（计算机软件与理论专业论文）基于windows日志的计算机取证模型系统设计及实现.pdf

摘要 随着计算机技术的飞速发展，计算机犯罪也以惊人的速度增长，逐渐成为人 们普遍关心的国际性问题。 目前很多关于计算机电子取证的系统主要是建立在对证物的分析上。如果能 取得罪犯在作案时间段内对主机操作所产生的日志，并当作有效证据提交给法 庭，便能将犯罪者绳之以法。传统计算机取证技术所分析的信息是案发后从涉案 计算机中提取的，而这些信息，很有可能是己被作案者破坏过的。 本文提出了一种基于w i n d o w s 日志安全保护的计算机取证模型，可以克服传 统计算机取证技术的滞后性。本模型采用分布式结构，驻留在被取证机上的进程 将事件日志在产生的同时提取出来，通过s s l 协议将日志信息安全传输到另一 台用于保存日志的取证机上，使用数据库实现日志的保存，并能够通过验证算法 证明日志证据的原始性和真实性，从而保证了日志证据的安全性和抗否认性。通 过原型系统的试验，证明本模型能够及时她获取日志信息，并通过多种安全加密 技术保证了日志的准确性、可信性和有效性。通过数据挖掘的方法对日志去除搜 索引擎的机器人所留信息，并对可疑日志进行初步挖掘，缩小日志的审查范围。 关键词：计算机取证，日志，数据挖掘，网络爬虫 a b s t r a c t a st h er a p i dd e v e l o p m e n to fc o m p u t e rt e c h n o l o g y , c o m p u t e rc r i m e sa r ec o m m i t t e d i n c r e a s e d l y , w h i c hh a sb e e naw i d e l yc o n c e r n e dn a t i o n a lp r o b l e m n o w a d a y sm o s to ft h ed o m e s t i cc o m p u t e rc r i m e sa r ec o m m i t t e db yo p e r a t i n gt h e r e l a t e dc o m p u t e rd i r e c t l y t r a d i t i o n a ld e t e c t i v i s mc a l ln o tr e c o r dw h a tt h ec r i m i n a lh a s d o n et ot h ec o m p u t e r o n l yt h ee v e n tl o g st r i g g e r r e db yt h e s eo p e r a t i o n sc a l lt e s t i f y t h ec r i m i n a l i t y t h ee x i s t e dc o m p u t e rf o r e n s i c st e c h n i q u e j u s ta n a l y s e st h ei n f o r m a t i o n r e m a i n e di nt h ec o m p u t e r sa f t e rt h ec r i m e s b u tm o s to ft h ei n f o r m a t i o nh a sb e e n d e s t r o y e db yt h ec r i m i n a l si na d v a n c e i nt h i sp a p e r , w ep r e s e n t e dad i s t r i b u t e dc o m p u t e rf o r e n s i c sm o d e lb a s e do n p r o t e c t i n gl o ge v i d e n c e s s e c u r i t y , w h i c hc a r la v o i dt h el a go fc o m p u t e rf o r e n s i c s t h e p a r to ft h i sm o d e li n s t a l l e do nt h es u s p e c tc o m p u t e r sc a nd u p l i c a t et h ee v e n tl o g s i m m e d i a t e l yw h e nt h e ya r eg e n e r a t e da n dc r e a t et h e i rd i g i t a ls i g n a t u r e sa n dm e s s a g e d i g e s t s a n o t h e rp a r to ft h em o d e li n s t a l l e do nas a f ec o m p u t e rs a v e st h el o g s t r a n s m i t t e dt h r o u g hs s li nad a t a b a s ea n du s e sv a l i d a t a t i o na l g o r i t h m st ov e r i f yt h e l o ge v i d e n c e s a u t h e n t i c i t ya n dn o n - r e p u d i a t i o n e x p e r i m e n ts t u d i e ss h o w e dt h a t t h i sm o d e lc o u l dc o l l e c tl o g st i m e l ya n da l s o e n s u r et h ee v i d e n c e s v e r a c i t y , c r e d i t a b i l i t ya n de f f i c i e n c y - k e y w o r d s ：c o m p u t e rf o r e n f i c s ；l o g ；d a t am i n i n g ；w e bc r a w l e r s i l 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得的研究 成果。据我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他人已经 发表或撰写过的研究成果，也不包含为获得东北师范大学或其他教育机构的学位或证 书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了 明确的说明并表示谢意。 学位论文作者签名：这堂日期： 学位论文版权使用授权书 本学位论文作者完全了解东北师范大学有关保留、使用学位论文的规定，即：东 北师范大学有权保留并向国家有关部门或机构送交学位论文的复印件和磁盘，允许论 文被查阅和借阅。本人授权东北师范大学可以将学位论文的全部或部分内容编入有关 数据库进行检索，可以采用影印、缩印或其它复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后适用本授权书) 学位论文作者签名：垒立皇 日 期：口j 1 z ：! 乙 学位论文作者毕业后去向： 工作单位： 通讯地址： 指导教师签名：至过 日期：里仝：鱼：! 三 电话： 邮编： 东北师范大学硕士学位论文 第一章研究背景 1 1 计算机犯罪及其现状 计算机犯罪有广义、狭义之分。广义的计算机犯罪是指一切与计算机信息系 统有关的犯罪，狭义的计算机犯罪仅指新刑法第2 8 5 条、第2 8 6 条限定的犯 罪行为。在计算机犯罪案件中，计算机犯罪现场可划分为物理现场和信息现场两 部分。计算机犯罪物理现场一般指计算机、网络设备等硬件实物。信息现场则指 由物理现场硬件支撑的、表现为电子数据形式的各类计算机信息。以计算机信息 系统为犯罪对象或犯罪工具的各类犯罪活动，在信息现场中，计算机犯罪行为都 具体体现为各种各样的计算机操作，其犯罪行为的危害后果往往直接体现为计算 机信息系统的运行状态及数据内容的改变。计算机犯罪的特点是案情复杂，取证 难度大。因此大部分案件都要求鉴定，鉴定是在客观反映事实下进行，同时鉴定、 复核人员要有较高的专业知识。传统的刑事案件鉴定，不能适应计算机犯罪的发 展。目前，刑事科学技术鉴定人和复核人都要有资格证。计算机刑事科学技术鉴 定人和复核人，必须由计算机专业人士担任。 1 1 1 计算机取证的提出 在计算机犯罪手段不断升级的形势下，单靠网络安全技术打击计算机犯罪不 可能非常有效，因此需要发挥社会和法律的强大威力来对付网络犯罪，计算机取 证( c o m p u t e r f o r e n s i c s ) 正是在这种形势下产生和发展的，它标志着网络安全防 御理论的成熟【1 2 3 】。计算机取证也称计算机法医学，它是指把计算机看作是犯罪 现场，运用先进的辨析技术，对计算机犯罪行为进行法医式的解剖，搜寻确认罪 犯及其犯罪证据，并据此提起诉讼。显然，计算机取证对于起诉计算机犯罪行为 至关重要。因为，在攻击事件中，如果没有证据证县晰发生的情况及所造成的破 坏的细节，受害者在选择通过法律途径起诉攻击者的时候就没有充实的法律追索 权，所遭受到的损失也就无法弥补。 计算机取证技术重在防御失败后的计算机犯罪证据的提取工作，利用计算机 东北师范大学硕士学位论文 辨析方法来调查犯罪，找到犯罪分子留下的蛛丝马迹，并且将其作为法律上有效 的证据，那么，由于被入侵所带来的很多损失是可以避免的，并且对犯罪分子可 以起到威慑和警示的作用。 1 2 计算机取证及其相关法律问题 发达国家比较早地就开始研究有关计算机应用的法律问题，陆续地制定了一 些相关法律，例如，美国1 9 8 4 年制定了“伪造访问设备和计算机欺骗与滥用法 ， 规定对联邦计算机的未授权访问是一种犯罪行为。1 9 8 6 年制定了“电子通信隐 私法”，规定未经事先授权而截获诸如电子资金传递和电子邮件之类的电信为非 法。1 9 8 6 年还制定了“计算机欺骗和滥用法，将其适用范围扩大到私营公司的 计算机系统。1 9 8 7 年制定了“计算机安全法”，定义了对联邦计算机系统中的敏 感数据的保护。英国于1 9 8 4 年制定了“数据保护法 ，禁止未经授权访问敏感数 据。1 9 9 0 年制定了“计算机滥用法案 ，禁止非法进入计算机系统。 我国从1 9 9 7 年修订的中华人民共和国刑法中增加了计算机犯罪条款开 始，到2 0 0 0 年底全国人大常委会关于维护互联网络安全的决定正式公布以 来，网络犯罪或者说计算机犯罪已经成为我国司法活动中经常用到的并在中华 人民共和国刑法中有关罪名的泛称【4 】。刑法第二百八十五条、第二百八十六条 仅规定了非法侵入计算机信息系统罪和破坏计算机信息系统罪。第二百八十七条 规定利用计算机实施金融诈骗、盗窃等犯罪的，依照金融诈骗、盗窃罪定罪处罚。 因此，刑法意义上所使用的网络犯罪一词，实际是指这两个罪名所涵盖的犯罪行 为。但是，由于网络的出现，基于网络而实施的传统性犯罪对中国刑法的制定和 具体适用产生了深远的影响，同时也在性质和数量上影响了网络犯罪行为的实施 方式、危害结果及其法律后果【5 一。计算机取证涉及到法律和技术两个方面，取 证的合法性为计算机取证技术提供方向，计算机取证技术为取证的合法性提供保 证，二者相互依赖。关于计算机取证法律方面的问题需要司法部门对法律制度的 不断完善，而关于计算机取证技术方面的问题，则需要不断进步的计算机安全技 术。计算机数据要想成为合法的犯罪证据，就必须满足成为合法犯罪证据的必备 条件，由于计算机数据自身的脆弱性，使得这种条件的达到必须要通过计算机安 全技术来实现，这样，应用于计算机取证领域的计算机安全技术则必需要以合法 性为导向。本文的核心研究内容就是从计算机安全技术的层面来解决计算机取证 的合法性。 2 东北师范大学硕士学位论文 1 3 本文的工作 本文由当前计算机犯罪形势，总结出计算机取证面临的问题。在此基础之上， 提出了基于日志的计算机取证的重要性与可行性。接着从w i n d o w s 平台出发， 总结了计算机日志作为法律证据的条件。为了使计算机日志达到成为证据的条 件，分别展开研究并给出了主要解决方案。总结日志取证中仍存在问题后，依据 计算机取证的过程抽象模型提出了基于w i n d o w s 日志的计算机取证模型。最后 以这个模型为基础，采用日志的提取分析，解决取证的时间性不准确，备份日志 的数据量过大，日志的安全保存及滞后性问题。通过数字签名技术和安全散列算 法对取证信息的完整性进行严格的保护，以确保日志信息的原始性，使之有成为 电子证据的资格。论述了使用s s l 协议将日志信息安全传输到日志存储机器上 的可行性。并提出日志作为电子证据的时间重要性，解决系统时间准确性问题， 另外考虑搜索引擎的爬虫对日志数据量的存储，去除冗余日志，并对日志进行归 类分析。 东北师范大学硕士学位论文 第二章计算机取证技术 2 1 计算机取证的定义 当下黑客常用的攻击手法主要包括：口令攻击、缓冲区溢出攻击、端口扫描、 欺骗攻击、网络监听、放置特洛伊木马、拒绝服务攻击( d o s ) 以及分步式拒绝 服务攻击( d d o s ) 等。而常用的网络安全工具主要包括：网络隔离、端口扫描、 防火墙、入侵检测系统( i d s ) 和虚拟专用网( v p n ) 等。这些工具分别从不同 的方面对网络进行保护，但都是从防范入侵的角度出发的。由于黑客攻击手段不 断提高，使用这些工具并不能保证网络不被入侵。例如，目前已经出现了一些绕 过防火墙以及使入侵检测系统失效的方法。一旦网络遭受入侵造成损失后，人们 希望通过法律来保护自己的权益并获取补偿，因而计算机取证变得尤为重要。什 么是计算机取证? 目前相关领域还没有给出统一的准确定义。l e eg a r b e r 在i e e e s e c u r i t y 发表的文章中认为，计算机取证是分析硬盘驱动、光盘、软盘、z i p 和 j a z z 磁盘，内存缓冲以及其它形式的储存介质以发现犯罪证据的过程1 7 】。计算机 取证资深专家j u d dr o b b i n 对此给出了如下的定义：计算机取证是将计算机调查 和分析技术应用于对潜在的、有法律效力的证据的确定与提取【8 】。计算机紧急事 件响应组和取证咨询公司n e wt e c h n o l o g i e s 进一步扩展了该定义：计算机取证包 括了对以磁介质编码信息方式存储的计算机证据的保护、确认、提取和归档【9 j 。 系统管理审计和网络安全协会s a n s 则归结为：计算机取证是使用软件和工具， 按照一些预先定义的程序，全面地检查计算机系统，以提取和保护有关计算机犯 罪的证据【l o 】。综上，计算机取证是指运用计算机及其相关科学与技术的原理和 方法获取与计算机相关的证据以证明某个客观事实的过程。它包括对计算机证据 的确定、收集、保护、分析、归档以及法庭出示的过程。 2 2 电子证据 计算机取证包括物理证据获取和信息发现两个阶段【1 1 】。物理证据获取是指调 查人员到计算机犯罪或入侵现场，寻找并扣留相关的计算机硬件；信息发现是指 4 东北师范大学硕士学位论文 从原始数据( 包括文件、日志等) 中寻找可以用来证明或反驳的证据电子证 据。电子证据，也可称为数据证据( d i g i t a le v i d e n c e ) 或计算机证据。从广义上 来讲，电子证据是指一切用以证明案件事实的电子化信息资料和数据。从狭义上 讲，电子证据仅指以数字形式存在于计算机系统中的能够证明案件事实的数据； 包括计算机产生、传输、存储、记录以及打印的能够反映计算机犯罪行为的数据。 但是不管怎样，电子证据作为法律证据的一种，它必须符合法律对证据的规定， 即客观性、关联性和合法性，所以与传统证据一样，它必须是可信的、准确的、 完整的且符合法律法规的。电子证据作为一种新的诉讼证据，它可以分为两类： 第一类称之为易灭失证据，也是取证者首先要收集的证据。它们的相关数据可能 存在于正在运行的计算机或网络设备的内存中，如正在运行的程序或进程、网络 状态等。它们的共同特点是随时可能丢失，如关机或重新启动后这些信息将不复 存在。第二类证据是存在于计算机的硬盘和备份介质( 如磁盘) 中，这类证据则 被称之为稳定证据。它们包括普通文件、隐藏文件、临时文件、日志文件、注册 表文件、交换或页面文件、安装程序的残留物、浏览器的历史记录以及收藏夹和 电子邮件残余物等等。 2 2 1 电子证据的来源 电子证据的来源主要包括三个方面，包括：主机系统、网络以及其它数字 设备【5 1 。主机系统：它主要产生本地固定系统的电子证据。例如本地磁盘中的系 统日志和应用程序日志、交换区文件、临时文件和数据文件等。具体包括：用户 自定义文档，用户保护文档，计算机创建文档，以及其它数据区中可能存在的数 据证据。网络：主要包括非本地产生的电子证据，而且它们主要的是对犯罪过程 追踪的证据。例如实时获取的网络通信数据流，路由器和交换机上产生的记录， 网络安全系统如防火墙、网络入侵检测系统、各类接入系统和网络应用有关的日 志以及登录日志( 如r a d i u s 登录) 等。其它数字设备：主要是一些手持设备， 计算机辅助或控制设备产生的相关电子证据，例如个人数字助理( p d a ) 、电子 笔记本中的一些机要信息；微型摄像头、视频捕捉卡等设备存储的影像、视频、 时间日期标记和声音信息等、掌上电脑中和其它外设中保留这最后一次与桌面系 统同步的日志文件以及从桌面系统下载的文件。 2 2 2 电子证据的特点 根据电子证据的来源、存在方式以及内容的特殊性，它与传统证据相比具有 东北师范大学硕士学位论文 以下特点： l ，) 易篡改性：对于传统物理证据，如书面文件、作案工具等，若对它们稍有改动 或添加，是很容易留下痕迹或极易被察觉的。而电子证据属于无形证据且数据精 密庞大，对它的修改是很难被发现。 2 ) 多媒性：电子证据通常以计算机为载体，其实质是以一定格式储存在计算机硬 盘、软盘或c d r o m 等存储介质上的二进制代码。但是它的表现形势是多样的， 尤其是多媒体技术的应用，使得电子证据综合了文本、图形、图像、动画、音频 以及视频等多媒体信息，它们几乎涵盖了所有传统的证据类型。而且这些正是由 于多媒性，电子证据通常便于操作，易于使用以及能反复重现。 3 ) 易损坏性：计算机信息都是以二进制编码的形式存在于计算机系统中，表现为 数字信号。而数字信号是非连续的，因此对数字证据进行接收、监听、删节、剪 接等操作，都可能由于对象不够直观而容易由操作人员的操作失误、供电系统的 闪断或通信网络的故障等环境或技术方面的原因造成数字证据的不完整。 4 ) 高科技性和精密性：计算机作为现代化计算、通信和信息处理的高科技工具， 它的软硬件技术、存储技术、网络技术等都是电子证据产生、存储和传输的基础。 另外正是由于电子证据以技术为依托的特点，它也很少受主观因素的影响，能够 避免传统证据的一些弊端，如证言误传、书证误记等。所以如果没有外界蓄意篡 改或差错影响，电子证据能准确无误地反映有关案件的情况。 5 ) 隐蔽性：计算机证据在计算机系统中可存在的范围很广，这使得证据很容易被 隐藏起来。另外由于电子证据在存储处理过程中，其信息的表示形式为二进制编 码，无法直接阅读，因而电子证据与特定主体之间的关系按照常规手段难以确定。 2 3 计算机取证的基本原则 根据电子证据易破坏性等特点，确保电子证据可信、准确、完整并符合相关 的法律法规，计算机取证的主要遵循以下几点原则【9 】【1 0 】： 1 ) 及时性原则 由于计算机证据存在形式的特殊性决定了取证必须尽早完成，因为计算机证 据从形成到获取之间间隔的时间越长，被删除、毁坏和修改的可能性就越大。 2 ) 合法性原则： 计算机取证工作本身就是司法工作中的一个重要环节，所以在执法过程中也 要坚决的依法办案，只有取证过程本身符合法律规定，才能有效的证明犯罪活动。 因此务必从以下两个方面保证取证过程的合法性。保护证据的连续性：电子数 据证据从获取阶段开始，经历了传输、保存、分析以及提交等多个阶段，其中不 6 东北师范大学硕士学位论文 可避免的出现一些意外的或者人为的变化。所以当证据经过整理正式提交法庭 时，必须能够说明证据从最初的获取状态到提交给法庭之间所发生的一切变化。 当然取证人员应当尽可能不造成任何证据的变化。专业人士见证过程：取证过 程是一个举证的过程。相对于传统犯罪取证过程中的见证人，在计算机取证过程 中，需要有专业人士进行监督，防止取证人员有意无意的改变电子数据证据的内 容，确保整个取证过程的公正性。 3 ) 多备份原n - 对于包含有计算机证据的媒体，我们至少应该对其进行两个或两个以上的副 本保存，而原始媒体应该存放在专门的房间并由专人保管。对电子数据证据所进 行的分析应该尽量在复制品上进行，以避免人为的对证据造成损失破坏。另外， 在对可疑计算机系统及 其外设进行备份时应该是逐个字节的进行复制，这是为了能够把硬盘中所有数据 都能够恢复出来并进行相关证据的分析与提取。 4 ) 全面性原则： 全面性原则就是在取证过程中，既要收集存在于计算机硬盘上的电子数据证 据，也要收集其他相关外围设备中的电子数据证据；不但收集文本，同时还要收 集图像、图形、动画、音频、视频等媒体信息；既收集能够证明犯罪嫌疑人犯罪 行为的证据，也要收集对其有利的证据。确保与犯罪活动相关的一切证据都能够 被发现并提交到法庭，为执法机关提供详尽的证据，帮助司法人员透彻了解犯罪 行为，更加合理的量刑。 5 ) 环境原则： 无论是原始数据，还是复制得到的备份都应该对其进行妥善的保管，随时可 以对其进行调查工作。而环境原则就是要求对于计算机证据的这些存储媒体或者 介质进行存储安全标准的规定。这些介质媒体应该远离磁场，存储空间应该是温 度适中，灰尘较少，避免积压，防潮防腐，尽量避免因自然或者人为灾害造成的 损失。总的要求就是避免一切可能造成数据损失的因素。 2 4 计算机取证技术的分类 计算机取证按照取证的对象不同可以分为计算机主机取证和计算机网络取 证。计算机主机取证的对象是存放在计算机硬盘、内存、外围设备中的文件、进 程等信息；计算机网络取证的对象是计算机网络中的报文信息和相应的服务的日 志、审计信息。按照取证的时机不同，计算机取证又分为实时取证和事后取证。 事后取证，也称为静态取证，是指计算机在已遭受入侵的情况下，运用各种技术 7 东北师范大学硕士学位论文 手段对其进行分析取证工作。实时取证，也称动态取证，指利用相关的网络取证 工具，实时获取网络数据并以此分析攻击者的身份、企图和获得攻击者的行为证 据。从取证过程的角度看，根据d f r w s 框架1 12 1 ，取证技术可以分成如下六大类： 1 ) 识别类( i d e m i f i c a t i o n ) 识别可获取的信息的类型以及获取的方法。该类技术协助取证人员获知某事 件发生的可能途径。其中可能使用到的典型技术有事件入侵检测、签名处理、配 置检测、异常检测、系统监视以及审计分析等等。 2 ) 保存类( p r e s e r v a t i o n ) 保证证据状态的完整性。确保跟原始数据一致，不对原始数据造成改动和破 坏。该类技术处理那些与证据管理相关的元素。其中可能使用到的典型技术有镜 像技术、数据加密、数字签名、数据摘录、证据保管链以及时间同步等等。 3 ) 收集类( c o l l e c t i o n ) 提取或捕获突发事件的相关记录及其属性( 或特征) 。该类技术与调查人员 为在数字环境下获取证据而使用的特殊方法和产品有关。典型技术有合适的复制 软件、无损压缩以及数据恢复技术等等。 4 ) 检查类( e x a m i n a t i o n ) 对突发事件的相关记录及其属性( 或特征) 进行仔细地检查。该类技术与证 据发现和提取相关，但不涉及从证据中得出结论。收集技术涉及收集那些可能含 有证据的数据，如计算机介质的镜像。但检查技术则对那些收集来的数据进行检 查并从中识别和提取可能证据。典型技术有追踪、过滤技术、模式匹配、隐藏数 据发现以及隐藏数据提取等等。 5 ) 分析类( a n a l y s i s ) 为了获得结论而对数字证据进行融合、关联和同化。该类技术涉及对收集、 发现和提取的证据进行分析。典型技术有追踪、统计分析、协议分析、数据挖掘、 时间链分析以及关联分析等等。要注意的是，潜在证据分析过程中使用的技术的 有效性，将直接影响到结论的有效性以及由此得出的证据链的可信性。 6 ) 呈堂类( p r e s e n t a t i o n ) 客观、有条不紊、清晰、准确地报告事实。该类技术涉及将结论提交给法庭 的规范。此过程纯技术因素较少，典型的程序环节有归档、专家证明、负面影响 陈述、建议应对措施以及统计性解释等。 2 5 计算机取证的步骤 计算机取证过程和技术比较复杂，它是随着黑客技术的提高而不断发展的。 8 东北师范大学硕士学位论文 在打击计算机犯罪时，执法部门还没有形成统一标准的程序来进行计算机取证工 作。一般来说，为确保获取有效的法律证据，并保证其安全性和可靠性，计算机 取证一般应包括保护目标系统、电子证据确定、收集、保护、分析和归档等六个 步骤1 1 1 】，见图1 的虚线框部分。 目标 法律 图l 计算机取证步骤 1 保护目标计算机系统：计算机取证时，第一件要做的事是冻结计算机系统， 不给犯罪分子破坏证据提供机会。在这方面，计算机取证与普通警察封锁犯罪现 场、搜索物证没有区别。避免发生任何的更改系统设置、硬件损坏、数据破坏或 病毒感染的情况。 2 电子证据的确定：从存储在大容量介质的海量数据中，相对计算机取证来说， 需区分哪些是电子证据，哪些是垃圾数据，以便确定那些由犯罪者留下的活动记 录作为主要的电子证据，并确定这些记录存在哪里、是怎样存储的。 3 电子证据的收集：取证人员在计算机犯罪现场收集电子证据的工作包括收集 系统的硬件配置信息和网络拓扑结构，备份或打印系统原始数据，以及收集关键 的证据数据到取证设备，并将有关的日期、时间和操作步骤详细记录等。 4 电子证据的保护：采用有效措施保护电子证据的完整性和真实性，包括用适 当的储存介质( 如w o r m 或c d r o m ) 进行原始备份，并将备份的介质打上封 条放在安全的地方：对存放在取证服务器上的电子证据采用加密、物理隔离、建 立安全监控系统实时监控取证系统的运行状态等安全措施进行保护，非相关人员 不准操作存放电子证据的计算机：不轻易删除或修改与证据无关的文件以免引起 有价值的证据文件的永久丢失。 5 电子证据的分析：对电子证据的分析并得出结果报告是电子证据能否在法庭 上展示，作为起诉计算机犯罪者的犯罪证据的重要过程。分析包括用一系列的关 键字搜索获取最重要的信息；对文件属性、文件的数字摘要和日志进行分析；分 析w i n d o w s 交换文件、文件碎片和未分配空间中的数据；对电子证据做一些智 9 东北师范大学硕士学位论文 能相关性的分析，即发掘同一事件的不同证据间的联系：完成电子证据的分析后 给出专家证明，这与侦查普通犯罪时法医的角色类似。 6 归档：对涉及计算机犯罪的日期和时间、硬盘的分区情况、操作系统和版本、 运行取证工具时数据和操作系统的完整性、计算机病毒评估情况、文件种类、软 件许可证以及取证专家对电子证据的分析结果和评估报告等进行归档处理，形成 能提供给法庭的电子证据。另外，在处理电子证据的过程中，为保证证据的可信 度，必须确保“证据链”的完整性【1 2 】即证据保全，对各个步骤的情况进行归档， 包括收集证据的地点、日期时间和人员、方法及理由等，以使证据经得起法庭的 质询。调查人员在收集、保护和分析电子证据时，每一个步骤都必须填写证据保 全表格。 1 0 东北师范大学硕士学位论文 第三章日志作为电子证物的可行性及算法设计 3 1 计算机系统日志的概念 3 1 1 计算机系统日志的定义 所谓日志( l o g ) 是指系统所指定对象的某些操作和其操作结果按时间有序的 集合，每个日志文件由日志记录组成，每条日志记录描述了一次单独的系统事件 i 列。日志是关于计算机系统活动的历史记录，是由监视系统活动的审计系统产 生，一条日志记录可以由用户级、应用程序级、系统级活动组成。目前，主流操 作系统都提供了较为完善的日志审计功能，例如，l i n u x u n i x 系统的s y s l o g 机 制( 包括正在研究的下一代安全日志机制s y s l o g n g ) 、w i n d o w s 2 0 0 0 n t 系列的 具有符合c 2 安全等级的s c e ( s e c u r i t yc o n f i g u r a t i o ne d i t o r ) 机制。 3 1 2 计算机系统日志的特点 系统日志是维护计算机系统安全和协助计算机系统管理的一种重要手段，是 绝大多数计算机系统必备的工具之一。系统日志具有以下几个主要特点： 1 ) 多样性 不同的操作系统、应用软件、网络设备和服务产生不同的日志文件，目前还 没有关于计算机系统日志的统一标准和格式，各种系统日志记录的事件的内容和 侧重点也各不相同，这不利于统一处理计算机系统日志。 2 ) 不易读懂 大多数计算机系统日志是以二进制形式存储的，需要特定的软件和工具才能 以文本形式显示出来，由于日志的多样性特点，不同的日志文件记录的信息和格 式不一样，需要参考相应的帮助和说明文档才能理解日志记录的具体含义，普通 的非计算机系统管理人员在理解日志信息方面存在困难。 3 ) 数据量大 计算机系统日志记录了计算机运行过程的信息，根据计算机系统日志的配置 不同，产生的信息量有所区别，某些服务器日志，如w e b 服务日志、防火墙日 志、入侵检测系统日志和数据库日志以及系统中关于进程信息、文件信息等的日 志的数据量非常大，一个日志文件一天产生的容量少则几十兆、几百兆，多则有 东北师范大学硕士学位论文 几个g ，几十g ，海量的日志数据给日志的存储和分析带来很大困难，单凭人工 阅读和分析这些日志文件几乎是不可能的，更不可能适时通过计算机系统日志发 现计算机安全事件。 4 ) 不易获取 不同的操作系统、应用软件和网络设备产生日志的机理和存储日志的格式各 不相同，各系统开发商和网络设备生产商往往根据各自的需要制定自己的日志格 式，提供的日志接口也不相同，部分系统日志是实时反映系统状态，随着系统的 运行状态变化而变化，这使得获取各类系统产生的不同日志文件变得尤为困难。 5 ) 脆弱性 计算机日志系统最初是为了便于计算机系统管理而设计的，没有过多考虑安 全方面的因素，可以通过修改s y s l o g d 的配置文件或系统注册表来改变计算机系 统日志的产生和保存方式，可以停止计算机系统日志进程，阻止记录系统中的安 全事件；系统日志通常存储在系统未经保护的目录中，并以文本方式存储，未经 加密和校验处理，没有提供防止恶意篡改的有效保护机制；还可以利用一些黑客 工具来删除、修改、伪造计算机系统日志。因此，日志文件并不一定是可靠的， 从而不能被视为有效的证据。 6 ) 关联性 系统日志按照时间顺序记录了计算机系统中运行状态的信息，系统可能在多 个系统日志中记录同一个系统事件，例如，对于一次成功地系统登录过程，l i n u x 操作系统会在u t m p 、w t m p 、l a s t l o g 、s e c u r e 日志中进行记录。一个主机的系统日 志仅仅反映了本计算机系统中的用户行为情况，而一个用户在网络中活动的过程 则会在网络中不同的计算机系统的系统日志中留下痕迹，如防火墙日志、i d s 日 志、操作系统日志等等，这些不同的日志之间存在某种必然的联系来反映该用户 的活动情况。 3 1 3 计算机系统日志的作用 计算机系统日志作为计算机系统的管理辅助工具，主要有以下几个方面的应 用： 1 ) 监控系统资源 可以通过系统日志来了解计算机系统中的进程、内存、硬盘、文件、网络、 外围设备等资源的使用情况，发现异常的资源占用情况和磁盘等硬件资源错误， 帮助优化资源分配，使得系统资源得到公平、高效地使用。 2 ) 审计用户行为 系统日志记录用户的账户使用情况，反映用户在系统中的行为和造成的结 1 2 东北师范大学硕士学位论文 果，可以有效监控用户的行为，防止滥用行为。 3 ) 入侵检测 通过设置安全级别实现对违反安全政策的行为进行记录和报警。 4 ) 评估损失 确定入侵行为的范围和对造成的损失进行评估，确定采取的应对措施，防止 入侵事件进一步发展。 5 ) 帮助恢复系统 计算机系统日志记录了系统遭到破坏前的系统状态信息以及入侵的过程信 息和结果信息，这些可以帮助我们尽快定位系统遭破坏的部分信息，将系统恢复 到入侵前的状态，恢复系统功能。 6 ) 生成调查报告 通过查阅系统日志，可以帮助确定破坏者的身份、入侵工具、入侵过程、入 侵结果等信息，生成详尽的入侵事件调查报告。 7 ) 发现入侵证据，打击计算机犯罪 日志记录了系统和网络行为的原始信息，可信的、安全的计算机系统日志记 录反映了犯罪活动的过程，通过及时对系统日志进行收集、保全和分析，可以帮 助追踪黑客入侵系统的路线，重建入侵事件，这些日志记录可以作为起诉犯罪分 子的证据，从而打击和震慑了计算机犯罪活动。 3 2w in d o w s 的系统日志 w i n d o w s n t 2 0 0 0 的系统日志文件主要有三类：系统日志、应用程序日志、安全 日志。 1 ) 系统日志： 系统日志包含由w i n d o w s 系统组件记录的事件。例如，在系统日志中记录 启动期间要加载的驱动程序或其他系统组件的故障，由系统组件记录的事件类型 是预先确定的。 2 ) 应用程序日志： 应用程序日志包含由应用程序或一般程序记录的事件。例如，数据库程序用 应用程序日志来记录文件错误。应用程序日志中记录的事件类型由应用程序的开 发者决定，并提供相应的系统工具帮助用户使用应用程序日志。 3 ) 安全日志： 安全日志可以记录诸如有效和无效的登录尝试等安全事件，以及与资源使用 有关的事件，例如，创建、打开或删除文件。管理员可以指定在安全日志中记录 东北师范大学硕士学位论文 的事件。与系统日志和应用程序日志不同，安全日志只有系统管理员才可以访问。 w i n d o w s 的系统日志是由e v t l o g g e r 程序进行记录，日志文件的默认存放路径 为：s y s t e m r o o t s y s t e m 3 2 e o n f i g ，文件的名称分别为s y s e v e n t e v t 、 a p p e v e n t e v t 、s e c e v e n t e v t ，文件的默认大小为5 1 2 k b 。 系统日志的有关配置参数在注册表中的位置为：h k e yl o c a lm a c h i n e s y s t e m c u r r e n t c o n t r o l s e t s e r v i c e s k e v e n t l o g ，我们可以通过修改该项下的相应键 值来改变日志文件的存放路径和大小。w i n d o w s 系统日志是以二进制形式保存在 对应的日志文件中，可以利用事件察看器对日志文件进行操作：打开、另存、清 除、过滤等，可以以三种形式导出日志文件：二进制( e v t ，必须用事件察看器 来看) ，以空格分割的文本( t x t ) ，以逗号分割的文本( c v s ) 。后两种可以用文 字处理和电子表格等软件进行处理，这两种格式导出日志时将丢弃原始的二进制 文件。还可以利用微软提供的r e s o u r c ek i t 工具箱中的d u m p l e e x e 程序来导出系 统日志。w i n d o w sn t 2 0 0 0 的系统日志由事件记录组成，每个事件记录为三个功 能区【2 4 】：记录头区、事件描述区和附加数据区。事件记录的长度不等，与具体 事件相关，表1 描述了事件记录的结构： 表1 事件记录的结构 事件类别日期 时间事件来源 记录头 事件分类事件标号 主体标识计算机名 事件描述区的内容取决于具体事件，可以是事件的名称，详细说明， 事件描述产生该事件的原因，建议的解决方案等信息。 附加数据区，通常包括可以以十六进制表示的二进制数据。具体内 附加数据容由产生事件记录的应用程序决定。 1 4 东北师范大学硕士学位论文 表2 描述了事件日志结构： 表2 事件日志结构 日期事件发生的日期。 时间事件发生的时间。 用户事件发生时己登录的用户的用户名。 计算机发生时间的计算机名称。 事件i d标识事件类型的事件编号。产品支持代表可以使用事件i d 来帮助 了解系统中发生的事情。 来源事件的来源。它可以是程序，系统组件或大型程序的个别组件的 名称。 类型时间的类型。它可以是以下五种类型之一：错误，警告，信息， 成功审核或失败审核。 类别按事件来源对事件进行的分类。它主要用于安全日志。 其中，事件类别代表着事件的严重性程度，共分为错误、警告、信息、成功 审核和失败审核5 类，具体级别的含义请参考w i n d o w s 帮助文档。事件标号 ( e v e n t l d ) 是一个整数，是标示事件类型的唯一标示，可以通过事件号来识别计算 机系统中的事件类型，可以在h t t p ：w w w m i c r o s o f t c o m t e c h n e t s u p p o r t e v e n t s e r r o r s m s p x 网页上查询e v e n t l d 代表的事件详细信息。事件来源一般指 产生报警信息的应用程序。主体标识和计算机名则表示事件相关的用户名和计算 机名等信息。事件的描述信息和附加信息只有在事件察看器中点击右键选择“属 性 项时才能显示出来。可以利用w i n d o w s 提供的a p i 函数来进行读取和转换 系统日志的内容，这将在后续章节详细论述。 w m o w s 系统日志查看器功能分析 对于w i n d o w s 系统日志，用户可通过事件查看器查看系统日志，以便更好 的收集有关硬件、软件和系统问题的信息，并且能够监视w i n d o w 操作系统的安 全性事件。 1 ) 事件查看器中的各种日志： 事件查看裂1 9 】不仅可查看在m i c r o s o f tw i n d o w ss e r v e r2 0 0 3 、w i n d o w sx p 、 w i n d o w s2 0 0 0s e r v e r 和w i n d o w sn t 中的应用程序日志、系统日志和安全日志三 种类型的日志记录，而且在运行w m d o w ss e r v e 2 0 0 3 和w i n d o w s2 0 0 0s e r v e r 并 且充当域控制器的服务器还可查看可能出现的以下附加项目： 目录服务日志：w i n d o w ss e r v e r2 0 0 3 和w i n d o w s2 0 0 0s e r v e r 目录服务在目 东北师范大学硕士学位论文 录服务日志中记录事件。这包括任何有关a c t i v ed i r e c t o r y 目录服务和a c t i v e d i r 哪o r v 数据库维护的信息。 文件复制服务日志：文件复制服务( f r s ) 在此日志中记录其事件。该服务 用于文件( 例如域策略) 在域控制器间的复制。 d n ss e r v e r 服务日志：本日志记录了与运行在w i n d o w ss e l w e r 2 0 0 3 和 w i n d o w $ 2 0 0 0s e r v e r 上的域名系统( d n s ) s e r v e r 服务有关的事件。此日志仅在 运行v r m d o w ss e r v e r2 0 0 3 和r m d o w s2 0 0 0s e r v e r 的d n s 服务器上显示。 2 ) 查看系统日志的具体方法： 点击事件查看器会弹出如图2 所示的窗口： 星堕翊，u 盘壑垦匦墨墅翌曼瞄i 盛三 一_ 一：一u e 蟹墨瓦曩啊豳曩蟹壁犀_ l l t n日卿e畸e 艄 一。 1 5 1 1 ；。2 7 u cm 4 i m ，ml 女口u ；e e 二m 障 嬲篙黑。盏：i 誓 j t 聒 撕f z l o n l l 2 1t c “pm 7 蹯；l i m n “p 。q 6 一# 陌五i i i 彳* 砒。 ”m 鬲石五五面i 面i 面；赢 图2 事件查看器窗口 若想查看具体的应用程序日志、安全目志、系统日志，可单击左侧应用程序 安全性或系统，现以应用程序日志为例演示其结果如图3 应用程序日志列表： 蓍器 ， 4 j 东北师范大学硕士学位论文 ! ! ! 竺墼翌夔西鲤墅夔墨墨罄匿蹩疆隧蛙螋璧 一二圜口固 幢姑t r 越e ：墨臣墨互趸曩霹瞳翻蠲囔西踊霸隔啊翻嘲暇磷鞯厣f 一 。器。匿焉燕1 ，患。 o i ! i “ ”： 一 ；纛睫爱篓篓 囊i茗 ：芸慧。i 攀：；鬻：蔫鉴：鬈 塞； r 墓9 ；：翟”高茅幕2 2 2 2 。二2 2 2 。2 2 亍j * 一。 = = ：= 。1 2 ；亍萄_ ：一一一_ = “ ；誉i 露焉焉曩愿而赢丽丽l ：窿 等”l 蒸罗黧：* l 兰im 口b t 一一 = = 互二二l 竺= 一鼍一一尝竺一竺。! u 圣 图3 事件查看器查看应用程序日志信息 事件查看器将所记录的事件划分为五种类型：错误、警告、信息、成功审核 和失败审核。 错误：重要的问题，如数据丢失或功能丧失。例如在启动过程中某个服务加载 失败，这个错误将会被记录下来。 警告：并不是非常重要，但有潜在问题的事件。例如，当磁盘空间不足时，将 会记录警告。 信息：描述了应用程序、驱动程序或服务的成功操作的事件。例如，当吼络驱 动程序加载成功时，将会记录一个信息事件。 成功审核：成功的审核安全访问尝试。例如，用户试图登录系统成功会被作为 成功审核事件记录下来。 失败审核：失败的审核安