羅暉，佟暉

(1.北京市公安局網(wǎng)安總隊(duì)，北京100053；2.北京警察學(xué)院，北京102202)

大數(shù)據(jù)及云環(huán)境下計算機(jī)反取證技術(shù)研究＊

羅暉1，佟暉2＊＊

(1.北京市公安局網(wǎng)安總隊(duì)，北京100053；2.北京警察學(xué)院，北京102202)

本文針對大數(shù)據(jù)和云計算背景下的計算機(jī)反取證技術(shù)進(jìn)行研究，并對取證人員如何有效的破解犯罪分子的反取證技術(shù)進(jìn)行了闡述。文章首先分析了目前反取證技術(shù)發(fā)展趨勢、反取證技術(shù)對司法活動的影響、反取證技術(shù)研究對取證人員的積極意義，然后針對反取證技術(shù)中常見的數(shù)據(jù)清除、數(shù)據(jù)隱藏、數(shù)據(jù)加密、虛擬機(jī)、影子系統(tǒng)、去中心化、對抗取證分析、VPN等技術(shù)從技術(shù)層面進(jìn)行了分析。文章站在取證人員的角度，結(jié)合取證工作中的一些難點(diǎn)、熱點(diǎn)問題，對犯罪分子可能采取的反取證手段提出了破解之法。

反取證技術(shù)；計算機(jī)犯罪；黑客；

0 引言

隨著大數(shù)據(jù)和云計算時代的到來，越來越多的黑客在浩瀚的網(wǎng)絡(luò)海洋中隱藏自己，他們像幽靈一樣時隱時現(xiàn)，開展各種違法犯罪活動，他們使用計算機(jī)反取證技術(shù)隱匿自己的犯罪證據(jù)，躲避公安機(jī)關(guān)的偵查。隨著我國法制建設(shè)的深入，電子證據(jù)在司法活動中的作用越來越重要，一項(xiàng)電子證據(jù)經(jīng)常在一起司法活動中發(fā)揮關(guān)鍵的作用，黑客們采取一些反取證措施躲避打擊，或者減輕法院的判決，由于電子證據(jù)具有“易滅失”的特點(diǎn)，在實(shí)際辦案過程中經(jīng)常會發(fā)生證據(jù)不充分的情況，黑客的反取證手段也會發(fā)揮一定的作用，干擾辦案的正常進(jìn)行。目前，取證和反取證的博弈正在持續(xù)，計算機(jī)取證人員必須了解和掌握反取證技術(shù)，才能有效打擊網(wǎng)絡(luò)黑客的囂張氣焰，提高取證工作的針對性和完整性。

1 意義

反取證技術(shù)的研究對電子數(shù)據(jù)取證人員具有非常重要的意義，一方面可以了解犯罪份子重要電子數(shù)據(jù)的去向，明確取證重點(diǎn)，另一方面可以提高取證的可靠性和全面性，還可以針對反取證技術(shù)來完善取證工具的功能，提高取證工具的實(shí)用性，加大對計算機(jī)犯罪人員的打擊力度。

2 反取證技術(shù)分析

當(dāng)前反取證技術(shù)主要包括數(shù)據(jù)深度清除、數(shù)據(jù)隱藏、數(shù)據(jù)加密、虛擬機(jī)技術(shù)、影子系統(tǒng)技術(shù)、去中心化技術(shù)、對抗取證分析技術(shù)、VPN技術(shù)等等[1]，下面分別加以介紹并簡單分析破解之法。

2.1 數(shù)據(jù)清除技術(shù)

數(shù)據(jù)清除技術(shù)是指將計算機(jī)內(nèi)文件刪除后，用一些隨機(jī)產(chǎn)生并且毫無意義的數(shù)據(jù)對文件磁盤區(qū)域進(jìn)行覆蓋，這樣避免取證人員可以利用恢復(fù)技術(shù)將文件恢復(fù)，達(dá)到數(shù)據(jù)擦除的目的。同時一些專門軟件可以對計算機(jī)文件尾部數(shù)據(jù)殘留區(qū)和硬盤未使用空間進(jìn)行隨機(jī)數(shù)據(jù)覆蓋，目的是徹底清除硬盤中以往操作殘留的數(shù)據(jù)，達(dá)到徹底清除、無法恢復(fù)的目的[2]。覆蓋的次數(shù)是可以選擇的，次數(shù)越多，殘留數(shù)據(jù)被恢復(fù)的可能性越小。就好像你在一張紙的格子里先寫了一個字，然后在這個格子里又寫了另一個字，雖然兩個字重疊，但有經(jīng)驗(yàn)的人還是能看出來，當(dāng)你在相同的格子里寫上第三、第四文字后，你第一個字被識別的可能性就越來越小。國際上已有出臺數(shù)據(jù)擦除標(biāo)準(zhǔn)，比如美國海軍工作人員辦公室出版的NAVSO P-5239-26擦除標(biāo)準(zhǔn)次數(shù)是3次，美國空軍系統(tǒng)安全指令5020擦除標(biāo)準(zhǔn)次數(shù)是4次，目前在一款名為“無影無蹤”的計算機(jī)數(shù)據(jù)清除軟件中可以采用“彼得加特曼”覆蓋方法，可以對硬盤覆蓋35次，從而保證數(shù)據(jù)消除的徹底性。在不了解硬盤實(shí)際編碼方式的情況下，覆寫次數(shù)是確定硬盤數(shù)據(jù)擦除是否徹底的重要衡量指標(biāo)。PGP等加密軟件也集成了數(shù)據(jù)覆蓋刪除和文件殘留區(qū)、磁盤未使用空間覆蓋功能，如果犯罪分子使用這些軟件數(shù)據(jù)清除功能會給計算機(jī)取證人員帶來干擾。2015年初，某市公安部門辦理了一起“某公司云平臺被攻擊案”，該云平臺內(nèi)100余臺服務(wù)器被植入木馬，被黑客控制，淪陷為對外進(jìn)行DDOS攻擊的工具，在對黑客進(jìn)行抓捕過程中，發(fā)現(xiàn)該黑客使用數(shù)據(jù)清除技術(shù)對服務(wù)器內(nèi)木馬等涉案程序進(jìn)行數(shù)據(jù)清除，銷毀作案痕跡，以此躲避偵查。2015年中旬，某市公安局破獲了“某大學(xué)城網(wǎng)站被攻擊案”，該大學(xué)城網(wǎng)站在短時間內(nèi)被人上傳1000余萬條小廣告貼文，造成了服務(wù)器癱瘓和惡劣的社會影響，三名黑客破解了大學(xué)城網(wǎng)站高級登錄權(quán)限后，利用“發(fā)帖器”批量登錄賬號并發(fā)布廣告，在對黑客進(jìn)行抓捕時發(fā)現(xiàn)，黑客使用了數(shù)據(jù)清除技術(shù)將該團(tuán)伙網(wǎng)絡(luò)聊天記錄、發(fā)帖器軟件等關(guān)鍵證據(jù)進(jìn)行了數(shù)據(jù)清除，以此來躲避偵查。

數(shù)據(jù)清除技術(shù)雖然給案件偵破帶來了困難，但是這種技術(shù)也存在漏洞。目前有“磁道強(qiáng)弱判斷法”和“磁道邊緣探測法”兩種方法理論可以讀取硬盤上被覆蓋的原始數(shù)據(jù)。第一種理論認(rèn)為，當(dāng)硬盤磁頭在硬盤上寫入數(shù)據(jù)時，它使用的信號強(qiáng)度只是用來寫入一位數(shù)據(jù)，這個寫入信號并不是很強(qiáng)，因此，你可以通過它寫入的數(shù)據(jù)位的信號強(qiáng)度來判斷此前該數(shù)據(jù)位所保存的是何種數(shù)據(jù)。比如，如果數(shù)據(jù)0被數(shù)據(jù)1所覆蓋，其信號強(qiáng)度會比數(shù)據(jù)1被數(shù)據(jù)1覆蓋要弱一些。使用專門的硬件就可以檢測出準(zhǔn)確的信號強(qiáng)度，通過數(shù)據(jù)信號強(qiáng)度來判斷原始數(shù)據(jù)；第二種方法理論認(rèn)為，硬盤磁頭向磁盤內(nèi)寫數(shù)據(jù)時，每次進(jìn)行寫操作的位置并不一定對得十分精確。這就能讓專家們在磁道的邊緣偵測到原有的數(shù)據(jù)。但是目前互聯(lián)網(wǎng)上并不能找到如此專業(yè)的“數(shù)據(jù)清除技術(shù)”破解軟件。在實(shí)際運(yùn)用中，由于數(shù)據(jù)清除軟件可靠性和磁盤應(yīng)用復(fù)雜性的特點(diǎn)，經(jīng)常會導(dǎo)致使用這種軟件覆蓋不徹底的情況，所以取證人員仍然可以利用各種數(shù)據(jù)取證軟件進(jìn)行嘗試性的數(shù)據(jù)恢復(fù)，仍然可以發(fā)現(xiàn)一些蛛絲馬跡；筆者曾多次進(jìn)行過實(shí)驗(yàn)，用某種軟件將U盤插拔記錄清除后，使用PGP和無影無蹤軟件對文件殘留區(qū)、磁盤未使用空間進(jìn)行多次覆蓋，從實(shí)驗(yàn)的結(jié)果看，被清除U盤記錄有時可以徹底清除無法恢復(fù)，但有時經(jīng)多次覆蓋后仍然可以通過數(shù)據(jù)恢復(fù)技術(shù)恢復(fù)出來，其結(jié)果具有不確定性。另外，數(shù)據(jù)清除軟件在進(jìn)行文件尾部數(shù)據(jù)殘留區(qū)清除時會掃描所有文件，這樣會大大加長數(shù)據(jù)清除的時間，如果對一塊硬盤進(jìn)行多次的覆蓋可能會用幾天的時間，犯罪分子不可能經(jīng)常實(shí)施對整塊硬盤的多次覆蓋，這就給取證人員提供了數(shù)據(jù)恢復(fù)機(jī)會；同時，一般的犯罪人員的重要數(shù)據(jù)不會輕易的刪除，經(jīng)常會在硬盤不同位置或者U盤中進(jìn)行備份，這也給取證提供了新的重點(diǎn)方向。

2.2 數(shù)據(jù)隱藏技術(shù)

數(shù)據(jù)隱藏技術(shù)是指把一些重要的文件偽裝成其他的類型，或者直接隱藏磁盤的未分配空間中或者其他文件中。改變文件的擴(kuò)展名是一種最簡單的方法，可以逃過經(jīng)驗(yàn)不足的取證人員的檢查。數(shù)字隱寫是數(shù)據(jù)隱藏技術(shù)的重要分支，是將秘密數(shù)據(jù)隱藏于公開的數(shù)字媒體之中?，F(xiàn)有的隱寫軟件主要以GIF、JPEG、BMP等圖像文件為載體，比如DStego、Steganography等。Steganography軟件是將信息隱藏于GIF文件的文件結(jié)束符0x003B之后，隱寫后的圖片改變是肉眼無法區(qū)分的，這些軟件簡單易用，只需幾個簡單步驟便可實(shí)現(xiàn)數(shù)據(jù)隱藏功能，非專業(yè)人員可以非常容易的操作[3]。

圖1 Steganography軟件操作界面

有些專門的反取證軟件會把數(shù)據(jù)存儲在磁盤中，然后把數(shù)據(jù)的位置標(biāo)記成磁盤壞塊，操作系統(tǒng)會讓其他程序在訪問磁盤時跳過這些壞塊，從而保證的這些數(shù)據(jù)不被任何程序所訪問，實(shí)現(xiàn)了對數(shù)據(jù)的隱藏[4]。取證人員只要了解數(shù)據(jù)隱藏技術(shù)并且有足夠的經(jīng)驗(yàn)，通?？梢园l(fā)現(xiàn)隱藏數(shù)據(jù)的線索。通對于改變擴(kuò)展名的隱藏方式，取證人員可以使用專業(yè)工具通過掃描文件特征的方式區(qū)分出來；其他的隱藏方式通常要借助專用的工具，如果發(fā)現(xiàn)犯罪分子計算機(jī)中存在數(shù)據(jù)隱藏功能的軟件，就可以針對該軟件的功能和特點(diǎn)有針對性的進(jìn)行數(shù)據(jù)的查找。

2.3 數(shù)據(jù)加密技術(shù)

數(shù)據(jù)加密技術(shù)一般分兩類，一類是本地數(shù)據(jù)加密，另一類是網(wǎng)絡(luò)通訊數(shù)據(jù)加密。本地加密是將明文變成密文，目前很多軟件都提供加密功能，最常見的如WinRAR、Office軟件等，常見的加密容器軟件如PGP、TrueCrypt等。比如常見的PGP軟件是全世界最流行的加密軟件。它的源代碼是公開的，經(jīng)受住了成千上萬頂尖黑客的破解挑戰(zhàn)，事實(shí)證明PGP加密是安全的，PGP技術(shù)是美國禁止出口的技術(shù)，如果數(shù)據(jù)密碼的復(fù)雜性足夠的話，采用暴力破解的方法會有很大難度，沒有密碼，軟件開發(fā)者本人也無法解密[5]。TrueCrypt是一款免費(fèi)開源的加密軟件，支持多種加密算法，比如AES-256，Blowfish(448-bit key)等，它可以在硬盤上建立虛擬磁盤，用戶可以按照盤符進(jìn)行訪問，打開盤符時需要密碼。更為重要的是TrueCrypt支持隱藏加密卷功能，該功能是指在一個加密卷里面再創(chuàng)建一個加密卷，使用外層卷的剩余空間來存儲內(nèi)層卷的數(shù)據(jù)，外層的那個加密卷是“明”的，內(nèi)層的是“案”的。當(dāng)你要打開加密卷的時候，如果輸入的是外層的口令，那就打開外層的卷；反之，輸入內(nèi)層的口令，則打開內(nèi)層的卷，這時候看不到外層的數(shù)據(jù)。狡猾的犯罪人員會把最敏感、最重要的數(shù)據(jù)放在隱藏卷，把相對不太重要的數(shù)據(jù)放在外層卷。如果公安機(jī)關(guān)發(fā)現(xiàn)了加密卷，犯罪分子如果裝出一副很無奈的樣子，很不情愿地把外層卷的口令告訴警方。這時候，外層卷雖然暴露了，但是內(nèi)層的隱藏卷并沒有暴露，警方無法判斷是否存在內(nèi)層加密卷，這給辦案帶來了非常大的難度。但是加密的數(shù)據(jù)也給辦案人員提供了重點(diǎn)的目標(biāo)，因?yàn)榧用軘?shù)據(jù)通常是跟案件相關(guān)的，也是對犯罪分子來說最重要的數(shù)據(jù)，發(fā)現(xiàn)了被加密的數(shù)據(jù)也就確定了重點(diǎn)突破的目標(biāo)。

網(wǎng)絡(luò)通訊加密通常用于網(wǎng)絡(luò)賭博、網(wǎng)絡(luò)傳銷、網(wǎng)絡(luò)傳播淫穢信息、黑客攻擊類案件中，比如目前一些分布式拒絕服務(wù)攻擊(DDOS)軟件的控制端與被控制的肉雞之間的通訊數(shù)據(jù)是加密的，從而躲過了網(wǎng)絡(luò)的監(jiān)控。境外的賭博網(wǎng)站也是通過HTTPS加密協(xié)議使境內(nèi)參與賭博人員無法被發(fā)現(xiàn)，這些加密的通訊給發(fā)現(xiàn)犯罪帶來了難度，但是這種方式也是有明顯的弱點(diǎn)，這個弱點(diǎn)就是本地計算機(jī)，數(shù)據(jù)在本地并沒有被加密，取證人員可以針對本地計算機(jī)開展大量的工作。

2.4 虛擬機(jī)技術(shù)

虛擬機(jī)技術(shù)指通過軟件模擬具有完整硬件系統(tǒng)功能的、運(yùn)行在一個現(xiàn)有操作系統(tǒng)之中的、可以完全模擬另外一臺計算機(jī)的、具有真實(shí)windows系統(tǒng)完全一樣的功能的計算機(jī)系統(tǒng)的技術(shù)。進(jìn)入虛擬機(jī)系統(tǒng)后，所有操作都是在這個虛擬系統(tǒng)里面進(jìn)行，擁有自己的獨(dú)立桌面，可以獨(dú)立安裝運(yùn)行各種程序，不會對真正的系統(tǒng)產(chǎn)生任何影響，程序的各種日志、系統(tǒng)的操作記錄都會保存在虛擬機(jī)中，虛擬機(jī)具有非常方便的系統(tǒng)鏡像和還原功能，能夠非?？旖莸膭h除虛擬機(jī)的各種操作記錄，犯罪份子經(jīng)常會利用虛擬機(jī)的這個功能來隱藏自己的犯罪行為。目前常用的虛擬機(jī)軟件主要是VMware。目前大多數(shù)黑客類網(wǎng)絡(luò)犯罪都會涉及到虛擬機(jī)技術(shù)，比如在前期某市公安機(jī)關(guān)辦理的“某檢查院網(wǎng)站被篡改案”中，兩名黑客就入侵了大量的政府網(wǎng)站，修改網(wǎng)頁源代碼，添加黑鏈代碼，對這些網(wǎng)站的主頁進(jìn)行修改，并采用虛擬機(jī)技術(shù)來躲避公安機(jī)關(guān)的偵查。

取證人員遇到虛擬機(jī)通常要到虛擬機(jī)內(nèi)部或使用專業(yè)工具開展檢查，以發(fā)現(xiàn)相關(guān)操作記錄，同時虛擬機(jī)通常與本地計算機(jī)使用相同的網(wǎng)絡(luò)，這也給虛擬機(jī)使用者的定位提供了方便。

2.5 影子系統(tǒng)技術(shù)

影子系統(tǒng)技術(shù)是使用軟件來隔離Windows操作系統(tǒng)，并創(chuàng)建一個虛擬化影像系統(tǒng)。在影子系統(tǒng)中，對計算機(jī)的所有操作都是虛擬的，所有的操作記錄、上網(wǎng)記錄、存儲的數(shù)據(jù)、產(chǎn)生垃圾文件等，只需重啟計算機(jī)，一切又恢復(fù)到初始狀態(tài)。影子系統(tǒng)的工作原理，就是把需要保護(hù)的硬盤通過只讀技術(shù)保護(hù)起來，對內(nèi)容的編輯操作都是只做標(biāo)記，在空白的硬盤區(qū)進(jìn)行記錄，并沒有真正改變數(shù)據(jù)。當(dāng)計算機(jī)重啟時，放棄所有新編輯的內(nèi)容。目前常見的是硬件還原卡技術(shù)和軟件ShadowDefender技術(shù)。影子系統(tǒng)通常是被用來在網(wǎng)吧管理、學(xué)校機(jī)房、防病毒等領(lǐng)域，但是有些犯罪份子也將其用于犯罪和反取證。影子系統(tǒng)在從新啟動之后雖然刪除了之前標(biāo)記的數(shù)據(jù)和內(nèi)容，但是由于之前操作的標(biāo)記會存儲在臨時硬盤的特定區(qū)域中，取證人員使用數(shù)據(jù)恢復(fù)技術(shù)仍然可以恢復(fù)部分有價值的內(nèi)容[6]。

2.6 其它反取證技術(shù)

目前還有一些其他的反取證技術(shù)在發(fā)展當(dāng)中，比如通訊軟件去中心化技術(shù)，這種P2P的技術(shù)使得通訊軟件中的人與人的交流內(nèi)容不再通過第三方，可以躲過各種監(jiān)管，使得通訊的內(nèi)容更具有私密性，更難被發(fā)現(xiàn)；再比如對抗取證分析技術(shù)，該技術(shù)可以在計算機(jī)內(nèi)安裝特定程序，該程序可以檢測是否有人在進(jìn)行取證分析，如果發(fā)現(xiàn)則銷毀證據(jù)、自動退出，或殺掉取證分析進(jìn)程；還有VPN代理技術(shù)，可以有效的隱藏犯罪分子的真實(shí)IP地址，給案件的偵破帶來極大的挑戰(zhàn)，在2013年某市公安部門辦理的一起電信詐騙案件中，共抓獲了30余名犯罪分子，在這些人中有90%是使用代理服務(wù)器作案的，由此可見，取證和反取證的較量還在繼續(xù)進(jìn)行著，并有愈演愈烈的趨勢。

3 結(jié)語

目前，越來越多的為個人穩(wěn)私所采取的保護(hù)措施，比如之前提到的數(shù)據(jù)加密等技術(shù)已經(jīng)被應(yīng)用于計算反取證，犯罪分子使用這些反取證技術(shù)確實(shí)給正常的司法活動造成了干擾，但是世間萬物矛盾相克，任何技術(shù)都有漏洞或破解之法，取證與反取證的對抗和博弈將越來越激烈。只有對反取證技術(shù)研究深入了，才能促進(jìn)取證技術(shù)的發(fā)展，計算機(jī)取證人員要能加強(qiáng)學(xué)習(xí)，了解最新的各種取證和反取證技術(shù)，才能對計算機(jī)取證工作游刃有余。

[1]王彩玲，陳賀明.淺析計算機(jī)犯罪取證與反取證[J].吉林公安高等?？茖W(xué)校學(xué)報:2007，22(2):13-15.

[2]秦玉海，麥永浩主編.電子數(shù)據(jù)檢驗(yàn)技術(shù)與應(yīng)用[J].北京:中國人民公安大學(xué)出版社，2015:59-64.

[3]李佟鴻，王宇，劉志軍.計算機(jī)系統(tǒng)信息隱藏反取證技術(shù)[J].計算機(jī)系統(tǒng)應(yīng)用:2013，22(5):1-4.

[4]楊義先，鈕心忻.多媒體信息偽裝[J].通信學(xué)報:2002，23(5):32-38.

[5]Anti-forensics[EB/OL].http://www.aversion.net/presentations/HTCIA-02/anti-forensics.ppt.2004.

[6]Forensics and Anti-forensics Computing[EB/OL].http://www.fukt.bth.se/～uncle/papers/foren-sic200212.pdf.2005.

Computer Anti－Forensics Technology in Big Data and Cloud Environment

LUO Hui1，TONG Hui2
(1.Network Security Department of Beijing Municipal Public Security Bureau，Beijing 100053，China；2.Beijing Police Academy，Beijing 102202，China)

This paper briefly tells of the computer anti-forensics technology under the background of big data and cloud computing，and describes how to effectively break with the anti-forensics technology of the criminal elements.Firstly，the development trend，the influence and the positive significance of anti-forensic technology，and analyzed，and the aspects，including:data removal，data hiding，data encryption，virtual machine，shadow subsystem，de-centering，anti-forensic analysis and VPN also technically discussed.The authors finally point out some difficulties and hot spots in the evidence collection，and put forward the methods to break with the anti-forensics means maybe taken by the criminals.

anti-forensic technology； computer crime； hacker

TP309 [文獻(xiàn)標(biāo)志碼]A [文章編號]1009-8054(2016)04-0099-03

2016-01-25

教育部規(guī)劃基金項(xiàng)目“公安高等院校學(xué)校特色研究”(No.5YZA880092)

羅暉(1977—)，男，碩士，主要研究方向?yàn)橛嬎銠C(jī)取證和網(wǎng)絡(luò)安全；

佟暉(1969—)，女，碩士，教授，主要研究方向?yàn)橛嬎銠C(jī)取證和網(wǎng)絡(luò)安全。