（信息与通信工程专业论文）电子数据可信取证的形式化方法研究.pdf

南京邮电大学硕士研究生学位论文摘要 摘要 随着计算机技术的发展和网络的普及，利用计算机或以计算机为目标的犯罪事件频繁 发生。计算机犯罪引起了人们极大的关注。如何最大限度地获取计算机犯罪相关的电子证 据并确保电子证据的可信性，将犯罪分子绳之以法，政法机关在利用高技术手段对付这种 高技术犯罪方面缺乏必要的技术保障和支持。当前计算机犯罪调查研究主要有两大方向 法律和技术。就技术层面研究而言，发展了多年的计算机犯罪研究，主要将重点放在 计算机数据的获取上。而随着犯罪技术的多样化、技术化和复杂化，对计算机犯罪调查的 要求越来越专业化、正规化。 在计算机取证领域，许多取证技术在实际的取证过程中已经得到了成功有效的应用。 但对所得到的电子证据的有效性或可信性方面还存在明显的问题，本文在此背景下提出了 电子证据的可信取证理念，并对相关问题进行了研究。 在研读了大量文献的基础上，本文主要做了如下工作： 1 对计算机取证技术的发展及国内外研究现状进行了深入的研究和探讨，对现有的 几种典型的计算机取证模式进行了分析。 2 在对计算机取证领域涉及的基本概念、相关理论、基本原则和采信标准等进行了 综述性介绍的基础上，提出了电子数据可信取证的研究思想，并给出了可信取证 体系结构的描述。 3 基于电子数据的静态属性及可信思想，借助集合论与谓词逻辑，建立了电子数据 的静态属性特征模型，通过形式化的描述语言给出电子数据可信的约束条件和规 则描述，构建了基于约束的电子数据特征描述模型。 4 结合工作流技术及时序逻辑知识构建基于时序逻辑的可信取证工作流模型。研究 了构建该取证工作流体系所需用到的关键技术、取证工作流模型的构建过程和原 理。抽象了电子数据动态取证方法的可信性描述，并把这些规则融合进取证的流 程监控中，研究了如何构建时序逻辑的可信取证规则库，为电子证据可信与否提 供了验证依据。 5 给出可信取证应该遵循的部分定义、定理和公理，采用取证公理库系统和电子证 据可信性验证公理系统加以形式化分析，并使用取证实例进行了验证。 关键字：可信取证；静态特征；动态行为；时序逻辑；工作流；形式化 南京邮电大学硕士研究生学位论文 a b s t r a c t a b s t r a c t w i t ht h ed e v e l o p m e n to fc o m p u t e rt e c h n o l o g ya n dt h ep r e v a l e n tn e t w o r k ，p e o p l ea r e e x p o s e dt of r e q u e n to c c u r r e n c eo fc r i m e sc o m m i t t e db yo ra i m e da tc o m p u t e r s h o w e v e r , t h e p o l i t i c sa n dl a wi n s t i t u t i o n sl a c ks u c hn e c e s s a r yh i g h t e c hs u p p o r tt oa t t a i nt h em o s te x t e n s i v e e l e c t r o n i ce v i d e n c eo ft h ec o m p u t e r - r e l a t e dc r i m e st op e n a l i z et h eo f f e n d e r s r r e s e a r c hi n c o m p u t e rf o r e n s i ci n v e s t i g a t i o nh a sr e c e n t l ya d d r e s s e dt h ed e v e l o p m e n to fp r o c e d u r a lg u i d e l i n e s a n dc o m p u t e rf o r e n s i ct e c h n i q u e s i nt h ed o m a i no fc o m p u t e re v i d e n c ec o l l e c t i o n ，m a n ye v i d e n c ec o l l e c t i o nt e c h n o l o g i e s a l r e a d yo b t a i n e dt h es u c c e s sa p p l i c a t i o ni nt h ea c t u a le v i d e n c ec o l l e c t i o np r o c e s s b u tt h e r e s e a r c ho fe v i d e n c ec o l l e c t i o nc r e d i b l yi sa l s od e f i c i e n t ，i ts t i l lo b t a i n sm a n y b i gp r o b l e m si nt h e t r u s t e da s p e c to fe l e c t r o n i ce v i d e n c e ，t h i sa r t i c l es t u d i e sf o r m a l i z e dp r o o f q u e s t i o no ft h et r u s t e d e v i d e n c ec o l l e c t i o nu n d e rt h i sb a c k g r o u n d b a s e do nag r e a td e a lo fr e l a t e dl i t e r a t u r e s ，t h ec o n t r i b u t i o n so ft h i sp a p e ra r es h o w e da s f o l l o w s ： 1 r e s e a r c h e dt h ee m e r g e n c e ，d e v e l o p m e n t ，s t a t u sa n dt h e p r o s p e c t i v eo fc o m p u t e r f o r e n s i c sb o t ha th o m ea n da b r o a d ，a n dh a v ea n a l y z e dt h ec l a s s i cc o m p u t e rf o r e n s i c sp a t t e m 2 i tp r o p o s e san o t i o no ft r u s t e df o r e n s i c sb a s e do nt h ep r e v i o u sr e s e a r c ha b o u tt h eb a s i c c o n c e p t i o n , r e l a t e dt h e o r y , b a s i cp r i n c i p l e sa n da d o p t i o nr e g u l a t i o n 3 e s t a b l i s ht h es t a t i cc h a r a c t e r i s t i c a lf e a t u r e sm o d eo ft h ec o m p u t e re v i d e n c eb a s e do n t h es t a t i cp r o p e r t i e so fe l e c t r o n i cd a t aa n dt h ec r e d i b i l i t yo ft h e o r y i tb r i n g so u taf o r m a l l a n g u a g ec a l l e ds e tt h e o r ya n dp r e d i c a t el o g i ct of o r m a l i z e da n a l y s i st h ec o n s t r a i n to ft h e c r e d i b i l i t yo f t h ee l e c t r o n i ce v i d e n c e w i t hw h i c hw ec a nc o n s t r u c tt h ec o n s t r a i n t b a s e dm o d e l 4 m a k eu s eo ft h ef u n c t i o no fw o r k f l o wt e c h n o l o g ya n dt h et lk n o w l e d g et os e tt h e d e p e n d a b l ee v i d e n c em o d e l c o m p l e t e l yr e a e a r c ht h ek e yt e c h n o l o g yr e q u i r e db yt h ef o r e n s i c w o r k f l o wm o d e l t h e ng i v e st h ep r o c e s s e sa n dt h ep r i n c i p l ea b o u tt h ed i g i t a lf o r e n s i cw o r k f l o w m o d e l a b s t r a c t l yd e s c f i p tt h ec r e d i b i l i t yo ft h ed y n a m i cm e t h o d so ft h ed i g i t a lf o r e n s i c t h o s e r u l e sa r eu s e di nt h em o n i t o ro ft h ep r o c e s s h a v eg i v e nt h em e t h o da b o u tb u i l d i n gt h et r u s t e d r u l eb a s eo ft h ed i g i t a le v i d e n c eb a s e do nt e m p o r a ll o g i c ，a n dt h o sr u l e sc a nb eu s e dt ov e r i f yt h e c r e d i b i l i t yo ft h ed i g i t a le v i d e n c e 南京邮电大学硕士研究生学位论文a b s t r a c t 5 h a v ed i s c u s s e dp a r t so ft h ed e f i n i t i o n ，t h e o r e ma n da x i o mt h a ts h o u l db ef o l l o w e db y t h et r u s t e dd i g i t a lf o r e n s i c f u r t h e r , h a v ef o r m a l l ya n a l y s i s e dt h ec r e d i b i l i t yo ft h ed i g i t a l e v i d e n c e s a tl a s tac a s ea b o u td i g i t a lf o r e n s i ci sg i v e nt od e s c r i b l et h ea p p l i c a t i o no ft h et h e o r y k e y w o r d s ：t r u s t e df o r e n s i c s ；s t a t i cc h a r a c t e r i s t i c s ；d y n a m i cb e h a v i o r ；t e m p o r a ll o 百c ； w o r k f l o w ；f o r m a l i z a t i o n 南京邮电大学学位论文独创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及取 得的研究成果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中 不包含其他人已经发表或撰写过的研究成果，也不包含为获得南京邮电大学 或其它教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研 究所做的任何贡献均已在论文中作了明确的说明并表示了谢意。 研究生签名：挞遮羞 日期： 幽么：丝 南京邮电大学学位论文使用授权声明 南京邮电大学、中国科学技术信息研究所、国家图书馆有权保留本人所 送交学位论文的复印件和电子文档，可以采用影印、缩印或其他复制手段保 存论文。本人电子文档的内容和纸质论文的内容相一致。除在保密期内的保 密论文外，允许论文被查阅和借阅，可以公布( 包括刊登) 论文的全部或部分内 容。论文的公布( 包括刊登) 授权南京邮电大学研究生部办理。 研究生签名：燃遗蚕 导师签名：日期： 南京邮电大学硕上研究生学位论文第一章绪论 1 1 研究背景 第一章绪论 计算机犯罪始于二十世纪六十年代，七十年代迅速增长，八十年代形成威胁。现在世 界上每年因计算机犯罪所造成的直接经济损失之大令人吃惊。2 0 0 6 年美国f b i 计算机犯罪 调查报告指出：2 0 0 5 年由于计算机犯罪致使美国经济损失约2 亿美元，而8 5 的被调查者 指出他们的计算机安全系统被突破，黑客攻击事件稳步上升，c e r t 协议中心在2 0 0 5 年处 理的攻击事件为5 2 6 5 8 件，而2 0 0 6 年则上升到8 2 9 0 4 件。因此今天的盗贼使用电脑会比 使用手枪更多，明天的恐怖份子使用键盘会比使用炸弹所成的损害更大【l j 。 从第一例计算机犯罪发生至今，世界各国，每年因计算机犯罪造成的经济损失达到了 触目惊心的地步，严重干扰了人们的经济生活和社会生活。美国( ( 2 0 0 1 年计算机犯罪和安 全调查报告显示，日益嚣张的计算机犯罪，使美国公司和政府部门于2 0 0 1 年遭到了数 千亿美元的损失，比2 0 0 0 年大幅增加。计算机病毒攻击、拒绝服务攻击和存在的各种安 全漏洞事例比比皆是。2 0 0 7 年4 月2 7 日，爱沙尼亚多个网站受到攻击，大量网站被迫关 闭，一些网站的首页被换上了俄国宣传口号及伪造的道歉声明，该国总统的网站同样倒下。 在连续的攻击中，最先是报纸和电视台受攻击，之后到学校，再到银行。肆无忌惮的攻击 犯罪行为严重干扰了该国的政治、经济和社会生活【2 】。据美国2 0 0 8 年c s i 计算机犯罪和安 全调查报告表吲3 1 ，尽管网络安全技术不断发展，人们的安全意识不断提高，继连续几年 增幅下降趋势以来，此次网络安全事件造成的平均经济损失从上一年度的3 5 0 4 2 4 美元增 加到近5 0 0 0 0 0 美元，创下了2 0 0 4 年度报告以来的新高。 我国的信息化进程虽然落后于发达国家，但是发展迅速，网络已经渗透到国民经济的 各个领域。与此同时，我国的计算机犯罪案件也随之产生，给我国的经济及社会生活带来 了巨大的冲击。我国自1 9 8 6 年第一起实际意义的计算机犯罪案例至今，每年的计算机犯 罪都有发生并呈逐年增长有增无减之势。近年来，由于计算机犯罪案件的发生而导致的经 济损失每年都达到数力甚至数亿元，给国家、企业和个人造成严重危害。根据公安部公共 信息网络安全监察局公布的信息显示，我国网络犯罪案件逐年猛增。1 9 9 8 年，公安部仅立 案1 0 0 多起，1 9 9 9 年就增加到4 0 0 多起，到2 0 0 0 年，网络犯罪案件剧增到2 7 0 0 余起，2 0 0 1 年，达到了4 5 0 0 余起，2 0 0 3 年，这一数据已经超过了1 力，到2 0 0 8 年，共发生了7 5 4 3 6 起网络攻击犯罪事件，这其中还不包括大量没有报案的实际案件。这些令人触目惊心的数 据显示，利用计算机网络进行犯罪已不再是个案，而是一个全社会不得不重视的重大的社 南京邮电大学硕士研究生学位论文 第一章绪论 会新问题。 日益增长的信息安全威胁给人们造成了无可挽回的经济损失，严重地阻碍着网络技术 的进一步发展和深入应用。因此，打击计算机犯罪刻不容缓。作为计算机安全领域的一个 全新分支，计算机取证技术逐渐受到人们的关注，并成为新的研究热点。 1 2 国内外研究现状 1 2 1 国外研究现状 早在3 0 年前，电子证据就已经出现在了美国的法庭上。但是直到1 9 9 1 年才在国际计 算机专业会议上首次提出了计算机取证学( c o m p u t e rf o r e n s i c s ) 这一术语，标志着计算机取 证学的诞生。为了打击计算机犯罪分子，也为了电子信息业能够健康地发展，各国相继对 计算机犯罪取证领域进行了持续不断的研究。对任何事物的研究一般都遵循着由模糊到清 晰、由肤浅到深入的过程。对计算机取证的研究，同样遵循了这种规律。从什么是计算机 犯罪、什么是计算机取证等基本的知识理论到对计算机取证工具的研究开发再到计算机取 证相关理论更深入的研究，可以看出计算机取证科技正逐步走向成熟。可以说美国是当之 无愧的信息产业大国，从第一例犯罪案件发生至今，美国就一直相当重视对计算机取证知 识领域的研究，并取得了瞩目的成就。美国至少7 0 的法律部门拥有自己的计算机取证实 验室 4 】，并开发出了一批具有代表性，现在仍然在一线使用的计算机取证产品。例如：由美 国g u i d a n c e 公司开发的用于证据数据收集和分析的e n c a s e ；由美国计算机取证公司开发的 用于数据镜像备份的d i b s 系统；在特定的逻辑分区上搜索未分配或空闲空间的 f r e e s e c s 等【5 1 。近年来，研究的重点逐渐转移到对计算机取证的基础理论研究上，提出 了一系列基于实践经验或基于司法需求的理论模型，从理论高度上给计算机取证工作提供 了从人员、工具到规程、步骤的完整指导。其中值得关注的有以下四个主要模型【吲： 1 ) 基本过程模型( b a s i cp r o c e s sm o d e l ) 代表人物：f a r m e r 和v e n e m a 。基本过程模型的基本过程如下：现场安全保证及隔离 ( s e c u r ea n di s o l a t e ) 专对现场信息进行记录( r e c o r dt h es c e n e ) j 系统地查找证据( c o n d u c ta s y s t e m a t i cs e a r c hf o re v i d e n c e )对证据进行提取和打包( c o l l e c ta n dp a c k a g ee v i d e n c e ) 保 护监督链( m a i n t a i nc h a i no fc u s t o d y ) 。 该模型首次提出了现场隔离原则和保护监督链的概念( m a i n t a i nc h a i nc u s t o d y ) ，强调了 保证电子证据从提取到呈堂之间没有被篡改或破坏的必要性，由此才引出了以后的电子证 据保全( d h 固) 方面的研究和相应工具的产生。该研究为这一时期的数字取证发展起到了领 2 南京邮电大学硕上研究生学位论文第一章绪论 航和奠基的作用，但该取证过程粒度较粗，没有把事件发生前的取证准备作为取证过程的 一个阶段，该研究还只是处于准备阶段。 2 ) 事件响应过程模型( i n c i d e n tr e s p o n s ep r o c e s sm o d e l ) 代表人物：c h r i sp r c s i s e 和k e v i nm a n d i a 。事件响应过程模型的基本过程如下：取证 准备阶段( p r e i n c i d e n tp r e p a r a t i o n ) - - 事件侦测阶段( d e t e c t i o no ft h ei n c i d e n t )初始响应阶 段( i n i t i a lr e s p o n s e ) 专响应策略确定( r e s p o n s es t r a t e g yf o r m u l a t i o n ) 专备份( d u p l i c a t i o n ) j 调查( i n v e s t i g a t i o n ) 专安全方案实施( s e c u r em e a s u r ei m p l e m e n t a t i o n ) 寸网络监控( n e t w o r k m o m t o f i n 曲- - - 恢复( r e c o v e r y ) - - 报告( r e p o r t i n g ) 专补充( f o l l o w u p ) 。 在基本过程模型的基础上创新性地加入了应急响应的思想，将计算机取证从原来的犯 罪发生之后再进行证据的收集扩展为在计算机犯罪发生之前就制定预防计算机犯罪的预 案对关键文件进行必要的备份，对运行中的系统进行监控，一旦发现攻击或灾难事件的发 生就按照预案规定的步骤进行系统的自动防御和证据的实时提取。 3 ) 法律执行过程模型( l a we n f o r c e m e n tp r o c e s sm o d e l ) 典型模型：美国司法部在“电子犯罪现场调查指南”中提出的计算机程序取证调查模型。 该模型的内容如下：准备阶段( p r e p a r a t i o n ) - 收集阶段( c o l l e c t i o n ) 一检验( e x a m i n a t i o n s ) 分析( a n a l y s i s ) 一报告( r e p r o t i o n ) 。 前两个模型都是由计算机工作者根据自身反击计算机攻击过程中所积累的经验而提 出的经验型模型，它们都较少考虑法律方面的需求，从而造成证据虽然提取出来但是却得 不到法庭认可这样一个尴尬的局面。鉴于这种缺憾，美国司法部会同一些有经验的计算机 取证专家共同制定了“电子犯罪现场调查指南”，其中提出了一个以法律为指导并获得美国 大多数法庭采信的模型一法律执行过程模型”。该模型在具体技术上与前两个模型并没 有太大区别，它主要是从法律的角度对电子证据的收集过程进行了严格的规范，首次提出 了必须进行“保护和评估现场”、“现场记录( 文字、视频、音频) 的归档”、“非司法非受害者 的第三方见证人”等保证电子证据提取过程在法律上有效的一系列原则。 4 ) 过程抽象模型( a na b s t r a c tp r o c e s sm o d e l ) 在数字取证基本理论和基本方法的研究中，过程抽象模型( a na b s t r a c tp r o c e s sm o d e l ) 的 研究被认为具有里程碑的作用，比较有代表性的研究成果有以下两种： a i r f o r c e 过程抽象模型 a i r f o r c e 过程抽象模型的模型过程如下所示：识别( i d e n t i f i c a t i o n ) - - - ) 准备 ( p r e p a r a t i o n ) - - 策略制定( a p p r o a c hs t r a t e g y ) 寸保存( p r e s e r v a t i o n )收集( c o l l e c t i o n ) 检验 ( e x a m i n a t i o n ) - + 分析( a n a l y s i s ) - - - 提交( p r e s e n t a t i o n ) 。 南京邮电大学硕上研究生学位论文第一章绪论 该模型是美国空军研究院通过对以前方法的总结，对特定方法的取证过程进行抽象产 生的。通过抽象，产生了具有普遍意义的数字取证程序。这种研究既能使得传统的物理取 证知识应用于数字取证中，又能使数字取证程序的研究真正由计算机取证扩展到数字取 证，为数字取证技术基本方法和基本原理的进一步研究奠定了良好的基础，使数字取证的 研究又迈上了一个新台阶。但这个模型提出的“检验”和“分析”名称的相似使得这两个阶段 常被混淆，而且这个模型在具体的应用中实用性较差。 d o j 过程抽象模型 d o j 过程抽象模型的模型过程如下所示：收集( c o l l e c t i o n ) 专检验( e x a m i n a t i o n ) - 分析 ( a n a l y s i s ) 专报告( r e p o r t i n g ) 。 该模型是由美国司法部d o j 提出的。d o j 对各种电子设备中可能存在的证据类型、潜 在的存储位置和犯罪类型进行了分类整理，这种在不同电子设备上，对潜在的各种类型证 据的识别和定位的研究是数字取证科学基本理论的又一次发展，它为进一步开发具有普遍 意义的数字取证程序及标准奠定了良好的基础，使得调查人员遵照数字取证标准，采用普 遍的数字取证方法，采取由一般到特殊的科学过程对具体案件进行调查成为可能。 打击计算机犯罪的关键在于获得充分、可靠和强有力的证据。取证涉及到技术和法律 两个方面。现阶段，各国在注重取证工具开发及取证技术研究的同时也在慢慢地把注意力 集中到有关计算机取证法律法规的研究上。早在1 9 7 6 年美国就制定了一些法律用于解决 电子证据带来的相关问题【7 】 1 2 2 国内研究现状 我国对于计算机取证的研究与实践尚在起步阶段，有关计算机取证的研究与实践工作 也仅有十多年的历史，相关的法律法规仍很不完善，只有一些法律法规涉及到了一些有关 电子证据的说明，如关于审理科技纠纷案件的若干问题的规定、计算机软件保护条例 等8 1 。法庭案例中出现的电子证据也都比较简单，如电子邮件、程序源代码等不需要使用 特殊的工具就能够得到的信息。 我国计算机取证工作与欧美发达国家相比存在一定的差距：在技术上，还缺乏自主知 识产权的优秀计算机取证工具，许多企业和政府部门的网络甚至金融系统受到攻击以至于 造成重大损失时没法收集证据，使犯罪者逍遥法外：在意识形态上，人们对信息安全的防 护意识还停留在被动防御而不是主动防护的层次上，不能及时收集证据将犯罪者诉之法 庭；在法律健全上，急需颁斫j 相关的、完善的法律法舰，设立专门的法律执行调查取证机 构，规范计算机取证。 4 雨京邮电大学硕上研究生学位论文第一章绪论 随着技术的不断发展和计算机犯罪手段的不断提高，必须制定相关的法律、自主开发 相关的计算机取证工具、提高人们的信息安全意识，使日益增加的计算机犯罪及网络犯罪 受到应有的制裁。目前，在广东、北京和上海等发达省市都已建立了专门打击计算机犯罪 的网络警察队伍，在全国各省市级公安机关也有专门的部门处理计算机犯罪案件。 随着信息产业的迅猛发展及不断涌现的犯罪案件，为了应对这种局面，我国积极开展 打击计算机犯罪的研究并出台了相应的法律法规。早在1 9 9 4 年我国就出台了中华人民 共和国计算机信息系统安全保护条例，在该条例的第2 8 条，对计算机病毒的概念进行了 界定，2 0 0 6 年中国互联网协会公布了恶意软件的官方定义【2 1 。近年来，我国法学家开始重 视对计算机证据这一特殊证据类型的研究，提出了一些新的法律观点，并呼吁学术界和立 法界重视这方面的研究【9 1 2 1 。计算机取证工作是一项集技术和法律要求与一体的特殊工作， 对于取证程序规范的研究和制定需要从技术和法律双层面进行探索，但是目前我国对电子 证据的规范研究还处于初级层面上，相关的法律只是对电子证据进行了定位，但对于合乎 实际的取证规范及取证流程还没有明确系统的定义。就目前来说，要对电子证据取证规范 及取证流程进行的明确规定，以便取证工作有法可依有纲可循还是很有难度的，毕竟我国 对电子证据取证研究还处于初级阶段。 1 3 研究目的和意义 近年来，计算机取证技术在计算机犯罪取证过程中不仅取得了广泛的应用，而且其理 论研究和相应的法律规范也取得了很大的进展。电子证据要作为有效的法律证据，必须保 证电子证据是真实的、可靠的、完整的和符合法律规范的。只有满足了这些起码的条件， 电子证据才能作为有效的法律证据，才能为整治犯罪份子提供有效的法律凭证。但是电子 证据自身存在着一些脆弱性【1 3 】，如：数字性( 电子数据信息多以0 、1 二进制代码的形式存 储于计算机的存储器中，所以必须采用特定的输出形式) 、安全性和脆弱性( 数字化的电子 信息容易被篡改，且很难区分其原件和复制件，同时电子证据还存在被外界蓄意破坏和修 改的危险) 、共享性( 由于电子证据的数字性特征，所以容易被查看、复制和输出。电子数 据资源可以被广泛的共享) 。所有这些脆弱性都要求在取证过程中特别注意。近年来，针对 电子证据特殊性所开发的取证工具和取证规范都有很大的发展。 但在计算机取证技术、取证工具和有关取证规范得到发展和完善的同时，应该看到， 有关计算机可信取证的理论研究仍落后于计算机犯罪取证应用的实际。对于计算机取证的 研究，一直以来重点都是放在电子数据的获取和对所得的数据的分析上。对于电子数据取 证的有效性或可信性上还缺乏相应的论证，这样取得的数据容易受到质疑，其采信度也大 s 南京邮电大学硕士研究生学位论文 第一章绪论 打折扣。 关于计算机可信取证中存在的问题及今后的发展方向：就目前国内外的研究现状来 看，可信取证的研究主要存在以下问题：理论分析难以深入；对可信取证的法律法规不够 完善；对计算机可信取证的相关要求没有详细规定；对可信取证的规范和取证模型的规范 及具体的有效可信问题亟待解决；对电子数据取证的有效性或可信性还缺乏相应的论证； 尤其对动态取证技术和形式化取证分析技术更要加快研究的进度；对于动态取证，其技术 难点在于：如何让记录设备旁路在网络中，对用户和犯罪份子都是透明的。既不影响用户 任何应用的运行效率，又采用了各种自我保护措施，避免审计设备本身遭到可能的攻击。 保证取证系统自身的安全；其次，大流量信息的获取所需要的记录速度和记录空间的设计； 再就是，如何保证这些记录满足证据的要求，既：原始性、可信性和完整性。使得法律部 门可根据这些记录分析出时间、部位、行为及有关的犯罪证据来。对于动态取证技术的理 论和相关的法律法规在国外已经有了初步的研究。而在我国，法庭案例中出现的计算机证 据都比较简单，如电子邮件、程序源代码等不需要特殊的工具就能得到的信息，这种简单 的证据获取方式已经不能适应现在计算机犯罪的发展。对于电子证据可信性的形式化分析 和证明方法，在目前，还没有形成一套可信取证的证明体系，这就使得电子数据的取证系 统不完备，所取得的数据不足够具备说服力。所以，我们必须制定、完善相关的法律法规。 对计算机证据的收集、运用、判断进行规范要求，同时还要自主开发相关的计算机取证工 具，形成电子数据可信取证的形式化证明体系，以适应社会的快速发展，使同益增加的计 算机及网络犯罪收到应有的制裁。 近阶段，对于电子证据的可信性证明缺乏形式化证明方法和证明体系，同时，大多数 计算机取证工具是基于计算机静态取证技术的，取证相关的法律法规也是基于静态技术 的。这种静态的技术及相应的工具连同缺乏可信性的电子证据已经不能很好的适应现在计 算机犯罪发展的趋势。可以预见，未来的动态取证和电子证据的形式化证明体系有很大的 施展空间，这也是当今研究的热点之一。 1 4 论文的组织结构 鉴于电子证据的自身特点，在取证工作及其取证流程中，都存在很多需要解决的问题。 同时在取证过程的实际操作中，对人员的专业素养有严格的要求，所有这些限制，都会极 大地降低取证工作的效率甚至影响取证工作的成效。为了降低取证工作中对取证人员经验 要素的需求，本文结合对取证要素的分析，认为很有必要收集取证舰则和取证方法，并对 其进行分析、总结和规划。借鉴这些经过知彭 认证的经验和规则，能够提高取证效率并能 6 南京邮电大学硕士研究生学位论文第一章绪论 够减少取证误操作的机率。 本文共分为六章，各章的主要内容简要概括如下： 第一章绪论本章主要介绍了电子数据取证的研究背景、国内外研究现状及论文课题 研究的意义，并对论文研究的内容做了简要说明。 第二章计算机取证相关理论研究本章首先对计算机取证的定义进行了简要介绍，接 着介绍了电子证据的基本概念、特点及其来源，并对电子证据的取证原则及采用标准进行 了细致的总结及论述，最后重点全面的阐述并提出了电子证据可信取证的研究理论，为下 文的具体研究打下了坚实的基础。 第三章电子数据静态特征描述及可信约束规则构建了电子数据静态属性可信支撑 层次框架，并对该框架模型进行了相关的形式化描述，借鉴面向对象的思想，抽取了电子 数据的静态属性特征，并对其进行了形式化的描述和抽象，接着给出了一种电子证据可信 固定的方法，该方法能够保证电子证据不被恶意修改甚至破坏，最后，本章给出了取证分 析中保证或验证电子数据静态属性可信的约束规则，并对这些规则进行了形式化的描述。 第四章基于时序逻辑的可信取证工作流模型研究了基于时序逻辑知识的可信取证 工作流模型。介绍了可信取证工作流中的关键技术，研究了工作流生成取证参考流程的功 能和流程过程，定义了取证工作流技术中的取证事件的概念、取证事件的分类、取证事件 通讯和取证事件驱动原理等，并对取证事件进行了形式化的描述。 第五章实例分析结合电子证据静态属性的可信性和动态取证方法的可信性知识及 模型，对取证实例进行了研究分析，通过实例论证了前面工作的有效性。 第六章总结与展望对全文的研究工作进行了全面总结，并展望了需要进一步研究的 工作。 7 南京邮电大学硕士研究生学位论文第二章计算机取证相关理论研究 第二章计算机取证相关理论研究 2 1 计算机取证的基本概念 2 1 1 计算机取证的定义 计算机取证，目前还没有权威组织给出一个统一的定义，很多专业人士和机构从不同 的角度给出了计算机取证的定义。计算机数据取证的资深人士j u d dr o b b i n s 是这样定义 的：计算机数据取证仅仅是计算机调查和分析技术的一种应用，其目的是为了获取潜在的 合法数据。专业的计算机紧急事件响应和计算机取证咨询公司n e wt e c h n o l o g i e s 1 5 1 进一步 拓展了该定义：计算机取证包括了对以磁介质编码信息方式储存的计算机证据的保护、确 认、提取、归档。s a n s 公司认为1 6 】：计算机取证是使用软件和工具，按照一些预先定义的 程序全面地检查计算机系统，以提取和保护有关计算机犯罪的证据。e n t e r a s y s 公司的c t o 、 办公室网络安全设计师d i c kb u s s i e r e 则认为计算机取证也可以称作计算机法医学，是指把 计算机看作犯罪现场，运用先进的辨析技术，对计算机犯罪行为进行法医式解剖，搜寻确 认犯罪及其犯罪证据，并据此提起诉讼的过程和技术。该定义强调了计算机取证与法医学 的关联性。 在我国，一些专家及学者借鉴国外权威机构的研究成果，结合我国的实际情况，对计 算机取证提出了自己的定义。许榕生教授认为 】：计算机取证是指能够为法庭接受的，足 够可靠和有说服力的，存在于计算机和相关外设中的电子证据的确认、保护、提取和归档 的过程。孙波博士认为【1 8 】：计算机取证是对计算机入侵、欺诈、破坏、攻击等犯罪行为， 利用计算机软硬件技术，按照符合法律规范的形式，进行识别、保存、分析和提交数字证 据的过程。 本文认为，计算机取证是指利用计算机软硬件技术，按照符合法律规范的方式，对遭 到入侵、攻击、破坏的计算机、相关外设、其他电子设备及存在其中的数据进行某些操作 ( 如鉴别，提取，备份，分析，提交) 的过程。 2 1 2 电子证据的概念及特点 电子证据( 计算机证据) ：电子证据也称计算机证据，是指在计算机或计算机系统运行 过程中产生的或存储的以其记录的内容_ 来证明案件事实的电磁、光记录物，且该记录物具 有多种输出表现形式。 从内容上说，电子证据主要包括两大类：一类是在计算机犯罪过程中形成的电子证据， 南京邮电大学硕： 研究生学位论文第二章计算机取证相关理论研究 这类证据的收集、提取和运用都比较复杂。另一类是指侦查部门运用计算机存储的图形、 数据、符号和其它信息来证明案件事实的证据。主要是指侦查部门在计算机系统中逐渐存 储的各种供办案用的情报资料。计算机运用其存储功能，把需要存储的信息编制成一定的 程序，并通过输入装置输入计算机主控制系统的中央处理器，由其自身对电信号进行识别 和处理后转变为磁信号或光信号固定于软盘、硬盘或光盘内。指令操纵输出设备，计算机 就会自动检索并显示出文字、数据或播出声音、图像。使用时只需发出人们可以直观地进 行感知的证据。若经查证属实，可作为证据使用。 从存在形式上说，电子证据有两种存在形式，即机器可读形式和人可读形式。对机器 可读形式而言，计算机信息存在于一定的数据载体( 如：穿孔纸带、磁带、磁盘、硬盘、光 盘、或其它存储器) 上，人类不能识别，只有计算机及其附属设备才能识别。对人可读形式 而言，是指只能被计算机阅读的数据，通过计算机处理转变为人类可理解的，以文字、数 字符号、图形等人类能识别的表达方式表现出来。 证据在司法证明中的作用是毋庸置疑的，它是打击计算机犯罪的利器，是法官判定罪 与非罪的标准。与传统证据相比较电子证据具有如下特点【1 9 2 3 】： 1 ) 多样性。电子证据的表现形式是多种多样的，既可以是文本，又可以是图像，还 可是音视频资料。 2 ) 易变性。电子证据无时无刻不再变化。 3 ) 易破坏性。电子证据易于被删除、破坏。无论是有意行为还是误操作，都很可能 破环电子数据的原始性，甚至使电子证据永久消失。 4 ) 技术性。计算机证据的产生、储存和传输及其采集、分析和判断都必须借助于计 算机科学中的计算技术、存储技术、网络通信技术等。 5 ) 人机交互性。这是指计算机证据的形成，在不同的环节上有不同的计算机操作人 员参与，这种参与都可能从不同程度上影响计算机系统的运转。 6 ) 可迁移性。也就是说电子证据信息与载体的可分离性。电子证据是以数字或模拟 信号的形式存储在各种电子介质中的，电子证据信息可以从一个载体转移到另一 个载体，而内容却不发生任何变化，还可以通过网络传给远方的一个或多个接收 者。 7 ) 隐蔽性。电子证据中的一些隐藏信息只能在程序运行或测试中才能体现出来，有 些电子证据必须用产生它们的软件可以理解的形式来展示，电子证据的采集者也 可以使用加密、隐藏的方式使之不易被他人获得。 另外，电子证据同传统证据彤式相比，具有以下优点： 9 南京邮电大学硕上研究生学位论文第二章计算机取证相关理论研究 1 ) 可以被精确复制，用复件代替原件进行检查分析，避免损坏原件。 2 ) 容易鉴别当前的数字证据是否被改变。如m d 5 算法可以认证消息的完整性，数据 中一个比特的变化就会引起检验结果的很大差异。 3 ) 在一些情况下，犯罪嫌疑人不可能完全销毁数字证据。如计算机中的数据被删除 后还可以从磁盘中恢复，数据的备份可能被存储在犯罪嫌疑人意料不到的地方。 2 1 3 电子证据的来源 获取电子证据是计算机取证的关键。电子证据的来源有两个方面：主机证据和网络证 据。下面分别就两个方面的电子证据来源作分析： 图2 - 1电子证据来源图 系统日志：系统的日志提供了对系统活动的详细记录，这些日志可以用来评估系统的 运行环境和各种操作。对于一般情况，日志记录包括记录用户的登录时间、登录地点、运 行的操作类型等。系统日志能够提供很多有利于分析案件细节及审查计算机运行正常与否 的信息，是丰富的电子证据来源。 入侵残留物：入侵者在入侵过程中通常会使用一些入侵工具，如后门程序、脚本等。 执行的过程中还会产生产生相应的进程、内存映像等。这些残存在系统中的信息可以提供 非常重要的线索。 备份介质：数据存储安全的重要性逐渐为越来越多的人们所认可，数据备份的重要性 也越来越突出，备份介质罩存放了大量的历史数据，这些数据有时候可以提供非常重要的 数字证据。 临时文件：应用程序在运行过程中往往对某些数据和文件进行临时存储，比如i e 浏览 器就使用一个目录存储临时文件。 l o 南京邮电大学硕士研究生学位论文 第二章计算机取证相关理论研究 系统缓冲区文件：系统缓冲区和交换区一样，也会有数据信息存储，可以作为电子证 据收集。一般说来，系统缓冲区里存储的文件为敏感信息，一不小心就会丢失，所以，对 于系统缓冲区里的文件的取证操作要非常小心严谨。 硬盘未分配区间：由于操作系统在删除文件时并不是把所有的数据都清除掉，而只是 删除了文件的索引，所以硬盘未分配区包含了大量的信息，一些刚刚被删除的文件可以在 这里找到。 网络数据流：协议和网络程序之间的交互都是通过网络数据流来传递的，所以通过网 络数据流的分析可以清楚地了解网络上发生的事。 日志的网络备份：系统日志一般是在主机上直接产生的，一旦日志被入侵或者发生故 障很容易丢失，所以为了保证系统日志的安全，通常需要对其进行网络备份，将其放到一 个安全的日志服务器上保存。 防火墙日志：防火墙作为一个使用广泛的安全系统，其日志提供了丰富的安全事件信 息，是重要的网络证据来源。 其他网络记录物：如路由器、交换机等都可以提供与网络相关的信息。 在电子证据的取证过程中，证据的获取和分析需要根据原始数据的来源而采用适当的 方式。本文将根据电子证据的不同来源对电子证据的属性进行分析提取。 2 2 电子证据的取证原则及采用标准 无论是静态取证过程，还是动态取证过程，都有一些共同遵守的规则，也就是一些基 本原则。违背这些原则，无论是哪一种取证方式，其取证效果都将大打折扣。本文在阅读 了大量文献资料的基础上对电子数据取证原则进行了如下总结： 1 1 及时性原则：尽早收集电子证据以保证其没有受到破坏或销毁。 2 ) 备份及多备份原则：要求含有计算机证据的数字信息至少应制作两个副本，其原始 数字信息应存放在专门的合法位置，并由合法的专人保管，复制品可以用于计算机取证人 员进行证据的提取和分析。 3 ) 合法性原则：对电子证据的取证工作，必须在法律允许的范围内，并遵循法律规范 的取证规则进行。如果违反了法律规定，电子证据的采用性大打折扣。 4 ) 隔离性原则：鉴于电子证据容易