保留數(shù)字證據(jù)的措施

[摘要]本文提出可以通過基于計(jì)算機(jī)系統(tǒng)的軟件工具箱來實(shí)現(xiàn)網(wǎng)絡(luò)犯罪的防衛(wèi)。通過這種方式，那些在網(wǎng)絡(luò)空間中參與犯罪活動(dòng)的人可以較容易地被逮捕。

[關(guān)鍵詞]數(shù)字證據(jù) 計(jì)算機(jī)取證 網(wǎng)絡(luò)犯罪

一、引言

計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的迅速發(fā)展已經(jīng)引起了計(jì)算機(jī)網(wǎng)絡(luò)犯罪數(shù)量的巨大增加。最常見的計(jì)算機(jī)網(wǎng)絡(luò)犯罪行為隱蔽在計(jì)算機(jī)系統(tǒng)和計(jì)算機(jī)病毒中。這些破壞分子通過互聯(lián)網(wǎng)搞破壞。如果我們選擇忽略網(wǎng)絡(luò)犯罪，那么攻擊者的野心和貪欲將會(huì)得到鼓勵(lì)，因而我們將面對(duì)更加嚴(yán)重的網(wǎng)絡(luò)犯罪行為。我們現(xiàn)在所必須做的是，通過合法的程序追蹤破壞者和打擊網(wǎng)絡(luò)犯罪。對(duì)于保護(hù)我們的網(wǎng)絡(luò)和保證網(wǎng)絡(luò)空間的安全，這是最好的方式。

二、計(jì)算機(jī)取證允許的策略

1.保存證據(jù)：進(jìn)入現(xiàn)場(chǎng)以后最重要的事情是保護(hù)證據(jù)。因此，到達(dá)網(wǎng)絡(luò)犯罪現(xiàn)場(chǎng)的第一步是合理地控制現(xiàn)場(chǎng)，開始記錄時(shí)間，實(shí)施調(diào)查和搜集所有重要的數(shù)字證據(jù)。

2.檢查證據(jù)：從現(xiàn)場(chǎng)獲得證據(jù)以后，下一步是對(duì)其進(jìn)行分析。普通的計(jì)算機(jī)文件，圖片和聲音可以通過許多不同的計(jì)算機(jī)軟件程序檢查出來。然而，最大的問題是，有時(shí)嫌疑犯已經(jīng)刪除一些文件，而已經(jīng)被刪除的文件可能是所有證據(jù)中最重要的。因此，在硬盤驅(qū)動(dòng)中不經(jīng)常使用的空間也要被掃描。一個(gè)軟件工具必須在這里用來做字符搜尋和文件重建。

3.證據(jù)分析：在檢查和分析完證據(jù)之后，必須調(diào)查取證結(jié)果和嫌疑犯之間的關(guān)系。通過證據(jù)分類、比較和個(gè)人化，取證結(jié)果的檢查能夠和嫌疑犯的行為聯(lián)系起來。

4.提交證據(jù)：結(jié)果必須被清楚地描述和提交。當(dāng)討論證據(jù)的來源和結(jié)果以及與嫌疑犯的關(guān)系時(shí)，為證實(shí)最終的結(jié)論，所有其他用于證實(shí)有罪或無罪的假設(shè)的可能性解釋必須消除。

三、計(jì)算機(jī)取證工具的使用

1.硬盤驅(qū)動(dòng)備份軟件：為了保留原始證據(jù)，在進(jìn)行計(jì)算機(jī)取證工作時(shí)，首要考慮的問題是數(shù)據(jù)備份。一個(gè)可靠的數(shù)據(jù)備份軟件工具必須符合美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)所（NIST）的要求。

2.識(shí)別軟件：為了證明在調(diào)查期間證據(jù)沒有被改變，應(yīng)該使用像MD5這樣的加密算法程序。

3.解密工具：（1）猜測(cè)密碼。最經(jīng)常使用的方法——窮舉和字典破解，可以起有效作用。（2）使用系統(tǒng)漏洞獲得管理員權(quán)限。

4.磁盤數(shù)據(jù)編輯和查詢工具：當(dāng)數(shù)據(jù)和文件已經(jīng)被保存到硬盤驅(qū)動(dòng)上時(shí)，即使在它被刪除后，實(shí)際的數(shù)據(jù)仍然存在。一個(gè)身份識(shí)別代碼將會(huì)添加到文件標(biāo)題上，以顯示它已經(jīng)被刪除的事實(shí)。因此，如果一個(gè)被刪除的文件被找到，有可能會(huì)發(fā)現(xiàn)重要的證據(jù)。

5.日常審計(jì)日志文件：正常情況下，一個(gè)大的計(jì)算機(jī)主機(jī)或入侵檢測(cè)系統(tǒng)（IDS）會(huì)有記錄重要活動(dòng)的日常審計(jì)文件。通過調(diào)查這些記錄，攻擊者最初的來源可以被確認(rèn)。當(dāng)確定了嫌疑犯，應(yīng)該注意與帳戶相關(guān)的信息、密碼和使用的程序，因?yàn)檫@些信息會(huì)幫助追蹤到攻擊者。

6.追蹤攻擊點(diǎn)地址：在調(diào)查網(wǎng)絡(luò)犯罪時(shí)需要使用IP地址。

7.數(shù)據(jù)恢復(fù)：許多罪犯會(huì)刪除可能被用作犯罪證據(jù)的文件。因此，可以使用一個(gè)數(shù)據(jù)恢復(fù)工具。但是，文件不是唯一的目標(biāo)；所以，R-Mail應(yīng)該被用來恢復(fù)已經(jīng)刪除的郵件。

8.文件檢查：由于文件格式的復(fù)雜性，并且大多數(shù)的罪犯為達(dá)到他們的目的而修改中間契約的名字，找到證據(jù)不是一件容易的任務(wù)。因此，Quick View Plus工具可以被用于查詢證據(jù)和減少他們?cè)谘陲椃矫嫠龅呐Α?/p>

四、討論

在計(jì)算機(jī)取證的新領(lǐng)域，仍然存在許多問題。下面是在調(diào)查網(wǎng)絡(luò)犯罪時(shí)，應(yīng)該注意的盲點(diǎn)和警告的分析與討論。

1.識(shí)別：識(shí)別真正的攻擊者是很難的，尤其是在使用匿名帳戶或一個(gè)盜用的身份時(shí)。在調(diào)查網(wǎng)絡(luò)入侵時(shí)，盡管一個(gè)MAC地址可以用來識(shí)別個(gè)人網(wǎng)絡(luò)的網(wǎng)卡號(hào)，但是，在Linux系統(tǒng)下，MAC地址可以被改變，從而對(duì)證據(jù)的識(shí)別沒有用處。

2.加密：許多程序通過密碼方法來實(shí)現(xiàn)，許多用戶通過網(wǎng)絡(luò)獲得安全應(yīng)用的權(quán)限，尤其是一些硬件設(shè)備，其中在存儲(chǔ)介質(zhì)中的活動(dòng)密鑰被嵌入在芯片結(jié)構(gòu)中，實(shí)現(xiàn)密碼破譯比以前更困難了。

3.存儲(chǔ)容量：目前，存儲(chǔ)容量逐年在巨增。大多數(shù)的用戶擁有超過40GB的硬盤容量。容量越大，復(fù)制證據(jù)所花費(fèi)的時(shí)間也就越長(zhǎng)，同時(shí)也需要更多的存儲(chǔ)介質(zhì)。結(jié)果，分析證據(jù)需要更多的時(shí)間。

4.審計(jì)記錄：為避免入侵性的攻擊，系統(tǒng)用戶可能會(huì)刪除本打算存儲(chǔ)在計(jì)算機(jī)中的審計(jì)記錄，結(jié)果導(dǎo)致計(jì)算機(jī)識(shí)別問題。因此，為了建立一個(gè)完整的審計(jì)記錄，安全管理必須取決于采取的所有安全和管理技術(shù)；這是在將來需要完成的一項(xiàng)任務(wù)。

5.系統(tǒng)的復(fù)雜性：不同的系統(tǒng)以多樣化的形式出現(xiàn)。這導(dǎo)致在不同的計(jì)算機(jī)系統(tǒng)、計(jì)算機(jī)程序、硬盤設(shè)備中完成計(jì)算機(jī)識(shí)別變得更加復(fù)雜。

五、結(jié)語

在這篇論文中，我們討論了通過計(jì)算機(jī)或網(wǎng)絡(luò)系統(tǒng)實(shí)施的網(wǎng)絡(luò)犯罪。論文中包含的探索性研究是作為一種參考工具被提出來的，是為了保護(hù)基于計(jì)算機(jī)的系統(tǒng)免受非法“黑客”的侵犯。

參考文獻(xiàn)

[1][美]E.Casy.數(shù)字證據(jù)和計(jì)算機(jī)犯罪[M].學(xué)術(shù)出版社，2000：41-46.