◆肖俊飞

计算机取证技术研究

◆肖俊飞

（广西海警第一支队司令部 广西 536000）

随着个人计算机、国际互联网的应用广泛普及化、以及其计算能力的快速发展，在全球化通信及信息交换成为现实的同时随之而来的计算机犯罪行为也日益增多，而存在于计算机及相关外围设备中的电子证据逐渐成为新的公诉证据之一，所以计算机取证正日益成为各国各研究机构和公司对计算机网络犯罪的重点研究课题。

计算机取证；电子证据；取证技术；陷阱网络

0 引言

0.1 计算机取证的概念

计算机取证就是一种可以被法庭采信、且真实可靠有说服力的，其通常来源于电脑及相关设施的电子凭证的确立、归集、保护、解析、保存和于法庭中进行出示的一系列过程[1]。

由于计算机取证的方式可以应用到涉及大量和其相关的犯罪及其他事故中，如网络犯罪、盗版、网络诈骗等，因此其当下为各个公司及政府单位在信息安全方面的最基础工作。

0.2 电子证据

1 取证的原则

在实际进行犯罪证据取证的时候，一定是要严格遵循法律原则的。这些原则也是一定要在计算机取证中进行遵守的：

（1）尽可能早地进行取证，同时要确保证据的完整性；

（2）就证据本身而言必须是“连续性”的，也就是说当证据被提交到法庭的时候，可以表明其是从最原始的前提下获得且直到传递到法庭没有任何的改变；

（3）在检查、取证的整个过程都必须处于监督之下。通常来说就是，原告所委派的任何专家进行的任何取证都必须有其他方面进行监督。

2 计算机取证工具及陷阱网络

2.1 取证工具

在计算机取证的时候，在基于必需的方法、经验之外，通常还会涉及一些软件的使用。其中数据的提取、分析应用到的软件是相关专家需要的最基础工具。这里面涉及操作系统自带的部分工具还有特定的相关工具软件或者是工具包。例如tcpdump、NFR、network等等。

2.2 陷阱网络

通常情况下被害人都是自系统被入侵之后才会想到去进行证据的收集，进而将犯罪分子绳之以法。然而绝大多数情况下，犯罪分子都会将其留下的蛛丝马迹进行清除或者隐藏，从而导致取证工作非常的麻烦和烦琐[2]。

常说的陷阱网络则是由设置于网络里面的多个陷阱机及远程管理端构成。此类设置于网络中的陷阱机可以通过组合的方式构成一个网络安全方面的主动防御体系，从而达到提升网络安全的初衷。

立足上述立法背景存在的现实需求，以《知识产权基本法》的指导思想为指导，《知识产权基本法》立法应当秉持如下原则。

2.2.1陷阱机的概念

陷阱机实际上为一类专门设计来被“攻陷”的网络、主机，若其被攻入，那么入侵者涉及的任何信息都将被特定的工具记录下来，从而其将被解析，也可能会成为控告入侵者的证据。

陷阱机是基于网络开放性这个特性进行设计的。任何系统只要和网络连接，其都有机会暴露在探知和攻击之下。

2.2.2 Honeypot

Honeypot:即常说的蜜罐系统。仅从其名称上就可以知道其是用于吸引入侵者的。其原理是通过模拟一系列常见的漏洞，在操作系统或其他系统上进行设计从而使其形成一个“牢笼”主机，进而最终实现对入侵者进行诱骗。

2.2.3 Honeynet

Honeynet:就是所说的陷阱网络，是基于对黑客思想进行的相关研究及解析。应用一个隐藏于防火墙之后的网络体系，从而实现对任何出入数据的关注、获取和控制。这些数据都作为研究和解析黑客采用的工具、方式、动机的数据源。

3 反取证技术

3.1 反取证

计算机取证涉及的理论及相关的软件为2018年度在涉及的计算机安全方面最为夺目的成果，但是就当下采用的电脑取证涉及的理论、具体软件进行深入的分析不难发现，眼下其所涉及的理论、工具都还有非常巨大的提升空间。

3.2 反取证技术分类

简单来说当下反取证技术大致可以分为三类：1)数据清除;2)数据隐藏;3)数据加密。并且此三类技术还可以进行联合应用，这就极大地提升了取证工作的难度和准确性。

3.2.1数据擦除

数据擦除作为当下反取证的最佳方式，其所指的是清除任何潜在的证据（索引、目录、块数据等涉及的原始数据）。当原始数据无法获得的情况下取证就理所应当无法开展。

反取证工具包（TDT）中有两种专门用于数据清除的工具软件，分别为Necrofile、Klismafile。前者常用于对文件信息、数据的清除，其通过将TCT中设计的索引节点包含的工具进行占据，将任何TCT有可能发现的索引节点的相关信息进行覆盖，并且还用随机数进行相关数据块的重写[3]。

3.2.2数据隐藏

基于取证逃脱的意图，罪犯会将短时间无法迅速删除掉的文档进行伪装，比如在文件类型方面的伪装、隐藏到图形、影像、音乐等文件中；还有一些将此类数据文件放到磁盘自身的隐藏空间里面，例如runefs这种反取证工具即利用了TCT无法对磁盘损坏处进行检查的原理，从而将相关的犯罪数据或文件标记为坏块实现逃脱取证的目的。

3.2.3加密数据

加密数据文件相关的作用已是耳熟能详的了。采用这种方式是因为被入侵的电脑或主机中运行了入侵者运行的不可能被隐藏的程序，但是入侵者又想逃脱取证人员通过反向分析的方式获得这些程序的功能。虽然这些文件加密具体涉及的方式可以根据涉及的主机CPU及操作系统的改变而改变，然而其基本的原理是一致的；即运行之初通过一个文本解密的程序对加密代码进行解密，其解密的代码可能是其他程序、黑客程序、甚至其他的解密程序。

4 取证的局限性

在上述内容之外，在进行计算机取证时涉及的其他局限也是非常有研究价值的，例如磁盘数据恢复、反向工程、解密等等。

4.1 磁盘数据恢复

应用磁力显微镜（MFN），此类专业工具可对磁盘中的一层或两层数据进行恢复。因为数据是非常难做到精确地写回原位，因此即便采用多次的随机覆盖之后，其原数据还是有被找出的可能性。

4.2 反向工程

对被黑主机上存在的可以进行解析的程序进行解析，也是电脑取证工作的重要组成。当下可应用于UNIX系统中的二进制程序展开分析的软件是极为稀少的，其更适用于程序的调试而非反向工程，尤其是可执行程序在压缩、加密等技术的应用，导致反向工程难度不断提升[4]。从而若想从计算机罪犯应用的软件功能方面进行解析就必须借助于专业的反向分析人员的力量。

4.3 加密技术

伴随计算机犯罪分子更加倾向于应用加密技术对可能涉及的核心文件进行保存，想要获得最初始的证据，这就要求取证者对涉及的加密文件进行解密。为此，在进行加密文件的调查时，还是要应用到相关的解密技术。

5 结束语

由于计算机取证自身的局限性和计算机犯罪手段的不断提高（特别是反取证软件的出现），使得现在所有的取证技术已经不能完全满足打击计算机犯罪的要求了。另外，由于目前的取证软件的功能都集中在磁盘分析上，而其他的工作还得全部依赖于取证专家人工进行，几乎造成计算机取证软件等同于磁盘分析软件的错觉。这些情况必将随着对计算机取证研究工作的深入和新的取证软件的开发而得到改善。此外，计算机取证技术还会受到其他计算机理论和技术的影响。

[1]李福琳.计算机数据取证修复技术研究[J].信息系统工程，2018.

[2]褚洪波.计算机取证技术及其发展趋势[J].南方农机，2018.

[3]李亚轩.信息化警务模式下网络取证技术完善的研究[J].网络安全技术与应用，2018.

[4]信息犯罪与计算机取证[J].网络与信息安全学报，2018.