具也不一樣。從模型中可以看出，在取證的每一個階段，取證過程會涉及到五個常用的活動和不同的電子證據(jù)，因此，取證過程中的任一事件都可以用一個三維向量來表示。特別地，當針對某一類型的電子證據(jù)進行取證時，該模型就變成了一個二維的取證過程模型。在該模型中，主要的取證人員，也就是這個取證團隊的領(lǐng)導(dǎo)者——指揮員，是決定取證是否成功的關(guān)鍵。下面就針對該三維過程模型進行說明。

2.1 電子證據(jù)的種類

在實際的數(shù)字取證過程中，電子證據(jù)的來源有很多，如計算機、網(wǎng)絡(luò)、手機、光盤等，一般來說，可以把這些電子證據(jù)分為四類[1]：

（1）開放的計算機系統(tǒng)：主要是指一般意義上的計算機，包括：硬盤、鍵盤、顯示器，它可以是筆記本、臺式機和服務(wù)器。在這些設(shè)備中，數(shù)據(jù)一般保存在硬盤中，是電子證據(jù)的主要來源。硬盤中的文件可能包括和案件相關(guān)的信息，為調(diào)查指明方向。

（2）通信系統(tǒng)：包括通信網(wǎng)絡(luò)中的傳輸節(jié)點以及正在傳輸中的數(shù)據(jù)。例如電子郵件的發(fā)送/接收時間，服務(wù)器以及路由器的日志都要進行檢查，因為這些都是通信系統(tǒng)的一部分。

（3）嵌入式計算機系統(tǒng)：包括手機、PDA、智能卡、PSP、GPS和其他很多系統(tǒng)。這些設(shè)備的檢查可能會對證據(jù)的收集有意想不到的幫助。

（4）其他設(shè)備：包括光盤、軟盤、U盤，存儲卡等不被納入以上三種類型的電子證據(jù)。這些都是生活中人們常常用來存儲重要信息的設(shè)備，其中的信息在對證據(jù)進行分析的過程中可能會起到重要的作用。

2.2 取證的主要階段

2.2.1 準備階段

在該階段，為了使取證過程能夠順利開展，根據(jù)需要，安排了兩個主要的角色，一個是指揮員，另一個是檢查員。在接到案件報警時，指揮員首先派出檢查員去現(xiàn)場查看。檢查員是在第一時間對案件作出反應(yīng)的人員，其主要任務(wù)有：保護現(xiàn)場、確定事件是否發(fā)生（防止誤報）并把現(xiàn)場的基本情況列個清單上報給指揮員。指揮員根據(jù)檢查員上報的信息，作出相應(yīng)的安排。主要任務(wù)有：根據(jù)上報情況，立即組建取證團隊、安排相應(yīng)人員準備現(xiàn)場取證工具和派出相應(yīng)人員去現(xiàn)場提取證據(jù)；獲取相應(yīng)的搜查令；研究相應(yīng)案件，并對所發(fā)生的事件進行評估，根據(jù)經(jīng)驗對檢查人員給出的清單，列出案件的一個大致輪廓，指揮員還有個最重要的任務(wù)就是監(jiān)督、指導(dǎo)整個取證過程。

2.2.2 收集階段

該階段主要是由調(diào)查團隊來執(zhí)行的，它分為現(xiàn)場收集證據(jù)階段和實驗室收集證據(jù)階段，然而不管是在現(xiàn)場收集還是在實驗室收集階段，證據(jù)都包括實物證據(jù)和電子證據(jù)。這是因為在計算機犯罪案件中，證據(jù)一般是存放在電子設(shè)備中，要想獲得電子證據(jù)，首先要對可疑的電子設(shè)備進行保存和記錄（與傳統(tǒng)案件中證據(jù)的收集相同，這里就不再重復(fù)），再對設(shè)備中的信息進行提取、保存和記錄?，F(xiàn)場收集階段，主要是對現(xiàn)場的可疑證據(jù)進行收集，對于在現(xiàn)場由于設(shè)備等條件不足，而無法收集的含可疑證據(jù)的電子設(shè)備，就需要帶到實驗室中進行證據(jù)的收集。

在電子證據(jù)收集的過程中，由于電子證據(jù)的來源多種多樣，對于不同電子證據(jù)的種類，需要采用不同的數(shù)據(jù)收集方法，同時隨著技術(shù)的不斷發(fā)展，目前的存儲設(shè)備具有很大的容量，而對于系統(tǒng)和網(wǎng)絡(luò)數(shù)據(jù)包中的信息，由于里面含有諸如日志、注冊表之類的信息，信息量很大，同樣需要很大的存儲空間，而且分析起來也比較費時、費力，因此調(diào)查員在收集證據(jù)之前，可以適當?shù)販p輕調(diào)查的壓力，根據(jù)檢查員提供的信息，結(jié)合指揮員在準備階段給出的初始關(guān)鍵字，與由案件庫組成的專家系統(tǒng)進行相似案件關(guān)鍵字的比對，通過不斷增加的關(guān)鍵字，迅速地對信息進行過濾。具體的取證過程如圖2所示。

圖2 取證過程圖

根據(jù)案件的不同，收集內(nèi)容也不盡相同，主要包括：系統(tǒng)的一些基本信息（如：系統(tǒng)狀況、版本號等）；日志、注冊表中的可疑信息（告警信息、錯誤信息等）；以及與可疑信息相關(guān)的信息；通過關(guān)鍵字過濾后的信息等。兩個事件相關(guān)聯(lián)指的是兩個事件中至少含有一個相同的因素，在這里把至少含有兩個相同因素的兩個事件稱為事件相關(guān)聯(lián)。而事件的因素可以用5W1H來表示，即who、when、where、what，why、how，也就是說能清楚、詳細地記錄在什么時間、什么地點、誰因為什么原因，做了什么，是如何做的。

最后，把所有這些收集的證據(jù)，都統(tǒng)一存儲到一個設(shè)備當中，以方便下面的檢查分析。同時要對該設(shè)備進行加密，確保證據(jù)的真實性和可信性。

2.2.3 檢查分析階段

檢查與分析是一個不可分割的一個整體，該階段是由檢查分析團隊來執(zhí)行的，主要是對所收集到的可疑證據(jù)進行分析，組建證據(jù)鏈，還原犯罪事實。面對收集來的成百上千甚至上萬的文件或文件記錄，要想從中發(fā)現(xiàn)有用的證據(jù)，可以說是一件浩大的工程，文獻[3]中給出的證據(jù)可靠性放大算法提高了取證的效率和準確性，但是對于每個有沖突的證據(jù)卻不能顯現(xiàn)出其在所有沖突證據(jù)中所占的比重，而且也沒有給出信任因子的極限。因此，本文對證據(jù)可靠性放大算法進行了改進，在該算法中沖突極限MCF不再取所有沖突因子的平均值，而是把所有沖突因子加權(quán)平均。這樣做就顯現(xiàn)出每個沖突的證據(jù)在所有沖突證據(jù)中所占的比重，有效地降低了沖突極限MCF，更好地對可疑證據(jù)進行了篩選。同時，本文也給出了信任因子極限MRF的計算方法，過濾出大于信任因子極限MRF的證據(jù)，從而篩選出最可信的犯罪證據(jù)。下面簡單地將算法描述如下：

（1）初始化：C=B=E=P=Φ，其中C表示證據(jù)庫。

（2）盡可能多地收集電子證據(jù)。

（4）定義＜ci,Ei＞、ci的信任因子 RF(ci)=0，其中 Ei表示ci對應(yīng)的證據(jù)源的集合。

（5）C=C∪B，把新收集的單個證據(jù)集B加入到證據(jù)庫C中。

（7）定義count=CF(ei)=CF(ej)=count(ei)=count(ej)=0。

（8）Ifei和ej沖突，ThenCF(ei)和CF(ej)則分別加1，count=count+1,count(ei)=count(ei)+1;count(ej)=count(ej)+1,其中CF(ei)和CF(ej)分別表示事件ei和事件ej的沖突因子。

（10）If?e，e∈P，CF(e)≤MCF，Then E=E∪{} e，其中E表示所有可信且不沖突事件的集合。

（11）B=P=Φ，為了減少字符的數(shù)量，將B和P清空。

（12）對于?e∈E:{對于事件e中的任一個單一的證據(jù)

（14）IfRF(c)≥MRF，ThenP=P∪{c}，篩選出最可信的證據(jù)集P。

由于電子證據(jù)具有易修改等特點，證據(jù)庫中的信息并不一定都是可靠的，為確定收集到的信息就是犯罪的有力證據(jù)，需要對收集的信息進行提純，過濾掉那些大于沖突極限MCF的源事件，得到可信的、不沖突的源事件集E，再根據(jù)信任因子極限MRF過濾出最可信的證據(jù)集P，即是所要尋找的犯罪證據(jù)。根據(jù)證據(jù)，檢查分析人員組建證據(jù)鏈對案件進行重構(gòu)。

2.2.4 提交階段

該階段由指揮員指派參與調(diào)查分析的一名人員稱為匯報員來進行，匯報員要整理所有的文件記錄和各個階段得到的結(jié)論，并按照法律程序?qū)φ麄€案件的處理過程進行解釋和說明，同時，對案件進行最后的審查和測試。

2.2.5 案件結(jié)束

在該階段，指揮員要對整個案件進行總結(jié)和分析，并對記錄進行歸檔，同時，案件中的證據(jù)和文件記錄要上交檔案庫進行歸檔、保存。

2.3 取證階段涉及的五個活動

（1）監(jiān)控：主要是對取證的全過程進行監(jiān)督，包括人員監(jiān)督以及取證技術(shù)的監(jiān)督，可采用雙攝像、拍照等設(shè)備進行監(jiān)督。雙攝像即是通過視頻錄制軟件在被取證計算機上對整個取證過程進行實時錄制，同時再通過DV從外部對整個取證過程進行拍攝。

（2）文檔記錄：記錄收集了哪些證據(jù)，對其進行了哪些操作，發(fā)現(xiàn)的初始步驟是什么等。

（3）保存與檢驗：在準備階段，保護現(xiàn)場不被破壞，在收集階段保護實物證據(jù)和電子證據(jù)免受干擾和損害，在檢查分析階段，分析證據(jù)的真實性。

（4）團隊的組建與案件管理：該階段主要是由指揮員來完成的，指揮員除了要處理監(jiān)督團隊成員的細節(jié)任務(wù)，還要給出整個過程和結(jié)果的大方向來避免偏離正確的路徑。在任何與預(yù)期重要目標不同的情況下，應(yīng)盡快找到原因，及時給出引導(dǎo)。當然這也可以通過召開團隊會議來解決。

（5）計算機工具的使用：計算機工具的使用是整個取證過程所不可缺少的一部分，從證據(jù)的發(fā)現(xiàn)到呈堂證據(jù)的檢查、分析和案件重現(xiàn)都離不開計算機工具的使用。為保證證據(jù)的可信度，一般采用目前比較可信的取證工具。

這五個活動經(jīng)常用在取證過程的各個階段，有利于維護取證過程的質(zhì)量，并能保證證據(jù)的可信性和完整性。

3 小結(jié)

本文主要結(jié)合實際取證過程中電子證據(jù)的多樣性，突出在整個過程中監(jiān)督、記錄、保存和鑒定、案件管理和團隊組建以及計算機工具的使用這五項活動的重要性，并在證據(jù)的分析中引入了改進的證據(jù)可靠性放大算法對證據(jù)進行分析，提高了證據(jù)的可靠性和工作效率。該模型的優(yōu)點是：（1）針對不同的案件中涉及的不同證據(jù)來源，可以采用不同的證據(jù)收集方案，擴大了模型的使用范圍；（2）在收集階段采用了先用工具對證據(jù)進行關(guān)鍵字的篩選，減少了調(diào)查分析人員的工作量；（3）對生產(chǎn)的新的關(guān)鍵字以及案件信息，可加入到專家系統(tǒng)中，實現(xiàn)了信息的重復(fù)使用，降低了先前對指揮員技術(shù)和能力的要求。模型的缺點，首先是在關(guān)鍵字生成階段可能需要人工干預(yù)，以實現(xiàn)最佳收集效果，這樣雖然顯現(xiàn)了調(diào)查團隊的重要性，但只是實現(xiàn)了半自動化，不能達到完全的自動化。如何實現(xiàn)自動化的取證過程，需要繼續(xù)地研究與探討。

[1]薛躍，胡武宏.一種三維的電子證據(jù)取證流程模型[J].警察技術(shù)，2007.

[2]Ruibin G，Yun T，Gaertner M.Case-relevance information investigation：binding computer intelligence to the current computer forensic framework[J].International Journal of Digital Evidence，2005，4（1）.

[3]Khatir M，Hejazi S M，Sneiders E.Two-dimensional evidence reliability amplification process model for digital forensics[C]// WDFIA'08.Washingtion，DC，USA：IEEE Computer Society，2008：21-29.

[4]蔣平，黃淑華，楊莉莉.數(shù)字取證[M].北京：清華大學(xué)出版社，2007.

ZHAO Qian,SONG Rushun

School of Mathematical Science,Nanjing Normal University,Nanjing 245041,China

This paper presents a three-dimension digital forensic process model based on emphasizing the importance of forensic numbers and different data sources.In this model,collecting methods are different varying from data source to data source which involved in the event in order to explore the scope of the model used.Meanwhile in this paper the evidence can collect and analyze automatically.Knowledge can re-use.In the phase of investigation and analysis it improves the evidence reliability amplification in order to improve evidence reliability and work effectively.

digital forensic;evidence reliability;digital forensic process

在強調(diào)取證人員重要性的基礎(chǔ)上，根據(jù)電子證據(jù)來源的不同，提出了一個三維過程模型，針對不同的案件中涉及的不同證據(jù)來源，可以采用不同的證據(jù)收集方案，擴大了數(shù)字取證模型的使用范圍，同時實現(xiàn)了證據(jù)的自動收集和分析功能，及知識的重復(fù)使用功能，并在調(diào)查分析階段對證據(jù)可靠性放大算法進行了改進，提高了證據(jù)的可靠性和工作效率。

數(shù)字取證；證據(jù)可靠性；數(shù)字取證過程

A

TP309

10.3778/j.issn.1002-8331.1108-0253

ZHAO Qian,SONG Rushun.Three-dimension digital forensic process model.Computer Engineering and Applications, 2013,49（5）：93-95.

國家“211工程”建設(shè)項目（No.181070H901）。

趙倩（1985—），女，研究生，主要研究領(lǐng)域為數(shù)字取證模型；宋如順，男，教授。E-mail：qqqad@163.com

2011-08-22

2011-10-08

1002-8331（2013）05-0093-03

CNKI出版日期：2011-12-09 http://www.cnki.net/kcms/detail/11.2127.TP.20111209.1001.034.html