电子证据取证技术的研究

电子证据取证技术的研究 发表时间：2010-10-31 16:31:00 阅读次数:502 所属分类：法学研究电子证据取证技术的研究杨永川 1 李岩 2(1中国人民公安大学，北京 100038；2宝鸡市公安局，陕西宝鸡 721001)摘要电子证据即为电子数据证据，通常指在计算机或计算机系统运行过程中产生的以其记录内容来证明案件事实的电磁记录物。电子证据取证包括证据获取、证据分析和证据报告三个过程。同时，电子证据作为诉讼证据必须具备客观性、关联性、合法性的特征。“-3 前，以数字化形式出现的电子证据对传统的证据形式提出了挑战。关键词电子证据；取证技术；分析探讨中图分类号 D918430 引言信息社会使我们融入了数字世界，信息网络改变了人们的工作、生活模式。这种信息载体的革命性变革也引发了诸多法律问题，与计算机相关的诉讼不断出现，一种新的证据形式电子证据成为人们研究与关注的焦点。1 电子证据的概念和性质电子证据即为电子数据证据，也被称作计算机证据、数据证据、网上证据等。电子证据一般理解为电子数据形成的证据，通常是指在计算机或计算机系统运行过程中产生的以其记录的内容来证明案件事实的电磁记录物。它是现代信息社会产生的新的证据种类。电子证据的承载介质是包括硬盘、软盘、光盘等在内的计算机软、硬件，毫无疑问它具有一般证据所具有的客观存在性，既是可信的、准确的、完整的、符合法律法规的，同时它又具有自身的特殊性。掌握了电子证据独特的性质，有助于我们在公共信息网络安全监察工作中解决和排除涉及电子证据的收集、审查、质证、采信等方面的困难和障碍。电子证据的产生、储存和传输，都必须借助于计算机技术、存储技术、网络技术等，离开了高科技含量的技术设备，电子证据就无法保存和传输，所以电子证据的形成具有高科技性；电子证据实质上是一堆按编码规则处理成的“0”和“1”的二进制信息，是通过看不见摸不着的计算机语言记载的，其数据是以磁性介质保存，它又具有无形性；电子数据以“比特”的形式存在，是非连续的，改动、伪造不易留下痕迹，数据或信息被人为地篡改后，如果没有可对照的副本、映像文件则难以查清、难以判断，电子证据还表现为易改动性；人为的恶意删除、误操作、电脑病毒、电脑故障等等原因，均有可能造成电子证据的消失，电子证据又呈现易消失性；电子证据综合了符号、编码、文本、图形、图像、动画、音频及视频等多种媒体信息，其外在表现形式具有多样性；此外，电子证据还具直观性强、收集迅速、易于保存、传送方便、占用空间少、复制后可反复重现、便于操作等特性。电子证据的上述性质，决定了其取证过程有别于许多传统的取证方法，它对司法和计算机科学领域都提出了新的研究课题。作为计算机领域和法学领域的一门交叉科学，电子证据取证正逐渐成为人们研究与关注的焦点。通过多年的工作实践，我们认识到电子证据取证应遵循及时性、合法性、全面性、专业人士取证、潜在证人协助、利用专门技术工具等原则，要考虑电子证据的生成、电子证据的传送与接收、电子证据的存储、电子证据的收集这四个方面的因素，才能保证电子证据的真实性、合法性。例如，通过 IP 地址取证，就必须掌握 IP 地址的特点。Internet 依靠 TCPIP 协议，在全球范围内实现不同硬件结构、不同操作系统、不同网络系统的互联。在 Internet 上，每一个节点都依靠为惟一的 IP 地址互相区分和相互联系。IP 地址分为静态地址和动态地址。对开放了诸如 www、FTP、E mail 等服务的主机，通常使用静态地址，以方便用户访问。静态 IP 可以通过网络运营商直接查找其物理地址及使用者。有些用户由于其上网时间和空间的离散性，为其分配一个固定的 IP 地址 (静态 IP)将造成 IP 地址资源的浪费，因此对如拨号上网用户、ADSL 用户等，只分配动态 IP 地址。这些用户通常会在每次拨通 ISP(即网络服务提供商)的主机后，自动获得一个动态的 IP 地址，该地址不是任意的，而是该 ISP 申请的网络 ID 和主机 ID 的合法区间中的某个地址。这些用户任意两次连接时的口地址很可能不同，但在每次连接时问内 IP地址不变。对动态 IP 地址取证，可通过网络运营商的认证系统，找到与之捆绑的帐户，从而确定上网者。我们也可以通过公安机关公共网络监察部门查找。依照国家有关法律法规，为保护计算机信息的安全，网络运营商、Intemet 服务机构，其 IP 地址等信息必须在公安机关公共信息网络监察部门备案。2 电子证据的形成在工作中，我们通常采用国际上通用的程序对有关电子证据提取、固定，然后再将电子证据转化为具有法律效力的证据。对一个电子证据的取证一般包括三个过程：证据获取、证据分析和证据报告。必须用正确的方法进行这些步骤，证据才会被法庭采信。21 证据获取证据获取涉及从涉案计算机的软盘、USB 存储器、硬盘等存储媒介，将数据传输到用作检查的计算机上。要获取目标系统中的所有文件，包括现有的正常文件、已经被删除但仍存在于磁盘上(即还没有被新文件覆盖)的文件、隐藏文件、受到密码保护的文件和加密文件等，尽可能全部恢复发现的删除文件，并保证原有媒介没有遭到改动，以及复制数据和原有数据的一致性。通常采用 Hash 算法对原始文件进行运算，得到一个固定长度的数字串，称为报文摘要(Message Digest)，Hash 算法是一个不可逆的单向函数。采用安全性高的 Hash算法，如 MD5、SHA 时，两个不同的文件几乎不可能得到相同的 Hash 结果。文件一旦被修改，就可检测出来，保证了电子证据获取的完整性和惟一性。在计算机信息系统中，“Delete”这个词并不意味着消灭。一般地删除文件操作，即使在清空了回收站后，要不是将硬盘低级格式化或将硬盘空间装满，仍可能将“删除” 的文件恢复过来。当一个文件被删除时，计算机把这个文件占有的空间配置给新的数据。所谓“Delete”是指从目录列表和文件配置桌面上移走，但在被新的数据改写或是被实用软件“擦” 去之前，这些文件的全部内容依然保留在硬盘里。在 Windows 操作系统下的 windows swap (page)file(一般用户不曾意识到它的存在)，大概有 20200M 的容量，记录着字符处理、Email 消息、Internet 浏览行为、数据库事务处理以及几乎其他任何有关 windows 会话工作的信息。另外，在 Windows 下还存在着file slack，记录着大量 Email 碎片(Fragments)、字符处理碎片、目录树镜像(snapshot)以及其他潜在的工作会话碎片。以上这些都可以利用计算机取证软件来收集，作为潜在的证据。获取包括残留数据在内的所有数据的方法，是从本地电脑的硬盘上拷贝数据时制作镜像拷贝。22 证据分析证据分析是对获取的证据进行数据分析。分析计算机的类型、采用的操作系统，是否为多操作系统或有隐藏的分区；有元可疑外设；有无远程控制、木马程序及当前计算机系统的网络环境。注意开机、关机过程，尽可能避免正在运行的进程数据丢失或存在不可逆转的删除程序。分析在磁盘的特殊区域中发现的所有相关数据。利用磁盘存储空闲空间的数据分析技术进行数据恢复，获取文件被增、删、改、复制前的痕迹。将收集的程序、数据和备份与当前运行的程序数据进行对比，从中发现篡改痕迹。还要注意分析计算机所有者、电子签名、密码、交易记录、回复信箱、邮件发送服务器的日志、上网 IP 等计算机特有信息识别体。对系统日志的分析是获得证据的一个重要途径。日志是使系统顺利运行的重要保障，它会告诉我们系统发生了什么和没有发生什么。UNIX 采用了 syslog 工具来实现此功能，所有在主机上发生的事情都会被记录下来。syslog 已被许多日志系统采纳，它用在许多保护措施中任何程序都可以通过syslog 记录事件。 syslog 可以记录系统事件，可以写到一个文件或设备中，或给用户发送一个信息。它能记录本地事件或通过网络纪录另一个主机上的事件。syslog 依据两个重要的文件：sbinsyslogd(守护进程)和 etesyslogconf 配置文件，习惯上，多数 syslog 信息被写到varadm 或varlog 目录下的信息文件中(messages)。一个典型的syslog 纪录包括生成程序的名字和一个文本信息。它还包括一个设备和一个行为级别(但不在 13 志中出现)。我们常用的 Windows 2000 系统，其日志文件有应用程序日志(AppEventEVT)、安全日志(SeeEventEVT)、系统日志(SysEventEVT)、FTP 日志(msftpsvcl)、WWW 日志(w3svel)等。当我们使用探测工具，比如用流光的 IPC 探测时，会与目标主机建立一个空的连接(无需用户名与密码)，而利用这个空的连接，可以得到目标主机上的用户列表。但同时它也就会在安全日志里迅速地记下探测时所用的用户名、时间等。同样，用 FrP 探测后，也会立刻在 FrP 日志中记下 IP、时间、探测所用的用户名和密码等。只要记下 IP 后很容易地找到探测者。Scheduler 日志 (sehedlgutxt) 也是个重要的日志文件，我们经常使用的 srvexe 就是通过这个服务来启动的，其记录着所有由 Scheduler 服务启动的所有行为，如服务的启动和停止。对计算机取证的分析过程中主要采用的技术包括对比分析与关键字查询，文件特征分析技术，残留数据分析技术，磁盘储存空闲空间的数据分析技术，磁盘后备文件、镜像文件、交换文件、临时文件分析技术，记录文件的分析技术等几类。EnCase 软件在运行时能建立一个独立的硬盘镜像，而它的FastBloc 工具则能从物理层阻止操作系统向硬盘上写数据。因为这个工具能非常仔细对系统进行分析，也可直接在Windows 环境下，利用第三方数据分析软件进行分析。2004年 9 月陕西省宝鸡市公安局网监处，在查处黄色淫秽网站“乖乖娱乐网”时，就是利用 EnCase、finaldata 等软件，从涉案的服务器恢复了被删除的数据，并对数据进行分析，最后通过证据的环环相扣，相互印证，破获了此案。用证据分析能够发现反映案件客观事实的数据，发现各种异常现象或者推断作案人使用的作案工具、作案手法，从而发现作案人是在何时、采取何种手段、从哪些方面对系统进行了哪些侵害，从中选取有价值的侦查线索。电子信箱是网络世界人们交流的重要工具。电子邮件也可作为电子证据。在网上，电子信箱有收费与免费之分。收费信箱在 ISP 处均有收发件人的个人资料备案，其电子邮件的收发件人是很容易确认的。免费邮箱在电子信箱中所占的比重很大，出于各种原因申请表的信息大部分人都是随手填写。在这种情况下，我们只能根据电子邮件的属性，查找相关的背景资料。电子邮件等会自动保存发件人的发送时间、邮件地址及发送计算机的 IP 地址。这样可以确定是由哪一个 IP地址发送和接受的这个 IP 地址，可以查出是由哪一台计算机在特定的时间发送和接收的，可以查出电子邮件的发送及接收时间，可将使用计算机的人的范围排除到最小，然后结合别的证据予以最终的认定。23 证据报告证据报告是当证据准备好后，做一个列出获取证据、分析证据并说明与案件相关的理由的报告。它包括目标计算机系统的整体情况，发现的文件结构，数据及隐藏、删除、保护、加密情况，设备拓扑图、原始证据使用记录、固定证据清单、电子数据鉴定报告，在调查中发现的其他的相关信息情况，标明提取时间、地点、机器、提取人及见证人，并列出对目标计算机系统的全面分析和追踪结果，给出分析结论。必要时还需要电子数据鉴定机构出具的检验鉴定结论。最后以证据的形式按照合法的程序提交。3 电子证据的收集与保全计算机安全事件发生后对目标系统的分析是静态分析。随着计算机的广泛应用，这种静态的分析有时无法满足要求。发展趋势是将计算机取证与网络安全工具和网络体系结构技术相结合，进行动态取证。整个取证过程将更加系统并具有智能性，也将更加灵活多样。网上信息是动态数据，我们在电子证据的采集、审查、认定以及案件的侦破中一定要具备专门的训练和掌握专门技能。电子数据的保全是一种有效的取证方法，一些民事案件中，保全的电子数据作为对方有过错的证据曾被法庭采信。对网络上的信息进行证据保全，可以利用公证这项特殊的法律手段。公证人员接到申请后，与当事人一起网上查找，对操作电脑的步骤，包括电脑型号、打开电脑和进入网页的程序以及对电脑中出现的内容进行复制等等进行全程现场监督和记录。同时，对现场情况进行拍照。之后，公证人员依照真实合法的原则出具具有法律效力的保全证据公证书。在某些特定的计算机案件中，如网络遭受黑客攻击，应收集的证据包括：系统登录文件、应用登录文件、AAA 登录文件(比如 RADIUS 登录)、网络单元登录(Network Element logs)、防火墙登录、HIDS 事件、NIDS 事件、磁盘驱动器、文件备份、电话记录等等。收集证据时要注意：在移动或拆卸任何