◆夏 荣

（上海市公安局 上海 200025）

Web取证分析技术研究与应用

◆夏 荣

（上海市公安局 上海 200025）

计算机取证是当前打击犯罪的热点研究课题之一。本文研究了针对Web的计算机取证技术，内容包括各种Web服务器端及客户端的取证分析。Web取证分析技术在发展过程中，其分析工具还不是很多。文章从用例出发，分析了Web取证的特点，构造了一个日志取证的分析框架，简单介绍了实现的关键技术。最后，介绍了几个Web取证实际案例，进一步对Web取证应用进行描述。

计算机取证; Web取证; 日志分析

0 前言

随着互联网的广泛普及，如网上银行、网上购物等互联网应用也被越来越多的人所接受，随之而来的黑客攻击、盗窃网银等涉网案件类型、数量都在逐年增加，因此对计算机取证的要求和难度也在提高。相对于传统的单台计算机取证分析，Web取证作为广义上计算机取证的一种，涉及到客户端、服务器端、多个操作系统、网络设备等，需要综合取证分析。同时，新刑事诉讼法也对证据的内容做出了规定，规定证据包括“视听资料、电子数据”，电子数据被独立出来作为一种证据种类，这赋予了电子证据明确的法律地位。上述这些都对如何有效、规范地开展Web取证技术研究和准确应用提出了明确要求。本文构建了Web取证框架和流程，并通过实际案例来阐述Web取证分析技术。

1 WEB取证的技术基础

本节从计算机取证基础和Web应用系统架构及技术出发，分析Web取证和计算机取证的关系以及其自身具有的特点，并进而归纳出一个Web取证的框架，为后续实际应用案例的展开提供指导和依据。

1.1 计算机取证的概念

Lee Garber 在IEEE Security发表的文章中认为，计算机取证是分析和提取硬盘、光盘、软盘、Zip和Jazz磁盘、内存缓冲以及其他形式的存储介质中的数据，从而发现犯罪证据的过程。

国外专家Judd Robbins对此给出了以下的定义：计算机取证是将计算机调查和分析技术应用于潜在的、有法律效力的证据的确定和提取。系统管理审计和网络安全协会SANS则归结为：计算机取证是使用软件和工具，按照一些预先定义的程序，全面地检查计算机系统，以提取和保护有关计算机犯罪的证据。

从技术角度来讲，计算机取证过程就是针对计算机入侵与犯罪进行证据获取、保存、分析和出示的过程。

1.2 WEB取证的特点

在计算机取证的体系架构中，Web取证属于应用取证的范畴。在取证的过程中，除了需要按照一般的取证准则和流程执行外，还需要根据Web应用和系统架构的特点，进行有针对性的分析。与其他应用取证相比，Web取证通常具有如下的特点。

（1）Web应用经常具有跨平台和分布式的特点。在取证过程中，需要掌握所有的应用部分和运行平台，从总体上进行考虑。

（2）当前的Web应用有很多属于企业级的关键应用程序。如果按照一般的流程进行关机操作，会给企业带来很大的损失。Web应用经常会使用在线调查的方式,对服务器的日志进行分析。

（3）数据库服务器通常使用大型的磁盘阵列。对大型数据存储的取证是一个复杂的过程。同时，在线数据库同离线数据库在数据上存在差异，在取证过程中需要引起注意。

（4）对Web应用的攻击所遗留的痕迹通常分布在服务器端和客户端，而且有些攻击会针对应用服务器和数据库服务器。因此需要同时对客户端、Web服务器、应用服务器和数据库服务器进行取证分析，并相互对照，相互印证[4]。

（5）调查中涉及的网站可能是处于国外或异地，不能直接和管理员取得联系，只能进行远程取证。远程取证要严格遵守公安部的远程勘验工作规则。

（6）Web应用的取证要求调查人员对Web应用程序、系统架构以及其安全问题有深入的了解，与传统计算机取证所掌握的知识领域有所不同。

1.3 WEB取证分析的框架与流程

综上所述，计算机取证同传统取证之间有很大的不同，Web取证所涉及的方面也要比传统意义上的单个计算机的取证分析多，可能需要牵涉到多个操作系统、多个业务应用平台、多种日志关联、客户端、服务器以及各种电子证据之间的综合提炼和分析比较等。因此，根据以上对计算机取证和Web应用及其系统架构的论述,Web取证分析应当遵循如图1所示的Web取证框架。

图1 Web取证分析框架

Web取证属于计算机取证的一部分，所以对其中每个设备的取证需要按照计算机取证的标准流程进行。计算机取证遵循的原则、涉及的技术、取证过程和应当注意的事项，原则上都适用于Web取证。Web取证所要涉及到的方面主要分两部分，服务器端的取证工作和客户端的取证工作。同时，在Web取证过程中，往往还会涉及到相关网络设备的取证工作。图1中Web服务器分析和客户端分析是本文研究的重点，是整个计算机取证流程证据分析的一部分。

在对Web进行取证分析时，可以按照图2的流程进行。

（1）对Web应用流程进行分析。得到对象系统的系统框架和应用逻辑，并确定涉及到的节点。在允许的情况下，将对象系统进行封存和获取操作。如果对象系统不能关机，则需进行在线调查。

（2）获取Web和应用服务器的配置文件。获取有效的配置文件可以为下一步提取相关电子证据提供明确的方向; 配置文件可以提供系统和应用服务的系统属性、环境变量、文件属性的有用信息。

（3）获取和查看Web服务器、应用服务器、数据库服务器的日志文件。日志是涉网犯罪（尤其是针对Web等网络应用服务的案件）的重要证据来源。

（4）识别异常的应用行为。包括客户端的异常输入行为、异常的Web访问趋势; 在Web取证过程中，能否识别异常的用户行为是能否获取有效线索的关键。

（5）异常引用（referrers）流量。在Web取证中经常会使用流量分析技术，特别是一些拒绝服务攻击中，往往能从中分析出确切的攻击时间。

（6）访问中Cookie的变化情况。服务器中应用服务设计不同，产生的Cookie交换信息也不同。

（7）跟踪到的客户端计算机的调查取证。针对Web应用的网络攻击必然包括客户端和服务器端，有时在客户端上提取的证据能更加准确地反映犯罪事实。例如，在客户端上提取的上网历史、缓存、Cookie和删除记录。

（8）因特网的缓存。取证过程中一些涉及到的网页和站点应用经过一段时间后，已经被删除或下线，只能从删除数据中恢复网络应用程序或者从因特网的缓存中获取。

（9）其他网络设备。Web取证分析不是一个孤立的系统，其访问日志和流量记录可能涉及到路由器、防火墙、代理服务器等网络节点和设备。这些设备的日志可以和Web的日志进行综合相关分析，以更好地恢复Web历史事件。

图2 Web取证流程图

因此，在开展Web取证分析的过程中，根据Web应用的不同和案件性质的不同，需要考虑的面很广，对侦查人员的要求也很高。Web取证一般都涉及到对服务器和客户端的取证工作，它基于计算机取证的框架和流程，但侧重点又有所不同。下面以实际案例来阐述Web服务器和客户端的取证分析技术。

2 Web取证分析技术应用案例

在Web取证中，数据分析是Web取证的关键环节，在已获取的数据流或信息流中寻找、匹配关键词或关键短语是目前主要的数据分析技术。下面通过一个客户端案例来举例说明实践工作中在Web服务器和客户端进行取证的方法和特点。

在Web取证过程中，只要扣押了犯罪嫌疑人的客户端计算机，就要对其进行取证分析。客户端的取证分析运用更加广泛，可以实现的工具也比较多,下面简单介绍实际工作中的一个案例。

在一起网络谣言案中，嫌疑人在论坛张贴了一则恐怖消息，扬言要炸毁国内某重要建筑。警方介入了调查，通过各种线索锁定了嫌疑人，扣押并封存了嫌疑人的电脑，并获取了电脑中的数据，开始对其网络行为进行分析取证。

通过对嫌疑人的上网日志、缓存日志数据进行提取，并根据服务器端时间信息进行过滤分析，发现该嫌疑人清除了上网历史记录信息，但没有清除缓存中的日志信息和数据。通过对缓存记录进行分析，发现在服务器的发帖时间，该用户正在用发帖账户登录在服务器上。

同时对嫌疑人电脑中的数据进行分析，发现该嫌疑人编辑发帖信息的文本，将客户端上获取的信息同服务器端的证据相印证，从而锁定该嫌疑人就是传播恐怖信息的发帖人。

图3 客户端分析案例截图

在实际工作中，涉及到Web取证的案例还很多，这里不再一一列举。基本上每个计算机的取证都会或多或少的涉及到Web取证。通过大量的实践证明，客户端的取证方法根据操作系统和浏览器的种类所采用的取证模式相对固定; 而服务器的取证工作由于架构不同、应用不同、网络环境不同而有很大的区别，基本上每个案例都有其特殊性，需要检查人员根据实际情况按照规范流程灵活处置。

3 结束语

计算机取证是当前打击犯罪的热点研究课题之一，Web应用的不断发展使得相关案件的比例不断上升。本文研究了针对Web的计算机取证技术，内容包括Web服务器端的取证和客户端的取证分析，并根据Web应用发展的情况，考虑了多种情形下的取证工作。

Web实现技术在不断的发展过程中，本文不可能涉及所有的内容。Web取证涉及到了计算机取证的各个方面，本文未对所有涉及到Web的取证技术进行研究，只对一些在实际工作中Web取证所涉及的部分做了初步的研究和探索。所涉及的取证技术还是基于一些静态的取证技术，对Web取证中的关键点日志，也只是提出了一个分析的模型和框架，对日志的预处理进行了设计，该还有待进一步完善。另外，Web取证和其他相关证据必然有千丝万缕的联系，需要综合考虑。

[1]张越今.网络安全与计算机犯罪勘查技术学[M].北京：清华大学出版社，2003.

[2]曾学军.计算机取证技术的发展困境与前景[J].商业时代，2009.

[3]郭岩，白硕，与满泉.Web使用信息挖掘综述[J].计算机科学，2005.

[4]张斌，冯耕中，郑裴峰.Web用户访问日志数据挖掘研究[J].情报杂志，2003.

[5]王伟，彭勤科.主机日志分析及其在入侵检测中的应用[J].计算机工程与应用，2002.