淺談計算機動態(tài)隱秘取證系統(tǒng)

袁尚華

（四川化工職業(yè)技術(shù)學(xué)院，四川 瀘州 646005）

從上個世紀開始，網(wǎng)絡(luò)就走入人們的生活、工作等各個方面，并且發(fā)展越來越迅速，但是，隨著而來的安全問題也越來越受到人們的關(guān)注。在網(wǎng)絡(luò)案件發(fā)送后，公安部門首先需要取證，由于網(wǎng)絡(luò)的廣泛性、多樣性、不定性等特性，從辦案的業(yè)務(wù)實際需求出發(fā)，對情報的獲取和案件的偵破需要一套新型能夠自動地進行信息取證、能夠隱蔽地獲取一些使用常規(guī)手段較難獲得的電子證據(jù)、并在取證的過程中具有較高的隱秘性和安全性的取證系統(tǒng)。這類較難獲得的電子證據(jù)包括被取證主機上的各類隱蔽數(shù)據(jù)，如經(jīng)過加密軟件加密的重要文檔以及移動硬盤、密碼、USB盤等外圍設(shè)備上的重要數(shù)據(jù)信息。

1 計算機動態(tài)隱秘取證

計算機取證就是研究如何對計算機和網(wǎng)絡(luò)犯罪的證據(jù)進行獲取、保存、分析和出示的法律規(guī)范和科學(xué)技術(shù)。

當系統(tǒng)在預(yù)計的計算機和網(wǎng)絡(luò)違法犯罪事件正在發(fā)生之時，為了防止違法犯罪事件的進一步惡化，或者及時的收集違法犯罪活動的證據(jù)，采用動態(tài)取證系統(tǒng)主動進行取證的工作方式，即將計算機取證結(jié)合到入侵檢測、遠程監(jiān)控等網(wǎng)絡(luò)安全工具和網(wǎng)絡(luò)體系結(jié)構(gòu)中，在計算機犯罪過程中動態(tài)獲取數(shù)據(jù)并進行分析，實施相應(yīng)的動作獲取證據(jù)，這種取證方式為動態(tài)取證。這種方法能迅速生成計算機證據(jù)，減少調(diào)查的時間和降低對取證人員的要求。與靜態(tài)取證相比，動態(tài)取證具有主動性、實時性、有效性等特點。

計算機和網(wǎng)絡(luò)犯罪活動一般持續(xù)過程比較短暫，涉案的電子證據(jù)也具有一定的"揮發(fā)性"，如存儲重要犯罪證據(jù)的移動硬盤、USB盤等外圍存儲設(shè)備，在短時間連入涉案主機后，即被犯罪分子轉(zhuǎn)移、藏匿、銷毀，這樣就很難取得這類設(shè)備中的犯罪證據(jù)。因此，在實際取證業(yè)務(wù)中，需要采用計算機動態(tài)隱秘取證。

2 計算機動態(tài)隱秘取證系統(tǒng)整體功能

根據(jù)實際需求出發(fā)，計算機動態(tài)隱秘取證系統(tǒng)應(yīng)該具有可靠性、隱蔽性、實時性和自動性的特點，并且還需完成以下功能：

2.1 外圍存儲設(shè)備監(jiān)控功能。U盤、移動硬盤等外圍存儲設(shè)備體積小巧、使用方便，很容易被犯罪分子藏匿、破壞、銷毀，導(dǎo)致這類設(shè)備中的重要證據(jù)流失，因此本系統(tǒng)最主要的功能就是對外圍存儲設(shè)備連入被取證主機的情況進行監(jiān)控，以實現(xiàn)后續(xù)取證功能。

2.2 為了不讓被取證對象發(fā)覺，保證重要證據(jù)信息或藏匿犯罪證據(jù)不被銷毀，動態(tài)隱秘取證系統(tǒng)必須具有很高的隱蔽性，其中包括取證過程隱蔽、證據(jù)傳輸隱蔽。

2.3 密碼數(shù)據(jù)及密鑰獲取功能。動態(tài)隱秘取證系統(tǒng)能夠通過鍵盤記錄、屏幕截取、密碼分析等技術(shù)對被取證主機上的密碼數(shù)據(jù)以及密鑰文件進行收集和獲取。

2.4 取證信息傳輸功能。動態(tài)隱秘取證系統(tǒng)能夠及時的將取證信息通過網(wǎng)絡(luò)傳輸給取證人員，以便及時分析證據(jù)，進行后續(xù)取證工作。

2.5 友好的界面和完善的證據(jù)管理，以便于操作和對獲取證據(jù)的后續(xù)分析。

3 使用的關(guān)鍵技術(shù)及實現(xiàn)

為了能更好的實現(xiàn)系統(tǒng)所具有的功能，本系統(tǒng)采用了移動設(shè)備監(jiān)控技術(shù)、進程隱藏技術(shù)、文件加密技術(shù)、數(shù)據(jù)隱秘通信技術(shù)和基于NTFS的ADS文件隱藏技術(shù)。在此主要分析移動設(shè)備監(jiān)控技術(shù)。

監(jiān)控移動設(shè)備連入主機的方法主要有：GUID枚舉技術(shù)、系統(tǒng)消息監(jiān)控技術(shù)等，在本系統(tǒng)中主要使用到的是GUID枚舉技術(shù)。

所謂 GUID（Globlly Unique Identifier，全球唯一標識符）是同類或同種設(shè)備的一種識別碼，它是一個 128 bit(16字節(jié))的整形數(shù)，可以保證在時間和空間上具有唯一性。用上述 API函數(shù)和數(shù)據(jù)結(jié)構(gòu)，可以實現(xiàn)從 GUID到設(shè)備路徑的轉(zhuǎn)換，主要代碼實現(xiàn)如下：

采用 GUID枚舉的方法，其優(yōu)點通過對系統(tǒng)中相應(yīng) GUID設(shè)備的枚舉，很容易得到該設(shè)備的詳細信息，如盤符、接口類型、序列號、產(chǎn)品ID等。但是這種方法的缺點也很明顯，由于GUID具有唯一性，采用移動存儲設(shè)備的 GUID只能枚舉出移動存儲設(shè)備的信息，如想要得到虛擬磁盤的信息，則需采用虛擬磁盤的 GUID進行枚舉，這樣的程序?qū)崿F(xiàn)效率不高。另外，GUID枚舉技術(shù)缺乏觸發(fā)條件，需通過監(jiān)控注冊表或結(jié)合前面的系統(tǒng)消息監(jiān)控技術(shù)，才能達到監(jiān)控移動存儲設(shè)備的目標。

[1]陳龍,王國胤.計算機取證技術(shù)綜述 [J].重慶郵電學(xué)院學(xué)報(自然科學(xué)版).2005,17(6):726-732.

[2]黃步根.NTFS系統(tǒng)存儲介質(zhì)上文件操作痕跡分析 [J].計算機工程.2007,33(23):281-283.

[3]李偉斌,王華勇,羅平.通過注冊表監(jiān)控實現(xiàn)木馬檢測 [J].計算機工程與設(shè)計.2006,27(12):2200-2222.