计算机辅助取证技术机制分析.doc

计算机辅助取证技术机制分析计算机取证方面的资深人士Judd Robbins先生对计算机取证做出了如下定义：计算机取证不过是将计算机调查和分析技术应用于对潜在的、有法律效力的证据的确定与获取。计算机紧急事件响应和取证咨询公司进一步扩展了该定义：计算机取证包括了对磁介质编码信息方式存储的计算机证据的确认、保存、提取和归档。SANS公司则归结为以下说法：计算机取证是使用软件工具，按照一些预先定义的程序，全面检查计算机系统，以提取和保护有关计算机犯罪的证据。我国计算机专家则是这样定义的：计算机取证是指对能够为法庭接受的，足够可靠和有说服性的，存在于计算机和相关外设中的电子证据的确认、保护、提取和归档的过程。 计算机取证是既涉及搜集和保护证据，又涉及在法律进程中使用这些证据。从取得的证据而言，这些证据包含物理的和逻辑的。物理证据的获取，计算机取证中称为计算机证据的“搜集和捕获”，是指调查者在计算机犯罪现场搜寻及对犯罪所涉及的计算机硬件和媒介进行保管；相应地，逻辑方面证据的获取来源于对原始数据的摘取，这些归类于“信息发现”，通常包含调查者在日志文件中查找、搜索Internet、从数据库中搜寻相关证据等行为。最终的问题在于一般的取证学科是与证据紧密相关的，也就是说，一个调查者必须能从手中的证据摘录信息，但是不能引起这个证据原来的状态的改变。此外，证据的原始状态必须在整个调查过程中被保护从证据被确认直到调查之后。证据作为客观的证明文件依靠于证据保存的完整性。在计算机取证的实践中，确认证据保持在一个完好的状态是很困难的，即时个别比特的改变也会在调查中引起严重的后果。 一、计算机取证的原则和要求 计算机取证应该遵循以下原则和要求： （1）尽早搜索电子证据，并保证其没有受到任何破坏。有些数据是不稳定的，随着计算机系统的运行会发生改变，如内存、交换区、网络数据、系统状态数据等，在未保证证据收集完毕和评估操作结束的情况下不要轻易将计算机从网络中断开或者关闭计算机系统，因为某些数据消失后可能永远都找不回来，收集数据时要按照数据的易逝性由强到弱的顺序来进行。（2）尽量不要在涉案计算机上运行程序，特别是操作系统级程序，对于关闭的计算机系统，尽量用软盘或光盘引导系统 。由于操作系统的自动管理和优化功能，可能改变计算机系统状态，遗失内存、缓冲区、交换区、文件系统的数据，破坏电子证据的完整性。 （3）对相关的数据要坚持多备份的原则。对数据的备份要按bit逐位拷贝，确保备份的数据与系统中原始数据一致。 （4）不要直接对原始数据进行分析，所有的分析操作应该在备份数据上进行，取证的中间或最终结果也不要和原始数据放在一起。 （5）不允许非调查取证人员接触计算机系统，特别是犯罪嫌疑人和案件关联人员。因为，计算机系统中的数据极易被破坏，一次按键就可能删除某些数据，且某些操作后果是不可恢复性的，所有的取证操作必须由具备计算机相关知识的取证专家进行。 （6）要确保电子证据的物理安全。 （7）必须确保“证据链”的完整性。也称为证据保全，即在证据被正式提交给法庭时，必须能够说明在证据从最初的获取状态到在法庭上出现状态之间的任何变化，计算机取证要坚持两人或两人以上原则，整个检查、取证过程必须是受到监督的，取证的过程要有书面记录，记录要包含操作的事件，动作和可能的后果，取证人员要在书面记录上确认和签名。 （8）取证过程要遵循相关的法律和安全政策。在调查过程中，你可能要访问和复制敏感的数据，这时你必须要获得许可才能进行。因此，在开始调查前，重要的一点是要确认你已经获得许可，你的行为可能会被认为违背了当地的安全政策或侵犯了隐私，并将对此结果负责。 （9）确认取证动作是可重复的。任何独立的第三方都能以相同的取证动作得到完全一样的结果。 （10）注意不同系统和设备的时间差异，正确区分不同数据中的时间戳采用的时间制式，即UTC时间或当地时间等。 （11）分析数据的计算机系统和辅助软件必须安全、可信，用于取证的方法和工具必须经得起对方验证。 二、计算机取证的过程和步骤 与传统的取证相比，计算机取证应遵循以下过程和步骤： （1）保护现场和现场勘查：封存目标计算机系统并避免发生任何数据破坏和病毒感染，对计算机和网络设备进行标记，绘制计算机犯罪现场。网络拓扑图，在移动和拆卸任何设备之前都要拍照存档。 （2）获取证据：对计算机存储设备中的文件系统进行按比特位拷贝镜像，恢复已经删除的文件和磁盘的Slack空间，系统的Swap文件，获取进程信息和内存中的动态数据等。 （3）保全证据：对获取的证据进行完整性验证，采取加密、数字签名、加时间戳等保护证据不被篡改。 （4）鉴别证据：根据案件的结果判断案件的类型，识别证据的可能来源，对那些收集来的数据进行检查并从中识别和提取可能的证据。 （5）分析证据：对获取的电子数据进行分析、比较和关联，抽取出和犯罪事件相关的信息。 （6）递交结果：打印对目标计算机和网络的全面分析结果，然后给出分析结论，以证据的形式按照合法的程序递交司法机关。 三、计算机取证技术的分类 计算机取证按照取证的对象不同可以分为计算机主机取证和计算机网络取证，计算机主机取证的对象是存放在计算机硬盘、内存、外围设备中的文件、进程等信息；计算机网络取证的对象是计算机网络中的报文信息和相应的服务的日志、审计信息。按照取证的时机不同，计算机取证又分为实时取证和事后取证，事后取证也成为静态取证，是指计算机在已遭受入侵的情况下，运用各种技术手段对其进行分析取证工作；实时取证，也称动态取证，指利用相关的网络取证工具，实时获取网络数据并对此分析攻击者的身份、企图和获取攻击者的行为证据。 从取证过程的角度看，根据DFRWS框架，取证技术可以分为如下六大类： （1）识别类（Identification） 识别可获取的信息的类型以及获取的方法。该类技术协助取证人员获知某事件发生的可能途径。其中可能使用到的典型技术有事件犯罪检测、签名处理、配置检测、异常检测、系统监视以及审计分析等。 （2）保存类（Preservation） 保存证据状态的完整性，确保跟原始数据一致，不对原始数据造成改动和破坏。该类技术处理那些与证据管理相关的元素。其中可能使用到的典型技术有镜像技术、数据加密、数字签名、数据摘录、证据保管链以及时间同步等等。 （3）收集类（Collection） 提取或捕获突发事件的相关记录及其属性。该类技术与调查人员为在数字环境下获取证据而使用的特殊方法和产品有关。典型技术有合适的复制软件、无损压缩以及数据恢复技术等等。 （4）检查类（Examination） 对突发事件的相关记录及其属性进行仔细地检查。该类技术与证据发现和提取相关，但不涉及从证据中得出结论。收集技术涉及收集那些可能含有证据的数据，如计算机介质的镜像，但检查技术则对那些收集来的数据进行检查并从中识别和提取可能证据。典型技术有追踪、过滤技术、模式匹配、隐藏数据发现以及隐藏数据提取，等等。 （5）分析类（Analysis） 为了获得结论而对数字证据进行融合、关联和同化。该类技术涉及对收集、发现和提取的证据进行分析。典型技术有追踪、统计分析、协议分析、数据挖掘、时间链分析以及关联分析等。必须注意，对