涂敏 鐘海峰 江西警察學院 南昌市 330100

0 數(shù)據(jù)恢復技術國內(nèi)外現(xiàn)狀

隨著信息技術的發(fā)展，計算機案件在電子數(shù)據(jù)取證工作中的比重越來越大，司法鑒定人員發(fā)現(xiàn)，許多證據(jù)在案件發(fā)生時已經(jīng)被刪除，導致執(zhí)法部門不易獲取到犯罪人員作案的證據(jù)。數(shù)據(jù)恢復產(chǎn)品成為電子數(shù)據(jù)取證及鑒定工作必不可少的工具。目前國內(nèi)外已經(jīng)研發(fā)出來不少相關的產(chǎn)品，國內(nèi)主要有Easy Discovery Disk Genius、Final Data等；國外相關主要產(chǎn)品有：R-Studio、DiskRecovery、MediaRescue pro、D-Recovery for MS SQL Server、CDRoller等。

計算機取證是使用軟件和工具，按照一些預先定義的程序，全面地檢查計算機系統(tǒng)，以提取和保護有關計算機犯罪的證據(jù)。在國外，尤其在美國等網(wǎng)絡技術發(fā)達國家，打擊計算機犯罪有著二三十年的歷史，在計算機取證發(fā)面積累了一定的經(jīng)驗，出現(xiàn)了許多專門的計算機取證部門，實驗室和咨詢服務公司，目前，美國50%以上的司法機關建立了自己的計算機取證實驗室。針對計算機取證的全部活動而言，美國等國家的各研究機構與公司所開發(fā)的工具主要覆蓋了電子數(shù)據(jù)證據(jù)的捕獲取、分析和呈現(xiàn)的過程。隨著網(wǎng)絡科技的發(fā)展,針對這3部分的取證工具和技術也在突飛猛進。

0.1 數(shù)據(jù)捕獲工具

1）X-ways Forensics。

X-Ways Forensics是為計算機取證分析人員提供的功能強大的捕獲數(shù)據(jù)工具。X-Ways Forensics包含W inHex軟件的所有基本功能和一些新增的特有功能。如:①磁盤復制和鏡像;②可檢查RAW原始數(shù)據(jù)鏡像文件中的完整目錄結構,支持分段保存的鏡像文件;③內(nèi)置對RAID 0、RAID 5和動態(tài)磁盤的處理和恢復察看并獲取物理RAM和虛擬內(nèi)存中的運行進程;④可對特定文件類型恢復(從FileSig導入上百種文件特征標識);⑤數(shù)據(jù)擦除功能,可徹底清除存儲介質中數(shù)據(jù),對磁盤或鏡像文件處理,收集殘留空間、空余空間、分區(qū)空隙中的信息;⑥簡單地檢測并分析ADS(NTFSAlternate Data Streams)。

2）GetSlack。用于捕獲未分配的數(shù)據(jù)。

3）GetTime。用于捕獲分散的文件。

0.2 數(shù)據(jù)分析工具

NFD (NuixForensicDesktop)是個不可多得的數(shù)據(jù)分析工具,它將關注點放在電子郵件及辦公文檔的分析處理上,不僅能直接搜索、察看電子郵件和附件內(nèi)容,更可以通過圖形方式展示不同用戶之間的信件聯(lián)絡關系。

0.3 數(shù)據(jù)呈現(xiàn)工具

JFAV (JavaForensicAnalysisViewer)取證工具克服了現(xiàn)在數(shù)字取證的局限,使用高級信息建模技術,并使用功能強大的圖形可視化的用戶界面,即3D可視化技術進行數(shù)據(jù)管理。這個工具可在任何取證工具中使用XML(eXtensible Markup Language)交換電子數(shù)據(jù),使用XML語言存儲數(shù)據(jù),再將這些數(shù)據(jù)形成三維圖像進行觀察、分析。

0.4 集成取證工具

1）TCT (The Coronors' Toolkit)

TCT是Earthlink網(wǎng)絡的Dan Farmer和IBM公司W(wǎng)ietseVenema研究員為了協(xié)助計算機取證而設計的工具包,可用來找回被刪除的數(shù)據(jù)和取得系統(tǒng)中所有文件的屬性信息。它有4個主要組成部分:

Grave-Robber,Unrm&Lazarus, Mactime和一組小工具( file, ils, icat等)。

Grave-Robber是TCT中支持其他程序運行的框架。通過調用其他子程序找到文件、程序和網(wǎng)絡信息等有用的數(shù)據(jù),同時避免對原始數(shù)據(jù)的破壞,并能保存和輸出取證結果。

Unrm&lazarus用來恢復被刪除的數(shù)據(jù)。unrm程序通過把所有處于空閑狀態(tài)數(shù)據(jù)塊的內(nèi)容都按字節(jié)拷貝到取證軟件的數(shù)據(jù)空間,以防止對原始數(shù)據(jù)的破壞。Lazarus用來整理由unrm找回的未知結構數(shù)據(jù),以方便用戶閱讀和操作。

Mactime用于讀取并且報告系統(tǒng)中所有文件的MAC時間,為取證人員了解程序的調用以及敏感文件的訪問和改變時間提供幫助。

這些小工具可由grave-robber調用執(zhí)行,也可自己單獨使用。如, file用來確定文件是文本文件還是二進制程序; ils用來顯示被刪除的索引節(jié)點的原始資料; icat用于取得特定的索引節(jié)點對應的文件內(nèi)容等。

2）EnCase

Encase被稱為是唯一的完全集成的基于Windows界面的取證應用程序,其功能包括:數(shù)據(jù)瀏覽、搜索、磁盤瀏覽、數(shù)據(jù)預覽、建立案例、建立證據(jù)文件和保存案例等。

EnCase是用C++編寫的容量大約為1 MByte的程序,可以調查W indows, Macintosh, Linux,Unix或DOS機器的硬盤,把硬盤中的文件鏡像成只讀的證據(jù)文件,所以可以防止調查人員因修改數(shù)據(jù)而使其成為無效的證據(jù)。為了確定鏡像數(shù)據(jù)與原始數(shù)據(jù)相同, EnCase將計算機CRC校驗碼和MD5哈希值進行比較。EnCase對硬盤驅動鏡像后重新組織文件結構,采用Windows GUI顯示文件的內(nèi)容,允許調查員使用多個工具完成多個任務。

3）ForensicX

ForensicX主要運行于Linux環(huán)境,是以收集數(shù)據(jù)及分析數(shù)據(jù)為主要目的的工具。它與配套的硬件組成專門工作平臺。利用Linux支持多種文件系統(tǒng)的特點,提供在不同的文件系統(tǒng)中自動裝配映像的能力,能發(fā)現(xiàn)分散空間的數(shù)據(jù),分析Unix系統(tǒng)是否含有木馬程序。其中的Webtrace可以自動搜索互聯(lián)網(wǎng)上的域名,為網(wǎng)絡取證進行必要的收集工作,新版本有識別隱藏文件的工具。

4）Forensic Toolkit(FTK)

FTK功能包括:可創(chuàng)建映像、察看注冊表、執(zhí)行案件調查、數(shù)據(jù)分析、解密文件、破解密碼以及創(chuàng)建報告。

最近幾年，國內(nèi)逐漸意識到計算機取證技術的重要性，各高校及研究機構開始從事計算機取證相關的研究和實踐。其中中科院主攻取證機的研發(fā)，浙江大學和復旦大學在取證技術、吉林大學在網(wǎng)絡逆向追蹤、電子科技大學在網(wǎng)絡欺騙、北京航空航天大學在入侵誘騙模型等方面展開了研究工作。各研究機構與公司也都在進一步優(yōu)化現(xiàn)有的各種工具，提高利用工具進行電子證據(jù)搜集、保全、鑒定、分析的可靠性和準確度，進一步提高計算機取證的自動化和智能化，但目前還沒有能夠全面鑒定電子數(shù)據(jù)證據(jù)設備來源、地址來源、軟件來源的工具。

但是這些產(chǎn)品目前都存在許多不足，如產(chǎn)品功能不全面，產(chǎn)品恢復的成功率不高，自動化程度低，使用不方便，不支持遠程數(shù)據(jù)恢復等等。

1 數(shù)據(jù)恢復技術的需求分析

未來幾年，國內(nèi)對電子數(shù)據(jù)恢復技術的需求將呈現(xiàn)大幅度的增長，表現(xiàn)在：

1）數(shù)據(jù)恢復技術將隨著電子數(shù)據(jù)取證需求的增長而得到進一步應用。

2012年3月，全國人大通過了刑訴法修正案，“電子證據(jù)”正式寫入刑訴法，且根據(jù)民訴法修正案草案，“電子證據(jù)”也有望列入民訴法。電子證據(jù)入法，表明電子數(shù)據(jù)取證及鑒定業(yè)務將呈現(xiàn)快速增長的趨勢，數(shù)據(jù)恢復產(chǎn)品作為電子數(shù)據(jù)取證產(chǎn)品的重要組成部分，將具有良好的市場應用前景。

2）數(shù)據(jù)恢復技術對保障公安系統(tǒng)的信息安全也將發(fā)揮重要作用。

對于公安部門而言，由于內(nèi)部信息化系統(tǒng)的廣泛建設，各種網(wǎng)絡設備、計算機設備和存儲介質的大量使用，越來越多的日常辦公和案件信息都以電子數(shù)據(jù)的形式存儲在各種電子設備里。由于電子數(shù)據(jù)具有容易刪除和被修改的特性，同時電子設備在使用過程中也會出現(xiàn)不同情況的損壞。當數(shù)據(jù)丟失或損壞，或者使用人員無意將使用的數(shù)據(jù)損壞時，都急需對數(shù)據(jù)進行恢復處理。數(shù)據(jù)恢復產(chǎn)品在公安業(yè)務中具有廣泛的應用前景與市場需求。

3）作為信息安全產(chǎn)品，電子數(shù)據(jù)恢復技術可以作為信息安全保障手段的一項重要內(nèi)容，是有效保障電子信息安全的最后一條防線。

數(shù)據(jù)恢復技術研究，將豐富信息安全保障技術的研究內(nèi)容，對保障信息安全具有一定的積極作用。

2 數(shù)據(jù)恢復技術發(fā)展趨勢

目前，數(shù)據(jù)恢復技術朝著全面、深度的方向發(fā)展。針對不連續(xù)塊數(shù)據(jù)，著重研究其成功率和恢復效率；支持的范圍更廣，涉及各類智能移動終端、RAID磁盤和各種操作系統(tǒng)等；應用模式更靈活，要求數(shù)據(jù)恢復產(chǎn)品能夠通過網(wǎng)絡實現(xiàn)數(shù)據(jù)的遠程恢復，并具有較高的自動化程度。

2.1 文檔碎片數(shù)據(jù)的快速恢復技術

針對電子文檔的損壞及刪除后數(shù)據(jù)碎片的恢復，國內(nèi)當前主要采用基于連續(xù)塊的數(shù)據(jù)恢復技術，該技術對不連續(xù)塊數(shù)據(jù)的恢復率較低?；诰幋a規(guī)則的文檔數(shù)據(jù)恢復技術，以文檔數(shù)據(jù)的有效編碼為特征，以文檔編碼規(guī)則和組合規(guī)則為條件，采用回溯遞推方法尋找所有數(shù)據(jù)塊，采用分特征分數(shù)據(jù)段索引方法來提高檢索效率；另外采用層疊匹配規(guī)則方法來定位有效數(shù)據(jù)塊，逐一進行數(shù)據(jù)塊的檢索過濾，提取存儲介質中屬于有效編碼的數(shù)據(jù)塊以恢復各種文檔，具有文檔識別率高，搜索速度快的特點。該項技術可有效恢復已丟失文件簽名或文件結束字符等特征的文檔數(shù)據(jù)文件，及未被其他文件覆蓋的各種文字信息，并且能夠發(fā)現(xiàn)已損壞文檔的碎片，并從存儲介質中自動提取，具有較高的文檔恢復成功率。

2.2 智能移動終端閃存芯片的數(shù)據(jù)碎片恢復技術

由于手機、平板電腦等智能移動終端采用各種均衡寫入算法以及垃圾回收和壞塊管理技術，導致難以解析和恢復閃存芯片鏡像的碎片數(shù)據(jù)。智能移動終端閃存芯片的數(shù)據(jù)碎片恢復技術針對物理層碎片研發(fā)了基于地址映射表、基于引導扇區(qū)搜索和冗余數(shù)據(jù)分析等多種重組分析算法，將閃存芯片數(shù)據(jù)分析環(huán)境轉化為標準數(shù)據(jù)分析環(huán)境，在此技術基礎上可恢復閃存芯片里文檔、圖片、視頻等各類數(shù)據(jù)碎片；針對邏輯層碎片，根據(jù)特有的邏輯數(shù)據(jù)編碼特征，建立數(shù)據(jù)查找的編碼特征庫、數(shù)據(jù)解析的解碼特征庫、邏輯碎片恢復的解碼特征庫，對鏡像數(shù)據(jù)進行分段分塊索引，再根據(jù)編碼特征庫查找數(shù)據(jù)段和數(shù)據(jù)碎片，并根據(jù)解碼特征庫進行解析，達到碎片恢復的效果，恢復過程不依賴于閃存芯片的文件系統(tǒng)格式。

2.3 Sqlite數(shù)據(jù)庫刪除數(shù)據(jù)重組技術

Sqlite數(shù)據(jù)庫被廣泛應用在計算機及各種智能終端上，主要存放通信產(chǎn)生的數(shù)據(jù)。針對聊天、郵件、短信等刪除數(shù)據(jù)，現(xiàn)有碎片恢復軟件通常采用索引恢復技術，當頭部索引被覆蓋或者存在偽索引的情況，該技術就無法正常恢復數(shù)據(jù)。數(shù)據(jù)重組技術提供了一種全新的刪除記錄的結構重組方法，通過基于刪除記錄二元組信息上的通用關鍵點特征和Sqlite多記錄空閑鏈表節(jié)點的記錄元組劃分方法，利用記錄關鍵節(jié)點合并和分離算法，識別真?zhèn)侮P鍵點，并且自適應消除關鍵點碎片，以提高空閑鏈表節(jié)點多記錄劃分的準確性和全面性；并引入變長滑動窗口機制和子滑動窗口機制來重組刪除記錄。這種機制能夠自動判斷記錄是否為碎片，準確定位索引和內(nèi)容，進而實現(xiàn)刪除記錄的重組。此項技術的提出，可有效應用于IOS、Android、Windows、Linux、Unix等平臺，解決了Sqlite刪除數(shù)據(jù)的取證問題。

3 小結

近年來，隨著計算機應用的普及，以計算機及網(wǎng)絡為工具的犯罪形式開始成為信息時代威脅人們生命、財產(chǎn)安全的新毒瘤。由于作案手法的隱蔽性、多樣性等特點，公安取證人員從現(xiàn)場直接提取的“作案痕跡”無法成為有利證據(jù)，必須借助高科技取證技術以提取存儲于或隱藏于計算機內(nèi)的數(shù)字證據(jù)，從而實現(xiàn)再現(xiàn)作案現(xiàn)場的目的。

在實際情況中，許多電子數(shù)據(jù)經(jīng)常被人為刪除或損壞，導致執(zhí)法部門不易獲取到犯罪人員的作案證據(jù)，執(zhí)法人員必須借助數(shù)據(jù)恢復技術才能對刪除或損壞的數(shù)據(jù)進行恢復。近年來，數(shù)據(jù)恢復技術在公安機關偵查高科技犯罪案件中越來越得到廣泛應用，已經(jīng)成為電子數(shù)據(jù)取證技術的重要組成部分。

[1]蔣平,黃淑華,楊莉莉.數(shù)字取證[M].中國人民公安大學出版社,2007.

[2]丁麗萍,王永吉.計算機取證的相關法律技術問題研究.軟件學報,2005,16(2):260～275

[3]Noblet, M., Pollit, M.Recovering and Examining Computer Forensic Evidence Forensic Science Communications,2000,2(4):9～18

[4]Reilly, D..Cloud Computing: Pros and Cons for ComputerForensic Investigations, International Journal of Multimedia and Image Processing (IJMIP2011), vol.1,pp.26-34.

[5]Dykstra, J..Acquiring Forensic Evidence from Infrastructure-as-a-Service Cloud Computing: Exploring and Evaluating Tools, Trust, and Techniques, DFRWS,2012, 156～162

[6]Delport, W., Olivier, M.S., and Kohn, M., Isolating a Cloud Instance for a Digital Forensic Investigation,2011 Information Security for South Africa, 2011, 87～94

[7]Sasa Mrdovic, Alvin Huseinovic, Ernedin Zajko.Combining Static and Live Digital Forensic Analysis in Virtual Environment, ICAT, 2009, 1～6

[8]鐘琳，許榕生，虛擬機文件取證分析，計算機工程，2010，36(8)，p.76～78

[9]馮國登，張敏.云計算安全研究[J].軟件學報2011，22（1）：71～83.

[10]張有東，曾慶凱，王建東.網(wǎng)絡協(xié)同取證計算研究[J].計算機學報.2010，3（33）：504～513.