计算机取证技术初探
2014-12-16仇学敏
仇学敏
摘要:由于计算机犯罪手段的变化和其他技术的引入,使取证的工作已不在局限于普通的层面上,计算机的取证已变得越来越重要。该文就此阐述了计算机取证的主要原则和一般步骤作,并对计算机取证的相关技术及存在问题作初步研究。
关键词: 计算机犯罪;计算机证据;计算机取证
中图分类号:TP311 文献标识码:A 文章编号:1009-3044(2014)32-7547-02
目前,打击计算机犯罪的关键是如何将犯罪者留在计算机中的“痕迹”作为有效的诉讼证据提供给法庭,以便将犯罪者绳之以法。此过程涉及的技术便是目前人们研究与关注的计算机取证(Computer Forensics)技术,它是计算机领域和法学领域的一门交叉科学,它被用来解决大量的计算机 犯罪和事故,包括网络入侵、盗用知识产权和E-mail欺骗等。随着信息技术与网络技术的飞速发展,越来越多的计算机联成网络,提供信息共享服务,给人们带来了工作的高效率和生活的高质量。与此同时,社会生活中的计算机犯罪行为不断出现,一种新的证据形式——电子证据,逐渐成为新的证据之一。与一般的犯罪不同,计算机犯罪行为是一种新兴的高技术犯罪,其很多犯罪证据都以数字形式通过计算机或网络进行存储和传输,包括一切记录、文件、源代码、程序等,即所谓的电子证据。由于电子证据与海量的正常数据混杂,难以提取,且易于篡改、销毁,故其获取、存储、传输和分析都需要特殊的技术手段和严格的程序,否则,难以保证证据的客观性、关联性和合法性。因此单独依靠信息技术进行安全防御已被证明是远远不足的,我们需要更多的主动性手段来打击和威慑计算机犯罪。
1 计算机取证
我们知道计算机证据是指在计算机系统运行过程中,产生用以证明案件事实的内容的一种电磁记录物。那简单理解“计算机取证”就是取出计算机证据的过程,它先由International Associationof Computer Specialists(IACIS)在1991年举行的第一次年会中正式提出。计算机紧急事件响应和取证咨询公司New Technologies进一步拓展了该定义:计算机取证包括了对以磁介质编码信息方式存储的计算机证据的保护、确认、提取、归档[1]。同时计算机在相关的犯罪案例中可以扮演黑客入侵的目标、作案的工具和犯罪信息的存储器这几种角色 证据进行获取、保存、分析和出示,它实质上是一个详细扫描计算机系统以及重建入侵事件的过程。 计算机取证包括物理证据获取和信息发现两个阶段。物理证据获取是指调查人员来到计算机犯罪或入侵的现场,寻找并扣留相关的计算机硬件;信息发现是指从原始数据(包括文件,日志等)中寻找可以用来证明或者反驳什么的证据,无论作为哪种角色,计算机(连同它的外设)中都会留下大量与犯罪有关的数据。
因此,计算机取证是指对能够为法庭接受的、足够可靠和有说服性的、存在于计算机和相关外设中的电子证据的确认、保护、提取和归档的过程。
2 计算机取证的原则和步骤
2.1 计算机取证的原则
电子证据是指在计算机取证后产生的、以其记录的内容来证明案件事实的电磁记录物。电子证据必须是可信的、准确的、完整的、符合法律法规的,即可为法庭所接受的。但与传统刑事证据相比,电子证据具有技术性、复合性、无形性、脆弱性等特点,在收集、审查、鉴定证据及分析、传输和存储的过程中很容易被篡改和删除,极大的影响了计算机证据的证明力,因此,计算机取证时必须遵循以下原则:
1) 及时性原则。这一原则对证据的收集提出了时效要求。
2) 合法性原则。证据从最初的获取到被正式提交给法庭,必须具有可采用性。
3) 全面性原则。既收集存在于计算机软硬件上和电子证据,也收集其他相关外围设备中的电子证据。
4) 严格管理过程的原则。计算机证据必须妥善保管。必须保证证据的真实性和完整性,且整个检查取证过程必须受到监督。
2.2 计算机取证的步骤
计算机取证过程和技术比较复杂,在打击计算机犯罪时,执法部门还没有形成统一标准的程序来进行计算机取证工作。目前,计算机取证工作一般按照下面步骤进行: [2]
1) 现场保护。首先应该对现场进行保护,停止对计算机的操作,禁用与涉案计算机有关的外围设备,切断涉案计算机与外界的联系。
2) 提取证据。计算机证据的提取应由外入内,首先应该进行外围证据的收集:注意收集各种文件。如系统手册、计算机运行记录等;注意收集可能储存有犯罪信息的各种物证,从众多的未知和不确定性中找到确定性的东西。这一步使用的工具一般是具有磁盘镜像、数据恢复、解密、网络数据捕获等功能的取证工具。
3) 证据分析。这是计算机取证的核心和关键。分析计算机的类型、采用的操作系统,是否为多操作系统或有隐藏的分区;有无可疑外设;有无远程控制、木马程序。分析在磁盘特殊区域中发现的所有相关数据。利用磁盘存储空闲空间数据分析技术进行数据恢复,获得文件被增、删、改、复制前的痕迹。通过将收集的程序、数据和备份与当前运行的程序数据进行对比,从中发现篡改痕迹。可通过该计算机的所有者,或电子签名、密码、交易记录、回邮信箱、邮件发送服务器的日志、上网IP等计算机特有信息识别体,结合全案其它证据进行综合审查。注意该计算机证据要同其它证据相互印证、相互联系起来综合分析。同时,要注意计算机证据能否为侦破该案提供其它线索或确定可能的作案时间和罪犯。
4) 证据归档。标明数据重建犯罪过程:入侵的时间、使用的IP地址、修改的文件、增加的文件(后门、木马、病毒等)、删除的文件、下载和上载的文件等;打印对目标计算机系统的全面分析结果,包括所有的相关文件列表和发现的文件数据,然后给出分析结论:系统的整体情况,发现的文件结构,数据和作者的信息,对信息的任何隐藏、删除、保护、加密企图,以及在调查中发现的其他相关信息。
3 计算机取证的技术和存在的问题
3.1 计算机取证的技术
计算机取证技术可分为静态取证和动态取证,由于计算机系统应用的环境不同,有些受攻击的计算机系统可以中止所有进程,交由取证人员进行取证,这种取证的叫静态取证;为了侦查工作的需要,或者网络系统实时性要求高等特殊需要,某些系统不允许中断运行,则必须在发生攻击的过程中,在不影响系统核心应用的情况下,跟踪取证,这种取证的方法叫动态取证。常用技术有:
1) 数据恢复技术。对破坏和删除的数据要进行有效恢复,才能从中发现蛛丝马迹。一般来说,即使是将硬盘数据删除并清空回收站,数据还仍然保留在硬盘上,只是硬盘表中相应文件的文件名被破坏,只要该位置没有被重新写入数据,原来的数据就可以恢复出来。可以通过类似Recover NT这样的程序,在所有驱动器软盘、硬盘或网络驱动器中查找、恢复数据。
2) 数据备份技术。使用磁盘映像拷贝等数据备份的办法,将被攻击机器的磁盘原样复制一份,其中包括磁盘的临时文件、交换文件以及磁盘未分配区等。然后对复制的磁盘进行操作。
3) 磁盘后备文件、镜像文件、交换文件、临时文件和记录文件分析技术。软件在运行过程中会产生一些临时文件,可以用NORTON等软件对系统区域的重要内容形成镜像文件,以及BAK、交换文件、SWP等。要注意对这些文件结构的分析,并掌握其组成结构。
4) 磁盘特殊区域中的残留数据分析技术。磁盘特殊区域,包括未分配的磁盘空间和SLACK空间。这些特殊区域中可能含有先前文件遗留下来的有用的证据信息。
3.2 取证存在的问题
计算机取证技术是相关法律法规赖以实施的基础,是我国全面实现信息化的重要技术之一,但现在还存在以下问题:
1) 计算机取证涉及到磁盘分析、加密、数据隐藏、日志信息发掘、数据库技术、介质的物理性质等多方面的知识,取证人员除了会使用取证工具外,还应具备综合运用多方面知识的能力。
2) 在取证方案的选择上应结合实时取证和事后取证两种方案,以保证取证的效果,因此可以将计算机取证融合到入侵检测等网络安全工具中,进行动态取证。这样,整个取证过程将更加系统并具有智能性。
3) 计算机取证只是一种取证手段,并不是万能的,因此计算机取证需与常规案件的取证手段相结合,比如询问当事人、保护现场等,从而有效打击计算机犯罪。
4) 目前还没有一套评价标准和取证工作的操作规范,使得取证结果的可信性受到质疑。
4 结束语
尽管计算机取证技术已经得到了一定的发展,然而随着计算机技术及计算机犯罪的发展,现有的取证技术已经不能满足打击犯罪的要求;同时,计算机理论和技术的发展也影响着计算机取证技术的发展,使得目前计算机取证技术呈现出领域扩大化、学科融合化、标准化、智能化等发展趋势。
参考文献:
[1] 钱桂琼.计算机取证的研究与设计[J].计算机工程,2002,23(6):35-38.
[2] 许榕生.计算机取证概述[J].计算机工程与应用,2001,25(2):56-59.
[3] 张斌.计算机取证有效打击计算机犯罪[J].网络安全技术与应用,2004,24(7):22-25.
[4] 邢钧.浅谈计算机取证技术及存在的困难[J].中国人民公安大学学报,2003,25(6):48-50.
[5] 丁丽萍.论计算机取证的原则和步骤[J].中国人民公安大学学报(自然科学版),2005(1).
[6] 陈祖义,龚俭,徐晓琴.计算机取证的工具体系[J].计算机工程 ,2005(5).
[7] 梁锦华,蒋建春,戴飞雁,卿斯汉.计算机取证技术研究[J].计算机工程 ,2002(8).