计算机网络证据的取证研究VIP

计算机网络证据的取证研究【摘要】计算机网络的快速发展巨大地改变着人们的生活，但同时网络犯罪也呈现骤增的趋势，为了有效地打击犯罪，必须研究与网络犯罪相关的侦查技术，而计算机取证是其中最重要的环节之一。计算机取证的主要工具，主要技术和采用方法都有别与传统犯罪的取证，并随着科学技术和犯罪的发展而产生着相应的变化。【关键词】计算机网络；取证技术；取证方法On Discovery Techniques About Computer Network Forensic Technology【英文摘要】rapid development of computer network has changed peoples lives greatly，but computer crimes have shown an sharply upward trendFor fighting against crimes，we must do some research about the criminal investigation technology of computer network，and computer forensics technology is one of the important linksThe primary tools，technology and methods of computer forensics technology are all different from the traditional crime investigation and will change with the advancement of the technology and the variety of the crime【英文关键词】 computer network；forensic technology；discovery techniques电子计算机的发展历史只有几十年的时间，但在这么短的时间里，计算机给我们的生活带来了巨大的变化，特别是自从计算机互联网进入我国以来，十几年时间里计算机网络性能各项指标迅速提高，网络带宽当初只有几千个字节，目前达到了几百兆、几千兆；网络结构从当初单一网络，发展到如今的多网互联、多国家互联；网络应用当初只有简单的电子邮件应用，如今网上新闻、网上会议、电子商务、电子政务、网络游戏、网络聊天室、虚拟教室、虚拟演播室等网络应用基本覆盖了生活的方方面面。互联网已进入普通民众的生活，计算机网络改变并将进一步改变着我们的生活，人们也越来越离不开互联网。计算机互联网飞快发展的同时，网络犯罪也呈现骤增的趋势。为了有效地发现和打击网络犯罪，必须研究与网络犯罪相关的侦查技术。而计算机网络取证是网络犯罪侦查的重要环节之一。但计算机网络取证不同于传统的实物证据取证，首先，它是对虚拟空间内证据的取证：其次，计算机网络取证工具主要是计算机软硬件设备，其中软件是核心；再次，计算机网络取证方法也与传统取证存在较大的差异。所以对计算机取证的方法，尤其是最基本的三个问题即：计算机取证的常用工具有哪些、采用何种技术、有哪些取证的方法的研究至关重要。一、计算机网络证据取证概述1计算机网络证据的特点对计算机网络中的证据的概念定位有多种观点，有电子证据说，数字证据说，计算机证据说，声像资料说等，无论何种称呼，计算机网络证据与传统证据具有许多不同的特点，它具有科学性、隐蔽性、数字性、易破坏性等特点。计算机网络证据具有科学性的特点。计算机网络中的证据无论从产生、传输还是存储， 都必须借助于电子技术、计算机技术、存储技术、网络技术、通信技术等，离开了高科技含量的技术设备，证据便无法保存和传输。网络证据还体现在其数字性上，计算机网络中的证据都是由逻辑上表示为“1”和“0”的规则按照一定的规则排列组合而成的一串字符串。对字符串的理解必须借助特定高科技软件才能识别。计算网络证据具有隐蔽性的特点。1计算机网络证据在计算机网络中存在的范围更广，使得证据容易隐藏。另外，由于计算机证据在存储、处理的过程中，其信息的表示形式为二进制编码，无法直接阅读。由于计算机网络中信息均是以编码的形式存在，使得计算机证据的感受必须借助适当的工具，而且很多场合计算机中提取出的证据都是文件碎片，需要进行分析以后才能发现是否与案件事实是否关联。因此，计算机网络证据具有隐蔽性的特点。计算机网络证据具有易破坏性的特点。计算机网络证据具有数字性的特点，无论在传输、通信、转移、复制的过程中很容易破坏，正在运行的计算机系统当受到强的电磁干扰时，系统将出现混乱，数据将会破坏，因此计算机网络证据不同于传统的证据很容易破坏。2计算机网络证据取证人员的要求计算机网络证据取证人员是能够善于处理网络案件中数字化证据的合格人员。要求取证人员能够严格按照法律的要求，合法地熟练地发现、提取、固定、转移、分析、提交证据，这就需要他们掌握特定技术、方法、程序、思维。即具备一定的学科交叉知识。首先，要求取证人员具备一定的侦查技能。网络中数据量非常大，信息量非常丰富，在特定时间内很难通过人工的手段收集完备的证据，这需要取证人员善于发现网络现场中与案件相关的证据。计算机网络证据取证是在特定案件的背景下实施的，取证人员只有对案件性质有一定的了解，才能在犯罪现场中有目的地搜查相应的证据，并结合计算机检索技术发现相关的案件线索和证据。即计算机取证实际上还是要按照传统侦查的基本思维进行。其次，要求取证人员掌握过硬的计算机技术。目前，在网络案件中，对于经常发生的案件，可以通过对现有侦查人员的简单培训便可以满足需求。但是在很多复杂的案件中，一般侦查人员很难发现隐蔽的犯罪信息，另外，取证人员还需要具有较强的逻辑推理能力，因为在计算机中很难找到直接证明案件事实的直接证据，一般取得的都是间接证据，只有通过很多间接的证据组合，当这些证据组合在一起形成一个逻辑紧密联系在一起的证据链的时候，才能证明案件事实。因此在进行案件分析时，需要取证人员善于采用逻辑推理等思维方法，把表面上不相关的证据之间内部的关系建立起联系，从而发现案件事实、证实案件事实。最后，取证人员还需要具备一定的法律知识。取证活动像其它司法活动一样，都是法律活动的一个组成部分。取证工作只有按照法律的规定完成才是真正合法的。要进行计算机取证，必须掌握与案件相关的刑法、民法、诉讼法、法律、司法鉴定、犯罪学知识。因此计算机网络取证人员的知识结构需要综合性的、交叉性的，是计算机科学、法学、法庭科学的交叉学科知识结构。二、计算机网络证据取证的主要工具1硬件方面在硬件方面，计算机取证涉及三方面的常见工具。第一类硬件工具是获取证据实体材料相关的工具，这类工具最常见的有五金类工具、照明工具等，通过他们可以拆卸存储介质，如个人计算机中的硬盘；第二类硬件工具是提取数字证据的相关工具，这类工具主要是提取存储设备的数据并将其固定在取证设备中的工具，常见的有硬盘拷贝机，刻录机等：第三类是探测工具，这类工具主要是测试计算机网络中的线路等连接是否正常的工具。其中硬盘拷贝机是这些取证硬件中最重要的。通常情况下，硬盘复制机与其它软硬件集成在一起的，例如，Logicube 公司的 PFL，便携式取证工具箱，该工具箱内置的 Talon 司法专用硬盘复制机（实际拷贝速率高达 4GB/分钟，支持 256 位 SHA 校验），不但无缝集成到 PFL 中，同时也可以取出单独使用。内置高端笔记本电脑，预装 FTK 和 Encase 司法专用分析软件。工具箱内置IDE/SATA/SCSI68/80/50，各种存储介质（CF，MicroDrive，MemorySticks，SD，xD，MMC，TF）， U 盘，软盘，CD/DVD 等多种接口，可现场取证、分析各种介质。软件包含 FTK Asia，与 PFL 无缝集成，可实现通过软件对 Talon 的控制，完成各种存储介质的取证工作。同时也可与 FTK 与 Encase 软件集成。我国金诺网安介质取证系统 DiskForen，是一个旨在对存储介质中的残缺数据进行恢复，和勘察取证的系统，可实现对各种介质和文件系统进行数据固定保全、恢复和分析取证等功能。22软件方面除了硬件外，计算机取证还需要软件。软件通常又分为两大类：自制的软件工具以及专用的软件工具。在自制的软件工具类中，通常是将第三方提供的一些软件命令集成在一个光盘内或其它存储介质内，在取证时利用这些工具提取相关的信息。或者通过自己设计制作的软件作为取证工具。例如在易失性数据取证时，通常将一个正常系统中的cmdexe，systeminfoexe，ipconfigexe 或者第三方工具例如 NTI 公司系列的取证工具，sysinternalscom 的 pstools 工具等集成在一起，并通过专业人员按照规范的取证程序取证。专用的取证工具是指专业计算机公司使用的软件。常见专业软件有 UTK 软件、ENCASE软件、XForensix、SMART、Autopsy、TCT、NTI 公司系列取证套件等。其中UTK、ENCASE 软件工作在 windows 平台，XForensix、SMART、Autopsy、TCT 工作在linux 或 unix 平台。 NTI 公司产品均是由一些小的工具包软件组成，包括 filelist 工具、getslack 工具、Net Threat Analyzer 工具等。三、计算机取证的常见技术要有效打击犯罪必须使用与犯罪分子所用技术相当或更先进的技术，在计算机网络取证中，采用的技术涉及到计算机各种技术，根据当前取证实践，经常采用到的技术可归纳为以下几种：1、数据挖掘（Data Mining）技术3计算机与计算机网络中存储和传输着大量的数据，然而由于计算机系统受周边环境、系统的硬件设施、网络黑客等诸多影响，其数据往往具有不确定性，为了消除这种不确定性因素，在计算机中常采用校验4或者备份5的思想来保证计算机系统内数据确定。从犯罪规制的观点来看，备份有两大好处：第一，当计算机遭受攻击后，可以利用已经备份的数据，还原到以前工作的状态，这样可以减少损失。第二，当犯罪嫌疑人，实施犯罪并且毁坏了证据后，也可以在已经备份过中找到犯罪嫌疑人实施犯罪前的可疑行为，从而找到犯罪的蛛丝马迹。就备份技术来说，种类很多，从备份目标看，常采用的备份技术有，系统备份、网络备份、数据库备份、日志备份。从备份的介质看有：磁带备份、磁盘备份。系统备份主要是对计算机系统中所有数据进行备份，也就是对操作系统及其应用软件都进行备份。数据库备份就是对专门存储数据的软件数据库中的内容进行备份，通常银行、公司、企业使用的数据库有：DB26、ORACLE7、SQL SERVER8、INFOMIX 等。而日志备份通常是对系统备份或者数据库备份的一个补充，因为计算机内数据量非常大，不可能每时每刻都把系统的所有情况都记录下来，实际上可以只记录自从上次变化以来，系统发生的变化。这样记录的内容少多了。当系统发生灾难时，通过前一次的系统备份结果加上日志记录的变化内容就可以恢复到系统发生灾难前的状态。在犯罪调查时，也可以通过实验恢复到灾难发生前的状态，不仅可以评估系统发生的损失，也可以调查相关的线索。由于计算机备份技术无处不在，加上计算机网络中信息量十分丰富，特别是大型数据库被用于商业管理、政府办公、科学研究和工程开发等等。网络犯罪往往涉及的不是一台个人机器，可能是网络上几台，甚至几十、几百台相关的具有各种数据库信息的网络设备，关于网络犯罪中数字证据如何在这样浩瀚的信息海洋中正确完整提取与网络犯罪相关的数字证据，给我们提出了一个极大的挑战，利用数据挖掘技术，就是从大量的、不完全的、有噪声的、模糊的、随机的数据中，提取隐含在其中的、人们事先不知道的、但又是潜在与网络犯罪证据相关的信息的过程。2、数据恢复（Data Recovery）技术9由于网络犯罪群体往往都具有一定的计算机技术，在他们实施一次网络犯罪行为后，总是千方百计销毁或更改遗留在系统中的信息，这种毁灭证据的方式可能有两种，一种是悄悄地比较隐蔽的方式，删除相关的信息；另外是一种野蛮的方式，例如，格式化对应系统的硬盘，或者通过传播病毒的方式破坏硬盘的分区等等。在这种情况下，恢复原来系统的状态，特别是恢复原来系统的数据，确保取得相关的数字证据是非常必要的。数据恢复技术正是把病毒破坏、分区表损坏、磁道损坏、硬盘逻辑锁、FAT 表损坏、误删除、误格式化、无法启动、系统密码遗忘而无法正确进入系统并取得数字证据的状态恢复过来。3、数据重构（Data Reconstruction）技术数据重构技术是也跟数据恢复技术类似，它是把恶意或损害的数据恢复到其原始的状态。但是重构技术与恢复技术不同的是，它使用逻辑推理，把残缺不全的各种数据证据进行对比分析，从而在理论上模拟原始状态的技术。例如，通过文件碎片信息、缓存信息推断系统历史状态、历史数据等过程。4、数据分析（Data Analyzing）技术通过对数字证据的处理、排序、分组、转换等各种数字处理技巧把数字证据的各种不同的格式转化为一个比较直观的、或结论性的能满足侦查需要的一种数据。常见的数据分析工具有 FTK、ENCASE 等。5、数据完整性（Data Integrity）保障数据完整性，是指确保提取的数据的正确性、可用性、不可否认性的状态。数字证据具有数字性特征，记录在存储介质上的数据本身也易受周围的电磁干扰、雷击等影响，如何保证数字证据的原始性，需要有一定的机制来保护。通常有校验和检验、散列函数、数字签名等方法进行验证。校验和检验方法很容易发现数字数据随机出现的错误，它的原理是通过对每个字节数据通过多项式计算出的一个非常小的整数数字，在以后任何时候都可以使用同样的方法检验计算出结果与原来的结果是否匹配，如结果匹配就认为数据是正确无误的。这种方法使用很方便，但是很容易伪造出具有合法校验的数据，所以不能防止对数据的恶意修改。也不能把数字证据的时间标记10、固定数字证据主体捆绑到一起。散列函数技术是一种单向的加密机制，它能防止数据被未经过授权地更改。其原理是采用散列技术11。它能保证已知散列结果值很难构造原始的数据，同时又能保证已知原始的数据，很难构造另外一份不同的数据能与散列结果值匹配。这种机制能检测数据被随机修改和防止数据被恶意更改，但是也不能把数字证据的时间标记、固定数字证据主体捆绑到一起。数字签名是指数字签名主体根据数据产生摘要，并对摘要用自身的签名私钥加密。信息和用自身签名私钥加密的数字摘要组合成数字签名。数字签名技术能把数字证据签名的主体捆绑在一起，形成一种可靠的保障数据完成性机制，但是需要保护好私钥。四、计算机网络取证主要方法计算机取证的方法就是计算机取证过程中涉及的具体措施、具体程序、具体方法。计算机取证的方法非常多，而且在计算取证过程中通常又涉及到证据的分析，取证与分析两者很难完全孤立开来，所以对计算机取证的分类十分复杂，往往难以按一定的标准进行合理分类。通常情况下根据取得的证据的用途不同进行分类，通常可以分为两类不同性质的取证。一类是来源取证，一类是事实取证。1来源取证所谓来源取证，指的是取证的目的主要是确定犯罪嫌疑人或者证据的来源。例如在网络犯罪侦查中，为了确定犯罪嫌疑人，可能需要找到犯罪嫌疑人犯罪时使用的机器的 IP 地址，则寻找 IP 地址便是来源取证。这类取证中，主要有 IP 地址取证、MAC 地址取证、电子邮件取证、软件账号取证等。IP 地址取证主要是利用在互联网中，每一台联网的计算机，在某一时刻都有唯一的全局 IP地址。根据在案发现场找到的 IP 地址信息，进一步确定犯罪嫌疑人的机器，由犯罪人的机器再寻找案件相关人的方法。IP 地址取证在网络犯罪案件中使用非常广泛，因为在网络空间中，犯罪嫌疑人具有较强的匿名性，不像现实空间那样有各种与身份相关的信息，所以很难直接有与犯罪嫌疑人关联的证据。在这类案件中通常均通过 IP 地址取证找到犯罪嫌疑人的机器，在通过犯罪嫌疑人的机器找到犯罪嫌疑人。MAC 地址取证主要在一些局域网中或动态分配 IP 地址网络中，由于 IP 地址使用有一定的自由，如果哪一个 IP 地址由谁租用并不清楚时，可以根据物理地址与逻辑地址的关系，找到物理地址，而物理地址也是唯一的，且一般情况下，也比较难以更改。所以 MAC 地址与特定计算机设备中网卡存在一定的对应关系，可以用来确定来源。电子邮件取证，指的是根据电子邮件头部信息找到发送电子邮件的机器，并根据已锁定的机器找到特定人的取证方法。软件账号取证，指特定软件如果其某个账号与特定人存在一一对应关系时，可以用来证明案件的来源。2事实取证事实取证指的取证目的不是为了查明犯罪嫌疑人。而是取得与证明案件相关事实的证据，例如犯罪嫌疑人的犯罪事实证据。在事实取证中常见的取证方法有文件内容调查、使用痕迹调查、软件功能分析、软件相似性分析、日志文件分析、网络状态分析、网络数据包分析等。文件内容调查指的是在存储设备中取得文档文件、图片文件、音频视频文件、动画文件、网页、电子邮件内容等相关文件的内容。包括这些文件被删除以后、文件系统被格式化后或者数据恢复以后的文件内容。使用痕迹调查包括 windows 运行的痕迹（包括运行栏历史记录、搜索栏历史记录、打开/保存文件记录、临时文件夹、最近访问的文件等使用文件与程序调查）、上网记录的调查（缓存、历史记录、自动完成记录、浏览器地址栏下拉网址，Cookies，indexdat 文件等等）、Office，realplay 和 mediaplay 的播放列表及其它应用软件使用历史记录。软件功能分析主要针对特定软件和程序的性质和功能进行分析，常见是对恶意代码的分析，确定其破坏性、传染性等特征。此类取证方法通常在破坏计算机信息系统、入侵计算机信息系统、传播计算机病毒行为中经常使用。软件相似性分析是指比较两软件，找出两者之间是否存在实质性相似的证据。此类取证方法主要在软件知识产权相关案件中使用。日志文件分析，指通过系统日志、数据库日志、网络日志、应用程序日志等进行分析发现系统是否存在入侵行为或者其它访问行为的证据。网络状态分析指的是取得特定时刻计算机联网状态。例如网络中哪些机器与本机相连，本机的网络配置、开启了哪些服务、哪些用户登录到本机等信息。网络数据包分析指的是通过分析网络中传输的数据包发现相关证据的过程。网络数据包分析主要发生在实时取证中，是一种综合的取证方法。有时候网络数据包分析也称呼为“网络侦听”。在对网络犯罪实时侦查或“诱惑性”侦查时，往往采取网络侦听的方法发现犯罪嫌疑人的犯罪活动，掌握犯罪的线索，为抓获犯罪嫌疑人提供支持。五、总结与展望计算机网络取证是一门新兴的学问。随着计算机技术的快速发展，犯罪手段将会出现新的形式，计算机网络取证的工具、技术、方法也将会随着技术的发展和犯罪的发展变化而产生相应的变化。（作者单位：