楊繼武

YANG Ji-wu

（河北旅游職業(yè)學(xué)院，承德 067000 )

0 引言

我國計(jì)算機(jī)取證，還存在一些問題，主要表現(xiàn)在以下六個(gè)方面：第一，隨著存儲設(shè)備制造技術(shù)的發(fā)展，各類存貯設(shè)備在日趨小型化的同時(shí)，其數(shù)據(jù)存儲量呈指數(shù)級增長，然而其價(jià)格卻在暴跌。第二，計(jì)算機(jī)硬件技術(shù)快速發(fā)展，導(dǎo)致最先進(jìn)的硬件設(shè)備使用時(shí)間較短，這使得計(jì)算機(jī)取證時(shí)需投入巨大的資金來更新硬件設(shè)備。第三，隨著網(wǎng)絡(luò)應(yīng)用的普及，人們的交流工具已經(jīng)變得多種多樣，例如電話、視頻、電子郵件、可視電話等。這也就為犯罪分子提供了更多的犯罪交流方式。犯罪分子通過這些方式進(jìn)行犯罪雖然可以留下對破案有利的信息，但是這些信息由于其保存時(shí)限的因素，一般都會被網(wǎng)絡(luò)服務(wù)供應(yīng)商覆蓋掉，從而很難發(fā)現(xiàn)這些犯罪證據(jù)。第四，隨著信息技術(shù)的不斷發(fā)展，出現(xiàn)了很多反計(jì)算機(jī)取證的軟件。這些軟件是很容易購買到的，甚至不需花錢就可以從網(wǎng)上下載下來，使得犯罪分子更加的放肆，他們可以通過這些軟件對數(shù)據(jù)進(jìn)行加密、刪除和偽裝等，甚至還有些懂一些計(jì)算機(jī)技術(shù)的犯罪分子在計(jì)算機(jī)系統(tǒng)中設(shè)置“陷阱”，就是非本人操作計(jì)算機(jī)，系統(tǒng)就會自動(dòng)銷毀證據(jù)，很明顯這為犯罪分子提供了方便，而給刑事取證工作帶來了很大的阻礙。第五，目前分析電子證據(jù)主要還是靠人工來進(jìn)行，因此，計(jì)算機(jī)取證需要很長的周期，導(dǎo)致很多計(jì)算機(jī)和存貯設(shè)備停下來等待分析和取證，因此，分析、提取線索和證據(jù)的速度和效率受到了很大的影響。第六，對于計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)和電子證據(jù)的收集和提取方法，目前還有很多偵查人員還不太熟悉，而對于現(xiàn)場勘查等偵查工作，電子證據(jù)檢驗(yàn)人員基本上也都不熟悉，導(dǎo)致很多有價(jià)值的線索被忽略甚至被毀壞掉，阻礙了案件偵破工作。為了更好的打擊計(jì)算機(jī)犯罪，計(jì)算機(jī)取證技術(shù)發(fā)揮了巨大的作用。計(jì)算機(jī)取證是使用軟件和工具對計(jì)算機(jī)系統(tǒng)進(jìn)行全面的檢查，從而對有關(guān)計(jì)算機(jī)犯罪的證據(jù)進(jìn)行提取和保護(hù)。目前，我國很多部門都對計(jì)算機(jī)取證技術(shù)進(jìn)行研究并取得一定的成果。

1 我國計(jì)算機(jī)取證技術(shù)研究現(xiàn)狀

計(jì)算機(jī)取證是使用軟件和工具對計(jì)算機(jī)系統(tǒng)進(jìn)行全面的檢查，從而對有關(guān)計(jì)算機(jī)犯罪的證據(jù)進(jìn)行提取和保護(hù)。通常情況下，所說的計(jì)算機(jī)取證也包括計(jì)算機(jī)外設(shè)以及嵌入式系統(tǒng)中的取證。由于這兩種方法取證的原理基本相同，因此，對其不進(jìn)行區(qū)分，都統(tǒng)稱為計(jì)算機(jī)取證。計(jì)算機(jī)取證主要分為物理證據(jù)獲取和信息發(fā)現(xiàn)兩個(gè)階段。物理獲取就是指相關(guān)人員到現(xiàn)場去尋找；信息發(fā)現(xiàn)就是指從原始信息中尋找可以用來證明的電子證據(jù)。我國的一些高校和研究機(jī)構(gòu)紛紛開始研究計(jì)算機(jī)取證，其中取證機(jī)的研發(fā)主要由中科院來進(jìn)行，并且，吉林大學(xué)在網(wǎng)絡(luò)逆向追蹤、復(fù)旦大學(xué)和浙江大學(xué)在取證技術(shù)、北京航空航天大學(xué)在入侵誘騙模型、電子科技大學(xué)在網(wǎng)絡(luò)欺騙等方面開展研究工作。

2 計(jì)算機(jī)取證流程

計(jì)算機(jī)取證流程如圖1所示。首先，取證準(zhǔn)備。此過程要客觀分析取證環(huán)境和條件；其次，現(xiàn)場勘查及證據(jù)固定。必須對證據(jù)獲取的合法性進(jìn)行確保；再次，數(shù)據(jù)分析及證據(jù)提取。需要分析獲取的數(shù)據(jù)，并且把與案件相關(guān)且能夠證明犯罪事實(shí)的數(shù)據(jù)找出來，也就是說使數(shù)據(jù)與案件的關(guān)聯(lián)性得以保證。最后，證據(jù)的呈遞。鑒定所獲取的電子證據(jù)，從而使得證據(jù)對犯罪定性的有效得以保證。在計(jì)算機(jī)取證流程中，證據(jù)固定和數(shù)據(jù)分析過程是最為關(guān)鍵的也是技術(shù)含量最高的兩個(gè)環(huán)節(jié)。

圖1 計(jì)算機(jī)取證流程圖

2.1 計(jì)算機(jī)取證的證據(jù)固定

證據(jù)固定必須在嚴(yán)格的操作規(guī)范中進(jìn)行，其工具的獲取必須使用專業(yè)的數(shù)據(jù)來進(jìn)行，精確復(fù)制存儲介質(zhì)中的每一個(gè)字節(jié)，其保存主要用單獨(dú)文件或連續(xù)文件片段來進(jìn)行。另外，證據(jù)文件的格式必須與法庭接受的標(biāo)準(zhǔn)相符。目前，Linux DD鏡像格式和Expert Witness證據(jù)文件格式這兩種格式是國際法庭普遍承認(rèn)的證據(jù)文件格式。

2.2 計(jì)算機(jī)取證的數(shù)據(jù)分析

電子取證要求輔助的設(shè)備必須保證安全可靠，并且要求取證和分析數(shù)據(jù)的信息網(wǎng)絡(luò)系統(tǒng)，原始數(shù)據(jù)從設(shè)備和信息網(wǎng)絡(luò)系統(tǒng)中獲取，盡可能使獲取來的信息不被干擾，在分析原始數(shù)據(jù)之前，要對原始數(shù)據(jù)進(jìn)行數(shù)字簽名。取證人員尋找犯罪證據(jù)的關(guān)鍵：1）要確保找到的犯罪證據(jù)是原始的，沒有被篡改過的；2）所找到的這些數(shù)據(jù)必須從取證軟件中能夠找到；3）取證人員要了解這些文件，并能夠斷定這些文件與犯罪是相關(guān)的。

3 計(jì)算機(jī)取證技術(shù)研究

3.1 分布式自治型計(jì)算機(jī)取證系統(tǒng)

基于網(wǎng)絡(luò)的計(jì)算機(jī)取證研究對電子證據(jù)的提取和保護(hù)主要采用實(shí)時(shí)的動(dòng)態(tài)方式來進(jìn)行，保證能在網(wǎng)絡(luò)攻擊行為發(fā)生時(shí)自動(dòng)地對攻擊證據(jù)進(jìn)行收集并對攻擊行為做出反應(yīng)。目前，集中式處理和管理的證據(jù)收集方式是當(dāng)前的取證系統(tǒng)在證據(jù)收集平臺上應(yīng)用較多的一種方式，此系統(tǒng)遵循自頂向下的控制流程，具有較復(fù)雜的層次結(jié)構(gòu)。此設(shè)計(jì)的缺點(diǎn)主要在于單點(diǎn)失效、負(fù)載不均衡、容易產(chǎn)生性能瓶頸、網(wǎng)絡(luò)帶寬不足等問題，例如一旦黑客對取證系統(tǒng)進(jìn)行攻擊，將會使系統(tǒng)無法正常提供服務(wù)，將無法收集大量的后期攻擊行為。為了克服上述這些缺點(diǎn)，一種分布式自治型的證據(jù)收集平臺誕生了，此系統(tǒng)主要采用三層的分布式體系結(jié)構(gòu)，如圖2所示。各個(gè)取證子節(jié)點(diǎn)都能夠?qū)崿F(xiàn)獨(dú)立完成證據(jù)的收集。

圖2 分布式取證系統(tǒng)整體拓?fù)浣Y(jié)構(gòu)

圖3為自治取證節(jié)點(diǎn)模塊及流程圖。網(wǎng)絡(luò)數(shù)據(jù)的檢測由證據(jù)檢測模塊來進(jìn)行，如果發(fā)現(xiàn)有異常行為，就把證據(jù)提取模塊激活；經(jīng)過證據(jù)提取模塊進(jìn)行分析的初步檢測結(jié)果，提取證據(jù)依據(jù)給定的規(guī)則來進(jìn)行；本地保存模塊所生成的證據(jù)，為以后的分析和查詢提供依據(jù)；證據(jù)傳輸模塊的任務(wù)就是安全地將證據(jù)記錄提交給證據(jù)服務(wù)器。

圖3 自治取證節(jié)點(diǎn)模塊及流程

3.2 基于數(shù)字圖像邊緣特性濾波的取證技術(shù)

數(shù)字圖像取證很顯然是針對圖像的篡改而進(jìn)行的。進(jìn)行圖像取證的前提就是要清楚地了解常用的圖像篡改手段，數(shù)字圖像取證研究的重點(diǎn)就是對圖像合成和潤飾的檢測。

3.2.1 同態(tài)濾波放大人工模糊邊界

將頻率過濾和灰度變換采用同態(tài)濾波的方法結(jié)合起來，在頻域中同時(shí)壓縮圖像亮度范圍和增強(qiáng)圖像對比度，從而使得能夠同時(shí)實(shí)現(xiàn)壓縮整幅圖像的灰度動(dòng)態(tài)范圍以及讓模糊的拼接邊緣灰度級擴(kuò)展，從而使得人工模糊操作中的模糊邊界和邊界內(nèi)外像素的區(qū)別得以放大，使取證的準(zhǔn)確性進(jìn)一步提高。圖像經(jīng)過同態(tài)濾波后，使得圖像經(jīng)過人工模糊處理后的拼接邊緣放大了，此時(shí)就可以對閾值進(jìn)行設(shè)定，采用腐蝕運(yùn)算，把圖像自然邊緣排除掉，對圖像拼接偽造的區(qū)域進(jìn)行提取定位。

3.2.2 形態(tài)學(xué)濾波的模糊操作檢測

處理邊緣二值圖像采用形態(tài)學(xué)濾波，此時(shí)構(gòu)造合適的結(jié)構(gòu)元素是非常重要的。提取有效邊界信息的關(guān)鍵在于結(jié)構(gòu)元素的形狀、大小的選擇。大的結(jié)構(gòu)元素可以把大噪聲顆粒去掉，但是同時(shí)也會把部分細(xì)節(jié)的拼接邊緣腐蝕掉，這樣很容易造成漏判；小的結(jié)構(gòu)元素不能把層次鮮明的部分正常邊緣腐蝕掉，這樣很容易造成誤判；結(jié)構(gòu)元素的大小應(yīng)該選擇三像素的方形結(jié)構(gòu)。對圖像中模糊操作進(jìn)行檢測過程如下：1）合適的同態(tài)濾波函數(shù)的設(shè)計(jì)，對預(yù)取證圖像的邊緣進(jìn)行邊緣灰度級擴(kuò)展處理。2）把經(jīng)同態(tài)濾波后圖像的二值邊緣圖像信息提取出來。3）選擇合適的結(jié)構(gòu)元素腐蝕運(yùn)算二值邊緣圖像信息，把未經(jīng)增強(qiáng)的圖像正常邊緣腐蝕收縮掉，把經(jīng)過增強(qiáng)處理的圖像模糊拼接邊緣提取出來，從而使得圖像的偽造區(qū)域得以定位。

3.3 基于Agent的自適應(yīng)動(dòng)態(tài)取證系統(tǒng)

通過對網(wǎng)絡(luò)數(shù)據(jù)流的捕捉和分析，實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)的運(yùn)行狀態(tài)，這就是所謂的自適應(yīng)網(wǎng)絡(luò)取證。Agent是一種自治的軟體實(shí)體，在需要時(shí)能夠主動(dòng)或被動(dòng)地從一個(gè)網(wǎng)絡(luò)結(jié)點(diǎn)遷移到另一個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)，在任意點(diǎn)都能夠中斷執(zhí)行?；谝苿?dòng)Agent的自適應(yīng)動(dòng)態(tài)取證系統(tǒng)（MADFS）被提出了，在被檢測取證的異構(gòu)環(huán)境網(wǎng)段中，將取證技術(shù)與網(wǎng)絡(luò)安全系統(tǒng)和網(wǎng)絡(luò)體系結(jié)構(gòu)結(jié)合起來，運(yùn)用的Agent是分布于網(wǎng)絡(luò)各節(jié)點(diǎn)之間的，自適應(yīng)實(shí)時(shí)識別、獲取和分析所有可能的非法和可疑網(wǎng)絡(luò)時(shí)間信息，對犯罪入侵者身份以及攻擊者動(dòng)機(jī)進(jìn)行智能分析，在確保網(wǎng)絡(luò)系統(tǒng)安全的情況下，獲取大量的證據(jù)。隨著網(wǎng)絡(luò)物理部件的改變以及時(shí)間變化，自適應(yīng)動(dòng)態(tài)取證相應(yīng)系統(tǒng)也要隨之發(fā)生變化，除此之外，更重要的是要根據(jù)犯罪分子犯罪手段的改變而改變。

3.4 基于入侵容忍的蜜罐網(wǎng)絡(luò)取證系統(tǒng)

目前，很多計(jì)算機(jī)取證專家都已經(jīng)開始對蜜罐與蜜網(wǎng)技術(shù)進(jìn)行研究分析，只要安全的布置蜜網(wǎng)，就可以把大量的攻擊行為正確地收集到。針對蜜罐和蜜網(wǎng)的研究，一種主動(dòng)蜜罐系統(tǒng)的結(jié)構(gòu)設(shè)計(jì)被提出來。能夠自動(dòng)生成滿足入侵者攻擊目的的自適應(yīng)對象就是“主動(dòng)”的具體表現(xiàn)；通過分析最初對入侵者行為的捕獲數(shù)據(jù)，系統(tǒng)生成了一個(gè)和攻擊目的匹配的對象，從而獲得的入侵者信息比較深入。如圖4所示，蜜罐服務(wù)器并非是一個(gè)真實(shí)的蜜罐。只是一個(gè)虛擬的。每個(gè)虛擬的蜜罐只要配有合法的外部IP地址，就可以看作是一臺獨(dú)立的機(jī)器，從而可以對多種不同的操作系統(tǒng)進(jìn)行模仿。把從蜜罐中收集的日志數(shù)據(jù)存儲起來，實(shí)現(xiàn)日志與蜜罐的分離，這就是日志數(shù)據(jù)庫的作用。如果蜜罐被攻擊，這樣的話，日志文件會被破壞的可能性就會為零。用于分析日志數(shù)據(jù)庫信息，將信息歸類，若為已知攻擊行為則直接按照一定的數(shù)據(jù)定義規(guī)則存入電子證據(jù)庫；否則，將其反饋到管理服務(wù)器中，從而產(chǎn)生自適應(yīng)對象的依據(jù)。生產(chǎn)滿足入侵者攻擊需求的目標(biāo)這就是所謂的自適應(yīng)對象，其也就是說生成虛擬蜜罐。管理服務(wù)其對入侵者的初步目的的判斷是通過反饋回來的數(shù)據(jù)信息來進(jìn)行的，從而將虛擬蜜罐配置在蜜罐服務(wù)器中。主動(dòng)蜜罐系統(tǒng)其實(shí)就是對傳統(tǒng)蜜罐系統(tǒng)的改進(jìn)，基于入侵誘騙技術(shù)的思想，將傳統(tǒng)蜜罐中的缺點(diǎn)克服掉。主動(dòng)蜜罐可以根據(jù)入侵者的攻擊目的提供相應(yīng)的欺騙服務(wù)，拖延入侵者在蜜罐中的時(shí)間，從而可以獲得更多有關(guān)入侵者行為和所使用攻擊工具的信息，并且根據(jù)所獲得的信息，對入侵者采取動(dòng)態(tài)的防范措施，有效地提高了系統(tǒng)的安全性。

圖4 主動(dòng)蜜罐網(wǎng)絡(luò)取證系統(tǒng)總體設(shè)計(jì)

計(jì)算機(jī)取證技術(shù)是獲取電子證據(jù)的主要手段，其是一門專業(yè)性較強(qiáng)的學(xué)科。隨著計(jì)算機(jī)取證技術(shù)的發(fā)展，我國的計(jì)算機(jī)取證技術(shù)將逐步向相關(guān)技術(shù)領(lǐng)域發(fā)展，動(dòng)態(tài)和靜態(tài)取證方式結(jié)合已經(jīng)成功地成為計(jì)算機(jī)取證技術(shù)發(fā)展的方向，如可以通過加強(qiáng)動(dòng)態(tài)取證技術(shù)的研究來識別獲取電子證據(jù)，將計(jì)算機(jī)取證結(jié)合到入侵檢測、防火墻、網(wǎng)絡(luò)偵聽等網(wǎng)絡(luò)安全產(chǎn)品中進(jìn)行動(dòng)態(tài)取證技術(shù)研究；對于系統(tǒng)日志可采用第三方日志或?qū)θ罩具M(jìn)行加密技術(shù)研究；對于電子證據(jù)的分析，是從海量數(shù)據(jù)中獲取與計(jì)算機(jī)犯罪有關(guān)證據(jù)，需進(jìn)行相關(guān)性分析技術(shù)研究，需要高效率的搜索算法、完整性檢測算法優(yōu)化、數(shù)據(jù)挖掘算法以及優(yōu)化等方面的研究。我國在計(jì)算機(jī)取證技術(shù)上提升空間還是很大的，因此，相關(guān)機(jī)構(gòu)和人員需要繼續(xù)對其進(jìn)行研究。

4 結(jié)束語

本文對“分布式自治型計(jì)算機(jī)取證系統(tǒng)”、“基于數(shù)字圖像邊緣特性濾波的取證技術(shù)”、“基于Agent的自適應(yīng)動(dòng)態(tài)取證系統(tǒng)”和“基于入侵容忍的蜜罐網(wǎng)絡(luò)取證系統(tǒng)”這四種計(jì)算機(jī)取證技術(shù)進(jìn)行了分析，雖然這些技術(shù)在計(jì)算機(jī)取證工作中取得了較好的成績，但是隨著網(wǎng)絡(luò)的不斷發(fā)展，其也需要不斷地進(jìn)行更新或升級。完善計(jì)算機(jī)取證技術(shù)是加強(qiáng)計(jì)算機(jī)取證工作的一項(xiàng)主要內(nèi)容。要想提高計(jì)算機(jī)取證工作的質(zhì)量，還需要加強(qiáng)有關(guān)人員的合作與培訓(xùn)，計(jì)算機(jī)取證是一門綜合性學(xué)科，目前計(jì)算機(jī)取證工作雖然具有很多高科技的技術(shù)，但是都是需要人來進(jìn)行操作，因此，加強(qiáng)相關(guān)人員的合作和培訓(xùn)也是必不可少的一項(xiàng)內(nèi)容。

[1]吳姚睿.基于主動(dòng)獲取的計(jì)算機(jī)取證方法及實(shí)現(xiàn)技術(shù)研究[D].吉林大學(xué),2009.

[2]陳龍,王國胤.計(jì)算機(jī)取證技術(shù)綜述[J].重慶郵電學(xué)院學(xué)報(bào)(自然科學(xué)版),2005,(06).

[3]王玲,錢華林.計(jì)算機(jī)取證技術(shù)及其發(fā)展趨勢[J].軟件學(xué)報(bào),2003,(09).

[4]孫波.計(jì)算機(jī)取證方法關(guān)鍵問題研究[D].中國科學(xué)院研究生院(軟件研究所), 2004.

[5]張有東.網(wǎng)絡(luò)取證技術(shù)研究[D].南京航空航天大學(xué),2007.

[6]于淼,孫睿.計(jì)算機(jī)取證綜述[J].北京聯(lián)合大學(xué)學(xué)報(bào)(自然科學(xué)版), 2007,(02).

[7]鐘秀玉.計(jì)算機(jī)取證問題分析與對策[J].電腦開發(fā)與應(yīng)用,2005,(03).

[8]王永全.通信網(wǎng)絡(luò)中犯罪行為的取證技術(shù)[J].電信科學(xué),2006,(06).