计算机免拆机取证常用技术

2018-12-25陈勇苏州大学司法鉴定中心

数码世界 2018年4期

陈勇苏州大学司法鉴定中心

计算机取证（Computer Forensics），又称为介质取证，是对计算机犯罪行为进行分析以确认证据，并据此提起诉讼，也就是针对计算机入侵与犯罪的电子物品，进行证据获取、保全、分析和出示。计算机证据指在计算机系统运行过程中产生的以其记录的内容来证明案件事实的电磁记录物。

取证的目标：主要是对硬盘、光盘、软盘、Zip磁盘、U盘等储存介质。取证的方法通常是使用软件和工具，按照一些预先定义的程序，全面地检查计算机系统，以提取和保护有关计算机犯罪的证据。

计算机取证分为主要四部分：获取、保全、分析、出示。在计算机取证中“获取”和“保全”尤为重要，如果获取的数据出现污染，那么这些受污染的数据在法庭上不可作为证据使用。目前主要是通过对计算机进行拆卸，然后对拆卸的硬盘进行复制克隆，计算哈希值保持数据的唯一性。这种对硬盘进行拆卸复制的好处在于：1、复制速度快。2、证据保全完整，保全过程会全程记录，自动出具保全记录。3、保全过程无干扰。缺点也是比较明显：硬盘接口的种类比较多，市面上常见的硬盘接口有SATA,SAS,SCSI,IDE，还有一些厂商自行定制的接口。

1 免拆机取证技术

何谓“免拆机取证技术”是指对计算机不用通过拆卸硬盘就可以获取和保全硬盘中的所有数据，并使数据能够成为证据。

“免拆机取证技术”不是一个新技术，它是由民用电脑操作技术演变而来。在民间普遍电脑爱好者或者从事电脑操作系统安装人员，当电脑无法正常开机或者忘记开机密码时,通过微软自带的WinPE技术，进入电脑中，把数据转移出来或者清除密码。那么在取证工作中也是可以这样用的，但不能简单的用WinPE进行获取保全证据。因为WinPE在启动后会自动加载硬盘分区，导致分区基本属性会发生变化。那么取证研发人员在WinPE的基础上制作了WinFE（全称 Windows Forensic Environment）。

“免拆机取证技术”在现阶段使用是越来越频繁了。这跟硬盘接口演变是分不开的，从非主流获取保全方式演变到主流获取保全方式，经历两个阶段。

第一个阶段：在以“拆卸硬盘”的时代，“免拆机取证技术”作为一种特殊手段用于取证。特殊点1：硬盘无法被拆卸时，才会选择此办法进行取证，例如：苹果一体机iMAC电脑等。取证人员第一选择还是拆卸硬盘。特殊点2：“免拆机取证技术”的数据传输是通过电脑的USB接口进行传输。当时的USB接口为2.0，传输速率为480MB/S（理论值），实际极限写入速度在25M/S左右，读速度在35M/S左右。而拆卸硬盘做数据获取保全的速度可以达到8GB/M。速度的差距导致取证人员不会做为第一选择。

第二阶段：随着硬盘越做越小，硬盘类型也由机械硬盘向固态硬盘转变。固态硬盘接口大概分为两大类，一种是正常大小的正常性，一种是迷你接口的迷你型。具体分为U.2、SATA、PCI-E、Macbook、MSATA、M.2七种类型接口，除了SATA类型是常用的接口类型，其他类型的接口拆卸下来后需要用专业的接口转换器来转接。但是在工作中很多接口转接器很难找到。所以“免拆机取证技术”又被取证人员重新重视起来。

2 “免拆机取证”工具

“免拆机取证”工具原理很简单，就是通过启动一个系统（非硬盘自身系统），去获取当前电脑的数据。

现在各家取证公司都有自己的“免拆机取证”工具。免费的工具也有很多，常见如WinPE、Paladin、DEFT等。WinPE是基于Windows版本制作的，Paladin、DEFT是基于linux版本制作的。取证人员只要下载即可使用。

取证人员也可以自己制做“免拆机取证”工具。只要掌握两个原则：1、硬盘数据不被改变（也就是保证数据的原始性）；2、硬盘数据在传输过程要进行哈希值检验。

WinFE和winPE的唯一区别就是修改了两个注册表键值，一个是"HKEY_LOCAL_MACHINEsystemControlSet001ServicesMountMgr"，在这个项中添加一个DWORD类型，名称为NoAutoMount的键，键值为1；这个键值的作用是Mount-Manager服务不会自动挂载任何存储设备。第二个是"HKEY_LOCAL_MACHINEsystemControlSet001ServicespartmgrParameters" ，它有一个键为"SanPolicy"，把这个键值修改为3（原值为1），其中3表示全部脱机，1表示全部联机。

所以，可以将普通WinPE工具改成免拆机取证工具，同时还可以在上面加入其他合适的取证软件。