滑斌+薛棟

摘要：隨著大數(shù)據(jù)技術(shù)、物聯(lián)網(wǎng)技術(shù)的高速發(fā)展，越來越多的計算機聯(lián)成網(wǎng)絡(luò)，提供信息共享服務(wù)。同時，自“比特幣勒索病毒”以來網(wǎng)絡(luò)攻擊越來越多，，計算機取證（Computer Forensic）也備受重視，該文分析了計算機取證過程，提出了未來計算機取證的發(fā)展趨勢。

關(guān)鍵詞：計算機取證技術(shù)；數(shù)字證據(jù)；計算機犯罪行為

1概述

伴隨信息網(wǎng)絡(luò)技術(shù)的飛速發(fā)展和廣泛應(yīng)用，計算機系統(tǒng)及網(wǎng)絡(luò)安全問題給人類社會帶來前所未有的挑戰(zhàn)，計算機網(wǎng)絡(luò)犯罪案件層出不窮。主要原因一是IT行業(yè)人員的技術(shù)水平不斷提高，使犯罪行為隱蔽，造成了更加取證困難；二是各種黑客軟件的存在與使用，增加了非法運用的幾率，從而使得犯罪的門檻變低。鑒于目前日益增長的信息安全問題嚴重地阻礙著網(wǎng)絡(luò)技術(shù)的進一步發(fā)展。因此，打擊計算機犯罪就變的非常重要。由于信息安全對于經(jīng)濟發(fā)展和社會穩(wěn)定具有重大意義，計算機安全領(lǐng)域的一個全新及技術(shù)——計算機取證技術(shù)應(yīng)運而生，作為其中的一個重要手段也將成為研究熱點。

2計算機取證概述

2.1定義

計算機取證是指運用計算機辨析技術(shù)，對計算機犯罪行為進行分析以確認罪犯及計算機證據(jù)，并據(jù)此提起訴訟。計算機取證是指對能夠為法律所接受的、足夠可靠和有說服性的，存在于數(shù)字犯罪場景（計算機和相關(guān)外設(shè)）中的數(shù)字證據(jù)的確認、保護、提取和歸檔的過程。

不論是傳統(tǒng)的物證取證，還是現(xiàn)在的計算機取證，雖然方法不同，但目的是一樣的，都是發(fā)現(xiàn)證據(jù)去證明什么時間在什么地點發(fā)生了什么，以及誰做的、是如何做的等問題。

2.2數(shù)字證據(jù)的特點

什么是數(shù)字證書？數(shù)字證據(jù)是以數(shù)字形式保存或傳輸?shù)娜魏涡畔⒒蛐ｒ炛怠?/p>

與傳統(tǒng)證據(jù)相比，數(shù)字證據(jù)還具有如下的特點：

1）廣泛性。利用網(wǎng)絡(luò)從事犯罪活動，其犯罪證據(jù)可以存在于不同的地區(qū)、國家。

2）隱蔽性。數(shù)字數(shù)據(jù)不是肉眼直接可見的，必須借助適當(dāng)工具。

3）脆弱性。在搜索數(shù)字證據(jù)的過程中，可能會對原始數(shù)據(jù)造成修改或者丟失。

4）多樣性。表現(xiàn)在數(shù)字證據(jù)存儲的多樣性、表現(xiàn)形式的多樣性。

5）高科技技術(shù)。隨著IT技術(shù)的豐富發(fā)展，犯罪黑客攻擊使用的科技手段也愈來愈多，面對如此嚴峻的形勢，數(shù)字證據(jù)的取證技術(shù)也不斷地更新、變化，才能滿足日益變化的計算機技術(shù)。

3計算機取證過程

由于數(shù)字證據(jù)的脆弱性，使得數(shù)字證據(jù)的真實性和安全性存在疑問。因此在整個取證調(diào)查中，必須遵循一定的操作規(guī)程和技術(shù)，以確保所提出來的證據(jù)是經(jīng)過正確分析的，并保證原始證據(jù)自始至終沒有被篡改過。計算機取證過程如圖1所示。

計算機取證可以分為以下九個階段：

1）檢測和判定

這個階段主要發(fā)生在網(wǎng)絡(luò)攻擊事件中。在網(wǎng)絡(luò)中通過IDS與網(wǎng)絡(luò)誘騙技術(shù)（如Honeypot，Honeynet，Vitual Honeynet）相結(jié)合，對網(wǎng)絡(luò)中的一些行為進行實時監(jiān)控，一旦發(fā)現(xiàn)存在可疑的攻擊行為，立即對其進行鑒別、確定；一旦確定是非法攻擊后，實時獲取數(shù)據(jù)并進行分析，然后實施相應(yīng)的措施。在確保系統(tǒng)安全的前提下盡可能多的收集證據(jù)。

2）獲得法律授權(quán)

這個階段雖然不涉及技術(shù)問題，但是非常重要。由于從計算機中獲取的證據(jù)將用于法律，調(diào)查取證過程必須獲得法律授權(quán)，整個調(diào)查的每個過程必須有法律的監(jiān)督。在取證中應(yīng)用的技術(shù)方案及使用的軟件都應(yīng)該是得到法律認可的，否則，收集到的證據(jù)可能是被法庭確認為無效數(shù)據(jù)。例如2012年，由于北大方正在沒有獲得法律授權(quán)的情況下，采用“陷阱取證”方式搜集某公司計算機軟件著作權(quán)的證據(jù)被法庭認為無效。

3）查封和保護

計算機取證要確定計算機是否含有數(shù)字證據(jù)，必須對其進行保護，避免重新啟動或運行應(yīng)用程序。如果計算機處于開機狀態(tài)，記錄系統(tǒng)日期和時間，以確定系統(tǒng)時間和標(biāo)準(zhǔn)時間的間隔，為將來建立時間線提供依據(jù)；判斷有無可疑外設(shè)、有無遠程控制、特洛伊木馬程序等。一些潛在的證據(jù)可能存在不起眼文的件里面，重啟或運行系統(tǒng)就可能會發(fā)生重寫、覆蓋、刪除證據(jù)的危險。同時，要保護目標(biāo)計算機系統(tǒng)，從簡單的操作，如：開機、關(guān)機等操作，減少一些運行進程的數(shù)據(jù)丟失刪除程序發(fā)生的幾率。在關(guān)鍵時刻，要立刻關(guān)閉電腦，關(guān)閉電源。但是，在大型企業(yè)、政府事業(yè)單位的系統(tǒng)中不建議采用。

目標(biāo)計算機系統(tǒng)應(yīng)該保存到一個限制進人的安全地方，避免發(fā)生任何的改變、傷害、數(shù)據(jù)破壞、病毒感染，并注意遠離磁場，因為強磁場可能導(dǎo)致磁盤中的數(shù)據(jù)丟失。為了為案件還原提供可靠真實的依據(jù)，我們需要繪制或拍攝現(xiàn)場圖、計算機線路結(jié)構(gòu)、網(wǎng)路拓撲圖等，也必須對現(xiàn)場的計算機作案工具進行標(biāo)號，以免還原錯亂。

犯罪現(xiàn)場還可能存在于計算機犯罪相關(guān)的實物，如偽造、篡改的各種票證、文書，撕毀或燒毀的計算機打印結(jié)果，記錄的殘片、計算機磁盤等，對這些實物證據(jù)也應(yīng)妥善封存。

4）數(shù)據(jù)備份

為避免原始數(shù)據(jù)被破壞，取證時不用原始介質(zhì)，而是采用原始介質(zhì)進的鏡像、字節(jié)流備份等方法。使用Linux或UNIX系統(tǒng)的DD命令，DOS的DiskCopy，眾多的專用工具如NTI的Safe-Back，Norton的Ghost，Guidance Software公司的Encase進行磁盤備份，這些備份工具甚至可拷貝壞扇區(qū)和CRC校驗錯誤的數(shù)據(jù)。做數(shù)據(jù)備份時，保證存儲設(shè)備上所有數(shù)據(jù)是未被修改的、準(zhǔn)確復(fù)制的至關(guān)重要。

5）收集數(shù)據(jù)

數(shù)字證據(jù)的來源主要有：系統(tǒng)、網(wǎng)絡(luò)，以及其他數(shù)字設(shè)備。從系統(tǒng)中提取的證據(jù)主要包括：現(xiàn)存正常文件；隱藏文件、受密碼保護的文件和加密文件；系統(tǒng)日志文件；聊天室日志；E-mail；備份介質(zhì)等。

來自網(wǎng)絡(luò)的證據(jù)易于查找，容易獲取、內(nèi)容龐雜，形式多樣、易于改變，捕捉需及時、同時，真實性往往有待考證。收集網(wǎng)絡(luò)證據(jù)的方法主要包括現(xiàn)場勘驗、搜查與扣押、實時收集，要求有關(guān)單位或個人提供電子信息保全等。網(wǎng)絡(luò)證據(jù)通常存在單機現(xiàn)場和網(wǎng)絡(luò)現(xiàn)場。endprint

其他數(shù)字設(shè)備方面的證據(jù)有：數(shù)字相機、手機、蜂窩電話、PDA（Personal Digital Assistant）等無線設(shè)備的存儲卡中、掌上電腦中和其他外設(shè)中保留著最后一次與桌面系統(tǒng)同步的日志文件，以及從桌面系統(tǒng)下載的文件。

6）分析證據(jù)

計算機操作系統(tǒng)、應(yīng)用程序、數(shù)據(jù)格式、數(shù)據(jù)類型的多樣化使得證據(jù)的分析變得十分復(fù)雜。在已經(jīng)獲取的數(shù)據(jù)流或信息流中尋找、匹配關(guān)鍵詞或關(guān)鍵短語是目前的主要數(shù)據(jù)分析技術(shù)，具體包括：文件屬性分析技術(shù)；文件數(shù)字摘要分析技術(shù)；日志分析技術(shù)；根據(jù)已經(jīng)獲得的文件或數(shù)據(jù)的用詞、語法和寫作（編程）風(fēng)格，推斷出其可能的作者的分析技術(shù)；發(fā)掘同一事件的不同證據(jù)間的聯(lián)系的分析技術(shù)等。

7）事件關(guān)聯(lián)與重現(xiàn)

根據(jù)在步驟（2）中記錄的系統(tǒng)時間和標(biāo)準(zhǔn)書劍的間隔，建立時間線，以確定事件之間的相關(guān)性。由于計算機系統(tǒng)的復(fù)雜性和犯罪過程的不可知，以及在計算機取證分析的過程中，很少有可能創(chuàng)建一個犯罪現(xiàn)場完全一樣的分析環(huán)境（包括計算機軟件、硬件及網(wǎng)絡(luò)環(huán)境），對于具有災(zāi)難性破壞的犯罪事件，事件重現(xiàn)的可能性更小，因而犯罪事件的重現(xiàn)成為計算機取證中最艱巨的任務(wù)之一。

8）提交結(jié)論

取證的數(shù)據(jù)要能夠法庭上提交可靠的數(shù)字證據(jù)，這一階段應(yīng)依據(jù)相關(guān)的政策法規(guī)采取行動。向法庭提交取證結(jié)論，同時需要對整個調(diào)查取證中的各操作步驟進行詳細的記錄以說明此次取證是可靠的，其中包括：取證現(xiàn)場的相關(guān)記錄、為隔離、保護計算機系統(tǒng)采取的措施、數(shù)字設(shè)備、分析結(jié)果、相關(guān)文件列表和數(shù)據(jù)、使用的軟件及其版本、取證的技術(shù)路線等。另外，還應(yīng)特別注意的是，在調(diào)查取證過程中要遵循兩人法則，以防止篡改信息，保證“證據(jù)連續(xù)性”（Chain 0fCustody）。

9）總結(jié)

對遭受攻擊的系統(tǒng)進行恢復(fù)；提出防止類似案件發(fā)生的對策，提高安全措施；從技術(shù)上進行總結(jié)，西區(qū)經(jīng)驗。

4面臨問題

美國等計算機發(fā)達國家較早的涉及計算機取證技術(shù)，技術(shù)相對比較成熟。然而，在我國計算機取證發(fā)展滯后，僅有近十年左右的。目前，我國計算機取證理論研究剛剛起步，計算機取證缺乏大量的理論指導(dǎo)；同時，運用于計算機取證的工具較少，如：檢測、分析等工具。隨著物聯(lián)網(wǎng)、大數(shù)據(jù)、云計算的等先進技術(shù)的不斷發(fā)展，犯罪分子的供給手段和途徑也越來越先進，如何有效地、快速地進行計算機取證是我們面臨的重要問題，也是學(xué)術(shù)界研究的熱點。endprint