计算机取证技术研究
计算机取证技术研
摘要:随着计算机和网络技术的飞速发展,计算机犯罪和网络安全等问题也越来越突
出,计算机取证技术研究也逐渐引起重视。文章对计算机取证的特点、原则和步骤进行了
介绍,最后从基于单机和设备、基于网络的两类取证技术进行了深入研究。
关键词:计算机取证 数据恢复 加密解密 蜜罐网络
随着计算机和网络技术的飞速发展,计算机和网络在人类的政治、经济、文化和国
防军事中的作用越来越重要,计算机犯论文联盟 罪和网络安全等问题也越
来越突出,虽然目前采取了一系列的防护设备和措施,如硬件防火墙、入侵检测系
统、VPN、网络隔离等,并通过授权机制、访问控制机制、日志机制以及数据备份等安全
防范措施,但仍然无法保证系统的绝对安全。
计算机取证技术是指运用先进的技术手段,遵照事先定义好的程序及符合法律规范
的方式,全面检测计算机软硬件系统,查找、存储、保护、分析其与计算机犯罪相关的证
据,并能为法庭接受的、有足够可信度的电子证据。计算机取证的目的是找出入侵者,并
解释或重现完整入侵过程。
一、计算机取证的特点
和传统证据一样,电子证据也必须是可信的、准确的、完整的以及令人信服并符合
法律规范的,除此之外,电子证据还有如下特点:
1.数字性。电子证据与传统的物证不同,它是无法通过肉眼直接看见的,必须结合
一定的工具。从根本上讲,电子证据的载体都是电子元器件,电子证据本身只是按照特殊
顺序组合出来的二进制信息串。
2.脆弱性。计算机数据每时每刻都可能发生改变,系统在运行过程中,数据是不断
被刷新和重写的,特别是如果犯罪嫌疑人具备一定的计算机水平,对计算机的使用痕迹进
行不可还原的、破坏性操作后,现场是很难被重现的。另外取证人员在收集电子证据过程
中,难免会进行打开文件和程序等操作,而这些操作很可能就会对现场造成原生破坏。
3.多态性。电子证据的多态性是指电子证据可以以多种形态表现,它既可以是打印
机缓冲区中的数据,也可以是各种计算机存储介质上的声音、视频、图像和文字,还可以
是网络交换和传输设备中的历史记录等等,这些不同形态都可能成为被提交的证据类型。
法庭在采纳证据时,不仅要考虑该电子证据的生成过程、采集过程是否可靠,还要保证电
子证据未被伪造篡改、替换剪辑过。
4.人机交互性。计算机是通过人来操作的,单靠电子证据本身可能无法还原整个犯
罪过程,必须结合人的操作才能形成一个完整的记录,在收集证据、还原现场的过程中,
要结合人的思维方式、行为习惯来通盘考虑,有可能达到事半功倍的效果。
二、计算机取证的原则和步骤
(一)计算机取证的主要原则
1.及时性原则。必须尽快收集电子证据,保证其没有受到任何破坏,要求证据的获
取具有一定的时效性。
2.确保“证据链”的完整性。也称为证据保全,即在证据被正式提交法庭时,必须
能够说明证据从最初的获取状态到法庭上出现的状态之间的任何变化,包括证据的移交、
保管、拆封、装卸等过程
3.保全性原则。在允许、可行的情况下,计算机证据最好制作两个以上的拷贝,而原始证
据必须专门负责,所存放的位置必须远离强磁、强腐蚀、高温、高压、灰尘、潮湿等恶劣
环境,以防止证据被破坏。
4.全程可控原则。整个检查取证的过程都必须受到监督,在证据的移交、保管、拆
封和装卸过程中,必须由两人或两人以上共同完成,每一环节都要保证其真实性和不间断
性,防止证据被蓄意破坏。论文联盟
(二)计算机取证的主要步骤
1.现场勘查
勘查主要是要获取物理证据。首先要保护计算机系统,如果发现目标计算机仍在进
行网络连接,应该立即断开网络,避免数据被远程破坏。如果目标计算机仍处在开机状
态,切不可立即将其电源断开,保持工作状态反而有利于证据的获取,比如在内存缓冲区
中可能残留了部分数据,这些数据往往是犯罪分子最后遗漏的重要证据。如果需要拆卸或
移动设备,必须进行拍照存档,以方便日后对犯罪现场进行还原。
2.获取电子证据
包括静态数据获取和动态数据获取。静态数据包括现存的正常文件、已经删除的文
件、隐藏文件以及加密文件等,应最大程度的系统或应用程序使用的临时文件或隐藏文
件。动态数据包括计算机寄存器、Cache缓存、路由器表、任务进程、网络连接及其端口
等,动态数据的采集必须迅速和谨慎,一不小心就可能被新的操作和文件覆盖替换掉。
3.保护证据完整和原始性
取证过程中应注重采取保护证据的措施,应对提取的各种资料进行复制备份,对提
取到的物理设备,如光盘硬盘等存储设备、路由器交换机等网络设备、打印机等外围设
备,在移动和拆卸过程中必须由专人拍照摄像,再进行封存。对于提取到的电子信息,应
当采用 MD5、SHA等 Hash算法对其进行散列等方式进行完整性保护和校验。上述任何操作
都必须由两人以上同时在场并签字确认。
4.结果分析和提交
这是计算机取证的关键和核心。打印对目标计算机系统的全面分析结果,包括所有
的相关文件列表和发现的文件数据,然后给出分析结论,具体包括:系统的整体情况,发
现的文件结构、数据、作者的信息以及在调查中发现的其他可疑信息等。在做好各种标记
和记录后,以证据的形式并按照合法的程序正式提交给司法机关。
三、计算机取证相关技术
计算机取证涉及到的技术非常广泛,几乎涵盖信息安全的各个领域,从证据的获取
来源上讲,计算机取证技术可大致分为基于单机和设备的计算机取证技术、基于网络的计
算机取证技术两类。
(一)基于单机和设备的取证技术
1.数据恢复技术
数据恢复技术主要是用于将用户删除或格式化的磁盘擦除的电子证据恢复出来。对
于删除操作来说,它只是将文件相应的存放位置做了标记,其文件所占的磁盘空间信息在
没有新的文件重新写入时仍然存在,普通用户看起来已经没有了,但实际上通过恢复文件
标记可以进行数据恢复。对于格式化操作来讲,它只是将文件系统的各种表进行了初始
化,并未对数据本身进行实际操作,通过重建分区表和引导信息,是可以恢复已经删除的
数据的。实验表明,技术人员可以借助数据恢复工具,把已经覆盖过 7次的数据重新还原
出来。
2.加密解密技术
通常犯罪分子会将相关证据进行加密处理,对取证人员来讲,必须把加密过的数据
进行解密,才能使原始信息成为有效的电子证据。计算机取证中使用的密码破解技术和方
法主要有:密码分析技术、密码破解技术、口令搜索、口令提取及口令恢复技术。
3.数据过滤和数据挖掘技术
计算机取证得到的数据,可能是文本、图片、音频或者视频,这些类型的文件都可
能隐藏着犯罪信息,犯罪分子可以用隐写的方法把信息嵌入到这些类型的文件中。若果犯
罪分子同时结合加密技术对信息进行处理,然后再嵌入到文件中,那么想要还原出原始信
息将变得非常困难,这就需要开发出更优秀的数据挖掘工具,才能正确过滤出所需的电子
证据。
(二)基于网络的取证技术
基于网络的取证技术就是利用网络跟踪定位犯罪分子或通过网络通信的数据信息资
料获取证据的技术,具体包括以下几种技术
地址和 MAC地址获取和识别技术
利用 ping命令,向目标主机发送请求并监听 ICMP应答,这样可以判断目标主机是
否在线,然后再用其他高级命令来继续深入检查。也可以借助 IP扫描工具来获取 IP,或
者利用 DNS的逆向查询方法获取 IP地址,也可以通过互联网服务提供商 ISP的支持来获
取 IP。
MAC地址属于硬件层面,IP地址和 MAC的转化是通论文联盟 过查找地
址解析协议 ARP表来实现的,当然,MAC跟 IP地址一样,也可能被修改,如此前一度横行
的“ARP欺骗”木马,就是通过修改 IP地址或 MAC来达到其目的的。
2.网络 IO系统取证技术
也就是网络输入输出系统,使用 netstat命令来跟踪嫌疑人,该命令可以获取嫌疑
人计算机所在的域名和 MAC地址。最具代表性的是入侵检测技术 IDS,IDS又分为检测特
定事件的和检测模式变化的,它对取证最大帮助是它可以提供日志或记录功能,可以被用
来监视和记录犯罪行为。
3.电子邮件取证技术
电子邮件使用简单的应用协议和文本存储转发,头信息包含了发送者和接受者之间
的路径,可以通过分析头路径来获取证据,其关键在于必须了解电子邮件协议中的邮件信
息的存储位置。对于 POP3协议,我们必须访问工作站才能获取头信息;而基于 HTTP协议
发送的邮件,一般存储在邮件服务器上;而微软操作系统自带的邮件服务通常采用 SMTP
协议。对于采用 SMTP协议的邮件头信息,黑客往往能轻易在其中插入任何信息,包括伪
造的源地址和目标地址。跟踪邮件的主要方法是请求 ISP的帮助或使用专用的如
NetScanTools之类的工具。
4.蜜罐网络取证技术
蜜罐是指虚假的敏感数据,可以是一个网络、一台计算机或者一项后台服务,也可
以虚假口令和数据库等。蜜罐网络则是由若干个能收集和交换信息的蜜罐组成的网络体
系,研究人员借助数据控制、数据捕获和数据采集等操作,对诱捕到蜜罐网络中的攻击行
为进行控制和分析。蜜罐网络的关键技术包括网络欺骗、攻击捕获、数据控制、攻击分析
与特征提取、预警防御技术。目前应用较多是主动蜜罐系统,它可以根据入侵者的攻击目
的提供相应的欺骗服务,拖延入侵者在蜜罐中的时间,从而获取更多的信息,并采取有针
对性的措施,保证系统的安全性。
参考文献:
[1]卢细英.浅析计算机取证技术[J],福建电脑,2008(3).
[2]刘凌.浅谈计算机静态取证与计算机动态取证[J],计算机与现代化,2009(6)
