APP下载

电子数据取证勘查调研综述

2020-12-14张鹤

电脑知识与技术 2020年28期
关键词:电子数据勘查

张鹤

摘要:由于互聯网的发展与新型智能终端的不断涌现和普及,智能终端在犯罪活动中被频繁使用。在公安机关在打击犯罪一线实战中,涉案新型智能终端中的数据已成为重要的破案线索和证据来源,因此电子数据取证技术的作用愈加重要。现有的电子数据取证技术及装备仍面临着几方面的问题,包括:难以适应新型智能设备及应用的快速发展、无法对云环境下电子数据进行取证分析、对新设备、新环境支持验证不足的问题,使得现有技术装备无法很好地满足打击犯罪工作的需要。该文详细分析对比国内外主流的电子数据取证技术及装备的主要特点、优势与应用情况,并立足于案件一线的应用,给出电子数据取证目前需应对的挑战与未来的研究重点。

关键词:犯罪活动;电子数据;取证鉴定;勘查

中图分类号:TP393       文献标识码:A

文章编号:1009-3044(2020)28-0034-05

Abstract: Due to the development of the Internet and the emergence and popularity of new intelligent terminals, intelligent terminals are frequently used in terrorism activities. In the actual combat of terrorism in the public security organs, the data in the new intelligent terminals involved has become an important source of clues and evidence, so the role of electronic data forensics technology is increasingly important. The existing electronic data forensics technology and equipment still face several problems, including: difficulty in adapting to the rapid development of new intelligent devices and applications, forensic analysis of electronic data in cloud environments, and insufficient support for new devices and new environments. The problem is that the existing technology equipment can not meet the needs of anti-terrorism work well. This paper analyzes in detail the main characteristics, advantages and applications of the mainstream electronic data forensics technology and equipment at home and abroad, and based on the application of the first-line terrorism-related cases, and gives the challenges and future research priorities for electronic data forensics.

Key words:terrorism activities; electronic data;forensics technology;investigation

1引言

随着移动互联网技术、新型智能终端设备、应用的快速发展,公安机关一线实战工作中,包括在犯罪案件,涉案新型智能终端中的数据已成为重要的破案线索和证据来源[1-8]。电子数据取证技术发挥了至关重要的作用,同时,电子数据取证相关设备也随之发展起来[9]。

目前,公安机关配备的电子数据取证勘查装备主要针对涉案计算机设备、存储设备及智能终端进行电子数据取证分析。设备具备较强的计算能力,可独立在现场展开勘查取证工作,但现有装备也存在诸多挑战,主要体现在:随着新型设备和云计算的飞速发展,现有的取证技术装备难以适应新型智能设备及应用的快速发展;无法对云环境下电子数据进行取证分析;对新设备、新环境支持验证不足的问题,使得现有技术装备无法满足打击犯罪工作的需要[10-14]。

上述不足使得现有装备难以满足打击犯罪处突事件现场对智能终端、计算机系统和多类别存储设备进行高效取证勘验的工作需求。针对打击犯罪处突现场的实战业务需求,研制的装备为便携、高效、多功能的电子数据现场取证分析装备。支持公安机关在打击犯罪现场和案件、事件现场对智能终端、计算机系统的全方位电子数据取证分析。

2国内外电子数据取证装备研究现状

2.1国外同类武器装备或主流技术现状及发展趋势分析

国外同类武器装备或主流技术的概况如表1所示,以下对各个技术进行具体的分析。

2.1.1 Cellbrite UFED

Cellebrite公司的UFED Touch 高级版[15]是新一代、高性能的手机司法取证解决方案。通过直观的用户操作界面和简单易用的触摸屏,UFED Touch高级版支持对各种品牌、型号的手机、GPS和移动设备进行物理镜像获取、逻辑提取和文件系统获取,包括已经删除的数据和密码。

主要特点:

(1)完整获取已经存在的、隐藏的和删除的数据:如通话记录、短消息、联系人、日历、邮件、多媒体文件、物理位置信息、密码、位置信息(如Wi-Fi、手机基站以及导航程序等)和 GPS信息等。

(2)高级搜索。支持文本搜索和特定参数搜索。

(3)时间线分析。按时间顺利展示所有手机行为。

(4)查看列表。支持按照提前设定的条件查看重点信息。

(5)图片挖掘。支持从手机镜像和碎片中恢复已经删除的图片文件。

(6)按用户要求定制生成报告,支持PDF、HTML、XML以及Excel等多种不同的报告格式。

(7)支持对SQLite数据库文件中的数据进行查看、搜索和导出(包括已经删除的数据)。

主要优势:

(1)独有的手机镜像获取和数据解析功能,支持对BlackBerry所有操作系统〔4、5、6和7〕的实时解密和解析。

(2)支持对ios各版本系统的用户密码获取,兼容越狱和非越狱各版本系统。

(3)支持绕过各种版本安卓系统的PIN码、图形密码和数字密码。

(4)支持对NOKIABB5手机物理镜像获取。

(5)为中国山寨手机提供了最强大的解决方案。

(6)独家支持TomTomR和其他GPS导航设备的路径信息获取。

(7)完整获取已经存在的、隐藏的和删除的数据:如通话记录、短消息、联系人、日历、邮件、多媒体文件、物理位置信息、密码、位置信息(如Wi-Fi、手机基站以及导航程序等)和GPS信息等。

应用情况:

Cellebrite的UFED手机取证设备能够让执法机关、打击犯罪与安全单位从普通手机、智能手机和个人数据助理获取重要的司法证据,目前除了美国的中央情报机构外全美的警局也基本在使用该工具。该工具如图1所示。

案例:

2012 年的时候,英国警员曾经请求Cellebrite帮忙,恢复了一支 iPhone 3GS 上被刪除的资料。

2013 年,FBI 和Cellebrite签订合约,确定后者为指定的手机破解服务合作伙伴。

2.1.2 Secure View

SecureView4移动手机取证包[16]是美国Susteen公司最新研制的电子物证取证工具包产品。整套产品由SecureView4 取证软件、完整的数据线包、加固手提箱三个部分组成。

SecureView4拥有独家开发的svProbe嵌入式分析功能。svProbe是一个包含案例文件创建和书签功能的独有程序,与我们现有的分析工具结合之后,便能在一个完整的软件包里完成全部数据处理工作流程。它是手机取证市场上唯一能提供3个具体调查流程的产品,这三个流程分别是:获取、分析(处理)和报告

主要特点与优势:

(1)功能强大:包括:搜索、时间轴、顺序表、关联图、图库、活动统计图、网络行为等。

(2)平台简单易用:流线型的数据采集形式,将使用时的准确度最大化,提高获取成功率。

(3)高端军警装备级别:Secure View软件解决方案可作为军事、政府和执法机构的基本取证工具,帮助这些机构实现移动设备调查的高效性和彻底性。

(4)多种报告选项:拥有独家svProbe分析工具。

(5)是一款强大的个案管理工具。

(6)具备审计跟踪功能。

(7)WHQL驱动程序(经Microsoft测试和认证)。

应用情况:

SecureView4目前可支持10000多种不同功能的手机,可获取联系人信息、通话记录、短信、彩信、日历以及其他类型的数据。SecureView 4是一款手机取证产品中功能更加齐全的首选工具。该工具如图2所示。

2.2国内同类武器装备或主流技术现状及发展趋势分析

国内电子数据取证技术及主流技术概述如表2所示。以下对各装备及技术展开分析。

2.2.1 DC-8811取证魔方

DC-8811 取证魔方.V3具备全面勘查取证能力的便携式装备,标配万兆网卡,可以快速完成现场计算机、手机、视频的快速勘查,还可对接大屏或投影仪应用于实验室的固定、分析、仿真等取证分析工作。产品引入智能取证模式,可在接入存储介质后一键完成日常取证工作。

特点与优势:

(1)支持对Windows 系统(最新支持Win8) 进行仿真取证。

(2)支持对MAC OS X  (最新支持10.8) 进行仿真取证。

(3)支持对Linux  (最新支持Ubuntu 13.10) 进行仿真取证。

(4)配置取证大师最新版本,支持更全面,更智能的取证分析功能。

(5)配置 Intel i7  四核八线程CPU,配置16G内存容量,配置lT容量硬盘。

(6)配置 USB3.0只读接口,支持对 USB3.0设备进行高速复制。

(7)硬盘复制速度最高可达 27GB/min。

应用情况:

国内主要省级、地市级公安单位、检察院、监察委、工商、税务、海关、证监和政府等司法机关及行政执法部门。该装备如图3所示。

2.2.2 RH-6900手机取证分析仪

RH-6900除了可应用于新型智能手机的取证,还可以应用于国产非智能手机的取证分析。

系统可全面提取移动终端的已删除、未删除数据,并进行综合性的取证数据分析。同时,系统可绕过手机权限,达到破解、取证、分析的全流程。

特点与优势:

(1)针对硬件状态正常的手机,可采取免拆机、数据线连接直接提取的数据提取方式。

(2)针对智能手机,在手机无法开机、无法通过手机数据接口提取数据、甚至部分外围硬件已损坏的情况下,可使用JTAG技术提取所需数据。

(3)针对传统功能手机及部分早期智能手机,在手机屏幕、按键、数据接口甚至电路板大部分已损坏的情况下,可通过通用芯片提取技术提取所需数据。

(4)针对新型大容量智能手机,在手机屏幕、按键、数据接口甚至电路板大部分已损坏的情况下,可通过EMMC芯片提取技术提取所需数据。

(5)系统自带的手机数据综合分析软件,可全面解析电话本、通讯录、图片、音视频、QQ、微信等多种已删除、未删除数据。

该装备如图4所示。

3 现有装备存在的主要问题分析

新型智能设备和新型应用的数据存储模型、数据保护机制,重点突破在数据提取、破解还原、删除数据恢复、应用程序数据解析和关联分析等方面关键技术瓶颈。

面向移动智能终端的取证主要基于通过直接连接智能终端或者通过设备备份来提取数据。针对移动智能终端设备的提权和锁屏破解也有较多研究,但仍然无适用较广的技术方案。针对智能终端操作系统的证据数据分析方面,已支持短信、通信录等设备数据的取证分析,支持目前主流网络如即时通讯、微博、电子邮件、浏览器、下载工具等应用的取证分析,但是智能终端应用程序种类繁多、升级换代频繁,需要持续紧跟其发展,研究主流、重点及犯罪类应用程序数据的取证分析技术;删除数据恢复功能方面,支持短信、通讯录、通话记录的删除恢复以及即时通讯、电子邮件、浏览器记录等网络应用的删除恢复;支持GPS轨迹信息、网络连接信息的取证分析。

随着移动智能终端不断地技术革新和App应用普及,智能手机、无限终端等设备的功能和应用不断出新出奇,电子数据安全与备份也不断地随之变化。移动智能终端目前逐渐加强了数据安全保护机制均比较复杂,如何绕过访问权限的限制直接进行智能终端中的数据提取仍然是当前取证工作的难题。

通过对公安机关装备的取证设备实地调研和业务搜索,取证装备在未来的发展趋势主要包括技术的改进和指标的提升。技术改进和指标提升包括:

针对现场取证分析业务需求,从智能终端系统的存储系统分析与提取技术、文件系统分析与文件提取技术和数字证据保全技术等方面展开研究。

(1)移动智能终端目前逐渐加强了数据安全保护机制均比较复杂,如何绕过访问权限的限制直接进行智能终端中的数据提取是重要研究方向。

(2)智能终端设备具备自有独特的操作系统,提供的接口和数据存储方式都不一样。需要分析研究其系统数据存储机制、分析对应文件系统结构,研究掌握新型文件系统解析和删除恢复,文件属性(时间属性、安全属性)与文件内容提取的技术方法。

(3)智能终端应用程序种类繁多、升级换代频繁,需要持续紧跟其发展,研究主流、重点及犯罪类应用程序数据的取证分析技术。

(4)电子证据固定保全方面,研究支持多类存储接口的高速并行只读复制,支持在不同的接口规格和尺寸之间实现转换复制;具备良好的数据完整性校验。

(5)数据删除恢复,通过全盘扇区扫描根据文件类型格式识别被删除文件,支持对被格式化或者文件系统扇区损坏的磁盘。

(6)对即时通讯、浏览器、邮箱、下载工具等主流网络应用程序数据的取证分析和删除数据恢复。

(7)通过系统仿真模拟运行,取证系统地动态数据信息。

4 未来研究方向与技术难点

针对项目的目标和主要任务,我们将从面向存储介质的取证技术和硬件装备两个方面展开研究。

4.1面向存储介质的取证技术

4.1.1 存储介质多路只读复制

数据存储介质多路只读复制设备采用横向多插槽方案设计,支持SATA、SAS、IDE、SCSI、存储卡等多种接口。各种介质插槽都预留只读接口和读写接口,存储介质从设备两侧接入,一侧只读。

上层取证分析软件通过硬件设备驱动程序访问和操作接口设备:支持數据只读读取,同种数据介质位对位复制;支持在不同的接口规格和尺寸之间实现转换复制;支持多个设备对多个设备并行复制;支持1个设备对多个设备的冗余复制。

4.1.2 镜像生成、数据保全、磁盘擦除

取证软件可以将物理存储设备数据以镜像的方式保存的指定位置。数据读取采用直接访问驱动的方法,绕过文件系统,按照扇区读取的方式复制整块磁盘或分区,保证存储设备数据的完整性。复制过程中能够实时显示运行状态,包括读取速度,任务进度等。

镜像提取完成后,能够自动生成镜像的校验值,支持MD5、SHA-1、SHA-2等多种哈希值,保证镜像数据不被修改。

磁盘擦除功能能够对传统硬盘和SSD磁盘进行数据擦除,支持多次重复擦除,支持指定字符擦除功能,数据擦除功能同样采用直接访问驱动的方法访问扇区,从0扇区开始进行操作。

4.1.3 应用程序分析

随着科技信息的发展,应用程序也在不断新增,常用的应用程序主要包括聊天软件、浏览器、邮箱、下载工具等程序。

即时通讯聊天软件主要针对QQ、skype、YY等即时聊天工具,针对QQ取证分析出QQ的聊天内容的记录文件以及好友关系文件。针对skype、yy能够直接取证解析聊天信息和好友信息,并支持导出记录,针对聊天内容支持会话展示,能够播放语音和视频。

浏览器主要针对IE、Chrome、FireFox,查找浏览器数据的存放目录,获取用户的收藏夹、历史记录、cookie信息、缓存文件、浏览图片,获取输入控件中自动保存的用户名和密码。分析出用户的上网记录。

邮箱主要针对Outlook、Foxmail、网易闪电邮等,支持取证保存在本地的邮件列表(包含邮件内容),发件人信息列表,收件人信息列表。

下载工具主要针对迅雷、网际快车、电驴等下载工具,分析工具的日志文件,找出下载记录信息,解析出用户下载请求的URL地址、请求时间、下载完成时间。

4.2 硬件装备

打击犯罪电子数据取证装备研制主要包括硬件只读装备研制、快速复制装备研制以及取证分析设备研制等三个部分。

硬件只读装备:设备通过软件或硬件层阻止数据写入,保护电子数据介质内的数据不被修改和删除,保证电子数据鉴定的司法有效性和数据完整性。

快速复制装备研制:设备利用高性能的传输接口,对获取的电子存储设备,支持位对位的复制。

取证分析设备:便携式计算机设备,通过多种数据接口,对获取的电子介质进行数据获取,利用内置的取证分析软件对获取的数据进行取证分析。

硬件装备的研究设计中,核心是芯片级只读系统的设计,包括只读控制核心单元和扩展单元两部分;通过订制不同的扩展单元可实现多种只读硬件的设计。硬件只读模块设计兼顾了模块化设计、可靠性和快速可扩展性。由只读控制核心单元和接口扩展单元组成,核心单元通过对存储设备的只读挂载和数据交换实现只读控制,扩展单元可根据不同的接口功能要求扩展全部或部分存储器接口类型。核心单元和扩展单元之间通过通用的PCI-E 接口实现操作,并且可以扩展其他功能。

硬件只读取证模块的设计方面:硬件只读取证模块是存储设备取证产品中一项重要的组成部分。通过只读取证系统所提供的数据拷贝功能,将能够极大地减少取证人员的工作强度及难度。便携式只读取证系统的主要功能是在不破坏现有存储设备的情况下,根据提供的各类存储设备进行数据读取拷贝,从而获取取证人员所需要的取证资料。硬件只读取证系统的主要目的是在不破坏存储设备的情况下,从各类存储设备中读取拷贝数据。便携式只读取证系统分为两大模块:读写模块和只读模块。读写模块相对应的存储设备包含有3.5 寸硬盘、2.5 寸硬盘、USB3.0 设备、USB2.0 设备、RJ45 网口设备等;只读模块相对应的存储设备包含有3.5 寸硬盘、2.5 寸硬盘、USB3.0 设备、MS/MS Pro/MS Duo/MS ProDuo卡、SD/MMC/RS MMC 卡、CFI/CFII/MD 卡、Extreme Digital 卡、TF/Micro SD 卡等。

读写模块可对存储设备进行读写操作,实现系统与存储设备之间的数据相互读取拷贝,便于取证人员设置系统时与外部数据交互。

只读模块只能对存储设备进行只读拷贝操作,实现系统从存储设备当中读取拷贝数据,能让取证人员在不破坏存储设备数据情况下,从存储设备捕获所需数据,从中取证。根据需要的存储设备,由接口扩展单元实现硬件的对接,并且由只读控制核心单元实现数据的只读拷贝,从而实现多扩展接口的并行数据只读,从而实现各类存储设备的数据访问。通过便携式只读取证系统可以有效地将外部存储设备拷贝到系统当中,从而实现数据的恢复、查找、拷贝、审查、取证等功能,并由取证相关人员将数据交予相关单位部门人员分析取证。同时,为确保电子数据的原始性、真实性、合法性,在电子数据收集时应由取证人员全程跟踪并采用专业的数据拷贝备份将外部存储设备数据拷贝备份,且要求数据拷贝设备的只读设计及自动校准功能就显得额外重要。

硬件只读模块主要困难在于对只读模块的只读设计、自动校准、并行数据访问、控制核心单元设计等的集成化,从而实现主控单元控制所有数据的访问。

5 总结

本文针对国内外电子数据取证勘察技术及装备的进展、优势与应用情况,展开了详尽的对比分析,并指出在涉恐涉暴案件勘察中,当前电子数据取证技术及装备仍面临着几方面的问题,无法很好地满足实战需求。最后,从智能手机终端设备取证技术、可穿戴设备取证技术、面向存储介质的取证技术、云取证技术、反取证技术、硬件装备等几个方面,给出了重点问题和未来研究方向,为本领域研究人员工作提供了重要的基础。

参考文献:

[1] 黄金成,保佳福.论中国面临的恐怖主义威胁[J].法制与社会,2009(18):210-211.

[2] 金辉.当前中国面临的恐怖主义威胁:以为“东突”个案的分析[D].中国人民大学, 2007.

[3] 杨延冰.“东突”恐怖主义与中国国家安全[D].西安:陕西师范大学,2006.

[4] 皮勇.全球化信息化背景下我国网络恐怖活动及其犯罪立法研究——兼评我国《刑法修正案(九)(草案)》和《反恐怖主义法(草案)》相关反恐条款[J].政法论丛,2015(1):68-79.

[5] 刘黎明,肖文宇.论我国反恐怖主义法律制度的完善[J].净月学刊,2017,32(4):70-77.

[6] 兰迪.论我国《反恐怖主义法》中的“去极端化与反极端化”[J].铁道警察学院学报,2017,27(1):50-56.

[7] 金波,吴松洋,熊雄,等.新型智能终端取证技术研究[J].信息安全学报,2016,1(3):37-51.

[8] 刘建军,赵兵,熊道泉,等.新型电信诈骗案件中的电子数据研究[J].信息网络安全,2013(12):90-92.

[9] 郭弘,徐志強.国内外电子数据取证装备及软件发展现状与趋势[J].保密科学技术,2016(3):28-34.

[10] 付忠勇,赵振洲.电子取证现状及发展趋势[J].计算机与网络,2014,40(10):67-70.

[11] 赵小敏,陈庆章.计算机取证的研究现状及趋势[J].网络安全技术与应用,2003(9):32-35.

[12] Bunting S. Encase computer forensics[M].Sybex2012.

[13] 北京瑞源文德科技有限公司. FTK实战应用[M].中国检察出版社, 2015.

[14] Shavers B,Zimmerman E.Searching in X-ways forensics[M]//X-Ways Forensics Practitioners Guide.Amsterdam:Elsevier,2014:127-152.

[15] National Institute of Standards and Technology (NIST)United States of America, America U S O. Test Results for Mobile Device Acquisition Tool: CelleBrite UFED 1.1.3.3 - Report Manager 1.6.5[J]. Bureau of Justice Statistics, 2010.

[16] National Institute of Standards and Technology (NIST)United States of America. Test Results for Mobile Device Acquisition Tool SusteenDataPilot Secure View 1.12.0[J]. Bureau of Justice Statistics, 2009.

【通联编辑:代影】

猜你喜欢

电子数据勘查
《林业勘查设计》简介
《林业勘查设计》征稿简则
《林业勘查设计》征稿简则
《矿产勘查》撰稿注意事项
《矿产勘查》撰稿注意事项
地球物理勘查技术在地热资源勘查中的应用