（计算机应用技术专业论文）计算机数据取证模型及取证有效性研究.pdf

廖塞邮电大学硬j 三要塞生堂垡望皇=中文摘璺 中文摘要 随着计算机及其网络在现代社会中所扮演角色的日益重要，计算机犯罪也引起了 人们的关注。当前计算机犯罪研究主要有两大方向法律和技术。就技术层面研究 而言，发展了三十多年的计算机犯罪研究，主要将重点放在计算机数据的获取上。丽 随着犯罪调查过程，涉及计算机的越来越多，对计算机犯罪调奄的要求越来越专业化、 币规化。基于此，本文提出了规范计算机数据取证模型和计算机数据取证有效性研究 两个观点。目的一是为了使计算机数据取证体系更加完善，有相对稳定的、征确的模 型可以参考，从取证步骤上保证计算机取证的真实、可信；二是为了给专业和非专业 的计算机犯罪调查人员一个衡量计算机犯罪调查可用性的标准。 本文从简入深，给出了计算机数据及其取证的定义，讨论了与计算机数据取证相 关的概念和国内外研究的现状，分析了现阶段研究的局限。在对比了现阶段研究模型 的基础上，提出了计算机数据取证模型。给出了模型的具体描述和与其它模型的比较。 考虑了当前计算机取证的不足，本文研究了计算机数据取证有效性，给出了耿证 有效性证明的体系结构和取证有效性证明模块，并分别进行了描述。在此基础上，本 文给出了有效性证明用到的部分定义、定理和公理。对一个具体的取证实例，给出了 取证有效性的证明 关键字：计算机犯罪取证模型有效性证明 南京邮电大学顶士研究生学位论文 a b s t r a c l a b s t r a c t w i t ht h ei n c r e a s i n gu s eo fc o m p u t e ra n di n t e m e t ，p e o p l ee n j o yt h ec o n v e n i e n c ea n d b e n e f i t so f f e r e db yt h e m b u tt h eo t h e rs i d e e f f e c t 一c o m p u t e rc r i m eb e c o m e sas e v e r e c h m l e n g e t o d a y s r e s e a r c h e so nc o m p u t e rc r i m ef o c u so nt w of i e l d s l a wa n d t e c h n o l o g y a n dt h ew e l l k n o w nc o r et e c h n o l o g yo fr e s e a r c h e sc o n c e n t r a t e so nh o wt o t r a c kt h ee v i d e n c eo ft h ep r o c e d u r e + w i t ht h ed e v e l o p m e n to fc o m p u t e rf o r e n s i c s ，t r a c k i n g c r i m eb e c o m e ss p e c i a l i z e da n df o r m a l i z e d f o rt h ep u r p o s ea c c e l e r a t i n g t h e s t a n d a r d i z a t i o no fc o m p u t e rf o r e n s i c s ，t h i sp a p e rp u t sf o r w a r dar e v i s e dm o d e lo fc o m p u t e r f o r e n s i c sa n daf o r m a l i z e dm e t h o do f p r o v i n gt h er e l i a b i l i t yo f c o m p u t e rf o r e n s i c s t h ep a p e rf i r s t l yi n t r o d u c e sb a s i cc o n c e p t so fc o m p u t e rf o r e n s i c s ，s u c ha sc o m p u t e r c r i m e ，c o m p u t e rd a t a ；t h ec u r r e n ts i t u a t i o no fc o m p u t e rf o r e n s i c sa n dt h er u l eo fc o m p u t e r f o r e n s i c sa n ds oo n b a s e do nd i s c u s s i o na b o v e ，am o d e lo fc o m p u t e rf o r e n s i c si si n t r o d u c e da n dt h e p o i n to fp r o v i n gt h er e l i a b i l i t y o fc o m p u t e rf o r e n s i c si sp u tf o r w a r d a r c h i t e c t u r e a n dc o r r e s p o n d i n ga n a l y s i so fm o d e l i si n t r o d u c e da n dt h e p e r f o r m a n c e sa r e a l s o c o m p a r e dw i t ht h eo t h e rm o d e l s t h em o d u l eo fp r o v i n gr e l i a b i l i t yo fc o m p u t e rf o r e n s i c s a n di n t e r r e l a t e da x i o m s ，t h e o r e m sa r ed e s c r i b e dt o o a tt h ee n do ft h ep a p e r ，r e l i a b i l i t yo f a f o r e n s i ce x a m p l ei sd i s c u s s e du s i n gt h et h o u g h t so f f e r e d k e y w o r d s ：c o m p u t e rc r i m e ，f o r e n s i c ，m o d u l e ，r e l i a b i l i t y , p r o v e 南京邮电大学 硕士学位论文摘要 学科、专业：工学计算机应用技术 研究方向：计算机在通信中的应用 作 者：j 塑堕级研究生 唐娟 指导教师垂堡撞逊圄撞 题目：计算机数据取证模型及取证有效性研究 英文题目：r e s e a r c h e so nt h em o d e lo fc o m p u t e rf o r e n s i c s a n dr e l i a b i l i t yo fc o m p u t e rf o r e n s i c s 主题词：计算机犯罪取证模型有效性证明 k e y w o r d s ：c o m p u t e rc r i m e f o r e n s i cm o d u l e r e l i a b i l i t y p r o v e 南京邮电大学学位论文独创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究 工作及取得的研究成果。尽我所知，除r 文巾特别加以标注和致谢的 地方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包 含为获得南京邮电大学或其它教育机构的学位或证书而使用过的材 料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了 明确的说明并表示了谢意。 凇生豁座翊刚乳趔垒7 南京邮电大学学位论文使用授权声明 南京邮电大学、中国科学技术信息研究所、国家图书馆有权保留 本人所送交学位论文的复印件和电子文档，可以采用影印、缩印或其 他复制手段保存论文。本人电子文档的内容和纸质论文的内容相一 致。除在保密期内的保密论文外，允许论文被查阅和借阅，可以公布 ( 包括刊登) 论文的全部或部分内容。论文的公布( 包括刊登) 授权 南京邮电大学研究生部办理。 研究生签名：勇匝导师签名：；迹门期：! ：! ：! ：! ! 南京邮电大学硕士研究生学位论文第一章汁算机数据取i 正综述 第一章计算机数据取证综述 1 1 计算机数据取证的相关概念 1 1 1 计算机数据取证的起源和一些术语 如果说在三十年前，提到“犯罪”人们普遍想到的是盗窃等之类的行为，那么蔷 三十年后的今天，“犯罪”的概念已经延伸到了计算机世界。 随着计算机和互联网以及信息技术的不断发展进步，一种新型的犯罪方式 “计算机犯罪”正变得越来越普遍。据美国计算机应急响应组织c e r t c c 发向的统计 报告：2 0 0 2 年全年，他们按到的安全事件报告有8 2 0 9 4 起；到了2 0 0 3 年，此类报告 已经猛增到了1 3 7 5 2 9 起。可见计算机犯罪的势头之迅猛。计算机犯罪的目的、形式 和手段千变万化：有侵入网站破坏网站正常运行的，有制作、散布计算机病毒的，赍 侵入计算机系统盗取或修改计算机数据的，等等。不论这些对计算机系统的行为是出 于什么目的，都对计算机系统造成了一定的影响。更严重的还对国家和人民的财产造 成不可估量的损失。 如果不将计算机零部件的盗窃统计在内，最早有记录的计算机犯罪发生在1 9 6 9 年到1 9 7 0 年。大约在间一时期，有人逐渐发现了非授权访问分时使用的巨型计算机 的方法，其本质是盗取计算机的使用时间，这在当时是非法的行为。2 0 世纪7 0 年代， 许多涉及计算机和网络的犯罪活动是使用当时已有的法律进行处罚的。但由于数字财 产被看作是无形的，超出了传统法律保护实际有形财产的范畴，因而产生了很多法律 纠纷。利用计算机进行的计算机入侵和计算机诈骗最先被广泛地认为是新型的犯罪。 处理入侵和计算机诈骗的第一个计算机法律是佛罗里达计算机犯罪法。这个法案还定 义了所有未授权访问计算机的行为是犯罪。即使访问行为不是恶意的也被认为是犯 罪。2 0 世纪8 0 年代早期，各国政府开始颁布类似的法律。加拿大是第一个颁布联邦 法律来处理计算机犯罪的国家。美国联邦计算机反欺诈和滥用法在1 9 8 4 年通过，并 在1 9 8 6 年、1 9 8 8 年、1 9 8 9 年和1 9 9 0 年进行了修改。1 9 8 9 年澳大利亚刑法也将计算 机相关犯罪包括了进去。澳大利亚各州也在同一时间颁布了类似的法律。在美国，1 9 9 0 年计算机入侵也在1 9 9 0 年通过反滥用法定罪。2 0 世纪9 0 年代，网络的发展使得计 南京邮电大学硬t 研究生学位论文第一章计算机数摄取i 哮i 述 算机犯罪超越了简单的计算机入侵。各种有关计算机犯罪的法令也越来越多。 一个新观念提出以后，对于与它相关的术语界定也是一个长时间的过程。对于计 算机犯罪和取证基本术语的标准化，已经争论了十多年，仍没有达成任何般性的共 识。甚至连最基本的术语计算机犯罪( c o m p u t e rc r i m e ) 也还没有形成统一的意 见。 有关专家曾经对“是什么组成了计算机犯罪或计算机相关犯罪”这个问题进行了 激烈的争论。但仍没有一致认可的定义。定义计算机犯罪的一一个主要难点在于：当犯 罪案件并不直接涉及计算机或网络，但是计算机或网络仍然包括与案件相关的数字i j j 据的时候。即使计算机在案件里没有起到任何作用，但是它包含了与调查相关的数亨 证明。基于这种情况，术语计算机相关( c o m p u t e r r e l a t e d ) 就更为适合。美国捌浊 部和欧洲理事会就采用了电脑犯罪( c y b e r c r i m e ) 来泛指涉及计算机和网络的犯罪。 术语“计算机法学( c o m p u t e rf o r e n s i c s ) ”对不同的人也具有不同的含义。计 算机法学经常指对诸如硬盘、光盘以及打印机之类的计算机部件及这些部件承载的内 容进行法学检验。然而，这个术语有时又被用于描述所有形式数字证据的泫学检验， 包括通过网络的数据传输。而在信息安全领域，计算机法学这个术语已经用来泛指那 些更多的是保护计算机系统而不是收集证据的活动，这就更加混乱了。 数字法学研究工作组( d i g i t a lf o r e n s i cr e s e a r c hw o r k s h o p ，简称d f r w s ) 穗 2 0 0 1 年第一届年会中就意识到需要对术语进行修订，并建议用“数字法学( d i g it a f o r e n s i cs c i e n c e ) ”这个术语来描述本领域的所有内容。术语“计算机法学分析 ( f o r e n s i cc o m p u t e ra n a l y s i s ) ”和“法学计算( f o r e n s i cc o m p u t e r i n g ) ”也使辟i 的越来越广泛“3 。 1 1 2 计算机在犯罪中的角色 在认识到计算机犯罪的危害，并且将计算机犯罪当作个专门的课题研究之后， 专家们越来越注重的是研究的系统化、规范化。作为计算机犯罪研究的基础，对于计 算机在犯罪中所扮演的角色，也出现了许多不同的界定。 最初，计算机取证专家d o n np a r k e r 认为计算机通常扮演以下四个角色：第一， 计算机可以是犯罪的犯罪客体；当犯罪行为影响到计算机的时候，计算机就是犯罪的 客体，例如当计算机被盗或被破坏；第二，计算机是犯罪的主体；当计算机就是犯罪 所在的环境时，计算机就是犯罪主体；例如当计算机被病毒传染或被以某些其它方式 2 堕塞堕t 璺墨堂堡羔盟塞皇兰焦篓塞一一 蔓= 妻进兰垫塾萎墼堡壁堕 算机犯罪超越了简单的计算机入侵。各静有关计算机犯罪的法令也越来越多。 一个新观念提出以后，对于与它相关的术语界定也是一个长时间的过程。对丁计 算机犯罪和取证基本术语的标准化，己经争论了十多年，仍没有达成任何一般性的建 识。甚至连最基本的术语计算机犯罪( c o m p u t e rc r i m e ) 也还没有形成统一的意 见。 有关专家曾经对“是什么组成了计算机犯罪或计算机相关犯罪”这个问题进行j 激烈的争论。但仍没有一致认可的定义。定义计算机犯罪的一个主要难点在于：当犯 罪案件并不直接涉及计算机或网络，但是计算机或网络仍然包括与案件相关的数字证 据的时候。即使计算机在案件里没有起到任何作用，但是它包含了与调查相关的数雩 证明。基于这种情况术语计算机相关( c o m p u t e rr e l a t e d ) 就更为适台。荚幽司托、 部和欧洲理事会就采用了电脑犯罪( c y b e r c r i m e ) 来泛指涉及计算机和网络的犯罪。 术话“计算机法学( c o m p u t e rf o r e n s i c s ) ”对不同的人也具有币涮的含义。汁 算机法学经常指对诸如硬盘、光盘以及打印机之类的计算机部件及这些部件承载的内 容进行法学检验。然而，这个术语有时又被用于描述所有形式数字证据的法学检验， 包括通过网络的数据传输。而在信息安全领域，计算机法学这个术语已经用束泛指那 些更多的是保护计算机系统而不是收集证据的活动，这就更加混乱了。 数字法学研究工作组( d i g i t a lf o r e n s i c r e s e a r c hw o r k s h o p ，简称d f r w 5 ) 矗、 2 0 0 1 年第一届年会中就意识到需要对术语进行修订，并建议用“数字法学( d i g i t a 。 f o r e n s i cs c i e n c e ) ”这个术语来描述本领域的所有内容。术语“计算机法学分析 ( f o r e n s i cc o m p u t e ra n a l y s is ) ”和“法学计算( f o r e n s i cc o m p u t e r i n g ) ”也使用 的越来越广泛：“。 1 1 - 2 计算机在犯罪中的角色 在认识到计算机犯罪的危害，著目+ 将计算机犯罪当作个专门的课题研究之后 专家们越来越注重的是研究的系统化、规范化。作为计算机犯罪研究的基础，对于“ 算机在犯罪中所扮演的角色，也出现了许多不同的界定。 最初，计算机取证专家d o n np a r k e r 认为计算机通常扮演以下四个角色：第一， 计算机可以是犯罪的犯罪客体；当犯罪行为影响到计算机的时候，讨算机就是犯罪的 客体，例如当计算机被盗或被破坏；第二，计算机是犯罪的主体；当计算机就是犯罪 所在的环境时，计算机就是犯罪主体：例如当计算机被病毒传染或被以某些其它方式 所在的环境时，计算机就是犯罪主体：例如当计簿机被病毒传染或被以某些其它方式 2 南京邮电大学颈螂歼究生学位论文 第一章计算桃数据取证综述 降低了性能，从而便计算机用户不方便：第三，计算机可以是计划和实施犯罪的工具； 例如当计算机被用于伪造文件或者侵入其它计算机时，计算机就是犯罪的工具。第四， 计算机本身可以成为一种用于胁迫和行骗的象征。例如一个股票经纪人告诉客户，他 可以通过经纪公司的巨型计算机中的一个秘密计算机程序来快速操作股票以获取巨 额利益。许多客户相信了这个骗术，因而受骗上当。 1 9 9 5 年，d a v i dl c a r t e r 教授根据他的刑事司法经验改进了上面的分类。弓| 入 了目标( t a r g e t ) 和工具( i n s t r u m e n t a l i t y ) 两个术语。这描述了计算机和犯罪关 联不那么密切，但计算机中又包含了相关数字证据的情景。与前面相比，这个界定的 内容更加全面。 1 9 9 4 年，美国司法部( u sd e p a r t m e n to fj u s t i c e ) 创建了一套分类体系，咀 及一套相关的搜查和查封准则。这套分类体系区分了硬件( 电子证据) 和信息( 数字 证据) 。硬件是指计算机所有的物理部件，信息是指存储在计算机上的或用计算机进 行传输的数据和程序。硬件和信息共分为六大类：第一，作为违禁品或者犯罪赃物的 硬件：第二作为工具的硬件：第三，作为证据的硬件；第四，作为违禁品或犯罪赃 物的信息；第五，作为工具的信息；第六，作为证据的信息。2 0 0 2 年，美国司法部 更新了文档，反应了技术和法律的最新变化，并编制了“在刑事调查中搜查、查封计 算机并获得电子证据”手册。该手册成为调查员、原告律师和辩护律师的重要参考文 件之一。 1 1 1 3 计算机数据的定义、特点和数据源 计算机数据是计算机取证的对象，计算机系统则是计算机数据的承载和来源。考 虑到计算机数据来源的多源性，应首先对计算机系统进行分类。针对计算机数掘的来 源，可以将计算机系统分为三大类：开放计算机系统，即通常意义上的由硬盘驱动器、 显示器、键盘、鼠标等组成的标准化计算机系统：通信系统，指传统电话系统、有线 通信系统、i n t e m e t 以及普通网络；嵌入式计算机系统，即移动电话、智能卡和一些 内嵌计算机的系统。 在了解了针对计算机数据取证而对计算机系统所做的划分以后，还要对计算机数 据取证的研究对象“计算机证据”进行分类。计算机证据的分类方法可以有很多， 例如针对存储介质分类，可以分为存储于硬盘的数据，存储于缓存的数据，存储于可 移动磁盘的数据等；针对存储形式分类，可以分为可直接读取文件，隐藏文件，加密 3 南京邮电人学颈j 册究生学证论文 第一章计算帆数据取h e 踪述 文件，被删除文件等；针对计算机数据的表现形式分类，可以分为：文本、图像、声 音三大类；在文本这一类中，计算机证据又可以细分为：电子邮件，文档，表格，泞 册表数据，历史记录等等。 对计算机系统、计算机证据进行分类以后，接下来我们要对“计算机证据”有 个定义。对于计算机证据的定义有很多。例如数字证据标准工作组( s w g d e ) 的定 义是任何可以提供证据的、以数字形式存储或传输的信息：而计算机证据国际组织 ( i o c e ) 的定义是指可以被法庭所接受的、以二进制形式存储或传输的信息【 t 。在本 文中，计算机证据的定义为：可以从计算机设备中提取的、可能为计算机犯罪调查提 供线索的所有数据。 计算机数据与传统证据相比，具有自身的一些特点。“1 。这些特点既为计算机 数据的取证带来了传统取证所没有的问题与挑战。 1 ) 数字性。计算机证据的物质载体是电子元件和磁性材料等。行为人蓄意操作、 改变数据或程序，麸物理表示上，都只是集成电路的电子矩阵正负电平或磁 性材料磁体等发生了变化。获取这些行为的证据需要的手段，与其它证据是 完全不同的。 2 ) 技术性。计算机证据的产生、储存和传输及其采集、分析和判断都必须借助 于计算机科学中的计算技术、存储技术、网络通信技术等。 3 1 脆弱性。由于计算机信息容易被修改，并且对其进行真萨意义上的修改( 不 可恢复的修改) 以后不会留下痕迹，从而使得计算机信息具有了脆弱、不可 靠的一面。人为操纵数据和程序的破坏在某种程度上具有普遍性。计算机系 统对数据的处理具有环节多、使用的技术和设备复杂等特点。而且由于计算 机的处理速度越来越快，数据的修改都是在瞬间完成的。所以，计算机证据 有时是不可靠的。 4 ) 多态性。是指计算机证据的表现形式是多种多样的，即不同形态的输出材料 的证明力都来源于同一计算机存储的信息本身。虽然不同的证据表现形式并 不能说明其在审查判断上有根本的区别，但是不同形态的证据材料的审查规 则是不同的。 5 1 人机交互性。这是指计算机证据的形成，在不同的环节上有不同的计算机操 作人员参与，这种参与在都可能不同程度上影响计算机系统的运转。而且， 南京邮电大学硕上研究生学位论文第一耄计算机数据取证综述 这种影响的层次和程度与这些人员的工作性质有关。也就是说，计算机管理 员、网络管理员、程序员、系统分析人员以及一般的计算机操作人员对数据 信息的影响是不同的。所以，可能出现的问题也就存在于人、机两个方面。 为了保证证据的可靠性和真实性，应该从技术和管理上严格控制人机系统。 同时，在采集和获取计算机证据时应注意分析人和机器两个方面。 6 ) 复合性。证据的复合性是指当证据以某种形式表现时，往往就具有了这种表 现形式的证据特征。而计算机证据的表现形式是多种多样的，可以是打印存 纸上的文字，可以是在显示器上输出的视频、图像、文字，也可以是声音设 备输出的声音。在诉讼活动中采纳某一证据形式时，应当既考虑该证据生成 过程的可靠程度如何，又考虑这一证掘的表现形式是否被伪造、编造或剪辑、 删改过。所以，计算机证据的采集和鉴别不仅技术含量高，而且过程十分复 杂。 基于计算机证据的以上特征，我国有的法学专家建议，把计算机证据作为个独 立的证据种类或者用“电、磁、光记录物”取代视听资料作为一个证据种类，以涵盏 视昕资料和计算机证据。 讨论了计算机数据的定义和特点，那么在通常的取证过程中，计算机数据主要有 哪些来源呢5 j ? 概括起来有以下三种。 1 ) 基于主机的信息源 操作系统审计跟踪( o p e r a t i n gs y s t e m a u d i t t r a i l ，也就是出一个特殊操作系统装 置产生的系统事件记录) 和记录系统应用事件的系统日志文件、文件的电子特征( 女 i m a ct i m e s ) 、可恢复的数据、系统时间、加密及隐藏的文件、f i l es l a c k 、u n a l l o c a t e d s p a c e ( e r a s e df i l e s ) 、w i n d o w ss w a pf i l e 等。 2 ) 基于网络的信息源 在基于网络的方法中，信息通过在网络段上传输的网络通信流采集。这种方式所 需的代价比较低，也可以发现对基于主机系统来说不易发现的某种攻击的证据。 3 ) 其它安全产品的信息 防火墙、i & a 系统、访闯控制系统、其它安全设备和取证分析系统产生的同志信 息。 南隶邮电太学硬上研究生学位论文第一章计算机数据取证综述 1 1 4 计算机数据取证的定义、特殊性和分类 对于什么是计算机数据取证，与对于计算机证据定义的争论一样，至今仍有很多 不同的定义。 计算机数据取证的资深入士，j u d dr o b b i n s 给出的定义是眄l ：计算机数据取证仅 仅是计算机调查和分析技术的一种应用，其目的是为了获取潜在的合法数据。 专业的计算机紧急事件响应和计算机取证咨询公司n e w t e c h n o l o g i e s ，进一步护 展了该定义：计算机数据取证包括了对以磁介质编码信息方式存储的计算机证据的保 护、确认、提取和归档。s a n s 公司则归结为如下的说法：计算机取证是使用软件和 工具，按照一些预先定义的程序，全面地检查计算机系统，以提取和保护有关计算机 犯罪的证据。而s e n s e i 信息技术咨询公司则将其简单概括为对电子证据的收集、保存、 分析和陈述。e n t e r a s y s 公司的c t o 、办公室网络安全设计师d i c kb u s s i e r e 则认为讨 算机取证也可以称作计算机法医学，是指把计算机看作犯罪现场运用先进的辨析技 术，对计算机犯罪行为进行法医式解剖，搜寻确认犯罪及其犯罪证据，并据此提起诉 讼的过程和技术。该定义强调了计算机取证与法医学的关联性。也有定义认为，计算 机数据取证是指对能够为法庭接受的、足够可靠和有说服性的，存在于计算机和相关 外设中的电子证据的确认、保护、提取和归档的过程【引。 综合以上的观点，本文对计算机数据取证的定义是：指对能够为法庭接受的、足 够可靠和有说服性的、存在于计算机和相关外设中的电子证据的确认、保护、提取和 归档的过程。它能推动或促进犯罪事件的重构，或者帮助预见有害的未经授权的行为 n 计算机数据的特性，给计算蓼k 数据取证工作带来了一定的困难。但也乎因为计算 机数据的种种特性，计算机数据取证也有了传统取证所不可能有的便利。 1 1 计算机数据可以在比特流级别被复制，此时的副本与原数据是完全相同的， 因此对于计算机犯罪的分析和取证工作可以在副本上完成，从而避免了原始 数据被破坏的风险。 2 1 在对副本进行分析和取证的过程中，即使是对于副本一个字节的改动，也可 以很方便地检测出来，这个特点从侧面促进了电子数据取证的客观性与公证 性。 3 1 许多计算机数据不仅仅只保存在计算机中的一个位置，一处的计算机数据遭 6 南束邮电大学硕j 弼 究生学位论文第一章计算机数据取证综述 到破坏以后，往往可以从其它的地方找到该数据的副本或相关的冗余数据。 4 ) 计算机数据虽然易被破坏，但是却很难被完全的毁灭；有研究表明，有经验 的取证人员可以从被擦除七次的硬盘中获取所需要的数据【9 l 。 那么计算机数据取证又应该如何分类昵? 按照计算机数据数据取证在计算机犯 罪调查中所处的阶段和作用，可以将其分为两个大类：事后静态取证和实时动态驳证。 1 1 事后静态取证技术是在计算机已经遭到入侵或破坏的情况下，运用各种技术 手段对存储在各种物理介质上的数据进行分析取证的过程，也是现在普遍采 用的取证方法。静态取证对数据进行确认、提取、分析，抽取出有效证据， 基于此思想的工具有数据克隆工具、数据分析工具和数据恢复工具。 前已 经有专门用于静态取证的工具，如g u i d a n c es o f t w a r e 的e n c a s e ，它运行时能 建立一个独立的硬盘镜像，而它的f a s t b l o c 工具则能从物理层组织操作系统 向硬盘写数据。 2 ) 动态取证是将取证技术结合到荫火墙、入侵检测中，对所有可能的计算机犯 罪行为进行实时数据获取和分析，智能分析入侵者的企图，采取措施切断链 接或诱敌深入，在确保系统安全的情况下获取最大量的证据，并将证据鉴定、 保全、提交的过程【8 】【i l 】。动态取证通常与i d s 、h o n e y p o t 、h o n e y n e t 紧密 结合。动态取证技术是计算机取证的发展趋势。目前的动态取证产品国外刀： 发研制的较多，价格昂贵，国内部分企业也开发了一些类似产品。 1 2 计算机数据取证的研究现状 1 2 1 典型的计算机数据取证调查工具 计算机数据取证的独特需求，促进了一些取证工具、取证软件的歼发。这些工具 被设计为收集相关数据或者读取这些数据来进行分析，以便予能够发现与案件相关的 信息。取证软件更倾向于同时拥有收集和分析数据的功能。下面就介绍几个同时提供 不同的自动检查计算机犯罪现场功能的工具 9 1 。 f o r e n s i ct o o l k i t 是系列基于命令行的工具，可以帮助推断w i n d o w sn t 文件系 统中的访问行为。这些程序包括a f i n d ，h f i n d ，s f i n d ，f i l e s t a t 等。除n t 系统的 f o r e n s i ct o o l k i t 取证工具箱以外，还有类似于n t l a s t 之类功能强大的命令行工具。 南京邮电大学硕士研究生学位论文 第一章计算机数据取证综述 n t l a s t 从本质上来说就是一个w i n d o w s n t 版本的u n i xl a s t 命令行工具。 d a nf a r m e r 和w i e t s ev e n e m a 设计的t h ec o m e r st o o l k i t ( t c t ) 主要用于调查 被黑的u n i x 主机，它具有强大的调查能力。它的设计并不是用于收集传统的法庭证 掘，而是用来确定在被攻破的主机上发生了什么。它提供的些独特功能很难对菲专 业人员进行解释，而且他必须在被攻破的主机上运行。这可能对证据是一种破坏。7 f c i 最不同寻常的特点在于它可以对运行着的主机的活动进行分析，并捕获当前的状态信 息。这一工作对于手动方式来说是不可能的。t c t 里的前端工具g r a v e r o b b e r 可以收 集大量的正在运行的进程、网络连接以及硬盘驱动器方丽的信息。t c t 工具也包括 一套用于恢复己删除的u n i x 文件的工具。更为确切的说，它包含一个试图将比特流 重构成一系列连贯数据的工具，也包含一个在u n i x 环境下从文件系统中创建一个比 特流的工具。 f o r e n s i c x 是一个主要运行于l i n u x 环境、以收集数据和分析数据为主要目的的 工具。它与配套硬件组成自己的专有工作平台，支持多种类型的硬件，而且包括对硬 盘驱动器、软盘驱动器、磁带、光盘以及j a z z 驱动器的支持。你放入的任何它所支 持的媒体都可以被快速的印像，进行m d 5 核查，并且记录到案例数据库。f o r e n s i c x 提供在不同的文件系统里自动装配印像或媒体的能力。文件系统的装配是只读的，这 样可以防止对数据的修改。它还包含许多插件，可以进行不同类型的搜索。个图形 文件功能的插件能够使它自动搜索印像并显示位图。f o r e n s i c x 还拥有几个不同寻常 的功能。例如对u n i x 系统可能存在的漏洞进行检查；建立一个文件系统基线圈、存 储哈希值和文件名，然后将基线同其它文件系统的映像做比较等等。 n t i ( n e wt e c h n o l o g i e si n c o r p o r a t e d ) 是取证软件研究领域的资深公司。它们的 工具以命令行形式执行，速度很快。产品包括c r c m d 5 ，d i s k s c r u b ，d i s k s i g ，f i l e l i s t ， f i l t e rw e ，g e t f r e e ，g e t s l a c k ，g e t t i m e ，n e t t h r e a t a n a l y z e r 等等。这些工具既可盼 用于搜集特殊形式的证据，例如分区表或c m o s 设置，也可以用于分析现有的磁盘。 e n c a s e 是一个完全集成的、基于w i n d o w s 的取证应用程序，与n t i 相比，e n c a s e 的产品是基于图形用户界面的，提高了取证的工作效率。该产品的功能包括数据预览、 搜索、磁盘浏览、数据浏览，建立案例，建立证据文件，保存案例等等。e n c a s e 还具 有图形浏览器，可以方便的对图片进行分类，选择想要浏览的图片，然后点击预览模 式观看。它还有一个特点是对证掘进行正则表达式搜索。e n c a s e 已被世界各地的执法 南京邮电大学硕士研究生学位论文 第一章汁算机数据取证练进 机构及计算机安全专家采用，在我国也占领了比较大的市场。 1 2 2 国外计算机数据取证研究现状 国外的计算机数据取证研究开始于2 0 世纪7 0 年代。2 0 世纪8 0 年代到2 0 世纪 9 0 年代末期。美国执法机构开始合作制订培调计划，以增强自己在处理计算机犯罪 方面的能力。这些主动措施带动些如s e a r c h 、联邦执法中心( f l e t c ) 以及国 家白领犯罪中心( n w 3 c ) 等的组织机构制定了相关的执法培训课程f l i 。 接下来美国以及其它国家建立起了特殊的组织，并按照国际水准调查计算机相关 犯罪。之后处理数字证据的区域中心应运而生。再后来，许多本地执法机构丌始发展 自己的处理数字证据的专门部门。另外，有些国家在他们的研究员中更新了培训计划， 并且认识到计算机的普及需要每个执法机构都具有基本的数字证据意识。现在美国至 少有7 0 的法律部门拥有自己的计算机取证实验室f i “。亚洲、欧洲、大洋洲、北美 洲、拉丁美洲和非洲等国家都有了关于计算机证据的法令。 到了2 0 世纪9 0 年代早期，专业的计算机取证工具陆续出现。s a f e b a c k 和d i b s 之类的工具，使得取证人员可以收集所有在计算机磁盘上的数掘，而不会更改重要细 节：美国国税局( i r s ) 的m a r e s w a r e 和n t i 可阻帮助数字调查员处理计算机磁盘 的数据；加拿大皇家骑警队( r c m p ) 也开发了用于检验计算机的专门工具：e n c a s e 和f t k 之类的集成工具，使数字调查员的工作变得更加简单。t h es l e u t h k i t 和s m a r q l 之类的运用于l i n u x 平台上的工具也陆续出现；z e r t 、t u l p 以及c a r d s 4 l a b s 可以 访问受密码保护的和被删除掉的数据等等。 随着取证工具的不断开发。一些对于常用取证工具进行评估的组织也应应运而 生，如美国的国家标准与测试协会( n a t i o n a li n s t i t u t e o f s t a n d a r d s t e s t i n g ) 等。 1 2 _ 3 国内计算机数据取证研究现状 在我国，计算机证据出现在法庭上，也是近l o 年左右的事情。近年来，我国出 现了一些电子数据取证机构。中央和省级公安机关成立了计算机犯罪监察机构，司法 部也专门将计算机( 司法) 鉴定作为一个独立的类型加以规范。全国各省市公安枫关 已经建立了专门的打击计算机犯罪的警察队伍。 在研究方面，国家信息中心信息安全研究与服务中心将计算机取证技术当作一项 专门的课题研究，在处理有物理损坏的硬盘、查找文件碎片及对特殊文件的分析等方 南京邮电大学硕士研究生学位论文 第一章计算机数据驳证练述 面取得了一些成果，为公检法机关解决了大量的取证问题。国家8 6 3 项目子课题 电子物证保护与分析技术和公安部重点项目打击计算机犯罪侦查技术研究， 包括计算机系统运行环境勘查取证技术、常用应用软件默认数据及缓冲数据侦查取证 技术、存储介质中残缺数据勘查取证技术、常用软件加密数据的勘查取汪技术、常用 破坏性程序的搜索与取证技术、计算机犯罪固定与保全技术和电子数据证据鉴定技术 等八个课蹶，正在研究之中。中国科学院在网络入侵取证，武汉大学和复旦大学在取 证技术，吉林大学在网络逆向追踪，电子科技大学在网络诱骗，北京航空航天大学存 入侵诱骗模型等方面都展开了研究【1 3 】。2 0 0 5 年初，北京市还成立了首家得到司法局 资质审核，具备出具法庭承认的电子数据司法鉴定报告能力的、电予数据司法鉴定中 心。 但总的来说，我国的计算机数据取证的发展水平，还不能与信息化的发展水平相 协调；缺乏具有较高专业知识和技能的取证人员；缺乏对于计算机数据取证的规范： 缺乏具有自主知识产权的取证设备、取证工具和切实可用的取证技术；缺乏对于订算 机取证的立法，律师界对计算机数据证据的认识还很模糊和肤浅。进一步开展计算机 数据取证技术的研究，对于计算机科学的发展、计算机数据取证法律法规的健全和订 算机数据取证工作的规范化都具有十分熏要的意义。 1 2 4 现阶段研究中的局限 计算机取证的理论和软件是近年来计算机安全领域内取得的重大成就。然而从对 计算机取证理论和软件实现过程的分析中我们可以发现，当前的计算机取证技术还存 在着很大的局限性1 舶。 从理论上讲，计算机取证人员能否找到犯罪的证据取决于以下三个条件：首先， 有关犯罪的电予证据必须没有被完全地覆盖；其次，取证软件必须能够找到这些数据； 再次，取证人员还要能够知道文件的内容，并且能够证明它们和犯罪有关。从当前软 件的实现情况来看，许多取证分析软件还仅仅是可以恢复使用r m 或s t r i p 命令删除 的文件，要用它们对付老奸臣猾的犯罪者还远不能达到要求。 正是这些问题让一些计算机犯罪者感觉到有机可乘，所以在计算机取证技术蓬勃 发展的同时，反取证技术也悄悄出现。反取证就是删除或者隐藏证据使取证调查无效。 现在的反取证技术分为三类：数据擦除、数据臆藏和数据加密。这些技术还可以结合 起来使用，这更让取证工作的效果大打折扣。数据攘除是最有效的反取证方法。它是 1 0 南隶邮电大学颈士研究生学位论文 第一章计算机数摧敬证综述 指清除所有可能的证据( 索引节点、目录文件和数据块中的原始数据) 。原始数据不 存在了，取证自然就无法进行。 反取证工具包t d t ( t h ed e f i l e t st o o l k i t ) 专门设计了两款用于数据擦除的 工具软件n e c r o f i l e 和k l l s m a f il e 。n e c r o f il e 用于擦除文件的信息和数掘，它直 接将t c t 工具包中检查索引节点状态的工具i l s 据为己用，它把所有t c t 可以找虱 的索引节点的内容用特定的数据覆盖，同时它还会用随机数重写相应的数据块： k 1 i s m a f i l e 用于擦除目录中的残存信息，它从目录文件的入口开始寻找所有被删除 的目录项，然后用零覆盖满足特定条件的目录项内容。k l is m a fl e 不是个完美的 解决工具，因为被它修改后的目录文件中会出现目录项大小不正常的情况，当然现粗， 还没有工具做这项检查。 为了逃避取证，计算机犯罪者还会把暂时还不能被删除的文件伪装成其它类型的 文件( 例如库文件) 或者把它们隐藏在图形或音乐文件中；也有人把数据文件藏在磁 盘的隐藏空间中，比如，反取证工具r u n e f s 就利用t c t 工具包不检查磁盘损坏区的 特点，把存放敏感文件的数据块标记为坏区逃避取证。这类技术统称为数据隐藏。数 据隐藏仅仅在取证者不知道去哪罩寻找证据时才有效，所以它仅适用于短期保存数 据。 为了长期保存数据，必须把数据隐藏和其它技术联合使用，比如使用别人不知道 的文件格式或加密( 包括对数据文件的加密和对可执行文件的加密) 。加密数据文件 的作用已经为我们所熟知了。而对可执行文件加密是因为在被入侵的主机上执行的黑 客程序无法被隐藏，而黑客又不想让取证人员反向分析出这些程序的作用。尽管对可 执行文件加密的具体方法随处理器的能力和操作系统的不同而发生变化，但基本思想 是相同的：运行时先执行一个文本解密程序来解密被加密的代码，而被解密的代码可 能是黑客程序，也可能是另个解密程序。黑客还可以利用r o o t k i t ( 系统后门、本 马程序等) ，绕开系统目志或者利用窃取的密码冒充其他用户登录，使取证调查变栅 更加困难。 除了反取证技术对计算机取证构成了挑战以外，现阶段关于计算机数掘敬证的研 究方向也比较单一。主要有两大趋势：一种把侧重点放在从特定平台中通过特定方法 取得特定数据的研究上，缺乏一个对于所有类型电予数据都适用的取证模型3 ；另 种将取证过程的合法化、合理化作为讨论重点；从法律角度，结合现有的对于刑事犯 南京邮电大学顿 辨究生学位论文第一章计算机数据取证综述 罪取证的方法和规范，阐述电子数据的取证。 并且，当前的计算机数据取证的进行，主要依靠的是取证工作者和驭证工其。而 采用这种“人+ 工具”的取证模式，就存在两个问题： 1 ) 取证人员的经验素质对取证结果的影响较大。取证过程中会出现各种问题， 一个高素质，经验丰富的取证人员对于取证现场的驾驭能力一般较强，能够 更准确的判断取证现场情况，首先从“人”这一方面，较好地保证取证结粜 的完整性，一致性；而经验较少的人员失误的可能性会更大； 2 ) 取证工具对于取证结果的影响较大。不可能有百分之百完美的工具，取证工 具的个小缺陷可以造成取证过程关键证据的缺失，这对于要求细致的取诅。 工作是很不利的。 基于计算机数据取证所存在的局限和不足，能不能确定一个相对稳定的、矿确的 计算机数据取证的模型，对于计算机数据取证过程中的步骤，这些步骤之间的关联做 具体的界定，使得计算杌数据取证的在执行成学上更加规范，在取证流程_ 尽可能的 保证取证结果的真实性、可靠性；能不能扩充当前的取证模式，采用“人+ 工具斗证 明”的取证体系，即在着眼于证据取得的同时，也从理论上入手，形成一套行之有效 的证明体系，对于计算机取证的有效性进行证明。以不断发展的取证技术做基础，以 理论上的规范和推导证明做补充，计算机数据取证系统才能够更加完备，所取得的计 算机数据_ 才更具说服力。并且，计算机数据取