杜 威，彭建新，楊奕琦

(廣東警官學(xué)院 計算機系，廣東 廣州 510232)

一、引言

隨著網(wǎng)絡(luò)信息技術(shù)的迅猛發(fā)展，針對計算機網(wǎng)絡(luò)信息的犯罪形式 (如網(wǎng)絡(luò)侵犯知識產(chǎn)權(quán)、網(wǎng)絡(luò)恐怖、網(wǎng)絡(luò)報復(fù)、網(wǎng)絡(luò)賭博、網(wǎng)絡(luò)欺詐等)也日趨增多。與一般的社會犯罪形式不同，網(wǎng)絡(luò)犯罪是一種新興的高技術(shù)犯罪，很多犯罪證據(jù)都以數(shù)字形式通過計算機或網(wǎng)絡(luò)設(shè)備進行存儲和傳輸。這些數(shù)字形式的犯罪證據(jù)通常與海量的正常數(shù)據(jù)混雜，難以提取且易于篡改、銷毀。

作為計算機領(lǐng)域和法學(xué)領(lǐng)域的一門交叉性學(xué)科，網(wǎng)絡(luò)電子證據(jù)取證與反取證技術(shù)正逐漸成為人們研究與關(guān)注的焦點。近幾年來，我國成功組織了4次全國計算機取證技術(shù)峰會，在取證理論、取證技術(shù)、數(shù)據(jù)分析技術(shù)、反取證技術(shù)、取證業(yè)務(wù)法律、司法實踐等方面不斷完善和創(chuàng)新，但網(wǎng)絡(luò)電子取證無論是立法還是技術(shù)的研究與發(fā)達國家相比還有很大的差距。如何采用科學(xué)的技術(shù)手段從多數(shù)據(jù)源收集、鑒別、調(diào)查、分析電子證據(jù)，并能夠為法庭提供具有客觀性、關(guān)聯(lián)性和合法性的電子證據(jù)從而能更加有效地打擊和遏制網(wǎng)絡(luò)犯罪，這就是網(wǎng)絡(luò)電子證據(jù)取證技術(shù)所需要研究的內(nèi)容。

二、網(wǎng)絡(luò)電子證據(jù)的概念

網(wǎng)絡(luò)電子證據(jù)是指在網(wǎng)絡(luò)設(shè)備和軟件中以電子形式表現(xiàn)出來的，能夠證明案件事實的一切材料。所謂電子形式是指以介質(zhì)的、數(shù)字的、電磁的、光學(xué)的或類似性能的相關(guān)技術(shù)形式保存于計算機、磁性物、光學(xué)設(shè)備或類似設(shè)備及介質(zhì)中或通過以上設(shè)備生成、發(fā)送、接受的一切數(shù)據(jù)或信息。在司法實踐中，網(wǎng)絡(luò)電子證據(jù)主要包括電子郵件、BBS(電子公告欄)、網(wǎng)頁、鏈接、網(wǎng)上聊天記錄 (E－chat)、電子簽名、電子數(shù)據(jù)交換(EDI)、系統(tǒng)文件及日志等。［1］

三、網(wǎng)絡(luò)電子證據(jù)取證特點

由于網(wǎng)絡(luò)電子證據(jù)是通過網(wǎng)絡(luò)進行傳輸?shù)木W(wǎng)絡(luò)數(shù)據(jù)，其存在形式是電磁或電子脈沖。同時，網(wǎng)絡(luò)電子證據(jù)又具有表現(xiàn)形式的多樣性、存儲介質(zhì)的電子性、準(zhǔn)確性、脆弱性、海量性及分散性等特點，因此網(wǎng)絡(luò)電子證據(jù)必須通過專門工具和技術(shù)來進行正確的提取和分析，使之具備證明案件事實的能力。

在網(wǎng)絡(luò)電子證據(jù)取證的過程中需要著重注意以下幾個方面的特點［2］:

1.嫌疑網(wǎng)絡(luò)的結(jié)構(gòu)及系統(tǒng)配置，包括網(wǎng)絡(luò)服務(wù)器、工作站、交換機等硬件及網(wǎng)絡(luò)操作系統(tǒng)、有關(guān)的應(yīng)用軟件的名稱和版本等信息。

2.在網(wǎng)絡(luò)取證的過程中不要僅局限于本地計算機中的數(shù)據(jù)，要著重注意網(wǎng)絡(luò)設(shè)備中的數(shù)據(jù)報或數(shù)據(jù)流。

3.網(wǎng)絡(luò)電子證據(jù)取證的過程是動態(tài)的。由于網(wǎng)絡(luò)電子證據(jù)的數(shù)據(jù)是動態(tài)地進行傳輸，因此為滿足證據(jù)的實時性和連續(xù)性，網(wǎng)絡(luò)電子證據(jù)取證也必須是動態(tài)的。

4.網(wǎng)絡(luò)電子證據(jù)取證有時是分布式的。由于網(wǎng)絡(luò)證據(jù)的分散性，網(wǎng)絡(luò)電子證據(jù)取證有時需要部署多個聯(lián)動的取證點或取證代理，從而保證了電子證據(jù)的完整性。

5.在實現(xiàn)方式上，網(wǎng)絡(luò)電子證據(jù)取證通常與網(wǎng)絡(luò)監(jiān)控技術(shù)相結(jié)合，例如入侵檢測技術(shù)和蜜網(wǎng)技術(shù)，利用網(wǎng)絡(luò)監(jiān)控技術(shù)激活取證系統(tǒng)實現(xiàn)自動取證。

四、網(wǎng)絡(luò)電子證據(jù)取證技術(shù)

網(wǎng)絡(luò)電子取證就是指對能夠為法庭接受、足夠可靠和有說服性的，存在于計算機網(wǎng)絡(luò)和相關(guān)設(shè)備中的電子證據(jù)的確認、保護、提取和歸檔的過程。由于電子證據(jù)自身特殊的特點，在取證的過程中必須保持數(shù)據(jù)的原始性、真實性和合法性，同時在取證技術(shù)及相關(guān)輔助設(shè)備上也必須可靠、可信。

網(wǎng)絡(luò)電子取證從取證的過程上可分為靜態(tài)取證和動態(tài)取證。靜態(tài)取證是針對網(wǎng)絡(luò)系統(tǒng)以及相關(guān)設(shè)備中的文件、日志等靜態(tài)數(shù)據(jù)的分析取證過程;動態(tài)取證是將取證技術(shù)結(jié)合到防火墻、入侵檢測技術(shù)以及蜜罐技術(shù)中，針對存在于網(wǎng)絡(luò)數(shù)據(jù)流和運行于計算機系統(tǒng)中的數(shù)據(jù)進行實時動態(tài)監(jiān)控和智能分析，在確保系統(tǒng)安全的情況下獲取嫌疑人的犯罪證據(jù)。

1.IP地址獲取技術(shù)

使用Ping或Traceroute命令，Ping命令通過向目標(biāo)主機發(fā)送echo_request請求數(shù)據(jù)報并監(jiān)聽ICMP應(yīng)答，并且可以通過Traceroute命令可以獲知信息從源主機到互聯(lián)網(wǎng)另一端的目標(biāo)主機所通過的路徑參數(shù)，如測試時間、設(shè)備名稱及其IP地址等。

2.網(wǎng)絡(luò)數(shù)據(jù)截獲技術(shù)

網(wǎng)絡(luò)數(shù)據(jù)包截獲技術(shù)適用于動態(tài)即時取證的情況。即嫌疑人在進行網(wǎng)絡(luò)犯罪的同時，偵查人員采用技術(shù)手段截獲對方的犯罪證據(jù)，通過對截獲的電子證據(jù)分析并將其呈交法庭，達到認定犯罪、確定犯罪嫌疑人的目的。該技術(shù)主要運用于網(wǎng)絡(luò)傳輸中，利用“抓包工具”等相關(guān)的軟件或命令可實現(xiàn)對防火墻、主機、網(wǎng)絡(luò)管理設(shè)備、網(wǎng)絡(luò)監(jiān)控設(shè)備等網(wǎng)絡(luò)設(shè)備中嫌疑數(shù)據(jù)的截獲。目前常用的捕獲嫌疑數(shù)據(jù)工具是嗅探器 (Sniffer)，如Windows平臺上的Sniffer工具:Netxray和Sniffer-Pro軟件;Linux平臺中的TCP Dump等，可以根據(jù)使用者的定義對網(wǎng)絡(luò)上的數(shù)據(jù)包進行截獲并進行分析。

3.數(shù)據(jù)恢復(fù)技術(shù)

數(shù)據(jù)恢復(fù)就是將遭受到有意或無意破壞的數(shù)據(jù)還原為正常數(shù)據(jù)的過程。嫌疑人在實施網(wǎng)絡(luò)犯罪行為后，通常會采取格式化磁盤或刪除相關(guān)文件的方式來毀滅證據(jù)，所以要想找到犯罪的證據(jù)就必須對已格式化的磁盤或已被刪除的文件進行恢復(fù)和重建［3］。其實，磁盤的格式化只是對用于訪問文件系統(tǒng)的各種表進行了重新構(gòu)造，同時創(chuàng)建一個新的空索引列表指向未分配的簇，因此，在格式化后，磁盤上原始數(shù)據(jù)并沒有被刪除。同樣，刪除文件也不是真正的把數(shù)據(jù)消除掉，只是把存放數(shù)據(jù)的簇釋放出來，放入未分配空間里面。這樣，我們可以使用取證軟件或工具軟件，例如TCT(The Coronor’s Toolkit)、Encase、FTK(Forensic Toolkit)、Final Data等，突破系統(tǒng)的尋址和編址方式，重新找到那些沒有被覆蓋的簇并合成原來的文件。

4.數(shù)據(jù)挖掘技術(shù) (Data Mining)

數(shù)據(jù)挖掘是一種特定應(yīng)用的數(shù)據(jù)分析、知識發(fā)現(xiàn)的過程，可以從包含大量冗余信息的數(shù)據(jù)中提取出盡可能多的隱藏知識，從而為做出正確判斷提供依據(jù)。數(shù)據(jù)挖掘的主要功能有關(guān)聯(lián)分析、分類、聚類和偏差分析等功能，每一種功能都可根據(jù)取證的不同要求為網(wǎng)絡(luò)取證所用。在對網(wǎng)絡(luò)電子證據(jù)進行分析、挖掘之前，需將電子證據(jù)相關(guān)屬性和相應(yīng)的法律條文、證據(jù)規(guī)則進行形式化描述形成網(wǎng)絡(luò)證據(jù)采集規(guī)則，根據(jù)采集規(guī)則在網(wǎng)絡(luò)設(shè)備上采集的數(shù)據(jù)經(jīng)過數(shù)據(jù)清洗及預(yù)處理后就可以形成數(shù)據(jù)挖掘技術(shù)能夠分析和應(yīng)用的數(shù)據(jù)集［4］。在實際應(yīng)用中，數(shù)據(jù)挖掘技術(shù)可以從海量網(wǎng)絡(luò)數(shù)據(jù)中對犯罪行為的入侵時間、IP地址、文件屬性、日志、犯罪特點等進行分析和跟蹤，并能有效挖掘潛在的犯罪行為［5］。

5.IDS取證技術(shù)

入侵檢測系統(tǒng) (IDS)的主要作用是對網(wǎng)絡(luò)或系統(tǒng)的運行狀態(tài)進行監(jiān)視，識別針對計算機系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)的非法攻擊。由于IDS是能提供實時攻擊信息的最好工具，因此IDS新的應(yīng)用方向就是在檢測到非法入侵或惡意行為時利用入侵檢測系統(tǒng)收集電子證據(jù)，對主機上的日志信息、異動信息，甚至是網(wǎng)絡(luò)流量變化等進行分析，并做出快速響應(yīng)。

6.蜜阱取證技術(shù)

蜜阱 (Honeytrap)是包括蜜罐 (Honeypot)和蜜網(wǎng) (Honeynet)等以誘騙技術(shù)為核心的網(wǎng)絡(luò)安全技術(shù)［6］。蜜罐的方法是構(gòu)造一個虛擬的系統(tǒng)、服務(wù)或環(huán)境以詐騙攻擊者對其發(fā)起攻擊。在攻擊者不知情的情況下，取證系統(tǒng)就潛伏在系統(tǒng)中記錄下攻擊者完整的攻擊流程、路徑等對取證極為有利的信息。對于通常的網(wǎng)站或郵件服務(wù)器，攻擊流量通常會被合法流量所淹沒，系統(tǒng)安全防護人員無法得到諸如嫌疑人、攻擊目的、攻擊方法、時間等重要信息。而蜜罐進出的數(shù)據(jù)大部分都是攻擊流量，技術(shù)人員查詢、分析攻擊者的實際行為也就容易多了。因此蜜罐技術(shù)使得取證工作更加容易，因為它大大減少了所要分析的數(shù)據(jù)。蜜網(wǎng)是蜜罐技術(shù)的高級形式，它是在一臺或多臺蜜罐主機的基礎(chǔ)上，結(jié)合防火墻、路由器、入侵檢測系統(tǒng)等設(shè)備面形成的網(wǎng)絡(luò)系統(tǒng)。蜜網(wǎng)技術(shù)關(guān)注、捕獲及控制所有進出網(wǎng)絡(luò)的數(shù)據(jù)，能夠采取有效的防范措施保護網(wǎng)絡(luò)。當(dāng)網(wǎng)絡(luò)犯罪行為發(fā)生時，可以利用這些捕獲的數(shù)據(jù)來監(jiān)視入侵者的行徑、策略、工具和目標(biāo)，從而自動收集相關(guān)的電子證據(jù)，實現(xiàn)實時網(wǎng)絡(luò)取證。

此外，用于網(wǎng)絡(luò)電子證據(jù)取證及證據(jù)分析的技術(shù)還有日志分析技術(shù)、惡意代碼技術(shù)［7］、數(shù)據(jù)監(jiān)控技術(shù)、掃描技術(shù)等，這些技術(shù)對于網(wǎng)絡(luò)取證及證據(jù)分析也有很重要的作用。

五、反取證技術(shù)

在網(wǎng)絡(luò)取證技術(shù)蓬勃發(fā)展的同時，反取證技術(shù)也在快速發(fā)展。所謂網(wǎng)絡(luò)反取證技術(shù)，就是通過數(shù)據(jù)隱藏、數(shù)據(jù)刪除、數(shù)據(jù)加密等計算機技術(shù)刪除、隱藏、加密涉案電子證據(jù)，抹除作案痕跡［8］137－143。網(wǎng)絡(luò)反取證的目的在于對抗網(wǎng)絡(luò)取證，以使不法行為逃避法律的制裁。

1.數(shù)據(jù)隱藏

數(shù)據(jù)隱藏是指嫌疑人把暫時不需要刪除的文件進行偽裝并存儲在不容易被取證人員察覺的位置或磁盤的隱藏空間中，逃避取證人員的調(diào)查。數(shù)據(jù)隱藏僅適用于短期的數(shù)據(jù)保存。數(shù)據(jù)隱藏主要包括:文件的隱藏、磁盤的隱藏、“我的電腦”的隱藏、“回收站”的隱藏等。

文件的隱藏可以通過更改后綴名或?qū)⑵鋵傩愿臑椤半[藏”屬性的方法實現(xiàn)，磁盤的隱藏、“我的電腦”的隱藏、“回收站”的隱藏等可以通過修改注冊表中相關(guān)對象的屬性值來實現(xiàn)。

2.數(shù)據(jù)刪除

數(shù)據(jù)隱藏只有在取證人員不知道到哪里尋找證據(jù)時才有效，而數(shù)據(jù)刪除則清除所有的證據(jù)。數(shù)據(jù)刪除是目前最有效的反取證方法，它是指清除所有可能的證據(jù)索引節(jié)點、目錄文件和數(shù)據(jù)塊中的原始數(shù)據(jù)。倘若原始數(shù)據(jù)不存在了，取證自然就無法進行。

文件刪除的主要原理是采用多次覆蓋的方法來達到完全刪除重要文件的目的，即在目標(biāo)文件所在的硬盤扇區(qū)上反復(fù)多次寫入無用的數(shù)據(jù)，并進行多次地覆蓋，從而達到使得調(diào)查取證人員無法獲取有用信息。比較常見的徹底刪除軟件有CleanDiskSecurity、File Pulverizer(文件粉碎機)、Privacy Expert、Necrofile、Klismafile、 Deganussers等等。使用這些軟件對文件進行刪除之后，文件將不能再被恢復(fù)。

對于一般的文件記錄或歷史信息的刪除方法可以采用手動刪除法，也可以采用一些軟件工具進行刪除。常見的軟件工具有Yahoo助手、卡卡上網(wǎng)安全助手、360safe，Windows全能優(yōu)化王、Windows優(yōu)化大師等。

3.數(shù)據(jù)加密

數(shù)據(jù)加密技術(shù)原本是為保護數(shù)據(jù)安全，防止信息泄密而研發(fā)。數(shù)據(jù)加密技術(shù)廣泛應(yīng)用于商業(yè)、軍事、信息、安全等領(lǐng)域，由于加密后的數(shù)據(jù)往往很難被破解，所以加密技術(shù)也常常被嫌疑人用于逃避網(wǎng)絡(luò)取證。反取證中涉及的數(shù)據(jù)加密技術(shù)可分為文件的加密、應(yīng)用程序 (軟件)的加密和磁盤加密三類。

對于文件加密的常用方法一方面可以采用某些文件 (如Office、WPS、壓縮文件等)本身所具有的加密功能進行加密，如Office中的“工具/選項/安全性”可以對本文件進行加密處理;另一方面也可以對文件采用軟件加密法，軟件加密操作簡單而且加密后一般不易破解。常見的優(yōu)化大師、文件加鎖王、加密金剛鎖、Steganos Security Suit等都具有加密的功能。以上兩種加密方法可以結(jié)合使用，從而給文件加上雙層密碼，這樣一來破解密碼的難度增加，一般的解密軟件很難將此加密文件解密。

六、小結(jié)

雖然反取證技術(shù)的應(yīng)用會對取證造成很大的威脅，并可能造成嚴重的后果。但取證技術(shù)和反取證技術(shù)的發(fā)展是相輔相成的，反取證技術(shù)是取證技術(shù)的練兵場，為取證技術(shù)提供了發(fā)展方向。只有清楚地掌握反取證技術(shù)的特點及可能造成的后果，才能更加有效地促進取證技術(shù)的發(fā)展，取證技術(shù)人員才能開發(fā)出更加完備、高效地取證工具和技術(shù)，并找出入侵者利用反取證技術(shù)破壞的犯罪證據(jù)，最終將其繩之以法。

［1］李蘋，陳立毅．刑事電子證據(jù)的收集與運用問題研究［J］．貴州警官職業(yè)學(xué)院學(xué)報，2009，(4):54－60．

［2］張俊，麥永浩，張?zhí)扉L．論黑客入侵的網(wǎng)絡(luò)取證［J］．警察技術(shù)，2006，(4):21－23．

［3］游君臣，彭尚源．基于數(shù)據(jù)恢復(fù)技術(shù)的計算機取證應(yīng)用 ［J］．甘肅科技，2005，(9):53－55．

［4］董曉梅，王大玲，于戈，等．電子證據(jù)的獲取及可靠性關(guān)鍵技術(shù)研究［J］．計算機科學(xué)，2004，(6):143－145．

［5］張基溫，魏士靖．關(guān)聯(lián)規(guī)則技術(shù)在計算機犯罪取證中的應(yīng)用 ［J］．微計算機應(yīng)用，2007，(7):776－779．

［6］蔣平，楊莉莉．電子證據(jù) ［M］．北京:清華大學(xué)出版社，2007．

［7］王曉平．惡意代碼的入侵檢測技術(shù)研究 ［J］．哈爾濱職業(yè)技術(shù)學(xué)院學(xué)報，2010，(3):124－125．

［8］殷聯(lián)甫．計算機取證技術(shù)［M］．北京:科學(xué)出版社，2008．