滑斌+薛棟

摘要：隨著大數(shù)據(jù)技術(shù)、物聯(lián)網(wǎng)技術(shù)的高速發(fā)展，越來越多的計(jì)算機(jī)聯(lián)成網(wǎng)絡(luò)，提供信息共享服務(wù)。同時(shí)，自“比特幣勒索病毒”以來網(wǎng)絡(luò)攻擊越來越多，，計(jì)算機(jī)取證（Computer Forensic）也備受重視，該文分析了計(jì)算機(jī)取證過程，提出了未來計(jì)算機(jī)取證的發(fā)展趨勢(shì)。

關(guān)鍵詞：計(jì)算機(jī)取證技術(shù)；數(shù)字證據(jù)；計(jì)算機(jī)犯罪行為

1概述

伴隨信息網(wǎng)絡(luò)技術(shù)的飛速發(fā)展和廣泛應(yīng)用，計(jì)算機(jī)系統(tǒng)及網(wǎng)絡(luò)安全問題給人類社會(huì)帶來前所未有的挑戰(zhàn)，計(jì)算機(jī)網(wǎng)絡(luò)犯罪案件層出不窮。主要原因一是IT行業(yè)人員的技術(shù)水平不斷提高，使犯罪行為隱蔽，造成了更加取證困難；二是各種黑客軟件的存在與使用，增加了非法運(yùn)用的幾率，從而使得犯罪的門檻變低。鑒于目前日益增長(zhǎng)的信息安全問題嚴(yán)重地阻礙著網(wǎng)絡(luò)技術(shù)的進(jìn)一步發(fā)展。因此，打擊計(jì)算機(jī)犯罪就變的非常重要。由于信息安全對(duì)于經(jīng)濟(jì)發(fā)展和社會(huì)穩(wěn)定具有重大意義，計(jì)算機(jī)安全領(lǐng)域的一個(gè)全新及技術(shù)——計(jì)算機(jī)取證技術(shù)應(yīng)運(yùn)而生，作為其中的一個(gè)重要手段也將成為研究熱點(diǎn)。

2計(jì)算機(jī)取證概述

2.1定義

計(jì)算機(jī)取證是指運(yùn)用計(jì)算機(jī)辨析技術(shù)，對(duì)計(jì)算機(jī)犯罪行為進(jìn)行分析以確認(rèn)罪犯及計(jì)算機(jī)證據(jù)，并據(jù)此提起訴訟。計(jì)算機(jī)取證是指對(duì)能夠?yàn)榉伤邮艿摹⒆銐蚩煽亢陀姓f服性的，存在于數(shù)字犯罪場(chǎng)景（計(jì)算機(jī)和相關(guān)外設(shè)）中的數(shù)字證據(jù)的確認(rèn)、保護(hù)、提取和歸檔的過程。

不論是傳統(tǒng)的物證取證，還是現(xiàn)在的計(jì)算機(jī)取證，雖然方法不同，但目的是一樣的，都是發(fā)現(xiàn)證據(jù)去證明什么時(shí)間在什么地點(diǎn)發(fā)生了什么，以及誰做的、是如何做的等問題。

2.2數(shù)字證據(jù)的特點(diǎn)

什么是數(shù)字證書？數(shù)字證據(jù)是以數(shù)字形式保存或傳輸?shù)娜魏涡畔⒒蛐ｒ?yàn)值。

與傳統(tǒng)證據(jù)相比，數(shù)字證據(jù)還具有如下的特點(diǎn)：

1）廣泛性。利用網(wǎng)絡(luò)從事犯罪活動(dòng)，其犯罪證據(jù)可以存在于不同的地區(qū)、國(guó)家。

2）隱蔽性。數(shù)字?jǐn)?shù)據(jù)不是肉眼直接可見的，必須借助適當(dāng)工具。

3）脆弱性。在搜索數(shù)字證據(jù)的過程中，可能會(huì)對(duì)原始數(shù)據(jù)造成修改或者丟失。

4）多樣性。表現(xiàn)在數(shù)字證據(jù)存儲(chǔ)的多樣性、表現(xiàn)形式的多樣性。

5）高科技技術(shù)。隨著IT技術(shù)的豐富發(fā)展，犯罪黑客攻擊使用的科技手段也愈來愈多，面對(duì)如此嚴(yán)峻的形勢(shì)，數(shù)字證據(jù)的取證技術(shù)也不斷地更新、變化，才能滿足日益變化的計(jì)算機(jī)技術(shù)。

3計(jì)算機(jī)取證過程

由于數(shù)字證據(jù)的脆弱性，使得數(shù)字證據(jù)的真實(shí)性和安全性存在疑問。因此在整個(gè)取證調(diào)查中，必須遵循一定的操作規(guī)程和技術(shù)，以確保所提出來的證據(jù)是經(jīng)過正確分析的，并保證原始證據(jù)自始至終沒有被篡改過。計(jì)算機(jī)取證過程如圖1所示。

計(jì)算機(jī)取證可以分為以下九個(gè)階段：

1）檢測(cè)和判定

這個(gè)階段主要發(fā)生在網(wǎng)絡(luò)攻擊事件中。在網(wǎng)絡(luò)中通過IDS與網(wǎng)絡(luò)誘騙技術(shù)（如Honeypot，Honeynet，Vitual Honeynet）相結(jié)合，對(duì)網(wǎng)絡(luò)中的一些行為進(jìn)行實(shí)時(shí)監(jiān)控，一旦發(fā)現(xiàn)存在可疑的攻擊行為，立即對(duì)其進(jìn)行鑒別、確定；一旦確定是非法攻擊后，實(shí)時(shí)獲取數(shù)據(jù)并進(jìn)行分析，然后實(shí)施相應(yīng)的措施。在確保系統(tǒng)安全的前提下盡可能多的收集證據(jù)。

2）獲得法律授權(quán)

這個(gè)階段雖然不涉及技術(shù)問題，但是非常重要。由于從計(jì)算機(jī)中獲取的證據(jù)將用于法律，調(diào)查取證過程必須獲得法律授權(quán)，整個(gè)調(diào)查的每個(gè)過程必須有法律的監(jiān)督。在取證中應(yīng)用的技術(shù)方案及使用的軟件都應(yīng)該是得到法律認(rèn)可的，否則，收集到的證據(jù)可能是被法庭確認(rèn)為無效數(shù)據(jù)。例如2012年，由于北大方正在沒有獲得法律授權(quán)的情況下，采用“陷阱取證”方式搜集某公司計(jì)算機(jī)軟件著作權(quán)的證據(jù)被法庭認(rèn)為無效。

3）查封和保護(hù)

計(jì)算機(jī)取證要確定計(jì)算機(jī)是否含有數(shù)字證據(jù)，必須對(duì)其進(jìn)行保護(hù)，避免重新啟動(dòng)或運(yùn)行應(yīng)用程序。如果計(jì)算機(jī)處于開機(jī)狀態(tài)，記錄系統(tǒng)日期和時(shí)間，以確定系統(tǒng)時(shí)間和標(biāo)準(zhǔn)時(shí)間的間隔，為將來建立時(shí)間線提供依據(jù)；判斷有無可疑外設(shè)、有無遠(yuǎn)程控制、特洛伊木馬程序等。一些潛在的證據(jù)可能存在不起眼文的件里面，重啟或運(yùn)行系統(tǒng)就可能會(huì)發(fā)生重寫、覆蓋、刪除證據(jù)的危險(xiǎn)。同時(shí)，要保護(hù)目標(biāo)計(jì)算機(jī)系統(tǒng)，從簡(jiǎn)單的操作，如：開機(jī)、關(guān)機(jī)等操作，減少一些運(yùn)行進(jìn)程的數(shù)據(jù)丟失刪除程序發(fā)生的幾率。在關(guān)鍵時(shí)刻，要立刻關(guān)閉電腦，關(guān)閉電源。但是，在大型企業(yè)、政府事業(yè)單位的系統(tǒng)中不建議采用。

目標(biāo)計(jì)算機(jī)系統(tǒng)應(yīng)該保存到一個(gè)限制進(jìn)人的安全地方，避免發(fā)生任何的改變、傷害、數(shù)據(jù)破壞、病毒感染，并注意遠(yuǎn)離磁場(chǎng)，因?yàn)閺?qiáng)磁場(chǎng)可能導(dǎo)致磁盤中的數(shù)據(jù)丟失。為了為案件還原提供可靠真實(shí)的依據(jù)，我們需要繪制或拍攝現(xiàn)場(chǎng)圖、計(jì)算機(jī)線路結(jié)構(gòu)、網(wǎng)路拓?fù)鋱D等，也必須對(duì)現(xiàn)場(chǎng)的計(jì)算機(jī)作案工具進(jìn)行標(biāo)號(hào)，以免還原錯(cuò)亂。

犯罪現(xiàn)場(chǎng)還可能存在于計(jì)算機(jī)犯罪相關(guān)的實(shí)物，如偽造、篡改的各種票證、文書，撕毀或燒毀的計(jì)算機(jī)打印結(jié)果，記錄的殘片、計(jì)算機(jī)磁盤等，對(duì)這些實(shí)物證據(jù)也應(yīng)妥善封存。

4）數(shù)據(jù)備份

為避免原始數(shù)據(jù)被破壞，取證時(shí)不用原始介質(zhì)，而是采用原始介質(zhì)進(jìn)的鏡像、字節(jié)流備份等方法。使用Linux或UNIX系統(tǒng)的DD命令，DOS的DiskCopy，眾多的專用工具如NTI的Safe-Back，Norton的Ghost，Guidance Software公司的Encase進(jìn)行磁盤備份，這些備份工具甚至可拷貝壞扇區(qū)和CRC校驗(yàn)錯(cuò)誤的數(shù)據(jù)。做數(shù)據(jù)備份時(shí)，保證存儲(chǔ)設(shè)備上所有數(shù)據(jù)是未被修改的、準(zhǔn)確復(fù)制的至關(guān)重要。

5）收集數(shù)據(jù)

數(shù)字證據(jù)的來源主要有：系統(tǒng)、網(wǎng)絡(luò)，以及其他數(shù)字設(shè)備。從系統(tǒng)中提取的證據(jù)主要包括：現(xiàn)存正常文件；隱藏文件、受密碼保護(hù)的文件和加密文件；系統(tǒng)日志文件；聊天室日志；E-mail；備份介質(zhì)等。

來自網(wǎng)絡(luò)的證據(jù)易于查找，容易獲取、內(nèi)容龐雜，形式多樣、易于改變，捕捉需及時(shí)、同時(shí)，真實(shí)性往往有待考證。收集網(wǎng)絡(luò)證據(jù)的方法主要包括現(xiàn)場(chǎng)勘驗(yàn)、搜查與扣押、實(shí)時(shí)收集，要求有關(guān)單位或個(gè)人提供電子信息保全等。網(wǎng)絡(luò)證據(jù)通常存在單機(jī)現(xiàn)場(chǎng)和網(wǎng)絡(luò)現(xiàn)場(chǎng)。endprint

其他數(shù)字設(shè)備方面的證據(jù)有：數(shù)字相機(jī)、手機(jī)、蜂窩電話、PDA（Personal Digital Assistant）等無線設(shè)備的存儲(chǔ)卡中、掌上電腦中和其他外設(shè)中保留著最后一次與桌面系統(tǒng)同步的日志文件，以及從桌面系統(tǒng)下載的文件。

6）分析證據(jù)

計(jì)算機(jī)操作系統(tǒng)、應(yīng)用程序、數(shù)據(jù)格式、數(shù)據(jù)類型的多樣化使得證據(jù)的分析變得十分復(fù)雜。在已經(jīng)獲取的數(shù)據(jù)流或信息流中尋找、匹配關(guān)鍵詞或關(guān)鍵短語(yǔ)是目前的主要數(shù)據(jù)分析技術(shù)，具體包括：文件屬性分析技術(shù)；文件數(shù)字摘要分析技術(shù)；日志分析技術(shù)；根據(jù)已經(jīng)獲得的文件或數(shù)據(jù)的用詞、語(yǔ)法和寫作（編程）風(fēng)格，推斷出其可能的作者的分析技術(shù)；發(fā)掘同一事件的不同證據(jù)間的聯(lián)系的分析技術(shù)等。

7）事件關(guān)聯(lián)與重現(xiàn)

根據(jù)在步驟（2）中記錄的系統(tǒng)時(shí)間和標(biāo)準(zhǔn)書劍的間隔，建立時(shí)間線，以確定事件之間的相關(guān)性。由于計(jì)算機(jī)系統(tǒng)的復(fù)雜性和犯罪過程的不可知，以及在計(jì)算機(jī)取證分析的過程中，很少有可能創(chuàng)建一個(gè)犯罪現(xiàn)場(chǎng)完全一樣的分析環(huán)境（包括計(jì)算機(jī)軟件、硬件及網(wǎng)絡(luò)環(huán)境），對(duì)于具有災(zāi)難性破壞的犯罪事件，事件重現(xiàn)的可能性更小，因而犯罪事件的重現(xiàn)成為計(jì)算機(jī)取證中最艱巨的任務(wù)之一。

8）提交結(jié)論

取證的數(shù)據(jù)要能夠法庭上提交可靠的數(shù)字證據(jù)，這一階段應(yīng)依據(jù)相關(guān)的政策法規(guī)采取行動(dòng)。向法庭提交取證結(jié)論，同時(shí)需要對(duì)整個(gè)調(diào)查取證中的各操作步驟進(jìn)行詳細(xì)的記錄以說明此次取證是可靠的，其中包括：取證現(xiàn)場(chǎng)的相關(guān)記錄、為隔離、保護(hù)計(jì)算機(jī)系統(tǒng)采取的措施、數(shù)字設(shè)備、分析結(jié)果、相關(guān)文件列表和數(shù)據(jù)、使用的軟件及其版本、取證的技術(shù)路線等。另外，還應(yīng)特別注意的是，在調(diào)查取證過程中要遵循兩人法則，以防止篡改信息，保證“證據(jù)連續(xù)性”（Chain 0fCustody）。

9）總結(jié)

對(duì)遭受攻擊的系統(tǒng)進(jìn)行恢復(fù)；提出防止類似案件發(fā)生的對(duì)策，提高安全措施；從技術(shù)上進(jìn)行總結(jié)，西區(qū)經(jīng)驗(yàn)。

4面臨問題

美國(guó)等計(jì)算機(jī)發(fā)達(dá)國(guó)家較早的涉及計(jì)算機(jī)取證技術(shù)，技術(shù)相對(duì)比較成熟。然而，在我國(guó)計(jì)算機(jī)取證發(fā)展滯后，僅有近十年左右的。目前，我國(guó)計(jì)算機(jī)取證理論研究剛剛起步，計(jì)算機(jī)取證缺乏大量的理論指導(dǎo)；同時(shí)，運(yùn)用于計(jì)算機(jī)取證的工具較少，如：檢測(cè)、分析等工具。隨著物聯(lián)網(wǎng)、大數(shù)據(jù)、云計(jì)算的等先進(jìn)技術(shù)的不斷發(fā)展，犯罪分子的供給手段和途徑也越來越先進(jìn)，如何有效地、快速地進(jìn)行計(jì)算機(jī)取證是我們面臨的重要問題，也是學(xué)術(shù)界研究的熱點(diǎn)。endprint