（计算机软件与理论专业论文）计算机取证技术的研究与设计.pdf

四j i i 师范大学硕十学位论文 计算机取证技术的研究与设计 计算初散件与理论专业 研究生王志勤指导教师袁丁 摘要随着计算机技术的发展和网络的普及，利用计算机或以计算机为目 标的犯罪事件频繁发生。如何最大限度地获取计算机犯罪相关的电子证据，将 犯罪分子绳之以法，政法机关在利用高技术手段对付这种高技术犯罪方面缺乏 必要的技术保障和支持，为了提高打击计算机犯罪的能力，需要对计算机取证 领域进行深入的研究，这不但需要开发切实有效的取证工具，更需要对计算机 取证领域的取证定义、取证标准、取证程序等理论基础进行研究，其中涉及的 技术就是目前人们研究和关注的计算机取证技术。 在研读了大量文献的基础上，本文主要做了以下工作： 1 对计算机取证技术的产生，发展，现状和未来趋势作出了总结性描述。 2 对计算机取证领域涉及的基础概念、相关技术、相关理论、基本原则， 实用工具等进行了综述性介绍。 3 在对国内外已有成果深入研究的基础上设计和开发了一套计算机综合 取证系统，根据电子证据的获取时机不同分为电子证据的静态提取和电子证据 的动态提取两大子系统。静态提取子系统整合了多种取证技术，全面提取系统 信息。动态取证子系统将监控技术实际应用于动态取证中，实现了二次重捕获 攻击过程。弥补某些攻击案件仅进行事后取证而造成的证据链缺失的缺点。 4 通过计算机取证系统的取证过程，发现并弥补计算机存在的漏洞。通过 对计算机弱口令的理论研究后，设计出套计算机脆弱性口令探测系统。并对 已知的c g i 漏洞进行扫描。并且，系统也对已知的c g i 漏洞进行扫描。 关键词：计算机取证电子证据监控弱口令探测 延矮舞范丈学硕士学霞论文 t h er e s e a r c ha n d d e s i g no fc o m p u t e rf o r e n s i c s m a j o r ：c o m p u t e rs o f t w a r ea 粼lt h e o r y g r a d u a t es t u d e n t ：w a 磷q m s u p e r v i s o r ：强黝捌鹚 a b s t r a c t 嬲t h ed e v e l o p m e n to fc o m p u t e rt e c h n o l o g ya n dt h ep r e v a l e n t n e t w o 批p e o p l e a r ee x p o s e dt o 蠹j e q u i e n to c 煳强粼o f c r i m e sc o m m i t t e d b yo r 妇, n e d a tc o m p u t e r s h o w e v e r , t h ep o l i t i c sa n dl a wi n s t i t u t i o n sl a c ks u c h n e c e s s a r yh i g h - t e c h s u p p o r tt oa t t a i n 饿em o s te ：x t e n s i v ee l e c t r o n i ce v i d e n c eo ft h ec o m p u t e r - r e l a t e d c r i m e st op e m l 泌t h eo f f e n d e r s 址o r d e rt oe 1 3 h a n c et h ea b i l i t i e so fa t t a c k i n g c o m p m e r - r e l a t e do f f e n c e s , w en e e dt oc o n d u c tap r o f o u n ds t u d yo nt h ef i e l do f c o m p u t e rf o r e n s i c s ，w h i c hi sr e l a t e dt ot h ec o m p u t e rf o r e n s i c st e c h n o l o g yi nq u e s t i o n a n d 鬻汹r k ) to n l yt h ed e v e l o p m e n to fe f f e c t i v ef o r e n s i c st o o l s , b u ta l s ot h e r e s e a r c h0 1 1i t s d e f i n i t i o n , s t a n d a r d s ，捌a e d 淑黟a n ds o m eo t h e rb a s i ct h e o l j e s c o m p u t e rf o r e n s i c si s an e w l ye m e r g e di n t e r d i s c i p l i n a r y s t u d ye n c o m p a s s i n g s u b j e c t ss u c ha sc o m p u t e rs c i e n c e , l e g a ls c i e n c ea n dc r i m i n a ls c e n t f i ct e c h n o l o g y b a s e d0 1 1a 忿l a f i v e l yt h o r o u g hl i t e m n z er e v i e w , 如p a p e rc o n c l u d e st h en e x t p o i n t s ： 1 t h ee m e r g e n c e , d e v e l o p m e n t , s t a t u sa n dt h ep l d s p e c t i v er e s e a r c ho f c o m p m c r f o r e n s i c s 。 2 。 i ta l s om a k e sac o m p r e h e n s i v ei n t r o d u c t i o n 龉船b a s i cc o n c e p t s , r e l e v a n t t e c h n o l o g ya n dt h e o r i e s ，b a s i cp r i n c i p l e sa n dp r a c t i c a lt o o l s , e t cr e l a t i n gt o t h ef i e l do f c o r n p t t t e rf o r e n s i c s 3 。i td e s i g n sa n dd e v e l o p sa c o m p u t e rs y n t h e t i c a lf o r e n s i c ss y s t e mb a s e d0 1 1 t h ep r e v i o u sr e s e a r c hm a d eb o f l aa th o m ea n da b r o a d t h es y s t e mi sd i v i d e di n t o 嚣 四川师范大学硕士学位论文 s t a t i ce l e c t r o n i ce v i d e n c ec o l l e c t i o na n d 由恤a 血e i c c t r o n i ce v i d e n c ec o l l e c t i o n s y s t e m sa sr e g a r d st h ed i f f e r e n tt i m i n go f a t t a i n m gt h ee l e c t r o n i ce v i d e n c e t h es t a t i c e l e c t r o n i ce v i d e n c ec o l l e c t i o ns y s t e mi n t e g r a t e sav a r i e t yo f f o r e n s i c st e c h n o l o g ya n d i tt h o r o u g h l y 囝【t 翻船t h ed i s ci n f o r m a t i o ni n c l u d i n gt h ed e l e t e df i l e sa n dt h es y s t e m i n f o r m a t i o n d y n a m i ce l e c t r o n i ce v i d e n c ec o l l e c t i o ns y s t e m su s em o n i t o rt og e t e y m m i c e l e c t r o n i ce v i d e n c e ，酣雠s e c o n da t t a c ke v i d e n c e 每b a s e do nf i n d i n gt h ee l e c t r o n i ce v i d e n c eo nc o m p u t e r 。w ee 黼f i n dt h e h o l e st h ec o m p u t e rh a s ，a n dw ew i l lr e p a i rt h e m b yt h er e s e a r c h i n go i lw e a k p a s s w o r dd e t e c t st h e o r e t i c s 。t h i sp a p e rd e s i g nas o f t w a r es y s t e mt h a te a 羧f i n dt h e c o m p u t e r sw e a kp a s s w o r d a n d s c a nt h ec g i sh o l e c o m p u t e rf o r e n s i c s e l e c t r o n i ce v i d e n c em o n i t o r w e a kp a s s w o r d i i i 四川师范大学学位论文独创性及 使用授权声明 本人声明：所呈交学位论文，是本人在导师童工指导下，独立 进行研究工作所取得的成果。除文中已经注明引用的内容外，本论文不含任何 其他个人或集体已经发表或撰写过的作品或成果。对本文的研究做出重要贡献 的个人和集体，均已在文中以明确方式标明。 本人承诺：己提交的学位论文电子版与论文纸本的内容一致。如因不符而 引起的学术声誉上的损失由本人自负。 本人同意所撰写学位论文的使用授权遵照学校的管理规定： 学校作为申请学位的条件之一，学位论文著作权拥有者须授权所在大学拥 有学位论文的部分使用权，e p ：1 ) 已获学位的研究生必须按学校规定提交印 刷版和电子版学位论文，可以将学位论文的全部或部分内容编入有关数据库供 检索；2 ) 为教学、科研和学术交流目的，学校可以将公开的学位论文或解密 后的学位论文作为资料在图书馆、资料室等场所或在有关网络上供阅读、浏览。 四川师范大学硕：t 学位论文 第一章引言 1 1 论文选题背景和意义 随着计算机网络技术的发展，黑客攻击水平不断提高，各种新的攻击工具 和攻击手段层出不穷，计算机犯罪变得越来越简单，作案人员也不再仅仅是极 少数的掌握大量网络知识的黑客，大批普通网民在黑客工具的帮助下，也对网 络安全造成极大的威胁。计算机犯罪呈现出普及化，低龄化的特点。当前各国 信息安全界都面临着同样一个挑战，那就是“信息防御的成本越来越高，而攻 击的成本则越来越低“。 信息安全技术的高代价性迫使我们必须改变以前被动防御的技术路线，主 动出击，打击犯罪分子的嚣张气焰，从根本上降低信息犯罪的犯罪率。 计算机犯罪是种与时代同步发展的高技术犯罪。由于计算机犯罪的隐蔽 性和匿名性等特点使得对计算机犯罪的侦查非常困难。据统计，2 0 0 1 年在号 称“网络王国的美国，计算机犯罪的破案率还不到1 0 ，其中定罪的则不到 3 ：被新闻报道的计算机犯罪只有11 ，其中仅1 的罪犯被侦查过，而高达8 5 以上的犯罪根本就没有被发现。在我国此类情况更为严重。从某种程度上说， 司法的滞后己经助长了计算机犯罪的嚣张气焰。对于计算机犯罪惩治的滞后 性，显然可以归结为造成计算机系统的安全问题越发严重的主要原因之一圆。 因此，依靠法律利用法律手段对计算机犯罪予以制裁，有效打击犯罪分子 是解决计算机安全问题的有效途径。其中关键的技术之一就是电子取证技术。 电子取证的目的是对能够为法庭接受的、足够可靠和有说服性的，存在于 计算机和相关外设中的电子证据进行确认、保护、提取和归档，然后据此找出 入侵者( 或入侵的机器) ，并解释入侵的过程。将由于网络入侵攻击所造成的损 失诉诸法律解决吲。 由于电子证据与普通证据有很多的不同之处，导致网络入侵取证具有很多 特殊的要求，因而关于计算机取证技术的研究就显得异常重要，而关于计算机 取证的研究反过来也可以为网络立法提供一定的思路和参考圈。 1 1 1 计算棚巳罪现状 计算机犯罪与计算机技术密切相关。随着计算机技术的飞速发展，计算机 四川师范大学颁士学位论文 在社会中应用领域的急剧扩大，计算机犯罪的类型和领域不断地增加和扩展， 从而使“计算机犯罪这一术语随着时间的推移而不断获得新的涵义。因此在 学术研究上关于计算机犯罪迄今为止尚无统一的定义。 美国学者a d a m s 认为计算机犯罪是指犯罪事件以计算机系统知识为不可 或缺者圈。美国电脑犯罪与电脑安全专家p a r k e r 认为计算机犯罪是一种罪犯利 用计算机科技知识所从事的犯罪踟。美陶国家司法学会所出版的计算机犯罪刑 事裁法资源手翡，则对于计算机犯罪提出一个较宽的定义：利甭计算粳技术所 从事的犯罪行为“叫。 我国对计算机犯罪的定义一般是指行为人故意实施在计算机内以资源为 对象或以计算机为工具危害计算机产业的正常管理秩序、违反计算机软件保护 及信息系统安全保护制度等法规、侵害与计算机有关权利久的幂l 益，以及其它 危害社会、情节严重的行为。 计算机犯罪给我们带来的影响非常广泛，从电脑病毒到电子商务诈骗皆与 我们息息相关。根据美国消费者联盟所做的统计，睡络诈骗案的被害金额从 1 9 9 9 年每人平均3 1 0 美元，增加至i2 0 0 0 年的4 2 7 美元，增长率达1 3 。7 。1 9 9 9 年影响全球数百万部电脑的m e lis s a 电脑病毒，估计造成全球八千万美元的损 失。2 0 0 0 年的il o v ey o u 电脑瘸毒瘫痪全球政府机关及私人企业的电子邮件 系统，估计造成高达一百亿美元的损失。2 0 0 6 年美国辩i 计算机犯罪调查报 告指出：2 0 0 5 年由于计算机犯罪造成美囡经济大约2 亿美元的损失，而8 5 的 被调查者指出他们的计算机安全系统被突破，黑客攻击事件稳步上升，c e r t 协议中心在2 0 0 5 年处理的攻击事件为5 2 6 5 8 件，而2 0 0 6 年则上升到8 2 9 0 4 件。 医此今天的盗贼使用电藏会琵使糟手枪更多，明天的恐怖份子使用键盘会比使 用炸弹所造成的损害更大跚。 1 1 ，2 课题研究的意义 要防止计算机犯罪事件的发生，仅依靠诸如防火墙和入侵检测系统等过滤 和预警功能、本机的密码加密功能是远不够的，因为这些技术知识从防御的角 度来防止计算机的犯罪，并不能从根本上解决问题。这正如防止偷盗最根本的 方法不是将门和锁做的越来越牢固一样，因为再牢固的锁也有被打开的可能。 2 四川i 师范大学硕上学位论文 解决问题的关键是要依靠法律，运用法律手段对犯罪行为进行制裁，而打击计 算机犯罪的关键同样是要依靠法律。我们要作的就是通过技术手段将犯罪者在 计算机中的作案“痕迹”提取出来作为有效的诉讼证据提供给法庭，将犯罪者 绳之以法。这个过成中涉及的技术就是目前网络信息安全方向下属的子研究方 向计算机取证技术。计算机取证是计算机安全领域中的一个全新的分支， 涉及计算机犯罪事件证据的获取、保存、分析、证物的呈堂等相关法律、程序、 技术问题。计算机取证技术作为一个全新分支的出现标志着网络安全防御理论 走向成熟。在目前网络安全形势严峻的情况下，实施并推广计算机取证具有十 分重要的意义，进行计算机取证技术研究的意义可以概括为以下两点：1 ( 1 ) 对计算机犯罪的电子证据进行静态取证，有效地打击计算机犯罪。 计算机犯罪的手段日益多样和先进，计算机取证对于起诉计算机犯罪行为至关 重要。在攻击事件中，如果没有证据证明所发生的情况及所造成的破坏的细节， 在选择通过法律途径起诉攻击者的时候就没有充实的法律追索权。高科技侦探 必须使用计算机取证的方法来对付计算机犯罪，在己遭入侵的情况下，运用各 种技术手段计算机犯罪的电子数据证据进行尽早的搜集、分析、确认、保护、 提取和归档，对获取充足的证据将犯罪者绳之以法，有效地打击计算机犯罪有 重要作用和意义。 ( 2 ) 对计算机犯罪的电子证据进行动态取证，防范计算机犯罪。当证据 已被攻击者彻底的销毁时，证据搜索者有可能为无法完成搜索工作而苦瞄。那 么提供套强有力的计算机监控系统是相当有必要的。此系统可以诱导攻击者 进行二次重攻击，并目通过监控系统记录攻击全过程，最后成为攻击者的犯罪 证据。这种通过诱导二次重攻击和提供监控功能的系统就成为动态取证。 1 2 课题的国内外现状分析 早在3 0 年前，电子证据就出现在了美国的法庭上。但是直到1 9 9 1 年才 在国际计算机专业会议匕首次提出了计算机取证学( c o m p u t e rf o r e n s i c s ) 这 一术语，标志着计算机取证学的诞生。随后1 9 9 3 年、1 9 9 5 年、1 9 9 6 年、1 9 9 7 年分别在美国、澳大利亚、新西兰召开了以计算机取证为主题的国际会议。这 一时期是计算机取证学起步和初步发展的时期，公布了有关数字证据( 即电子 1 9 9 川师范大学硕士学俄论文 证据) 的概念、标准和实验室建设的原则，具体的研究都集中在计算机取证的 工具上。截止1 9 9 5 ，美国4 8 的司法机关建立了自己的计算机取证实验室。 开发出了一批具有代表性的现在仍然在一线使用的计算机取证产品。例如：由 美国g u i d a n c e 公司开发的耀于证据数据收集和分析的e n c a s e 。由美国计算机 取证公司开发的用于对数据进行镜像备份的d i b s 系统。在特定的逻辑分区上 搜索未分配或空闲空间的f r e e s e c s 等等。2 0 0 0 年以后，研究的重点逐渐转移 至l 计算机取证的基磊盔理论研究，提出了一系列基于实践经验或基于司法需要的 理论模型，从理论高度给计算机取证工作提供了从人员、工具到规程、步骤的 完整指导脚。 国外由于信息技术比较发达，相应的对取证的研究也比较早，计算机证据 出现在美圆已有3 0 年左右的历史，数字证据和计算机取证技术己被法庭所承 认并得到执行驯。 美国的各研究机构与公司所开发的工具主要覆盖了数字证据的获取、保 全、分析和l 启档的过程，各研究机构与公司也都在迸一步优化现有的各种工具， 提高利用工具进行数字证据搜集、保全、鉴定、分析的可靠性和准确度，进一 步提高计算机取证的自动化和智能化。这些工具都只是从某一方面协助计算机 取证，而没有个软件能完成取证的一系列过程。例如h i g h e rg r o u n ds o f t w a r e i n c 。公司的软件h a r dd r i v em e c h a n i c 可罱予从被删除的、被格式化的和已 被重新分区的硬盘中获取数据；m a r e w a r e 公司的d i s kc r c 可以创建循环冗余 校验( c r c ) 值，也可对整个物理驱动器创建m d s 散列值，保证搜集得到的电子 证据不被改变：n ，r i 公司的软件系统n e tt h r e a ta n a l y s e r 使用人工智能中的 模式识舅l 技术，分析s l a c k 磁盘空闻、未分配磁盘空间、自由空间串所包含的 信息，研究交换文件、缓存文件、临时文件及网络流动数据；d a nf a r m e r 和 w e i t s ev e n e m a 设计的t h ec o r o n e r st o o l k i t ( t c t ) 可对运行的u n i x 主机的 活动进行分析，并捕获当前正在运行的进程、网络连接以及硬盘驱动器等方面 的信息。g u i d a n c es o f w a r e 公司的e n c a s e 是一个基于w i n d o w s 的集成的取证 工具，它具有数据预览、搜索、磁盘浏览、数据浏览、建立案例、建立证据文 件和保存案例的功能。另外，美国的一些学者在取证的标准化、合法化以及取 证专家必备的资格和计算枫证据的提交等方面都徽了大量的研究珏霹。 4 四j l l 师范大学硕士学位论文 我国有关计算机取证的研究与实践尚在起步阶段，有关计算机取证的研究 与实践工作也仅有十多年的历史，相关的法律法规仍很不完善，只有一些法律 法规涉及到了一些有关电子证据的说明，如关于审理科技纠纷案件的若干问 题的规定、计算机软件保护条例等。 法庭案例中出现的电子证据也都比较简单，如电子邮件、程序源代码等不 需要使用特殊的工具就能够得到的信息。 我国计算机取证工作与欧美发达国家存在一定的差距：在技术上，还缺乏 自主知识产权的优秀计算机取证工具，许多企业和政府部门的网络甚至金融系 统受到攻击造成重大损失时没法收集证据，使犯罪者逍遥法外。在意识形态上， 人们的信息安全还停留在被动防护而不是主动防护的层次上，不能及时收集证 据，将犯罪者诉之法庭：在法律健全上，急需颁布相关的、完善的法律法规， 设立专门的法律执行调查取证机构，规范计算杌取证。随着技术的不断发展， 计算机犯罪手段的不断提高，必须制定相关的法律、自主开发相关的计算机取 证工具、提高人们的信息安全意识，使日益增加的计算机犯罪及网络犯罪受到 应有的制裁。目前，在广东、北京和上海等发达省市都己建立专门打击计算机 犯罪的网络警察队伍，在全国各省市级公安机关也有专门的部门处理计算机犯 罪案件圈。 国家有关部门非常重视对打击计算机犯罪的研究，组织相关科研单位开展 了相关课题的研究。中国科大和中科院高能物理研究所计算机中心共同组成的 研究小组目前正在从事个中国科学知识创新工程重大项目的子项目，己发表 了多篇论文，提出了计算机取证系统的研究模型。在2 0 0 2 年1 0 月深圳举行 的第四届高交会上，中国科学院声能物理研究所计算中心研究员许榕生教授和 他的研究人员推出了部“取证机”的模拟机器，它就像飞机上的黑匣子，在 网络或者系统遭到入侵之后，这部机器可以侦探黑客的入侵手段，向人们提交 分析报告，并将成为法庭匕合法的呈堂证据嗍。 此外，当前在研的项目主要有：国家8 6 3 计划之子课题一电子物证保护 与分析技术。公安部的i n t e r n e t 侦控管理系统：国家“十五重点项目 打击计算机犯罪侦查技术研究，2 0 0 4 年初刚立项的国家博士基金项目计 算机动态取证技术研究。中科院在“取证机”、浙江大学和复旦大学在取证技 四川师范大学硕士学位论文 术、吉林大学在网络逆向追踪、电子科技大学在网络诱骟、北京航空航天大学 在入侵诱骗模型等方面展开研究工作，随着计算机取证技术重要性被更多的认 识，越来越多的科研机构投入计算机取证的研究中来嘲。 总体来讲，无论圜内还是国钋的计算规取证研究要解决的闻题都离不开以 下三个方面嘲： 1 研究计算机取证科学的合理框架 虽然计算机取证学的研究已经取得了很多有价值的成果，但是多数是从实 用角度从下面上提出的经验型模型和工具，还没有上升到理论框架的程度不能 算一门真正的科学。接下来很长一段时间，对计算机取证科学学科框架的研究 都将是计算机取证工作者研究的一个重点，计算机取证科学急需结合信息安 全、神经阙络、数据挖掘等技术和犯罪行为学，犯罪心理学等理论，铁面形成 一套完整的适应计算机陬证科学的理论体系。 2 探讨如何确定数字证据的真实性与可靠性 这个问题集中体现了计算机取证科学是计算机科学和法学的交叉学科这 样个基本性质。很显然，数字证据的真实性与可靠| 生不仅仅是一个技术上的 问题，它同时也是一个法律问题。我们用技术的手段可以从海量的数据中找出 与案件有关的证据数据，并从技术上证明该证据数据确实是犯罪嫌疑人在犯案 时所残警的。僵是，该证据数据最后能否被法庭所采用翔根到底还是要看相关 的法律是如何制定的，只有在法律法规的指导下进行了技术分析结果才是可以 采信的。据美国c s i f b l 2 0 0 2 安全调查表明，信息盗窃、金融诈骗、内部人 士网络滥用、病毒等电脑犯罪所造成的损失总计4 5 5 5 亿美元，同2 0 0 0 年 比上升了5 8 。由于没有充分证据证明所发生的情况及掰造成的损失的绒节， 所以在选择通过法律途径起诉攻击者的时候就没有充实的法律追诉权。另据 2 0 0 0 年3 月美国出版的电子隐私信息中心论文资料显示，1 9 9 2 年以来， 向联邦检举法官提交的各种电脑犯罪案件数量增长了三倍，僵实际立案起诉的 案件数量却没有咀显变化。其中个主要原因就是计算机数据的提取过程没有 法律的指导，致使提取的证据不被法庭采信。欧美等国家已经注意到电子证据 相关立法的重要性，经过十余年努力，现在已经形成比较成形的计算机犯罪的 法律体系。毽我国对这方瑟的立法才强l 刚开始，这给我们打击计算机犯罪的工 6 四川师范大学硕十学位论文 作带来很大阻力。这需要我国的法律工作者与计算机工作者相互配合尽快出台 我国自己的计算机取证法规。 3 探讨网络取证的基本方法和理论 上面我们提到的计算机取证技术主要针对的是单机事发后静态的取证，但 是，以目前互联网的普及程度，有很多攻击和灾难是通过网络实时动态发起的。 攻击持续时间一般不长，攻击后攻击流就消失，如果只对遭受攻击的主机进行 事后的单机取证，证据的完整f 生和说服力都大大欠缺。这就需要我们结合网络 安全的既有成果进行攻击发生时的实时取证。这方面主要要借助入侵检测技 术、网络监控技术、防火墙技术对网络数据流，进行过滤以发现证据。 1 3 计算机取证技术介绍 “计算机取证”这个名词是在1 9 9 1 年i a c i s ( i n t e r n a t i o n a la s s o c i a t i o n c o m p u t e rs p e c i a l i s t s ) 举行的第一次会议中提出，它是一门计算机科学与法 学的交叉学科。作为计算机取证方面资深人士，j u d dr o b b i n s 对此给出了如 下定义：“计算机取证不过是将计算机调查和分析技术应用于对潜在的、有法 律效力的证据的确定与获取。证据可以在计算机犯罪或误用这一大范围中收 集，包括窃取商业机密、窃取或破坏知识产权和欺诈行为等”“。计算机紧急 事件响应和取证咨询公司n e w t e c h n o l o g i e s 进一步扩展了该定义：“计算机取 证包括了对以磁介质编码信息方式存储的计算机证据的保护、确认、提取和归 档” 8 。s a n s 公司认为：计算机取证是使用软件和工具，按照预先定义的程序， 全面地检查计算机系统，提取和保护计算机犯罪的证据。s e n s e i 信息技术咨 询公司则将计算机取证简单概括为对电子证据的收集、保存、分析和陈述“羽。 e n t e r a s y s 公司的c t o 、办公网络安全设计师d i c kb u s s i e r e 认为：计算机取证， 是指把计算机看作犯罪现场，运用先进的辨析技术，对计算机犯罪行为进行法 医式的解剖，搜索确认犯罪及其犯罪证据，并据此提起诉讼的过程和技术”蛔。 因此，计算机取证是指对能够为法庭所接受的、足够可靠的、有说服力的 获取、保存、分析、提出数字证据的过程。也就是针对计算机入侵与犯罪，进 行证据获取、保存、分析和出示。 四川师范大学硕七学位论文 1 3 1 计算机取证的步骤 计算机取证一般包含如下六个步骤：【鼬】 1 保护可疑的电脑 计算机取证的第一步是确定那些可疑的计算机可能含有数字证据，必须对 这些可疑的计算机进行保护，避免重新启动系统或者运行任何应用程序。一些 潜在的证据可能存在文件闲散空间或者w i n d o w s 交换文件里面，简单的重启或 运行操作系统就会存在重写、覆盖证据的危险，因为w i n d o w s 的每次启动都可 能会创建文件或打开已存在的文件，这样就有可能擦除或者覆盖掉原先存在 w in d o w s 交换文件里面的数据。 2 获取证据 第二步是获取存储在可疑计算机匕的潜在的数字证据。这与从犯罪现场拍 摄照片、采集指纹、提取血样相类似，取证人员并不知道哪些数据将作为证据， 因此，在这一阶段最好保存所有可能的潜在证据。因为计算机上所有的数据都 存在驱动器和磁盘已这些证物必须得到重点保护，建议对原始驱动器进行备 份，最好是能对原始驱动器的每一比特都进行精确克隆，尽可能地减少对原始 驱动器的使用，把可能对原证物造成的损害降到最低。另外，有很多数据源一 看上去没什么取证价值，但是当你事后决定回去重新搜索额外的证据时，这些 东西很可能已经不存在或者不可用了，例如系统的进程信息、日志文件以及系 统进行的网络操作，所以最好能把这些信息记录下来并给予妥善保存。 3 传输证据 在运输证物时应该十分谨滇，大多数证物在运输过程中很容易损坏，如果 处理不当，即使是笔记本电脑也很容易损坏。硬盘的读写头在与磁面接触时也 很容易损坏。如果硬盘中包含的证据部分受损，造成数据不可读，它将不再有 任何证物价值。有些数字证据若采用网络进行传输，则必须确保传输的安全性。 4 保存证据 取证人员必须保证所有的证据没有被损坏，否则在收集和分析证据过程中 所作的切努力都不会被法庭接受。必须保证备份的数字证据跟原始的证据是 一模一样的，因此在对新创建的备份驱动器进行分析之前一定要先为其生成一 个散列码，这样便可鉴定备份证物跟原始证物是完全相同的。 四川师范大学硕士学位论文 5 分析证据 对所获得的证据进行分析的目的是从中找出合法的、有效的数字证据，以 供日后呈堂之用。这主要包括对主机数字证据的分析和网络数字证据的分析， 对于主机数据，主要是尽可能的恢复所有已经被删除的文件、最大程度地显示 操作系统或应用程序所使用的隐藏文件、临时文件和交换文件内容、解密被加 密的文件：对于网络数据，主要是重建网络连接，分析入侵过程和提取入侵证 据。所有的这些操作都应当在备份证据匕进行，这样，即使发生意外，受损的 仅是一份拷贝，而原始证据依然完好无缺。 6 提交证据 取证的最后个步骤是在法庭e 提交数字证据，这一阶段应依据政策法规 行事。当法庭因为调查过程中的不当处理而放弃你的证据时，你为处理证据而 所付出的一切努力都将白费。使用证据监督链可以使得辩护方律师很难说明证 物在你的监管过程中被篡改过。证据监督链记录了证物在案件周期内收集保 管以及分析各个阶段的详细信息，任何拥有过证物的人员，以及他们取走证物 和归还的时间、使用证物的目的都完整地记录下来。证据监督链可以使陪审团 确信取证过程没有引起对原证物的任何改变，并且由证物推测出的事件发生情 况也是可信的。 1 3 2 现有的计算机取证工具 1 一般工具软件 用于检测分区的工具软件、杀毒软件、各种工具软件等。 2 取证专用工具软件：嘲 t h ec o r o n e r st o o l k i t ( t c t ) ：主要用来调查被“黑的u n i x 主机，它 提供了强大的调查能力，它的特点是可以对运行着的主机的活动进行分析，并 捕获目前的状态信息。其中的g r o v e - r o b b e r 可以收集大量的正在运行的进程、 网络连接以及硬盘驱动器方面的信息。数据基本上以挥发性顺序收集，收集所 有的数据是个很缓慢的过程，要花上几个小时的时间。t c t 包括数据恢复和浏 览工具、获取m a c 时间的工具。还包括一些小工具，如i l s ( 显示被删除的索 引节点的原始资料) 、i c a t ( 取得特定的索引节点对应的文件的内容) 等等。 四川师范大学硕士学位论文 e n c a s e 是唯个完全集成的基于w i n d o w s 界面的取证应用程序，其功能 包括：数据浏览、搜索、磁盘浏览、数据预览、建立案例、建立证据文件、保 存案错等。 f o r e n s i c x ：主要运行于l i n u x 环境，是个以收集数据及分析数据为主 要目的的工具。它与配套的硬件组成专门工作平台。它利用了l i n u x 支持多种 文件系统的特点，提供在不同的文件系统里自动装配映像等能力、能够发现分 散空间里的数据、可以分析u n i x 系统是否含有木马程亭。 计算机取证软件必须满足最基本的取证要求，具备下列基本功能之一嘲： l 。发现计算机证据 可以根据案情定位可疑主机和犯罪现场的位置。 2 存 ；鼢博机汪据 存储计算机证据的软件工具主要是指那些能够对计算机证据进行保全的 软件，可以证明计算机证据从获取到提交法庭这段时间内没有被修改过。 3 传输计算枫证据 能够保证计算机证据的可靠传输。 1 4 系统框架 根据所掌握的资料，本文将计算机的电子i | 歪据获取分为两大类，提出个 实现这两大类电子证据提取分析的综合系统。所谓两大类是指：电子证据的动 态获取和电子证据的静态获取。前者与监控技术息息相关，主要借助于监控技 术实时地采集攻击的资料并妥善保存，留待事后调查。盾者主要关注于被攻击 的硬件设备和操作系统底层里包含的攻击者麴攻击信息。包括；相应的原始二 进制存储格式提取的残余信息文件的格式匹配方法，上网信息，系统服务状况、 注册表的信息提取与分析等等。 根据电子证据提取来源分类，系统分为“电子证据静态提取系统和“电 子证据动态提取系统 ，它们为电子证据分析系统提供数据来源。如图l 一羔所 示： 1 0 四川师范大学硕士学位论文 计算机取证系统 ii i静态取证系统动态取证系统 ii 上 i 证据储存与分析，及时修复取证过程中所发现计算 机漏 同 j l 启动弱口令探测系统雩同步弥补计算机所存在漏 j i一套安全的计算机系统 1 5 论文主要工作 主要工作： 1 对计算机取证技术的产生，发展，现状和未来趋势作出了总结性描述。 2 对计算机取证领域涉及的基础概念、相关技术、相关理论、基本原则， 实用工具等进行了综述性介绍。 3 在对国内外已有成果深入研究的基础上设计和开发了一套计算机综合 取证系统，根据电子证据的获取时机不同分为电子证据的静态提取和电子证据 的动态提取两大子系统。静态提取子系统整合了多种取证技术，全面提取系统 信息。动态取证子系统将监控技术实际应用于动态取证中，实现了捕获二次重 攻击过程，弥补了某些攻击案件仅仅进行事后取证而造成的证据链缺失的缺 点。 4 通过计算机取证系统的取证过程，发现并弥补计算机存在的漏洞。通 过对计算机弱口令的理论研究，设计出套计算机脆弱性口令探测系统。并且， 系统也对己知的c g i 漏洞进行扫描。 四川师范大学硕士学位论文 1 6 论文章节安排 后续章节的安排简介如下： 第二章：对计算机综合系统中静态取证部分进行详细讲述。详细介绍静态 取证系统的各大模块设计原理与功能实现界面显示。 第三章：对计算机综合系统中动态取证部分进行详细讲述。阐述将监控技 术应用于捕获二次重攻击的设计原理，并给出功能实现界面。 第四章：通过计算机取证系统搜索证据后，经过证据分析，除去掌握犯罪 线索外，还对被攻击计算机的安全l 生提出疑问。我们还必要对在取证过程中所 发现的主机的安全隐患进行修复，并尽可能发现计算机所存在的一些隐患与风 险。因此，本章主要介绍对计算机弱口令攻击的防范技术以及实现过程。 第五章：总结和展望下一步的工作。 四川师范人学硕上学位论文 第二章计算机静态取证系统 计算机静态取证系统主要关注于被攻击的硬件设备和操作系统底层里包 含的攻击者的攻击信息。由于硬盘是主机电子信息的主要载体，所以我们前期 的工作将静态证据的获取定位于磁盘残余信息的提取。 该系统包含以下模块： 1 本地文件浏览、修改、添加、删除记录查找模块 2 c o o k i e s 文件分析模块 3 上网历史记录的数据信息提取模块 4 本机服务运行状态查看模块 5 系统注册表信息的提取 6 进程与端口关联查询模块 其结构图如图2 1 1 2 1 本地文件浏览、修改、添加、删除记录查找模块 该模块根据用户输入的某一个或多个文件格式，如木t x t ，木e x e 等来提取 硬盘上所有该格式的文件信息。文件信息包括文件名，文件路径，创建时间， 修改时间，访问时间，最终展现给用户。用户可以通过此功能搜索到自己感兴 叨川师范大学硕士学位论文 趣的某一类型文件，以便对文件信息分析。性能要求完整无漏并及时的提取出 文件信息。使用系统时由用户指定需传递查找路径和文件匹配格式两个参数， 系统最终会把所匹配文件的属性以表的形式展现给用户。 整个模块用两个类来实现，c p a t h 是一个目录文件查找类，c f il e f i n d e r 调用c p a t h 并实现文件信息的储存。c p a t h 将文件查找简单封装，调用时传递 查找路径和文件匹配格式两个参数，用f i n d ( ) 函数来实现查找，查询结果保 存在类内部v e c t o r 容器中。c f i l e f i n d e r 中调c p a t h ，查找路径和文件匹配格 式由用户选择和输入来确定的，查找到目标文件后，通过g e t f i l e c o u n t 等方 法来获取文件屙| 生，最终以表的形式展现给用户。算法流程如图2 2 ： 输入文件格式如：。能，d 1 1 等和选择文件路径 j l 文件路经和文件格式。文件搜索属性作为参数传遢给 目录文件查找封装类c f i l m d e r 中的f m d 方法 i f m d 函数调用c p a t h 类中的g c t f i l e p a t h 文件匹配函 数来查找文件目标 i 查询结果被保存在内部的v e c t o r 容器中 i 使用c f i l e f m d 口类中的相砬方法来获取文件信恩 j ， 展现给用户 软件界面和提取结果演示如图2 - 3 ，图中显示，我们搜索格式为“半t x t ” 的文件，目标文件路径是指要搜索的范围，下面是显示的搜索结果，包括的搜 索到的文件的名字、存储路径、创建日期、最后修改日期和最后访问日期。 1 4 四川师范大学硕士学位论文 一-，。：二。一二。二一。，。_。lxijji二，一gj二二 d e f i n es t i l t 吐 l o o k i n疆。、 b r o w s e f o rf i l e sw e dt t x t c o n t a m n ct e x t s e a r c ho p t i o n s e a r 吐i n 妯4 i r e c t r s i z tb l t w e e mc i n ；r 印l l c el i s t 1 5 11 t t sf o u a d a d dt ol i s t 一e m o v e 矗l i s t ；曼! 瞧1 1f o l d e r 却j 1 1 0 4 i f i * d ， i b e a 硼et x t 1 、我黻科、研究生资粒 、期衷3 c v | r ? b3 1 1 2 2 50 4 ：1 2 确 镯囊建文本文挡b t e + 、我的赍科、研究生资丰； 、期末1 9 b0 5 一l o 一2 0 0 60 3 ：1 1 确 | 蔷e h 珊h t e ：、我的资料、研宄生资科、课件、2 0 7 5b2 9 - 0 9 - 2 0 0 30 丁4 0 州荆 。翟雎 眦t i te 、我的赍科、研宄生资料、课件、2 4 6b町一0 5 1 9 9 80 3 ：2 1 m 镯址 眦i e 、我的资料、研究生资科、误件、4 2 4b0 7 一o q 一1 9 明0 1 ：5 9 删 l 萄r e e v et x t e 。、我的资料、研究生资料、课件、1 2 3 2 b1 1 1 1 _ 2 30 3 0 4 硎 ；翟r e a j l et i te 我的资丰；l 、研究生资料、课件、3 6 3 3b1 卜1 0 - 2 0 0 41 2 ：5 3i m 镯e e 曲et x te 。、我的资料、研究生资料、误件、 1 2 1 4b2 f r - 0 9 - 2 0 0 40 4 3 2 洲 7 韵晓t 耵e 我的资料、研究生资料、误件、 1 9n 1 0 - 0 j 4 2 0 0 2 ：3 5 圳 + 麓新建文本文档t x t 1 、我艨科、研宄生资料、3 3 丑2 5 一2 0 略0 7 ：2 4 佃 | 翟中文信息t x t、我的资料、孙鑫v c 视频、v l h a3 3 5 2b2 1 - 0 5 2 0 0 41 0 ：3 2 埘 l 麓中文瓷氨t x t 、我的资料、刊嚆呱魂频y i s u t3 3 5 2b2 1 0 5 2 41 03 2 柚 冒工配l 唧gt x te