（计算机应用技术专业论文）基于局域网主机日志的取证技术研究与系统设计.pdf

摘要 摘要 伴随着计算机的出现和使用，出现了一种新的犯罪形式，这就是计算机犯罪。 这种新型的犯罪活动正日益猖獗，给国家的发展和稳定带来了严重的危害，打 击和防范计算机犯罪已经成为各国司法部门亟待解决的一大难题。计算机取证 技术正是在这种应用背景下发展起来的，它的目标是对计算机及其相关的设备 中发生的犯罪行为进行取证，获取入侵事件的电子证据，为打击犯罪分子提供 证据。 近年来，计算机取证技术正在成为人们关注和研究的热点，已经发展了一批 成熟的计算机取证技术和取证工具。但是传统取证技术局限于事后的静态取证， 由于反取证技术的发展，事后取证技术很难保证证据的真实性、有效性和及时 性；现在有些动态的取证模型是和入侵检测系统结合起来，试图在发现入侵的 时候，把一些能反映入侵行为的文件保存起来，由于入侵检测系统存在一些缺 点，也导致这种模型不能真正地保证电子证据的完整性。 本论文提出了一种基于局域网主机日志的取证模型，可以克服以上缺点。同 志文件记录了系统指定对象操作及其操作结果，它能够反映用户的行为，可以 作为电子证据。本模型采用基于代理的分布式结构，通过在被取证计算机上的 代理软件，实时地提取被取证机上产生的日志记录，通过多种加密技术，对日 志记录进行加密，生成日志的数字签名以及能证明日志记录相互关联关系的消 息摘要，通过建立安全通道传输到安全的取证服务器上保存，并能通过验证算 法证明日志的原始性和真实性，从而保证了日志证据的安全性和抗否认性。并 设计了在取证机服务器上依据关键字进行查询的功能。 本模型的特点： 1 ) 实时的将日志记录进行转存到安全服务器上，能够有效地避免入侵者删 除日志文件，破坏犯罪证据。 2 ) 针对局域网主机的日志文件，这些日志文件不仅能记录外网入侵者的行 为，也能够记录本地用户使用计算机的行为，能够为局域网破坏活动提供有效 的证据。 关键词：计算机取证电子证据加密w i n d o w s 日志s s l 协议 a b s t r a c t a b s t r a c t w i t ht h ee m e r g e n c ea n du s eo fc o m p u t e r s ，an e wf o r mo fc r i m ec a l l e dc o m p u t e r c r i l n ec o m e si n t ob e i n g t h i sn e wt y p eo fc r i m i n a la c t i v i t y , w h i c hh a sd o n eg r e a t h a r mt ot h ec o u n t r y sd e v e l o p m e n ta n ds t a b i l i z a t i o n ，i sb e c o m i n gi n c r e a s i n g l y r a m p a n t t h u s ，c o m b a t i n ga n dp r e v e n t i n gc o m p u t e r - r e l a t e dc r i m eh a sb e c o m e o n eo f t h et r i c k i e s tp r o b l e m st h a te v e r yn a t i o n a lj u d i c i a la u t h o r i t yn e e d st oa d d r e s s a g a i n s t t h i sb a c k g r o u n dc o m p u t e rf o r e n s i c sh a sd e v e l o p e d ，w i t hi t sg o a lt of i n do u te v i d e n c e o fc r i m i n a la c t si nc o m p u t e ra n dr e l a t e de q u i p m e n t ，t og a i ne l e c t r o n i ce v i d e n c eo f i n t r u s i o n ，a n dt op r o v i d ee v i d e n c et oc o m b a tc r i m i n a l s i nr e c e n ty e a r s ，c o m p u t e rf o r e n s i c st e c h n o l o g yi sb e c o m i n gac o n c e r no fp e o p l e a n dah o tt o p i co fr e s e a r c h an u m b e ro fm a t u r ec o m p u t e rf o r e n s i c sa n de v i d e n c e t o o l sh a v eb e e nd e v e l o p e d h o w e v e r ，t h et r a d i t i o n a lf o r e n s i c si sl i m i t e dt ot h e p o s t e v e n ts t a t i ce v i d e n c e a st i l et e c h n o l o g ya g a i n s tt r a d i t i o n a lf o r e n s i c sd e v e l o p s ， p o s t e v e n ts t a t i ce v i d e n c ec a nh a r d l ye n s u r et h ea u t h e n t i c i t y , v a l i d i t ya n dt i m e l i n e s s o fe v i d e n c e n o ws o m ed y n a m i cm o d e l sa r eu n i t e dw i t hi n t r u s i o nd e t e c t i o ns y s t e m ( i d s ) ，t r y i n gt os a v et h ed o c u m e n t sr e f l e c t i n gt h ea c to f i n t r u s i o na tt h em o m e n to fi t s h a p p e n i n g a si d sh a s s o m es h o r t c o m i n g s ，t h i sm o d e lc a n tg u a r a n t e ef o rt h e i n t e g r i t yo fe l e c t r o n i ce v i d e n c e t h i sp a p e rp r e s e n t saf o r e n s i c sm o d e lb a s e do nl a nh o s tl o gw h i c hc a n o v e r c o m et h e s es h o r t c o m i n g s l o gf i l ew h i c hr e c o r d st h eo p e r a t i o na c t i v i t i e sa n d o p e r a t i o nr e s u l t s o fo b j e c t sd e s i g n a t e db yt h es y s t e mw h i c hr e f l e c t st h eu s e r s b e h a v i o rc a nb eu s e da se l e c t r o n i ce v i d e n c e s t h i sm o d e lu s e sa g e n t - b a s e dd i s t r i b u t e d s t r u c t u r e ，t h r o u g ht h ea g e n tr u n n i n go nt h et a r g e tc o m p u t e r , m a k e sar e a l 。t i m e e x t r a c t i o no fe v i d e n c ef r o mt h el o gr e c o r d s t h r o u g hav a r i e t yo fe n c r y p t i o n t e c h n o l o g i e si te n c r y p t st h el o gr e c o r d s ，g e n e r a t i n gd i g i t a ls i g n a t u r ea n dm e s s a g e d i g e s tt h a tc a np r o v et h el o gr e c o r d s i n t e r r e l a t e dr e l a t i o n s t h r o u g ht h ee s t a b l i s h m e n t o fs a f ec h a n n e li tt r a n s f e r s l ee v i d e n c et ot h ef o r e n s i c ss e r v e r , a n dt h r o u g h v e r i f i c a t i o na l g o r i t h mi tp r o v e st h eo r i g i n a l i t ya n da u t h e n t i c i t yo ft h el o gs oa st o i l 一 a b s t r a c t 一一 吼s 啪t 1 1 es a f e t ya n di d e n t i t y a u t h e n t i c a t i o no fl o g e v i d e n c e q u e r yb a s e d0 n k e y w o r di si m p l e m e n t e do nt h et a r g e tc o m p u t e r t h i sm o d e lh a st h ef o l l o w i n g f e a t u r e s ： 1 ) r e a lt i m et r a n s f e r r i n go ft h el o gr e c o r d st o s e 伽嘴s e r v e ra n de 缅t i v e a v o i 妇蛾o ft h ei n t r u d e r s d e l e t i o no f t h el o gf i l ei na na t t e m p tt 0d e 咖c t 踊m i n a l e v i d e n c e 2 ) b a s e do nl a nh o s tl o gf i l e l o gf i l en o to n l yc a n r e c o r da c t i v i t i e so fo u t s i d e 1 n n u d e r s ，b u ta l s 0c 粗蚴r dt h eu s eo fc o m p u t e r sb yl o c a lu s e i 8 ，t h u s p r o v i d i n g v a l i de v i d e n c ef o rl a n s a b o t a g ea c t i v i t i e s k e yw 。r d ：c o m p u t e rf o r e n s i c s ，e l e c t r o n i ce v i d e n c e ，e n c r y p t i 。n ，w i n d 。w s1 。舀s s l p r o t o c o l i i i 南开大学学位论文版权使用授权书 本人完全了解南开大学关于收集、保存、使用学位论文的规定， 同意如下各项内容：按照学校要求提交学位论文的印刷本和电子版 本；学校有权保存学位论文的印刷本和电子版，并采用影印、缩印、 扫描、数字化或其它手段保存论文；学校有权提供目录检索以及提供 本学位论文全文或者部分的阅览服务：学校有权按有关规定向国家有 关部门或者机构送交论文的复印件和电子版；在不以赢利为目的的前 提下，学校可以适当复制论文的部分或全部内容用于学术活动。 学位论文作者签名：寺强 参谬年与月砷e l 经指导教师同意，本学位论文属于保密，在年解密后适用 本授权书。 指导教师签名：学位论文作者签名： 解密时间：年 月日 各密级的最长保密年限及书写格式规定如下： 南开大学学位论文原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师指导下，进行研究工作 所取得的成果。除文中已经注明引用的内容外，本学位论文的研究成果不包含 任何他人创作的、已公开发表或者没有公开发表的作品的内容。对本论文所涉 及的研究工作做出贡献的其他个人和集体，均已在文中以明确方式标明。本学 位论文原创性声明的法律责任由本人承担。 学位论文作者签名：裳缎 洳矿年亏月7 e l 第一章绪论 第一章绪论 第一节研究背景 1 1 1 计算机网络安全和犯罪现状 伴随着计算机的出现和使用，一种新的犯罪形式出现，这就是计算机犯罪， 计算机犯罪概念首先在信息科学技术比较发达的国家提出并形成的。信息科学 技术发展到一定程度是计算机犯罪产生的客观基础，同时也决定了计算机犯罪 具有信息技术的基本特点。根据新刑法第2 8 5 条和第2 8 6 条分别规定的有关计 算机犯罪的内容，以及1 9 9 7 年1 2 月1 1r 最高人民法院发布的关于执行中华 人民共和国刑法确定罪名的规定，所谓计算机犯罪是指借助计算机实施相关 犯罪，以计算机资源为对象而实施的犯罪的总称【l 】。通俗的讲，计算机犯罪是针 对和利用计算机系统，通过非法操作或者其它手段对计算机系统的完整性或正 常行为造成危害后果的行为。当前，计算机犯罪活动突出表现在：采用非法侵 入重要信息系统、修改或破坏网络功能或数据信息等手段，造成数据信息丢失 或网络瘫痪；故意制作、传播计算机病毒等破坏性程序，攻击计算机系统及通 信网络，致使计算机系统及通信网络遭受损害等，危害计算机信息系统安全； 利用计算机信息网络进行侮辱、诽谤他人及进行盗窃、诈骗、敲诈等犯罪活动； 利用互联网侵犯他人知识产权；在互联网上编造并传播扰乱金融秩序的虚假信 息；在互联网上建立淫秽网站、网页，提供淫秽站点链接服务，或者传播淫秽 书刊、影片、音像、图片等破坏社会主义市场经济秩序和社会管理秩序；利用 互联网造谣、诽谤或者发表传播其他有害信息，煽动颠覆国家政权，破坏国家 统一；利用计算机窃取、泄露国家秘密、情报或军事秘密；在互联网上组织邪 教组织、联络邪教组织成员，破坏国家法律、行政法规实施等危害国家安全和 社会稳定；特别是金融领域以非法占有或获取经济利益为目的，利用计算机进 行的诈骗、盗窃、侵占、挪用、贪污等犯罪，给金融系统造成巨额损失。世界 范围的计算机犯罪活动，己经对经济全球化和信息网络化产生不利影响。 随着科学技术的发展，计算机和计算机网络在政治、经济、文化、军事等 第一章绪论 领域得到了广泛的应用，计算机几乎成为人们生活中不可或缺的一部分，计算 机网络拉近了世界的距离，人们也越来越依赖计算机和计算机网络技术。改革 开放以来，我国的综合国力不断增强，我国的计算机网络应用也是突飞猛进， 中国互联网络信息中心( c n n i c ) 今年1 月发布的第2 1 次中国互联网发展状 况统计报告【2 】表明，截至2 0 0 7 年1 2 月，网民数已增至2 1 亿人。中国网民数 增长迅速，比2 0 0 7 年6 月增加4 8 0 0 万人，2 0 0 7 年一年则增加了7 3 0 0 万人，年 增长率达到5 3 3 ，在过去一年中平均每天增加网民2 0 万人。目前中国的网民 人数略低于美国的2 1 5 亿，位于世界第二位。随着网民数量的增加，网络的犯 罪案件的数量也不断的上升。 由于计算机技术的普及和互联网络的虚拟性、开放性，以及与计算机使用 和与互联网相关的立法工作的滞后性，出现了利用计算机和互联网为工具或以 计算机、互联网应用为对象的犯罪活动。1 9 6 0 年1 0 月，唐帕克在美国斯坦福 研究院调查与计算机有关的事故时，发现一位工程师通过非法修改程序在存款 余额上动了手脚，这是世界上首例刑事追溯的计算机犯罪事件。计算机犯罪活 动不仅破坏了正常的网络秩序，给人们的生活、学习、工作带来了极大的影响， 而且，在经济上还具有极大的破坏作用。据2 0 0 5 年美国联邦调查局计算机犯罪 调查显示：“全美大约有2 8 0 万个公司和组织都至少遇到过一次计算机安全问题。 在这2 8 0 万个公司和组织中，平均每一家都遭受到了2 4 万美元的损失。一年内 的损失总额可能会达到6 7 2 亿美元。” 在我国，近年来计算机犯罪活动也呈上升趋势。表1 1 【3 】体现了我国2 0 0 0 年到2 0 0 4 年公安机关监测到的信息网络违法犯罪情况。从表中可以看出，从2 0 0 0 年到2 0 0 3 年，计算机犯罪数量逐年激增。在2 0 0 4 年尽管增长率下降很大，但 这中间由于2 0 0 3 年基数本身较大，而实际的增长总量也很大，达到了2 0 3 6 件。 值得注意的是，表1 1 仅反映了公安机关接案的数量，由于计算机犯罪“黑数” 很大，还有大量的计算机犯罪案件并没有从表中反映出来。计算机犯罪每年给 我们国家造成很大的经济损失。 2 第一章绪论 表1 1 我国2 0 0 0 。2 0 0 4 年信息网络违法犯罪情况变化表 时间 2 0 0 0 年2 0 0 1 年 2 0 0 2 年2 0 0 3 年 2 0 0 4 年 发案数( 起)2 7 0 04 5 4 56 6 3 31 1 6 1 4 1 3 6 5 0 比上年增长 6 8 4 5 7 5 1 7 遏制计算机犯罪迫在眉睫，正如美国华盛顿哥伦比亚特区联邦调查局网络 部处长阿诺尔德贝尔指出的与打击其它犯罪分子一样，调查国际网络犯罪活 动的首要任务是必须获取证据，否则就会无功而返。 1 1 2 计算机日志取证技术在打击计算机犯罪中的作用 打击计算机犯罪和其他的犯罪一样，要提供证据来证明入侵者的犯罪行为， 入侵者在计算机中都会留下“痕迹，目前打击计算机犯罪的关键是如何将入侵 者留在计算机中的“痕迹”作为有效的诉讼证据提供给法庭，以便将入侵者绳 之以法。这个过程涉及到的技术，就是计算机取证技术( c o m p u t e rf o r e n s i c s ) ， 这是一门新兴的技术，正受到人们的关注和研究，它是计算机和法学领域的一 门交叉学科。 系统中的日志( l o g ) 记录着入侵者利用计算机进行犯罪的大量“痕迹”，成为 打击计算机犯罪非常重要的线索和证据来源【4 】。但是，计算机系统产生的同志文 件基本上没有保护机制，容易被入侵者修改、删除甚至伪造，使得计算机系统 日志作为电子证据( e l e c t r o n i ce v i d e n c e ) 时常受到法庭的质疑。如何对存在各种系 统中的日志文件进行安全审计、收集、保护、分析和归档，以确保日志文件的 完整和真实，使日志文件作为有效的证据出示给法庭，已成为迫切需要研究的 问题。计算机日志取证技术就是解决上述问题的主要手段之一，并成为所有公 司和政府部门信息安全保证的基本工作，在打击计算机犯罪中起着非常重要的 作用。 1 1 3 日志文件作为电子证据的科学性和法律地位 有关电子证据的概念有很多 s - z ，本文指的电子证据又称为计算机证据，是 以电子形式存在的、借助信息技术或是信息设备形成的用作证据使用的一切数 据及其派生物。虽然我国民事诉讼法规定的七类证据中并未明确规定电子 3 第一章绪论 证据可以作为有效的诉公证据，但在学术界和司法实践时都将电子证据划归为 刑事诉讼法第4 2 条规定的视听资料类中，把电子证据作为有效证据来处理 有关计算机犯罪的案件。依照有关证据理论，电子证据当属于证据理论中的原 始证据及间接证据范畴【s 。1 0 1 ，。 当把同志文件作为电子证据时必须要考虑三个基本要求： 一是，能证明日志文件的真实性，用一定的方式保护同志文件，确保不被 丢失、毁坏或修改； 二是，必须在日志文件里发现证据； 三是，处理原始日志文件时要对其归档并给出证明，使得提交的证据经得 起司法的详细审型1 1 】。 计算机犯罪与传统的犯罪形式不同，传统的犯罪在犯罪的现场一般都会有 人证、物证，来证明犯罪分子的犯罪过程，这对指认犯罪人有很大的帮助。计 算机犯罪相对于传统的犯罪，犯罪现场比较隐蔽，不可能有人看到入侵者的犯 罪过程，也没有一些传统的证据用来指证犯罪嫌疑人。为了起诉攻击者，在计 算机取证中最重要的证据来源便是系统中各种不会出错的、安全的同志记录。 如果没有留有入侵者“痕迹 的同志文件，那么用法律来制裁计算机入侵者就 会变得非常困难。管理员发现攻击事件往往是分析r 志开始的，进而跟踪和定 位攻击者，条件成熟时将他起诉至法庭。因此，在计算机取证过程中，完全可 以也应该把日志文件作为重要的证据来源。 第二节论文的组织 本文有六章组成，各章的内容安排如下： 第一章：主要进行了相关背景知识介绍，介绍了计算机网络安全和计算机 犯罪现状，从而得出了计算机取证研究的必要性和紧迫性。给出了计算机日志 在打击计算机犯罪中的作用以及日志文件作为电子证据的科学性和法律地位， 最后给出了论文的组织结构。 第二章：介绍了计算机取证和电子证据的概念，提出了计算机取证应遵循 的原则，详细介绍了计算机取证涉及的技术、过程与步骤，最后给出计算机取 证的国内外研究现状。 第三章：介绍了计算机r 志的概念、特点和作用，详细介绍了w i n d o w s 系 4 第一章绪论 统日志，最后给出了日志取证的模型。 第四章：依据计算机取证的原则，对计算机日志取证过程中所涉及的关键 技术进行研究，并提出相应的解决方案。 第五章：主要讨论基于局域网主机同志的取证系统的设计，给出了r 志取 证系统的总体结构，并着重讨论了各个模块的功能与设计。 第六章：对已有的工作进行总结，并对进一步工作进行了展望。 5 第二章计算机取证 第二章计算机取证的相关概念和研究现状 第一节计算机取证的相关概念 2 1 1 计算机取证的定义 随着信息技术的不断发展，计算机越来越多地参与到人们的工作与生活中， 与计算机相关的法庭案例( 如电子商务纠纷，计算机犯罪等) 也不断出现。一 种新的证据形式存在于计算机及相关外围设备( 包括网络介质) 中的电子 证据逐渐成为新的诉讼证据之一。大量的计算机犯罪如商业机密信息的窃 取和破坏，计算机欺诈，对政府、军事网站的破坏案例的取证工作需要提 取存在于计算机系统中的数据，甚至需要从已被删除、加密或破坏的文件中重 获信息。电子证据本身和取证过程的许多有别于传统物证和取证的特点，对司 法和计算机科学领域都提出了新的挑战。作为计算机领域和法学领域的一门交 叉科学：计算机取证( c o m p u t e rf o r e n s i c s ) j 下逐渐成为人们研究与关注的焦 点。 那么什么是计算机取证昵? 作为计算机取证方面的一名专业及资深人士， 3 u d dr o b b i n s 1 2 j 给出了如下的定义：计算机取证不过是简单地将计算机调查和 分析技术应用于对潜在的、有法律效力的证据的确定与获取上。 n e wt e c h n o l o g i e s i t 3 是一家专业的计算机紧急事件响应和计算机取证咨询 公司，扩展了j u d d 的定义：计算机取证包括了对以磁介质编码信息方式存储的 计算机证据的保护、确认、提取和归档。 s a n s h 】的一篇综述文章【1 5 1 给出了如下的定义：计算机取证是使用软件和工 具，按照一些预先定义的程序全面地检查计算机系统，以提取和保护有关计算 机犯罪的证据。 作者认为计算机取证是指对能够为法庭接受的、足够可靠和有说服性的， 存在于计算机和相关外设中的电子证据的确认、保护、提取和归档的过程。 6 第二章计算机取证 2 1 2 计算机取证的原则 计算机证据的易受损特性对收集证据、审查判断证据都提出了严格的程序 的要求；犯罪分子大部分是通过网络而不需要到案发现场去做案。计算机犯罪 往往快跨越国界，不同国家在法律、道德和意识形态上是有差异的，会对案件 调查造成影响。 计算机取证的基本原则是： 合法性原则：总体上要具备法律法规意识，合法地收集计算机证据，依照 法定程序提取证据。证据收集是审查和运用证据的前提，只有取得合法、确实、 充分的证据我们才能准确地认定案件事实，才能正确地使用法律、追究违法人 员和犯罪嫌疑人的法律责任。 及时性原则：尽早收集证据，保证其没有受到任何破坏。这一原则表明计 算计证据的获取有一定的实效性。 准确性原则：调查取证专业人员应严格按照操作的原则，运用好科学技术 的原理与方法，尽量获得真实结果，准确不出差错。 证据必须保证“证据连续性( c h a i no fc u s t o d y ，有时称证据链) ，即在 证据被正式提交给法庭时，必须能够说明在证据从最初的获取状态到在法庭上 出现状态之间的任何变化，当然最好是没有变化。整个检查过程、取证过程必 须受到监督的，如果原告委派的专家所作的所有调查取证工作，最好都应该受 到有其他方委派的专家的监督。 多备份原则：即对于含有计算机证据的媒体至少应制作两个副本，原始媒 体应存放在专门的房间有专人保管，复制品可以用于计算机取证人员进行证据 的提取和分析。 环境安全原则：计算机证据应妥善保存，以备随时重组、试验或者展示。 严格管理过程原则：含有计算机证据的媒体的移交、保管、开封、拆卸的 过程必须有侦查人员和保管人员共同完成，每一个环节都必须检查真实性和完 整性，并拍照和制作详细的笔录，由行为人共同签名。 以上取证原则是人们在取证实践中不断总结出来的经验和准则，是由于取 证对象的特殊性所决定的，与传统的刑事取证相比，既有共同点也有其特殊点。 计算机取证和刑事取证都要求及时保护现场并进行取证，任何证据都是犯罪分 子破坏的首要对象，大多数证据也容易被破坏，他们都要求对获取的证据进行 7 第二章计算机取证 安全保管，要求确保证据链的完整；他们的取证过程都要遵从相关法律和安全 政策，不能侵犯隐私；他们取证的工具必须是合法的和经得起对等验证的。 计算机取证原则也是论文研究中必须遵循的，其中要特别注意保证证据链 的完整和对同志数据的完整性保护。这是关系到证据的合法性和说服力。只有 能够证明原始同志数据没有被改变或者说明日志数据在取证过程中经历了哪些 动作及动作的结果，取证的过程和结果才会被承认，所获取的证据才能用来对 计算机犯罪行为指证。 2 1 3 计算机取证涉及到的技术 计算机取证技术主要涉及证据的获取、传输、保管、分析和呈掌，主要分 为一下几类： 2 1 3 1 数据获取技术 1 ) 对计算机系统和文件的安全获取技术：避免对原始介质进行任何破坏和 干扰； 2 ) 对数据和软件的安全搜集技术；对磁盘或其它存储介质的安全无损伤镜 像备份技术； 3 ) 对己删除文件的恢复、重建技术； 4 ) 对交换文件、缓存文件、临时文件中包含的信息的复原技术； 5 ) 计算机在某一特定时刻活动内存中数据的搜集技术； 6 ) 网络流动数据的获取技术等。 2 1 3 ：2 安全传输技术 在电子证据收集过程中，将待收集的数据从目标机器安全地转移到取证设 备上，必然需要安全的传输技术，确保计算机取证的整个过程具有不可篡改性 的要求。安全的传输技术主要采用加密技术，如i p 加密、v p n 隧道加密、s s l 加密等协议标准，保证数据的安全传输。另外，可通过使用消息鉴别编码( m a c ) 保证数据在传输过程中的完整性。 2 1 3 3 证据的保管 数据在安全传送到取证系统的机器后，就要对机器和网络进行物理隔离， 第二章计算机取证 以防外部黑客攻击，并对数据使用加密技术进行保存，来防内部非法人员的篡 改和删除。磁盘加密的主要方法有固化部分程序、激光穿孔加密、掩膜加密和 芯片加密等，还可利用修改磁盘参数表来实现磁盘的加密。 2 1 3 4 电子证据的分析技术 在己经获取的数据流或信息流中寻找、匹配关键词或关键短语，是目前主 要的电子证据分析技术，它具体包括：文件属性分析；文件的数字摘要分析；同 志分析；对空闲磁盘空间、未分配空间和自由空间中所含信息的发掘技术；发 掘同一事件的不同证据间的联系，即证据的相关性分析技术；数据解密技术， 密码破译技术，对电子介质中的被保护信息的强行访问技术等。 2 1 4 计算机取证的步骤 计算机取证过程和技术比较复杂，还没有形成统一标准的程序来进行计算 机取证工作。根据以往的案例可以归纳出计算机取证步骤应有以下几点： 2 1 4 1 保护目标计算机系统 计算机取证时，第一件要做的事是冻结计算机系统，不给犯罪分子破坏证 据提供机会。避免发生任何的更改系统设置、硬件损坏、数据破坏或病毒感染 的情况。 2 1 4 2 电子证据的确定 现在存储介质容量越来越大，必须在海量的数据中区分哪些是电子证据， 相对计算机取证来说哪些是垃圾数据。 2 1 4 3 电子证据的收集 1 ) 调查员记录系统的硬件配置，把各硬件之间的连接情况记录在案，以便 计算机系统移到安全的地方保存和分析的时候能重新恢复到初始的状态。 2 ) 用磁盘镜像工具对目标系统磁盘驱动中的所有数据进行字符流的镜像备 份。 3 ) 用取证工具收集相关的电子证据，对系统的日期和时间进行记录归档， 对可能作为证据的数据通过加密手段发送给取证服务器进行分析。对关键的证 据数据用光盘备份，有条件的可以直接将计算机证据打印成文件证据。 9 第二二章计算机取证 2 1 4 4 电子证据的保护 由于电子证据可能被不留痕迹的修改或破坏，应用适当的储存介质进行原 始的镜像备份。考虑到在计算机取证中有些案例可能要花上两三年时间来解决， 取证调查时可将镜像备份的介质打上封条放在安全的地方。对获取的计算机证 据采用安全措施进行保护，非相关人员不准操作存放计算机证据的计算机。不 轻易删除或修改与证据无关的文件以免引起有价值的证据文件的永久丢失。 2 1 4 5 电子证据的分析 对电子证据的分析并得出结果报告是电子证据能否在法庭上展示作为起诉 计算机犯罪者的犯罪证据的重要过程。分析需要很深的专业知识，应由专业的 取证专家来分析电子证据。 2 1 4 6 归档 在计算机取证的最后阶段，应整理取证分析的结果供法庭做为诉讼证据。 尤其值得注意的是，在处理电子证据的过程中，为保证证据的可信度，必须对 各个步骤的情况进行归档以使证据经得起法庭的质询。 2 2 1 电子证据的定义 第二节电子证据 作为一种有现代电子技术引发的新形式证据。目前在世界范围内对其含义 的理解真可谓众说纷纭、莫衷一是，即便是表达方式也大相径庭。常见的英文 有“e l e c t r o n i ce v i d e n c e ”、“c o m p u t e re v i d e n c e 、“d i g i t a le v i d e n c e ”，翻译成中文 “电子证据”、“计算机证据 、“数字证据”。虽然在表述上有不同，但都是与信 息技术密切联系的。 我们这里给出电子证据的定义：以电子形式存在的、借助信息技术或是信 息设备形成的用作证据使用的一切数据及其派生物。 2 2 2 电子证据的特点 1 ) 容易被改变或删除，并且改变后不容易被发觉 1 0 第二章计算机取证 传统证据如书面文件可以长久保存，如有改动或添加，都会留有痕迹，通 常不难察觉，如有疑问可由专家通过成熟的司法鉴定技术加以鉴别。而数字证 据与传统证据不同，它们多以磁性介质为载体。由于磁性介质保存的数据内容 可以被改动，并且不易留下痕迹。因此数字证据的真实性和安全性存在疑问， 一旦发生争议，这种数字证据难以在诉讼或仲裁中被采纳为合法的证据。 2 ) 多种格式的存储方式 数字证据以计算机为载体，其实质是以一定格式储存在计算机硬盘、软盘 或c d r o m 等储存介质上的二进制代码，它的形成和还原都要借助于计算机设 备。另外，随着多媒体技术的出现，数字证据综合了文本、图形、图像、动画、 音频及视频等多种媒体信息，这种以多媒体形式存在的电子证据几乎涵盖了所 有传统证据类型。 3 ) 易损毁性 计算机信息最终都是用二进制数字表示的，以数字信号的方式存在，而数 字信号是非连续性的，因此对数字证据进行接收、监听、删节、剪接等操作， 从直观上讲无法查清。或者由于操作人员的误操作或供电系统、通信网络的故 障等环境和技术方面的原因都会造成数字证据的不完整性。 4 ) 高科技性 计算机是现代化的计算、通信工具和信息处理工具，其证据的产生、储存 和传输，都必须借助于计算机软硬技术、存储技术、网络技术等，离开了高科 技含量的技术设备，电子证据无法保存和传输。如果没有外界的蓄意篡改或差 错的影响，电子证据就能准确地储存并反映有关案件的情况。正是以这种高技 术为依托，使它很少受主观因素的影响，其精确性决定了电子证据具有较强的 证明力。而电子证据的收集和审查判断，往往需要一定的科学技术，甚至是尖 端的科学技术，并且伴随科技的发展进程会不断地更新、变化。 2 2 3 电子证据的来源 数字证据主要来自两个方面，一个是系统方面的，另一个是网络方面的。 来自系统方面的证据包括： 1 ) 系统日志文件； 2 ) 备份介质； 第二章计算机取证 3 ) 入侵者残留物：如程序、脚本、进程、内存映像； 4 ) 交换区文件； 5 ) i 临时文件； 6 ) 硬盘未分配的空间( 一些刚刚被删除的文件可以在这罩找到) ： 7 ) 系统缓冲区； 8 ) 打印机及其它设备的内存。 来自网络方面的证据有： 1 ) 防火墙日志： 2 ) i d s 日志； 3 ) 其它网络工具所产生的记录和日志等。 第三节国内外研究现状 国外打击计算机犯罪有着二三十年的历史，在计算机取证方面积累了一定 的经验，出现了许多专门的计算机取证部门、实验室和咨询服务公司。在取证 产品开发上，开发了许多非常实用的取证产品。比较好的产品有：美国g u i d a n c e 软件公司研制的基于w i n d o w s 系统的e n c a s e 产品；美国的计算机取证公司 ( c o m p u t e rf o r e n s i c el t d ) 开发的d i b s 产品；英国v o g o n 公司开发了基于 p c 、m a o 和u n i x 等系统的数据收集和分析系统( f 1 i g h ts e r v e r ) 。在学术界， 近几年每年都有讨论计算机取证为主题的学术会议召开，1 9 9 3 年和1 9 9 5 年、1 9 9 6 年、1 9 9 7 年分别在美国、澳大利亚和新西兰召开了以计算机证据为主题的国际 会议，成立了有关计算机证据国际组织和电于证据科学工作组。国际著名的网 络安全站点s e c u r i t yf o c u s 也开辟计算机取证专栏的邮件列表，供全球从事计 算机取证的研究人员讨论交流【1 6 】。取证技术是2 0 0 2 年国际计算机网络安全技术 交流f i r s t 年会主要集中的热点之一，从历届f i r s t 技术论坛及今年在匈牙利 希尔顿布达佩斯城堡山庄将举行的第1 6 届f i r s t 计算机安全年会上看，计算机 取证技术正日益成为计算机网络安全研究的重点课题，计算机取证将是未来几 年信息安全领域的研究热点。 我国有关计算机取证的研究与实践尚在起步阶段，国家有关部门非常重视 对打击计算机犯罪的研究，组织相关科研单位开展了相关课题的研究。中国科 大和中科院高能物理研究所计算机中心共同组成的研究小组目前正在从事一个 1 2 第二章计算机取证 中国科学知识创新工程重大项目之子项目研究，己发表了多篇论文，提出了计 算机取证系统的研究模型【1 5 1 。当前研究的项目主要有：国家8 6 3 计划之一课题 电子物证保护与分析技术；公安部的i n t e r n e t 侦控管理系统；国家“十五 重点项目打击计算机犯罪侦查技术研究。此外，中科院在“取证机 、浙 江大学和复旦大学在取证技术、吉林大学在网络逆向追踪、电子科技大学在网 络诱骗、北京航空航天大学在入侵诱骗模型等方面展开了研究工作，这些研究 目前还没有出现阶段性成果的报道。 当前取证专家普遍看好的取证软件有： 1 ) t c p d u m p w i n d u m p ，这是一款免费工具，用来获取网络报文； 2 ) e a r t h l i n k 网络的d a nf a r m e r 和i b m 公司w i e t s ev e n e m a 研究员为了协 助计算机取证而设计的工具包t c t ( t h ec o r o n o r st o o l k i t ) ，它可以用来找回被删 除的数据和取得系统中所有文件的属性信息； 3 ) 英国v o g o n 公司开发了基于p c 、m a c 和u n i x 等系统的数据收集和分析 系统f l i g h ts e r v e r ，它可以将计算机犯罪现场中的计算机硬盘的逐个扇区( 包括坏 扇区) 进行复制、拷贝，并生成一个物理镜像文件，然后对该镜像文件进行分析， 从而辅助办案人员发现犯罪证据。 1 3 第三章计算机日志及日：毒取证的模型 第三章计算机日志及日志取证的模型 3 1 1 计算机日志的定义 第一节计算机日志的概念 为了维护自身系统资源的运行状况，计算机系统一般都会有相应的同志， 记录系统有关r 常事件或者误操作警报的日期及时间戳信息。这些日志信息对 计算机犯罪调查人员非常有用。 所谓同志( l o g ) 是指系统所指定对象的某些操作和其操作结果按时问有序的 集合【1 7 】。 每个同志文件由同志记录组成，每条同志记录描述了一次单独的系统事件。 通常情况下，系统日志是用户可以直接阅读的文本文件，其中包含了一个时间 戳和一个消息或者子系统所特有的其他信息。同志文件为服务器、工作站、防 火墙和应用软件等i t 资源相关活动记录必要的、有价值的信息，这对系统监控、 查询、报表和安全审计是十分重要的。 3 1 2 计算机日志的特点 系统日志是维护计算机系统安全和协助计算机系统管理的一种重要手段， 是绝大多数计算机系统必备的工具之一。系统日志具有以下几个主要特点： 1 ) 多样性 不同的操作系统、应用软件、网络设备和服务产生不同的日志文件，目前 还没有关于计算机系统同志的统一标准和格式，各种系统日志记录的事件的内 容和侧重点也各不相同，这不利于统一处理计算机系统日志。 2 ) 不易读懂 大多数计算机系统同志是以二进制形式存储的，需要特定的软件和工具才 能以文本形式显示出来，由于日志的多样性特点，不同的日志文件记录的信息 和格式不一样，需要参考相应的帮助和说明文档才能理解同志记录的具体含义， 1 4 第三章计算机日志及日志取证的模型 普通的非计算机系统管理人员在理解同志信息方面存在困难。 3 ) 脆弱性 计算机日志系统最初是为了便于计算机系统管理而设计的，没有过多考虑 安全方面的因素，可以通过修改配置文件或系统注册表来改变计算机系统同志 的产生和保存方式，可以停止计算机系统日志进程，阻止记录系统中的安全事 件；系统日志通常存储在系统未经保护的目录中，并以文本方式存储，未经加 密和校验处理，没有提供防止恶意篡改的有效保护机制；还可以利用一些黑客 工具来删除、修改、伪造计算机系统同志。因此，日志文件并不一定是可靠的。 4 ) 关联性 系统日志按照时间顺序记录了计算机系统中运行状态的信息，系统可能在 多个系统同志中记录同一个系统事件，一个主机的系统同志能够反映了本计算 机系统中的用户行为情况。同志的关联性有利于对同志文件的分析，获取有用 的信息。 3 1 3 计算机日志的作用 计算机系统同志作为计算机系统的管理辅助工具，主要有以下几个方面的 应用： 1 ) 监控系统资源 可以通过系统日志来了解计算机系统中的进程、内存、硬盘、文件、网络、 外围设备等资源的使用情况，发现异常的资源占用情况和磁盘等硬件资源错误， 帮助优化资源分配，使得系统资源得到公平、高效地使用。 2 ) 审计用户行为 系统日志记录用户的账户使用情况，反映用户在系统中的行为和造成的结 果，可以有效监控用户的行为，防止滥用行为。 3 ) 入侵检测 通过设置安全级别实现对违反安全政策的行为进行记录和报警。 4 ) 帮助恢复系统 计算机系统日志记录了系统遭到破坏前的系统状态信息以及入侵的过程信 息和结果信息，这些可以帮助我们尽快定位系统遭破坏的部分信息，将系统恢 复到入侵前的状态，恢复系统功能。 1 5 第三章计算机日忠及日志取证的模型 5 ) 生成调查报告 通过查阅系统日志，可以帮助确定破坏者的身份、入侵工具、入侵过程、 入侵结果等信息，生成详尽的入侵事件调查报告。 6 ) 发现入侵证据，打击计算机犯罪 日志记录了系统和网络行为的原始信息，可信的、安全的计算机系统日志 记录反映了犯罪活动的过程，通过及时对系统日志进行收集、保全和分析，可 以帮助追踪黑客入侵系统的路线，重建入侵事件，这些日志记录可以作为起诉 犯罪分子的证据，从而打击和震慑了计算机犯罪活动。 第二节w i n d o w s 系统日志 w i n d o w s 操作系统实现在最流行的桌面，它的个人用户数目也是最大的， 本篇论文就是以局域网中w i n d o w s 系统的个人主机日志文件作为研究对象。 w i n d o w sn t 2 0 0 0 x p 的系统日志文件主要有三类：系统同志、应用程序日志、 安全同志。 1 ) 应用程序同志。记录由应用程序产生的事件。例如，某个数据库程序可 能设定为每次成功完成备份操作后都向应用程序同志发送事件记录信息。应用 程序日志中记录的时间类型由应用程序的开发者决定，并提供相应的系统工