（计算机应用技术专业论文）计算机取证的安全性及取证推理研究.pdf

西南交通大学博士研究生学位论文第l 页 摘要 计算机取证是解决争议和打击计算机犯罪的重要手段，是实现信息安全保 障的一个重要方面，在保持社会稳定和维护法律秩序方面具有重要作用。计算 机取证的安全性、可靠性面临特殊的挑战：首先，电子证据的脆弱性导致了证 据容易被修改且修改后不易被发现，电子证据在收集过程中和获得之后都面临 着证据毁坏、介质错误、特定数据伪造等各种威胁；其次，大量案例涉及的海 量数据信息使得对电子证据的固定面临着细粒度的完整性检验需求与h a s h 数 据量大之间的矛盾；同时，反取证威胁使得电子证据获取工具的安全成为新的 问题，计算机取证分析结论的可靠性也不断受到质疑。 本文在分析计算机取证领域国内外研究现状和存在问题的基础上，以加强 计算机取证的安全性、可靠性为目标，研究了细粒度数据完整性检验理论以支 持细粒度电子证据固定，从而支持电子证据的真实性、完整性；研究电子证据 获取方法的安全性和可靠的形式化取证推理方法。归纳起来，本文的主要研究 工作和创新内容表现在以下几个方面： 首先，针对计算机取证的细粒度数据完整性检验需求及海量数据导致的 h a s h 大数据量问题，基于组合编码原理提出了细粒度数据完整性检验方法，称 为完整性指示编码。完整性指示编码使用监督矩阵表示h a s h 和数据对象之间 的监督关系，通过适当的交叉检验，在保持h a s h 检验安全性不变的前提下，可 用较少的h a s h 数据实现细粒度数据完整性检验。该方法适用于细粒度电子证 据固定。几种传统的完整性检验方案均是完整性指示编码的无交叉检验特例。 设计了一种编码收益度量指标作为选择不同编码及进行参数设置的依据。采用 细粒度数据完整性检验方案可以对少数错误进行准确和高效的隔离，从而减轻 因偶然错误或少量篡改而导致的整体数据失效的灾难性影响。 其次，依据细粒度数据完整性检验方法，分别构造了组合单错完整性指示 码、超方体单错完整性指示码以及有限域多错完整性指示码等三种编码；采用 并发计算和再h a s h 计算两种方式加速h a s h 生成过程，提高了细粒度数据完整 性检验效率。 组合单错完整性指示码在单错条件下可实现对h a s h 数据的大幅度压缩。 超方体单错完整性指示码在单错条件下具有高压缩率、较低错误放大率，并可 通过选取任意自然数作为超方体的阶，以高效率的组合方式处理各种不同规模 第l l 页西南交通大学博士研究生学位论文 的数据对象。有限域多错完整性指示码能准确指示多个错误，在低出错率条件 下具有较高的压缩率、低错误放大率，并可通过灵活设置码参数来满足不同的 实际需要。有限域多错完整性指示码具有模块化的h a s h 结构，对于有限域g f ( q ) 上的d 维向量空间，每增j j n ( d - 1 ) 组共( d - 1 ) q 个h a s h 即可多指示一个错。超方体 单错完整性指示码和有限域多错完整性指示码的h a s h 具有平行的分组关系， 单独一组h a s h 即可独立指示所有数据的完整性，为h a s h 数据的多方分离存储 提供了条件，增强了细粒度数据完整性检验方法在电子证据固定等应用中的实 用性。 随后，针对反取证威胁，分析了一种典型的基于数据底层特征的证据识别 方法上下文触发分片h a s h 算法的脆弱性，提出了带密钥的上下文触发分 片h a s h 快速算法。通过在上下文触发分片h a s h 算法及其传统h a s h 算法中引 入可变参数，由不同密钥生成不同的文件指纹，增加了攻击者通过猜测密钥或 比较文件指纹来获得密钥或参数组合进而攻击文件指纹的难度。改进算法在多 生成一个h a s h 指纹的情况下和原算法的速度相当或更快，而且可以在更大程 度上找到相似的文件。算法性能分析及实验结果表明由不同密钥生成的参数组 之间有较好的独立性，且参数组选择空间大，可较好地抵抗伪造、文件分割与 合并、特定位置修改等针对性攻击，安全性得到明显提高。 最后，针对现有有限状态自动机模型的不足，提出了通用的m e a l y 型时间 有限状态自动机模型及其正向、双向等推理策略。该模型可同时表达系统输入、 输出、内部运行状态等多方面的证据及其时间属性，有利于电子证据的形式化 表示和案例建模。案例分析和实验结果表明了该通用模型及其推理策略的有效 性。 关键词：计算机取证；数据完整性；电子证据；反取证；数字证据 西南交通大学博士研究生学位论文第| fi 页 a b s tr a c t c o m p u t e rf o r e n s i c s i sa ni m p o r t a n tm e t h o df o rs o l v i n gc i v i l d i s p u t ea n d f i g h t i n ga g a i n s tc o m p u t e rc r i m e ，a n da l s oaw a y t or e a l i z ei n f o r m a t i o na s s u r a n c e i t p l a y sam o r ea n dm o r ei m p o r t a n tr o l ei nm a i n t a i n i n gs o c i a ls t a b i l i t ya n dl a wo r d e r t h es e c u r i t ya n dr e l i a b i l i t yo fc o m p u t e rf o r e n s i c sf a c es p e c i a lc h a l l e n g e s f i r s t o fa l l ，d i g i t a le v i d e n c ei si n h e r e n t l yv u l n e r a b l e ，a n di ti se a s yt ob em o d i f i e dw h i l ei t i sv e r yd i f f i c u l tt od i s c o v e rt h em o d i f i c a t i o n s i nt h ep r o c e s so fg a t h e r i n ga n d p r e s e r v i n gd i g i t a le v i d e n c e ，t h e r ea r em a n yk i n d s o ft h r e a t s ，s u c ha se v i d e n c e d e s t r o y i n g ，m e d i u me r r o ra n ds p e c i f i cd a t af o r g i n g s e c o n d l y , m a s sd a t ao c c u r r e di n m a n yc a s e si sad i f f i c u l tc h a l l e n g ef o rc o m p u t e rf o r e n s i c s ，w h i c hi st h ec o n t r a d i c t i o n b e t w e e nt h ed e m a n do ff i n e g r a i n e de v i d e n c ep r e s e r v a t i o na n dm a s sh a s hd a t a f u r t h e r m o r e ，w i t ht h ed e v e l o p m e n to fa n t i f o r e n s i c st e c h n o l o g i e s ，t h es e c u r i t yo f d i g i t a le v i d e n c ea c q u i s i t i o na n di d e n t i f i c a t i o nm e t h o d sa n dt o o l sb e c o m e san e w d i f f i c u l tp r o b l e m a tt h es a m et i m e ，t h er e l i a b i l i t yo fa n a l y s i sc o n c l u s i o no f c o m p u t e rf o r e n s i c si sd o u b t e do c c a s i o n a l l y i nt h i sd i s s e r t a t i o n ，w es u m m a r i z et h er e s e a r c hr e s u l t so ft h e o r i e sa n dm e t h o d s a b o u tc o m p u t e rf o r e n s i c sa tf i r s t t h e n ，i no r d e rt oi m p r o v et h es e c u r i t ya n d r e l i a b i l i t yo fc o m p u t e rf o r e n s i c s ，t h ef i n e g r a i n e dd a t ai n t e g r i t yt h e o r yi ss t u d i e dt o s u p p o r tt h ef i n e g r a i n e dd i g i t a le v i d e n c ep r e s e r v a t i o n i ti sh e l p f u lf o ra s s u r i n gt h e f i d e l i t y , i n t e g r i t ya n ds e c u r i t yo fd i g i t a le v i d e n c e s e c u r em e t h o do fd i g i t a le v i d e n c e a c q u i s i t i o na n di d e n t i f i c a t i o n ，a n dt h ef o r m a lf o r e n s i c sr e a s o n i n gm e t h o da r ea l s o s t u d i e d t h em a i nc o n t r i b u t i o n so ft h i sd i s s e r t a t i o na r er e c a p i t u l a t e da sf o l l o w s ： f i r s to fa l l ，t o s a t i s f yt h ed e m a n do ff i n e g r a i n e dd a t ai n t e g r i t yc h e c ki n c o m p u t e rf o r e n s i c sa n ds o l v et h ei s s u eo fm a s sh a s hd a t a ，af i n e g r a i n e dd a t a i n t e g r i t yc h e c km e t h o di sp r o p o s e db a s e do r lt h ec o m b i n a t o r i a lc o d i n gt h e o r y 。i ti s n a m e da si n t e g r i t yi n d i c a t i o nc o d i n g ( i i c ) c h e c km a t r i xi su s e dt oe x p r e s st h e c h e c kr e l a t i o n s h i po fh a s h e sa n dd a t a i i cc o u l da c c o m p l i s hf i n e g r a i n e dd a t a i n t e g r i t yc h e c ku s i n gl e s sh a s hd a t av i a c r o s sh a s hc h e c k i n g i ti ss u i t a b l e f o r f i n e g r a i n e dd i g i t a le v i d e n c ep r e s e r v a t i o n t r a d i t i o n a li n t e g r i t yc h e c ks c h e m e sc a n b et a k e na st h ep a r t i c u l a rc a s e so fi i cw i t h o u tc r o s sh a s hc h e c k i n g t h e 第l v 页西南交通大学博士研究生学位论文 m e a s u r e m e n to f c o d eg a i ni sa l s od e s i g n e dt og u i d et h ec h o o s i n go fr i g h tc o d ea n d p a r a m e t e r sf o rr e a la p p l i c a t i o n f i n e - g r a i n e dd a t ai n t e g r i t yc h e c km e t h o dc o u l d m i t i g a t e t h ed i s a s t r o u se f f e c to fs o m er a n d o me r r o r so ri n t e n t i o n a l f o r g i n g m o d i f i c a t i o n i nc a s eo fap o r t i o no fe v i d e n c ed a t ao rf i l ei s c o r r u p t e d ，i tc o u l d i s o l a t et h ed a m a g ee f f i c i e n t l ya n da c c u r a t e l y ，s ot h ei n t a c tr e m a i n d e rw i l lb es t i l l u s a b l e t h e r e a f t e r , b a s e do nf i n e - g r a i n e dd a t ai n t e g r i t yc h e c km e t h o d ，c o m b i n a t o r i a l o n ee r r o ri n t e g r i t yi n d i c a t i o nc o d e ( c1e l i c ) ，h y p e r c u b eo n ee r r o ri n t e g r i t yi n d i c a t i o n c o d e ( h le l i c ) a n dg a l o i sf i e l dm u l t i e r r o ri n t e g r i t yi n d i c a t i o nc o d e ( g f i i c ) a r e p r o p o s e dr e s p e c t i v e l y c o n c u r r e n tc o m p u t i n gm o d e la n dr e h a s hc o m p u t i n gm o d e l a r eu s e dt oa c c e l e r a t et h eh a s hc o m p u t i n gp r o c e s s ，a n di m p r o v et h ee f f i c i e n c yo f f i n e g r a i n e dd a t ai n t e g r i t yc h e c k i n g c o m b i n a t o r i a lo n ee r r o r i n t e g r i t y i n d i c a t i o nc o d eh a s v e r yh i g h h a s h c o m p r e s s i o nr a t i o h y p e r c u b e o n ee r r o r i n t e g r i t y i n d i c a t i o nc o d eh a s h i g h c o m p r e s s i o nr a t i oa n dl o wb a s ee r r o ra m p l i f i c a t i o nr a t i o b ys e t t i n ga n yp o s i t i v e i n t e g e ra st h eh y p e r c u b e so r d e r , h 1e l i ci sa b l et od e a lw i t hd i f f e r e n ts c a l eo fd a t a o b je c t se f f i c i e n t l y g f i i cc a ni n d i c a t em u l t i p l ee r r o r sa c c u r a t e l yw i t hh i g hc o m p r e s s i o nr a t i oa n d l o we r r o r a m p l i f i c a t i o nr a t i o ，a n d i t p r o v i d e s as c a l a b l es c h e m ef o rd i f f e r e n t a p p l i c a t i o n sw i t hs e v e r a lp a r a m e t e r s g f i i ch a sam o d u l a rh a s hc h e c ks t r u c t u r e i na dd i m e n s i o nv e c t o rs p a c eo v e rg f ( q ) ，o n em o r ee r r o rc a nb ei n d i c a t e db ya d d i n gq r o w sd - 1c o l u m n sh a s h e se v e r yt i m e a tt h es a m et i m e a nh a s h e so fg f i i ca n d hle l i cc a nb ed i v i d e di n t os e v e r a lg r o u p s ，a n de a c hg r o u pc a ni n d i c a t et h ei n t e g r i t y o fa l ld a t ai n d e p e n d e n t l y s oi th a st h ec a p a b i l i t yo fp r e s e r v i n gh a s hd a t as e p a r a t e l y a n dm a k i n gf i n e g r a i n e dd a t ai n t e g r i t yc h e c km e t h o du s e f u li n d i g i t a le v i d e n c e p r e s e r v a t i o n n e x t ，a ni m p r o v e dr e s i l i e n ta n dq u i c kc o n t e x tt r i g g e r e dp i e c e w i s eh a s h a l g o r i t h mw i t hk e yi sp r o p o s e d c o n t e x tt r i g g e r e dp i e c e w i s eh a s h i n gt e c h n i q u ei s s u i t a b l ef o ri n d e n t i f y i n go rf i l t e r i n ge v i d e n c e ，w h i c hi sb a s e do nt h eb i ts t r e a m c h a r a c t e r i s t i co f d a t a f a c i n g t h et h r e a to fa n t i - f o r e n s i c s t e c h n o l o g y ，t h e v u l n e r a b i l i t yo fc o n t e x tt r i g g e r e dp i e c e w i s eh a s h i n gi sa n a l y z e da n dt h e n a n i m p r o v e dr e s i l i e n ta n dq u i c ka l g o r i t h mw i t hk e y ，n a m e ds e c u r ea n dq u i c kh a s h c h e c k s u m ( s k s u m ) ，i sp r o p o s e d b yu s i n g v a r i a b l ep a r a m e t e r si nt h ec o n t e x t 西南交通大学博士研究生学位论文第v 页 _ - l l - l l l l _ - l _ _ _ - _ _ 一i i i i ii ii i i l liii l i _ l l i l l - l _ - l i l _ i - - _ _ - _ _ - _ t r i g g e r e dp i e c e w i s eh a s h i n g ，t h ea l g o r i t h mw i l lp r o d u c ead i f f e r e n tf i l es i g n a t u r ef o r af i l ew i t had i f f e r e n tk e y i tw i l lb em o r ed i m c u l tf o ra t t a c k e r st oo b t a i nt h ek e yo r t h ep a r a m e t e rc o m b i n a t i o no faf i l es i g n a t u r es o a st oa t t a c kt h ef i l es i g n a t u r eb y g u e s s i n gk e y so rc o m p a r i n gf i l es i g n a t u r e s s k s u mc a ng e n e r a t eaf i l es i g n a t u r ew i t h o n em o r eh a s hs i g n a t u r ei nt h es a m eo rf a s t e rs p e e dc o m p a r e dt ot h eo r i g i n a l a l g o r i t h m t h ep e r f o r m a n c ea n a l y s i sa n de x p e r i m e n tr e s u l t ss h o w t h a tt h ed i f f e r e n t p a r a m e t e rc o m b i n a t i o n so fd i f f e r e n tk e y sa r ei n d e p e n d e n t ，a n dt h e r ea r e ah u g e a m o u n to fc h o i c e sf o rp a r a m e t e rc o m b i n a t i o n s t h ea l g o r i t h mc a nd e a lw i t hf o r g i n g ， f i l es p l i t t i n ga n dm e r g i n g ，s p e c i f i cf i l ep o s i t i o nm o d i f i c a t i o na t t a c k ，a n di t ss e c u r i t y p e r f o r m a n c ei si m p r o v e do b v i o u s l y f i n a l l y , at i m e dm e a l yf i n i t es t a t em a c h i n em o d e lw i t hm u l t i p l er e a s o n i n g s t r a t e g i e s i sp r o p o s e dt oo v e r c o m et h ed i s a d v a n t a g eo fg l a d y s h e v sf i n i t es t a t e m a c h i n em o d e l i tc a ne x p r e s st h ee v i d e n c eo fs y s t e mi n p u t ，o u t p u ta n di n n e rs t a t e w i t ht i m ea t t r i b u t ea tt h es a m et i m e i ti ss u i t a b l e f o rt h e d i g i t a l e v i d e n c e f o r m a l i z a t i o na n dc a s em o d e l i n g c a s es t u d ya n de x p e r i m e n tr e s u l ts h o wt h a tt h e g e n e r a lm o d e lw i t hr e a s o n i n gs t r a t e g i e si sf e a s i b l ea n da d a p t a b l e k e yw o r d s ：c o m p u t e rf o r e n s i c s ；d a t ai n t e g r i t y ；e l e c t r o n i ce v i d e n c e ；a n t i f o r e n s i c s ； d i g i t a le v i d e n c e 西南交通大学博士研究生学位论文第1 x 页 缩略语英文全称 缩略语表 中文解释 s w g d e 塞c 裟i f i c w o r k i n gg r o u p o n d i g i t a l 数字证据科学工作组 e v l d e n c e 1 0 c e n i s t c t p h g f m d 5 s h a m a c i i c c 1 e i i c h 1 e l i c g f i i c 璺? ? 纰i o n a l o r g a n i z a t i o no nc o m p u t e r 计算机证据国际组织 e v i d e n c e n a t i o n a li n s t i t u t eo fs t a n d a r d s a n d 美国国家标准技术局te c h n o l o g y 7 、35 1 1 、。7 。+ 。“。7 。 c o n t e x tt r i g g e r e dp i e c e w i s eh a s h上下文触发分片h a s h g a l o i sf i e l d m e s s a g e - d i g e s ta l g o r i t h m5 伽罗华域、有限域 消息摘要算法5 s e c u r eh a s ha l g o r i t h m安全h a s h 算法 m e s s a g e a u t h e n t i c a t i o nc o d e i n t e g r i t yi n d i c a t i o nc o d i n g 消息认证码 完整性指示编码 c o m b i n a t o r i a lo n ee r r o r i n t e g r i t y 组合单错完整性指示 i n d i c a t i o nc o d e码 h y p e r c u b eo n ee r r o ri n t e g r i t yi n d i c a t i o n 超方体单错完整性指 c o d e示码 g a l o i s f i e l dm u l t i e r r o r i n d i c a t i o nc o d e i n t e g r i t y 有限域多错完整性指 示码 s k s u ms e c u r ea n dq u i c kp i e c e w i s ec h e c k s u m t m mt i m e dm e a l yf i n i t es t a t em a c h i n e 安全的快速分片h a s h 算法 m e a l y 型时间有限状态 自动机 西南交通大学 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定， 同意学校保留并向国家有关部门或机构送交论文的复印件和电子 版，允许论文被查阅和借阅。本人授权西南交通大学可以将本论文 的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印 或扫描等复印手段保存和汇编本学位论文。 本学位论文属于 1 保密口，在年解密后适用本授权书； | 2 不保密d ，使用本授权书。 ( 请在以上方框内打“”) 学位论文作者签名：啮，伛 日期：卜予f 指导老师签名：硼j 敏 日期：例矿1 彳6 西南交通大学 学位论文创新性声明 本人郑重声明：所呈交的学位论文，是在导师指导下独立进行研究工作所 得的成果。除文中已经注明引用的内容外，本论文不包含任何其他个人或集体 已经发表或撰写过的研究成果。对本文的研究做出贡献的个人和集体，均已在 文中作了明确的说明。本人完全意识到本声明的法律结果由本人承担。 本学位论文的主要创新点如下： ( 1 ) 基于组合编码原理，用监督矩阵表示h a s h 和数据对象之间的监督关系， 提出了细粒度数据完整性检验方法，称为完整性指示编码。通过适当的交叉检 验，在保持h a s h 检验安全性不变的前提下，完整性指示编码可用更少的h a s h 数据实现细粒度数据完整性检验，适用于细粒度电子证据固定。几种传统的完 整性检验方案均是完整性指示编码具体方案中的无交叉检验特例。细粒度数据 完整性检验可以对少数错误进行隔离，减轻因偶然错误或少量篡改而导致整体 数据失效的灾难性影响。( 第2 章) ( 2 ) 基于细粒度数据完整性检验方法构造了一系列编码。他们分别是组合单 错完整性指示码、超方体单错完整性指示码以及有限域多错完整性指示码。这 些完整性指示码在准确指示一定数量出错数据对象的同时可实现较大程度的 h a s h 压缩。有限域多错完整性指示码具有模块化的h a s h 监督结构，对于有限 域g f ( q ) 上的d 维向量空间，每增2 h ( d - 1 ) 组共( d - 1 ) q 个h a s h 即可多指示一个错。 超方体单错完整性指示码和有限域多错完整性指示码的h a s h 具有平行的分组 关系，单独一组h a s h 即可独立指示所有数据的完整性。采用并发计算和再h a s h 计算两种方式加速h a s h 生成过程，提高了细粒度数据完整性检验效率。( 第3 章，第4 章) ( 3 ) 提出了带密钥的上下文触发分片h a s h 快速算法。通过在上下文触发分 片h a s h 算法中引入可变参数，可由不同密钥生成文件的不同文件指纹，增加 了攻击者通过猜测密钥或比较文件指纹来获得密钥或参数组合进而攻击文件指 纹的难度。改进算法由不同密钥生成的参数组之间有较好的独立性，且参数组 选择空间大，可应对多种攻击，安全性得到明显提高。同时，该算法生成的文 件指纹包含三个不同级别的h a s h 指纹并采用再h a s h 方法加速文件指纹的生 成。( 第5 章) ( 4 ) 将表示取证调查目标系统的有限状态自动机模型扩展为m e a l y 型时间 有限状态自动机模型。该模型可同时表达系统输入、输出、内部运行状态等多 方面的证据及其时间属性，有利于电子证据的形式化表示和案例建模。基于该 模型设计了正向、双向等多种推理策略。( 第6 章) 蓄翥霸耄麓恐伛 日期h 年月日 西南交通大学博士研究生学位论文第1 页 1 1 计算机取证概述 1 1 1 研究意义 第1 章绪论 在信息社会里，人们的生活与计算机、网络密切联系在一起。以计算机和 网络为基础的各种应用引起的社会纠纷不断出现，针对计算机和网络的犯罪活 动也越来越多。将犯罪分子绳之以法，以法律的威慑力来减少计算机犯罪是社 会的重要需求，也是实现计算机和网络安全的一道最终的有力防线。 要解决这种民事纠纷，打击计算机犯罪就需要有充分、可靠、说服力强的 证据，计算机取证成为解决争议和打击计算机犯罪的重要手段。计算机取证是 实施信息安全保障的一个侧面，在保持社会稳定和维护法律秩序方面起到重要 作用。 电子证据指以电子形式存在的、作为证据使用的一切材料及其派生物；或 者说借助电子技术或电子设备而形成的一切证据【l j 。电子证据也称计算机证据、 数字证据。不同名称的含义有细微差别，通常情况下可认为含义相同。从取证 的本质来看，计算机取证是运用计算机及其相关科学和技术的原理与方法获取 与计算机相关的证据以证明某个客观事实的过程【2 j 。它包括对电子证据的确定、 收集、保护、分析、归档以及法庭出示。 安全是对于可以预见的风险、危险和威胁，拥有相当的抵御能力使得保护 目标可以免受伤害的能力p j 。安全的问题具有普遍性，计算机取证安全也需要 对于计算机取证过程中存在的风险、危险和威胁，拥有保证计算机取证活动正 常开展、实现取证目标的能力。 电子证据容易遭篡改且篡改后不易被发现，从而具有特殊的脆弱性。所以， 电子证据的真实性、可靠性、完整性属于计算机取证中的关键问题。电子证据 保全对电子证据进行固定、安全存储，是保障电子证据证明力的必不可少的手 段。计算机取证过程中的电子证据收集、获取等环节还受到反取证的威胁，现 有取证方法与工具都面临着失效的可能。同时，计算机取证有着复杂的数据处 理、数据分析过程，而电子证据及取证分析结论的真实性、可靠性面临复杂的 挑战。所以计算机取证的安全性、可靠性成为取证成功的关键。 第2 页西南交通大学博士研究生学位论文 1 1 2 研究现状 近年来，计算机取证研究发展非常迅速，该领域成为许多重要国际会议的 主要专题，并有几个专门的系列国际会议。 计算机取证研究领域新，且是交叉学科，涉及的问题十分广泛。国外很早 就开始了计算机取证的研究，较早就建立了专门的取证实验室、成立了数字证 据科学工作组( s w g d e ) 、计算机证据国际组织( 1 0 c e ) 等机构m j 。通过不断地实 践，国际上在取证方法学、取证工具、人员培训与资格认定等方面均取得了突 出成就【孓1 2 】。国内的研究者也十分重视计算机取证的研究与开发工作，中国科 学院等单位较早开始了此领域的研究【1 3 j8 1 ，早期的主要工作有：王玲等人于 2 0 0 3 年发表了较有影响的计算机取证综述论文【1 3 】；丁丽萍等人就法律与技术问 题的关系从宏观上对计算机取证的研究进行了综合讨论【1 4 】；孙波等从统一描述 计算机取证实践的基本问题及过程、方法的角度提出了计算机取证的场景需求 定义方法【1 5 , 1 6 ；许榕生研究员带领的团队从事取证方法、取证工具的研发 1 7 , 1 8 。 下面简要分析国内外的研究成果。 1 计算机取证模型取证模型抽取了取证过程中的重要共性程序与方法， 可对取证活动起到指导作用。人们在计算机取证的实践中不断总结经验 5 , 1 0 , 1 6 】， 进一步进行归纳、抽象形成了取证模型。较早的是美国司法部提出的法律执行 过程模型( l a we n f o r c e m e n tp r o c e s sm o d e l ) 1 6 , 1 9 。该过程模型基于标准的物理 犯罪( p h y s i c a lc r i m e ) 现场调查过程模型，将计算机取证划分为以下五个阶段： 准备( p r e p a r a t i o n ) 、收集( c o l l e c t i o n ) 、检验( e x a m i n a t i o n ) 、分析( a n a l y s i s ) 和报 告( r e p o r t i n g ) 。 针对特定技术和特定方法细节上的研究无法总结出普遍的取证方法，而各 种不同的取证活动都存在共同的特性。美国空军研究院制定的过程抽象模型则 提供了更有普遍指导意义的取证程序。过程抽象模型【1 6 , 1 9 j 将计算机取证的内容 分为识王j 1 ( i d e n t i f i c a t i o n ) 、准备( p r e p a r a t i o n ) 、策略制定( a p p r o a c hs t r a t e g y ) 、保 全( p r e s e r v a t i o n ) 、收集( c o l l e c t i o n ) 、检验( e x a m i n a t i o n ) 、分析( a n a l y s i s ) 并l 提交 ( p r e s e n t a t i o n ) 等任务，同时明确了每个步骤的含义。 计算机取证的层次模型2 0 , 2 1 1 和多维计算机取证模型 2 2 1 ( m u l t i d i m e n s i o n f o r e n s i c sm o d e l ) 则以更大的视野讨论了取证中各环节的复杂关系及其实施过 程。 2 电子证据收集在取证现场获取相关信息、对取证磁盘进行取证复制得 西南交通大学博士研究生学位论文第3 页 到多备份映像等属于证据收集。电子证据在收集过程中和收集之后都面临毁 坏、伪造、偶然错误等安全问题，其真实性、完整性常常难以证明。 数据恢复是证据收集的一个重要方面，常常是取证的一个前期的基础性工 作。m e m o n 等采用启发式方法自动从文本、图像文件等碎片中恢复原文件【2 3 刀】， 一般依据文件头、文件尾的特征和文件内容的分布规律等进行初始定位。 电子证据的一个主要来源是计算机系统运行过程中与安全机制有关的各 类日志或信息记录。加强现有的安全审计、日志记录等安全基础设施，可对计 算机取证提供有力的支持【2 孓27 1 。目前，计算机与网络的体系结构并未考虑取证 的需求，s h a n m u g a s u n d a r a m 提出建立分布式网络取证支持体系设置取证服 务器网络，具有记录各种网络行为和网络数据流、提供安全的证据查询等功能 【2 8 1 。o p p l i g e r 提出建立收集证据的取证数字黑匣子以支持必要时调查那些不可 重现的事件弘w 。 尤其突出的是，电子证据及其收集还面临反取证的威胁。反取证的目标是 采取各种措施，使现有取证工具或技术手段难以达到取证目标乃至失效。传统 的反取证方法是数据擦除、数据隐藏、数据加密等【1 3 , 3 0 j 。 对于反取证方法数据隐藏和数据加密，具体实现技术十分丰富，其技术来 源于信息安全领域，两种方法都有针对性的隐秘分析、密码分析研究领域专门 与之对抗 3 1 , 3 2 】。 对于反取证方法数据擦除，对抗的手段是针对可能的证据尽早采取各种安 全措施并固定证据。实际上，现有静态取证模式以及反取证技术都会导致证据 缺失的问题，主要解决方法是事前采取各种有效措施，主动收集必要的证据【3 3 1 。 这方面的研究成果较丰富，主要思路是与各种信息安全设备、系统环境相结合， 进行证据的主动收集 3 4 - 3 8 。 主动证据收集方面的研究工作主要有：李涛应用免疫原理提出了网络监控 的动态变化模型3 4 】，可在入侵发生时动态提取证据；孙波等提出在现有系统中 预先设置电子证据收集系统p 引，构造能够最大限度地收集真实的、完整的电子 证据的取证环境，并且讨论了取证环境面临的威胁，为电子证据收集系统构造 了相应的安全保护机制；丁丽萍等则提出了一种安全可取证操作系统【3 圳，可在 系统运行过程中收集证据，也可以保证证据收集的安全。 由于大量的现有网络与各类信息系统已经在运行中，而且基于成本及认识 上的原因，短期内难以在各类系统中部署这些主动证据收集手段。 b e l l a r e 等研究了保护现有操作系统曰志安全的问题。所提出的前向完整性 第4 页西南交通大学博士研究生学位论文 ( f o r w a r di n t e g r i t y ) 安全机制可保证当系统被攻破后，已生成的系统日志的完整 性不会被破坏【38 1 ，从而可以得到有证明力的证据。 数字水印技术也可用于预先设定证据，适用于权利人保护自己的数字产 品，可发现非授权发布的行为。s c h o n b e r g 等提出了网络多媒体非授权散布的 识别分析系统处理框梨3 9 j ，对多媒体扩频指纹技术进行了改进，可以抵抗对 多媒体内容的分级攻击和共谋攻击等。美国马里兰大学吴曼博士带领的研究团 队从多媒体安全和取证的角度对数字水印技术进行了研究【4 0 1 。 3