◆肖俊飛

計(jì)算機(jī)取證技術(shù)研究

◆肖俊飛

（廣西海警第一支隊(duì)司令部 廣西 536000）

隨著個(gè)人計(jì)算機(jī)、國(guó)際互聯(lián)網(wǎng)的應(yīng)用廣泛普及化、以及其計(jì)算能力的快速發(fā)展，在全球化通信及信息交換成為現(xiàn)實(shí)的同時(shí)隨之而來(lái)的計(jì)算機(jī)犯罪行為也日益增多，而存在于計(jì)算機(jī)及相關(guān)外圍設(shè)備中的電子證據(jù)逐漸成為新的公訴證據(jù)之一，所以計(jì)算機(jī)取證正日益成為各國(guó)各研究機(jī)構(gòu)和公司對(duì)計(jì)算機(jī)網(wǎng)絡(luò)犯罪的重點(diǎn)研究課題。

計(jì)算機(jī)取證；電子證據(jù)；取證技術(shù)；陷阱網(wǎng)絡(luò)

0 引言

0.1 計(jì)算機(jī)取證的概念

計(jì)算機(jī)取證就是一種可以被法庭采信、且真實(shí)可靠有說(shuō)服力的，其通常來(lái)源于電腦及相關(guān)設(shè)施的電子憑證的確立、歸集、保護(hù)、解析、保存和于法庭中進(jìn)行出示的一系列過(guò)程[1]。

由于計(jì)算機(jī)取證的方式可以應(yīng)用到涉及大量和其相關(guān)的犯罪及其他事故中，如網(wǎng)絡(luò)犯罪、盜版、網(wǎng)絡(luò)詐騙等，因此其當(dāng)下為各個(gè)公司及政府單位在信息安全方面的最基礎(chǔ)工作。

0.2 電子證據(jù)

1 取證的原則

在實(shí)際進(jìn)行犯罪證據(jù)取證的時(shí)候，一定是要嚴(yán)格遵循法律原則的。這些原則也是一定要在計(jì)算機(jī)取證中進(jìn)行遵守的：

（1）盡可能早地進(jìn)行取證，同時(shí)要確保證據(jù)的完整性；

（2）就證據(jù)本身而言必須是“連續(xù)性”的，也就是說(shuō)當(dāng)證據(jù)被提交到法庭的時(shí)候，可以表明其是從最原始的前提下獲得且直到傳遞到法庭沒(méi)有任何的改變；

（3）在檢查、取證的整個(gè)過(guò)程都必須處于監(jiān)督之下。通常來(lái)說(shuō)就是，原告所委派的任何專家進(jìn)行的任何取證都必須有其他方面進(jìn)行監(jiān)督。

2 計(jì)算機(jī)取證工具及陷阱網(wǎng)絡(luò)

2.1 取證工具

在計(jì)算機(jī)取證的時(shí)候，在基于必需的方法、經(jīng)驗(yàn)之外，通常還會(huì)涉及一些軟件的使用。其中數(shù)據(jù)的提取、分析應(yīng)用到的軟件是相關(guān)專家需要的最基礎(chǔ)工具。這里面涉及操作系統(tǒng)自帶的部分工具還有特定的相關(guān)工具軟件或者是工具包。例如tcpdump、NFR、network等等。

2.2 陷阱網(wǎng)絡(luò)

通常情況下被害人都是自系統(tǒng)被入侵之后才會(huì)想到去進(jìn)行證據(jù)的收集，進(jìn)而將犯罪分子繩之以法。然而絕大多數(shù)情況下，犯罪分子都會(huì)將其留下的蛛絲馬跡進(jìn)行清除或者隱藏，從而導(dǎo)致取證工作非常的麻煩和煩瑣[2]。

常說(shuō)的陷阱網(wǎng)絡(luò)則是由設(shè)置于網(wǎng)絡(luò)里面的多個(gè)陷阱機(jī)及遠(yuǎn)程管理端構(gòu)成。此類設(shè)置于網(wǎng)絡(luò)中的陷阱機(jī)可以通過(guò)組合的方式構(gòu)成一個(gè)網(wǎng)絡(luò)安全方面的主動(dòng)防御體系，從而達(dá)到提升網(wǎng)絡(luò)安全的初衷。

立足上述立法背景存在的現(xiàn)實(shí)需求，以《知識(shí)產(chǎn)權(quán)基本法》的指導(dǎo)思想為指導(dǎo)，《知識(shí)產(chǎn)權(quán)基本法》立法應(yīng)當(dāng)秉持如下原則。

2.2.1陷阱機(jī)的概念

陷阱機(jī)實(shí)際上為一類專門設(shè)計(jì)來(lái)被“攻陷”的網(wǎng)絡(luò)、主機(jī)，若其被攻入，那么入侵者涉及的任何信息都將被特定的工具記錄下來(lái)，從而其將被解析，也可能會(huì)成為控告入侵者的證據(jù)。

陷阱機(jī)是基于網(wǎng)絡(luò)開(kāi)放性這個(gè)特性進(jìn)行設(shè)計(jì)的。任何系統(tǒng)只要和網(wǎng)絡(luò)連接，其都有機(jī)會(huì)暴露在探知和攻擊之下。

2.2.2 Honeypot

Honeypot:即常說(shuō)的蜜罐系統(tǒng)。僅從其名稱上就可以知道其是用于吸引入侵者的。其原理是通過(guò)模擬一系列常見(jiàn)的漏洞，在操作系統(tǒng)或其他系統(tǒng)上進(jìn)行設(shè)計(jì)從而使其形成一個(gè)“牢籠”主機(jī)，進(jìn)而最終實(shí)現(xiàn)對(duì)入侵者進(jìn)行誘騙。

2.2.3 Honeynet

Honeynet:就是所說(shuō)的陷阱網(wǎng)絡(luò)，是基于對(duì)黑客思想進(jìn)行的相關(guān)研究及解析。應(yīng)用一個(gè)隱藏于防火墻之后的網(wǎng)絡(luò)體系，從而實(shí)現(xiàn)對(duì)任何出入數(shù)據(jù)的關(guān)注、獲取和控制。這些數(shù)據(jù)都作為研究和解析黑客采用的工具、方式、動(dòng)機(jī)的數(shù)據(jù)源。

3 反取證技術(shù)

3.1 反取證

計(jì)算機(jī)取證涉及的理論及相關(guān)的軟件為2018年度在涉及的計(jì)算機(jī)安全方面最為奪目的成果，但是就當(dāng)下采用的電腦取證涉及的理論、具體軟件進(jìn)行深入的分析不難發(fā)現(xiàn)，眼下其所涉及的理論、工具都還有非常巨大的提升空間。

3.2 反取證技術(shù)分類

簡(jiǎn)單來(lái)說(shuō)當(dāng)下反取證技術(shù)大致可以分為三類：1)數(shù)據(jù)清除;2)數(shù)據(jù)隱藏;3)數(shù)據(jù)加密。并且此三類技術(shù)還可以進(jìn)行聯(lián)合應(yīng)用，這就極大地提升了取證工作的難度和準(zhǔn)確性。

3.2.1數(shù)據(jù)擦除

數(shù)據(jù)擦除作為當(dāng)下反取證的最佳方式，其所指的是清除任何潛在的證據(jù)（索引、目錄、塊數(shù)據(jù)等涉及的原始數(shù)據(jù)）。當(dāng)原始數(shù)據(jù)無(wú)法獲得的情況下取證就理所應(yīng)當(dāng)無(wú)法開(kāi)展。

反取證工具包（TDT）中有兩種專門用于數(shù)據(jù)清除的工具軟件，分別為Necrofile、Klismafile。前者常用于對(duì)文件信息、數(shù)據(jù)的清除，其通過(guò)將TCT中設(shè)計(jì)的索引節(jié)點(diǎn)包含的工具進(jìn)行占據(jù)，將任何TCT有可能發(fā)現(xiàn)的索引節(jié)點(diǎn)的相關(guān)信息進(jìn)行覆蓋，并且還用隨機(jī)數(shù)進(jìn)行相關(guān)數(shù)據(jù)塊的重寫[3]。

3.2.2數(shù)據(jù)隱藏

基于取證逃脫的意圖，罪犯會(huì)將短時(shí)間無(wú)法迅速刪除掉的文檔進(jìn)行偽裝，比如在文件類型方面的偽裝、隱藏到圖形、影像、音樂(lè)等文件中；還有一些將此類數(shù)據(jù)文件放到磁盤自身的隱藏空間里面，例如runefs這種反取證工具即利用了TCT無(wú)法對(duì)磁盤損壞處進(jìn)行檢查的原理，從而將相關(guān)的犯罪數(shù)據(jù)或文件標(biāo)記為壞塊實(shí)現(xiàn)逃脫取證的目的。

3.2.3加密數(shù)據(jù)

加密數(shù)據(jù)文件相關(guān)的作用已是耳熟能詳?shù)牧?。采用這種方式是因?yàn)楸蝗肭值碾娔X或主機(jī)中運(yùn)行了入侵者運(yùn)行的不可能被隱藏的程序，但是入侵者又想逃脫取證人員通過(guò)反向分析的方式獲得這些程序的功能。雖然這些文件加密具體涉及的方式可以根據(jù)涉及的主機(jī)CPU及操作系統(tǒng)的改變而改變，然而其基本的原理是一致的；即運(yùn)行之初通過(guò)一個(gè)文本解密的程序?qū)用艽a進(jìn)行解密，其解密的代碼可能是其他程序、黑客程序、甚至其他的解密程序。

4 取證的局限性

在上述內(nèi)容之外，在進(jìn)行計(jì)算機(jī)取證時(shí)涉及的其他局限也是非常有研究?jī)r(jià)值的，例如磁盤數(shù)據(jù)恢復(fù)、反向工程、解密等等。

4.1 磁盤數(shù)據(jù)恢復(fù)

應(yīng)用磁力顯微鏡（MFN），此類專業(yè)工具可對(duì)磁盤中的一層或兩層數(shù)據(jù)進(jìn)行恢復(fù)。因?yàn)閿?shù)據(jù)是非常難做到精確地寫回原位，因此即便采用多次的隨機(jī)覆蓋之后，其原數(shù)據(jù)還是有被找出的可能性。

4.2 反向工程

對(duì)被黑主機(jī)上存在的可以進(jìn)行解析的程序進(jìn)行解析，也是電腦取證工作的重要組成。當(dāng)下可應(yīng)用于UNIX系統(tǒng)中的二進(jìn)制程序展開(kāi)分析的軟件是極為稀少的，其更適用于程序的調(diào)試而非反向工程，尤其是可執(zhí)行程序在壓縮、加密等技術(shù)的應(yīng)用，導(dǎo)致反向工程難度不斷提升[4]。從而若想從計(jì)算機(jī)罪犯應(yīng)用的軟件功能方面進(jìn)行解析就必須借助于專業(yè)的反向分析人員的力量。

4.3 加密技術(shù)

伴隨計(jì)算機(jī)犯罪分子更加傾向于應(yīng)用加密技術(shù)對(duì)可能涉及的核心文件進(jìn)行保存，想要獲得最初始的證據(jù)，這就要求取證者對(duì)涉及的加密文件進(jìn)行解密。為此，在進(jìn)行加密文件的調(diào)查時(shí)，還是要應(yīng)用到相關(guān)的解密技術(shù)。

5 結(jié)束語(yǔ)

由于計(jì)算機(jī)取證自身的局限性和計(jì)算機(jī)犯罪手段的不斷提高（特別是反取證軟件的出現(xiàn)），使得現(xiàn)在所有的取證技術(shù)已經(jīng)不能完全滿足打擊計(jì)算機(jī)犯罪的要求了。另外，由于目前的取證軟件的功能都集中在磁盤分析上，而其他的工作還得全部依賴于取證專家人工進(jìn)行，幾乎造成計(jì)算機(jī)取證軟件等同于磁盤分析軟件的錯(cuò)覺(jué)。這些情況必將隨著對(duì)計(jì)算機(jī)取證研究工作的深入和新的取證軟件的開(kāi)發(fā)而得到改善。此外，計(jì)算機(jī)取證技術(shù)還會(huì)受到其他計(jì)算機(jī)理論和技術(shù)的影響。

[1]李福琳.計(jì)算機(jī)數(shù)據(jù)取證修復(fù)技術(shù)研究[J].信息系統(tǒng)工程，2018.

[2]褚洪波.計(jì)算機(jī)取證技術(shù)及其發(fā)展趨勢(shì)[J].南方農(nóng)機(jī)，2018.

[3]李亞軒.信息化警務(wù)模式下網(wǎng)絡(luò)取證技術(shù)完善的研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2018.

[4]信息犯罪與計(jì)算機(jī)取證[J].網(wǎng)絡(luò)與信息安全學(xué)報(bào)，2018.